Finansudvalget 2020-21
FIU Alm.del Bilag 46
Offentligt
2308654_0001.png
December 2020
— 7/2020
Rigsrevisionens beretning afgivet
til Folketinget med Statsrevisorernes
bemærkninger
Indsatsen for at
undgå statsansattes
besvigelser
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
7/2020
Beretning om
indsatsen for at undgå
statsansattes besvigelser
Statsrevisorerne fremsender denne beretning med
deres bemærkninger til Folketinget og vedkommende
minister, jf. § 3 i lov om statsrevisorerne og § 18, stk. 1,
i lov om revisionen af statens regnskaber m.m.
København 2020
Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:
Statsrevisorerne fremsender med deres bemærkning Rigsrevisionens beretning til Folketinget og vedkom-
mende minister.
Alle ministre afgiver en redegørelse til beretningen.
Rigsrevisor afgiver et notat med bemærkninger til ministrenes redegørelser.
På baggrund af ministrenes redegørelser og rigsrevisors notat tager Statsrevisorerne endelig stilling til beret-
ningen, hvilket forventes at ske i april 2021.
Ministrenes redegørelser, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles
i Statsrevisorernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i februar må-
ned – i dette tilfælde Endelig betænkning over statsregnskabet 2020, som afgives i februar 2022.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0003.png
Statsrevisorernes bemærkning tager udgangspunkt i denne karakterskala:
Karakterskala
Positiv kritik
finder det meget/særdeles positivt
finder det positivt
finder det tilfredsstillende/er tilfredse med
finder det ikke helt tilfredsstillende
finder det utilfredsstillende/er utilfredse med
påpeger/understreger/henstiller/forventer
beklager/finder det bekymrende/foruroligende
kritiserer/finder det kritisabelt/kritiserer skarpt/indskærper
påtaler/påtaler skarpt
påtaler skarpt og henleder særligt Folketingets opmærksomhed på
Kritik under middel
Middel kritik
Skarp kritik
Skarpeste kritik
Henvendelse vedrørende
denne publikation rettes til:
Statsrevisorerne
Folketinget
Christiansborg
1240 København K
Tlf.: 3337 5987
[email protected]
www.ft.dk/statsrevisorerne
Yderligere eksemplarer kan
købes ved henvendelse til:
Rosendahls Lager og Logistik
Vandtårnsvej 83A
2860 Søborg
Tlf.: 4322 7300
[email protected]
www.rosendahls.dk
ISSN 2245-3008
ISBN trykt 978-87-7434-694-4
ISBN online 978-87-7434-695-1
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0004.png
Statsrevisorernes bemærkning
Statsrevisorernes
bemærkning
Statsrevisorerne
Beretning om indsatsen for at undgå statsansattes
besvigelser
Statsrevisorerne har anmodet om denne undersøgelse på baggrund af
en række konkrete sager, hvor statsansatte har begået svig og svindel på
vedligeholdelsesområdet i Forsvarsministeriets Ejendomsstyrelse, svin-
del med tilskudsmidler på socialområdet og svindel med refusion af ud-
bytteskat. Undersøgelsen viser, at Rigsrevisionen ikke har fundet flere
konkrete tilfælde af svig begået af statsansatte, men at der er risiko for,
at der i 2019 og flere år bagud kan have fundet uretmæssige udbetalinger
sted, når statsansatte har forvaltet indkøb, løn og tilskud.
Statsrevisorerne finder det meget utilfredsstillende, at ministerierne
generelt har så svage interne kontroller og forretningsgange, at det er
muligt for statsansatte at begå svig på indkøbs-, løn- og tilskudsområ-
det, uden at det bliver opdaget.
Statsrevisorerne indskærper, at ministerierne generelt bør styrke de-
res ledelsesfokus på tilrettelæggelsen af den interne kontrol og risiko-
styring.
Statsrevisorerne finder, at der er behov for en generel oprustning i
forhold til, om kontrollerne vedrørende forvaltning af indkøb, løn og
tilskud fungerer hensigtsmæssigt og i tilstrækkelig grad forebygger
statsansattes mulighed for at begå svig. Der er i den forbindelse be-
hov for, at Finansministeriet i højere grad udbreder viden, vejled-
ning og rammer for ministeriernes styrkelse af kontrolmiljøet, her-
under funktionsadskillelse og kontroller i fællesstatslige it-systemer.
17. december 2020
Henrik Thorup
Klaus Frandsen
Frank Aaen
Britt Bager
Mai Mercado*
Jesper Petersen
* Statsrevisor Mai Mercado har
ikke deltaget ved behandlin-
gen af denne sag på grund af
inhabilitet.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0005.png
Statsrevisorernes bemærkning
Statsrevisorerne har særligt hæftet sig ved disse risikofaktorer:
Selv om ministerierne tilkendegiver, at de har etableret basale kontrol-
ler såsom funktionsadskillelse og logning af brugerhandlinger, har
den øverste ledelse i ministerierne ikke i tilstrækkelig grad ført tilsyn
med, om kontrollerne forebygger ansattes mulighed for at begå svig.
Det er muligt at omgå den systemunderstøttede funktionsadskillelse i
de fællesstatslige it-systemer IndFak (indkøb og fakturering), RejsUd
(rejseafregning) og SLS (løn), fx via lokale tilpasninger eller tildeling af
brugerrettigheder. Det er i praksis sket i 13 ud af 15 ministerier, uden
at ministerierne har gennemført kompenserende kontroller for at und-
gå besvigelser.
4 ud af 5 udvalgte ministerier, der anvendte it-systemet TAS til forvalt-
ning af tilskud, gjorde det uden tilstrækkelig kontrol med styring af
brugerrettigheder og logning og uden tilstrækkelig kontrol af privile-
gerede brugere.
Der er risiko for, at medarbejdere kan anvende statslige betalingskort
til privat forbrug, som bør imødegås med fastsatte retningslinjer og
monitorering.
I undersøgelsen er der således konkrete eksempler på, at medarbejdere
har brugt statslige betalingskort i Justitsministeriet og Klima-, Energi- og
Forsyningsministeriet i strid med gældende regler. Der er også konkrete
eksempler på, at ansatte har brugt statslige betalingskort og tankkort i
Forsvarsministeriet i strid med Forsvarsministeriets og Finansministeriets
gældende regler. Det finder Statsrevisorerne meget utilfredsstillende. Det
er i den forbindelse en skærpende omstændighed, at Forsvarsministeriet
gentagne gange er blevet gjort opmærksom på et mangelfuldt kontrolmil-
jø på indkøbsområdet, senest i beretning nr. 19/2019 om revisionen af
statsregnskabet for 2019.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Indholdsfortegnelse
1. Introduktion og konklusion ....................................................................................................... 1
1�½1. Formål og konklusion ....................................................................................................................... 1
1�½2. Baggrund ............................................................................................................................................... 5
1�½3. Revisionskriterier, metode og afgrænsning ........................................................................... 9
2. Ministeriernes styringsrammer i forhold til at forebygge besvigelser ..................... 17
2�½1. Ministerieinstrukser ....................................................................................................................... 18
2�½2. Ministeriers anvendelse af standarder for intern kontrol og risikostyring ............ 19
2�½3. Ministeriernes revurdering af kontrolmiljø og funktionsadskillelse i 2019 ......... 20
3. It-understøttede kontroller i de fællesstatslige it-systemer ....................................... 24
3�½1. Systemunderstøttet funktionsadskillelse i de fællesstatslige it-systemer .......... 25
4. Ministeriernes interne kontroller i praksis – konkrete eksempler fra
forvaltning af indkøb og løn ................................................................................................... 31
4�½1. Ministeriernes rejseafregninger i RejsUd ............................................................................. 32
4�½2. Ministeriernes indkøb i IndFak .................................................................................................. 38
4�½3. Tankkort ............................................................................................................................................. 46
4�½4. Betalingskort ..................................................................................................................................... 51
4�½5. Kontroller på lønområdet ............................................................................................................ 61
5. Ministeriernes administration af tilskud i udvalgte tilskudssystemer ..................... 66
5�½1. Administration af tilskud i TAS ................................................................................................. 67
5�½2. Administration af tilskud i et lokalt system i Kulturministeriet ................................... 71
Bilag 1. Statsrevisorernes anmodning ..................................................................................................... 75
Bilag 2. Metodisk tilgang ................................................................................................................................. 76
Bilag 3. Ministerier og virksomheder, som indgik i revisionen af lønkontrol i 2019,
og som indgår i denne undersøgelse......................................................................................................... 90
Bilag 4. Ministerier og virksomheder, som indgik i revisionen af brugerstyring i
staten i 2019, og som indgår i denne undersøgelse ......................................................................... 91
Bilag 5. Ministerier og virksomheder, som indgik i revisionen af brugerstyring i
staten i 2020, og som indgår i denne undersøgelse ......................................................................... 93
Bilag 6. Dataanalyse af Forsvarsministeriets brug af tankkort..................................................... 94
Bilag 7. Ordliste................................................................................................................................................... 96
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Undersøgelsen er en statsrevisoranmodning, og Rigsrevisionen af-
giver derfor beretningen til Statsrevisorerne i henhold til § 8, stk. 1,
og § 17, stk. 2, i rigsrevisorloven, jf. lovbekendtgørelse nr. 101 af
19. januar 2012.
Rigsrevisionen har revideret regnskaberne efter § 2, stk. 1, nr. 1,
jf. § 3 i rigsrevisorloven.
Beretningen vedrører alle ministerområder. På alle ministerområder
har der været udskiftning på ministerposterne i 2019, som er det år,
beretningen vedrører. Rigsrevisionen har derfor valgt ikke at opliste
ministrene.
Beretningen har i udkast været forelagt alle ministerier, hvis be-
mærkninger er afspejlet i beretningen.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Introduktion og konklusion |
1
1. Introduktion og
konklusion
1.1.
Formål og konklusion
Definition af svig
1. Denne beretning handler om ministeriernes indsats for at undgå, at statsansatte be-
går svig. Ansatte i staten kan fx begå svig ved at misbruge statens midler til at foreta-
ge private indkøb eller udbetale penge til egen konto. I de seneste år har der været fle-
re sager, hvor statsansatte har begået eller medvirket til svig. Der har fx været sager
om ansattes svindel i forbindelse med indkøb i Forsvarsministeriets Ejendomsstyrel-
se, svindel med tilskudsmidler på socialområdet og svindel med refusion af udbytte-
skat.
Rigsrevisionen har i en årrække i beretninger om revisionen af statsregnskabet rap-
porteret til Statsrevisorerne, at der overordnet set er en god og sikker regnskabsfor-
valtning i staten. Rigsrevisionen har dog også afdækket en række fejl, usikkerheder
og svagheder i ministeriernes interne kontroller og sager, hvor der er risiko for fejl el-
ler svig.
Det er ikke revisors ansvar at opdage besvigelser, der ikke beløbsmæssigt er væsent-
lige i forhold til regnskabet, men bliver revisor opmærksom på svigagtige forhold, skal
revisor reagere. Ansvaret for at forebygge og opdage besvigelser ligger hos ledelsen i
de enkelte ministerier og virksomheder. Det er derfor også deres opgave og ansvar at
etablere betryggende forretningsgange og interne kontroller. En vigtig del af denne op-
gave er at sikre funktionsadskillelse (også kaldet personmæssig adskillelse eller 4-øj-
neprincip), hvilket betyder, at det fx ikke må være den samme medarbejder, der vare-
modtager et indkøb og godkender betalingen for indkøbet. På indkøbsområdet er det-
te helt centralt i forhold til at forebygge statsansattes misbrug af statens midler.
Rigsrevisionen har igangsat undersøgelsen i april 2020 på baggrund af en anmodning
fra Statsrevisorerne, jf. bilag 1. Statsrevisorerne ønskede, at undersøgelsen skulle dæk-
ke områderne tilskud, indkøb og løn. Da Statsrevisorerne behandlede Rigsrevisionens
forslag til tilrettelæggelse af undersøgelsen, ønskede de desuden, at undersøgelsen
også omfattede statsansattes brug af betalingskort. I undersøgelsen peger vi på ste-
der i den statslige forvaltning, hvor utilfredsstillende forretningsgange og kontroller
kan betyde, at statsansatte har mulighed for at begå svig. Dette gælder uanset beløbs-
størrelse, og uanset om en eventuel besvigelse ville påvirke det samlede regnskabs
rigtighed, idet besvigelser både kan begås for større og mindre beløb.
En bevidst handling udført af
én eller flere personer blandt
den daglige ledelse, den øver-
ste ledelse, medarbejdere el-
ler tredjeparter, der benytter
vildledning til at opnå en ube-
rettiget eller ulovlig fordel.
Definitionen følger af den in-
ternationale revisionsstan-
dard ISSAI 1240.
Forretningsgange og
interne kontroller
Forretningsgange
dækker
processer og retningslinjer,
der beskriver administratio-
nens tilrettelæggelse, og hvor-
dan interne kontroller og tilsyn
med kontrollerne skal udføres.
Interne kontroller
dækker de
handlinger, der implementeres
af ledelsen for at undgå fejl og
svig.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2
| Introduktion og konklusion
Styringsramme
Ved en tilfredsstillende sty-
ringsramme forstås, at der er
fastsat rammer og procedurer,
som gør, at det for den enkelte
medarbejder er svært at om-
gå reglerne. Dette kan fx være
ved opsætninger, som gør, at
én person ikke både kan god-
kende og betale en faktura.
Regler og procedurer kan væ-
re formuleret lokalt i ministe-
rie-, virksomheds- og regn-
skabsinstrukserne eller over-
ordnet i regnskabsbekendtgø-
relsen.
2. Formålet med undersøgelsen er at vurdere, om der i ministerierne er tilfredsstillen-
de forretningsgange og interne kontroller til at begrænse risikoen for ansattes besvi-
gelser. Vi besvarer følgende spørgsmål i beretningen:
Havde ministerierne i 2019 en tilfredsstillende styringsramme i forhold til at fore-
bygge risikoen for besvigelser begået af statsansatte vedrørende tilskud, indkøb
og løn?
Havde ministerierne i 2019 en tilfredsstillende systemunderstøttelse af funktions-
adskillelse i de fællesstatslige it-systemer?
Havde ministerierne i 2019 i praksis tilfredsstillende interne kontroller til at begræn-
se risikoen for besvigelser begået af statsansatte vedrørende indkøb og løn?
Havde ministerierne i 2019 tilfredsstillende it-understøttede kontroller i de anvend-
te tilskudssystemer?
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0010.png
Introduktion og konklusion |
3
Hovedkonklusion
Rigsrevisionen vurderer, at ministeriernes forretningsgange og interne kon-
troller i 2019 samlet set ikke var tilfredsstillende i forhold til at begrænse
risikoen for, at statsansatte kunne begå besvigelser. Rigsrevisionen har ik-
ke fundet konkrete tilfælde af svig vedrørende tilskud, indkøb og løn, men
har konstateret en række svage kontroller, som betyder, at det for statsan-
satte ville have været muligt at begå svig uden at blive opdaget. Konsekven-
sen heraf er, at der i 2019 – og i princippet flere år bagud – kan have fundet
uretmæssige udbetalinger sted i forbindelse med statsansattes forvaltning
af tilskud, indkøb og løn.
De fleste ministeriers styringsrammer var mangelfulde i forhold til at forebygge, at
statsansatte kan begå besvigelser ved indkøb og ved udbetalinger af tilskud og løn
Undersøgelsen viser, at ministerierne har styringsrammer, der ud fra væsentlighed og
risiko understøtter regnskabsaflæggelsen. Ministeriernes tilsyn med virksomhedernes
interne kontrol understøtter dog ikke, at den øverste ledelse har et tilstrækkeligt over-
blik over, om kontrollerne vedrørende tilskud, indkøb og løn fungerer hensigtsmæssigt
i forhold til at forebygge ansattes mulighed for at begå svig. Hovedparten af ministeri-
erne har desuden hverken i 2019 eller 2020 opdateret ministerieinstruksen med be-
skrivelser af hovedelementerne i ministeriets interne kontrol og risikostyring, på trods
af at dette har været et krav i regnskabsbekendtgørelsen siden 2018. Alle ministerier-
ne tilkendegiver, at de har sikret basale kontroller såsom funktionsadskillelse og log-
ning af brugernes handlinger på hele ministerområdet, men halvdelen af departemen-
terne oplyser, at ministeriet kun delvist eller slet ikke i 2019 har efterprøvet, om funk-
tionsadskillelsen virkede efter hensigten.
Rigsrevisionen kan dog samtidig konstatere, at flere ministerier efter afdækningen af
svigsager i staten i 2018 og 2019 har revurderet og styrket kontrollerne.
Den systemunderstøttede funktionsadskillelse kunne omgås via lokale tilpasnin-
ger og tildeling af brugerrettigheder i virksomhederne
Undersøgelsen viser, at de fællesstatslige it-systemer IndFak, RejsUd og SLS som
standard er sat op med henblik på at understøtte funktionsadskillelse. Men undersø-
gelsen viser også, at systemerne IndFak og RejsUd lokalt kan sættes op og bruges på
en måde, der gør, at medarbejdere kan gennemføre transaktioner uden tilstrækkelig
funktionsadskillelse. SLS er generelt karakteriseret ved, at der altid skal foretages ma-
nuelle kontroller i sagsbehandlingen, fordi ikke-godkendte lønudbetalinger ikke auto-
matisk standses af lønsystemet.
IndFak, RejsUd og SLS
IndFak
er Finansministeriets
fælles indkøbs- og faktura-
håndteringssystem.
RejsUd
er Finansministeriets
fælles rejseafregningssystem.
SLS
er Statens Lønsystem.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0011.png
4
| Introduktion og konklusion
De fleste ministerier havde i praksis ikke tilfredsstillende interne kontroller til
at begrænse risikoen for besvigelser begået af statsansatte vedrørende indkøb
og/eller løn
Undersøgelsens stikprøver viser, at 13 ud af de 15 ministerier, der hovedsageligt an-
vendte de fællesstatslige it-systemer i 2019, i nogle tilfælde ikke har haft en tilstræk-
kelig funktionsadskillelse i systemerne RejsUd og/eller IndFak, og at ministerierne
ikke i tilstrækkelig grad har ført tilsyn med og overvåget kontroller. Dette kunne la-
de sig gøre på grund af lokale opsætninger af indkøbssystemet.
Samlet set viser undersøgelsen, at de fællesstatslige it-systemer IndFak og RejsUd
ofte anvendes uden tilstrækkelig styring af brugernes rettigheder i systemerne, og
at ministerierne ikke udfører kompenserende kontroller.
Undersøgelsen viser desuden konkrete eksempler på, at medarbejdere har brugt
statslige betalingskort i Forsvarsministeriet, Justitsministeriet og Klima-, Energi- og
Forsyningsministeriet samt tankkort i Forsvarsministeriet i strid med gældende reg-
ler.
Rigsrevisionen anbefaler, at alle ministerierne undersøger, om de eksisterende for-
retningsgange og interne kontroller vedrørende ansattes brug af betalingskort, her-
under tankkort, er tilstrækkelige i forhold til at imødegå risikoen for eventuelle be-
svigelser.
På lønområdet viser undersøgelsen mangler i flere ministeriers lønkontroller og sty-
ring af brugerrettigheder i SLS.
Selv om undersøgelsen ikke har påvist tilfælde af svig, kan der have fundet uretmæs-
sige transaktioner sted, og flere ministerier har i kølvandet på Rigsrevisionens under-
søgelse igangsat initiativer med henblik på at stramme op og imødegå risikoen for
besvigelser på løn- og indkøbsområdet.
Udvalgte ministerier, der
anvendte TAS i undersø-
gelsesperioden
Klima-, Energi- og Forsy-
ningsministeriet
Miljø- og Fødevareministe-
riet
Beskæftigelsesministeriet
Social- og Indenrigsministe-
riet
Kulturministeriet (anvender
også et specialudviklet sy-
stem).
4 ud af 5 udvalgte ministerier anvendte it-systemer til at håndtere tilskud på en
måde, som ikke i tilstrækkelig grad sikrede kontrol med styring af brugerrettig-
heder og overvågning af brugeres aktiviteter i tilskudssystemet til at understøtte
betryggende funktionsadskillelse
Systemet TAS bliver brugt i de 5 ministerier til at håndtere tilskud. Der er fundet ek-
sempler på utilfredsstillende styring af brugerrettigheder. Ingen af de 5 ministerier
havde i 2019 etableret en tilstrækkelig proces for logning og kontrol af privilegerede
brugeres handlinger i systemet. Undersøgelsen viser også et eksempel fra et mindre
it-system, som Kulturministeriet anvender til at administrere et tilskud, hvor mang-
lende funktionsadskillelse og utilstrækkelig styring af brugerrettigheder gav risiko
for, at ansatte kunne begå svig.
Undersøgelsen har afdækket, at der findes forskelligartet praksis i ministerierne og
i virksomhederne vedrørende tilskud, indkøb og løn. Ministerierne kan generelt for-
bedre de eksisterende forretningsgange og interne kontroller ved at videndele mere
på tværs af ministerområdet, men også med andre ministerier om, hvordan risikoen
for svig kan begrænses.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0012.png
Introduktion og konklusion |
5
1.2. Baggrund
3. Når ministerierne tilrettelægger deres forretningsgange og interne kontroller for
at forebygge svig, skal de leve op til de krav, der er fastsat i bl.a. lov om statens regn-
skabsvæsen og i regnskabsbekendtgørelsen fra 2018. Det fremgår af regnskabsbe-
kendtgørelsen, at de enkelte institutioner (omtales herefter virksomheder) skal fast-
lægge og beskrive forretningsgange og kontroller, herunder sikre en effektiv funkti-
onsadskillelse.
4. Forvaltning af tilskud, indkøb og løn foregår på forskellig vis og i forskellige statsli-
ge it-systemer. Fælles for alle 3 områder er dog bl.a., at de regnskabsmæssige regi-
streringer skal tilrettelægges, så der etableres en funktionsadskillelse mellem den
regnskabsmæssige registrering og betalingen. Dette fremgår af regnskabsbekendt-
gørelsens § 24.
Funktionsadskillelse dækker over opdeling af ansvar for arbejdsopgaver mellem per-
soner, der varetager uforenelige funktioner inden for registrering, bogholderi, betalin-
ger, it mv. Det skal sikre, at en person ikke har adgang til eller mulighed for at udføre
flere forskellige funktioner, hvor der i funktionen er en form for kontrol. Funktionsad-
skillelse opnås derfor, når én og samme person ikke har ansvaret for fx både at dispo-
nere og godkende eller for at bogføre og betale, som illustreret for en finansiel proces
i figur 1.
Regnskabsbekendtgørel-
sen fra 2018
Regnskabsbekendtgørelsen
blev revideret i 2018 (seneste
revision inden da fandt sted i
2011).
Den nye regnskabsbekendt-
gørelse indeholder en tydelig-
gørelse af bestemmelserne
om interne kontroller med
krav om, at ministerie-, virk-
somheds- og regnskabsin-
strukserne skal beskrive,
hvordan den interne kontrol
og risikostyring i relation til
regnskabsgodkendelsen er til-
rettelagt i virksomhederne.
Figur 1
Funktionsadskillelse i en finansiel proces
FUNKTIONSADSKILLELSE
I FAGKONTORET
FUNKTIONSADSKILLELSE
I UDBETALINGSHÅNDTERINGEN
KR.
DISPONERING
Under disponering indgås
aftaler og køb af varer og
tjenesteydelser mv., og det
kontrolleres, at de i
fakturaen nævnte varer,
ydelser mv. er leveret
GODKENDELSE
Under godkendelsen
kontrolleres, at personen,
der disponerede, var
bemyndiget, at de i
fakturaen nævnte varer,
ydelser mv. er leveret, og
at fakturaen er korrekt
BOGFØRING
Under bogføringen
kontrolleres, at fakturaen
er korrekt og godkendt af
bemyndigede personer,
og fakturaen registreres
i regnskabet
BETALING
Under betaling kontrolleres
udbetalingen i forhold
til fakturaens betalings-
oplysninger, og
udbetalingen foretages
OBS:
Disponering og godkendelse
må aldrig foretages af samme person
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Økonomistyrelsen.
OBS:
Bogføring og betaling må
aldrig foretages af samme person
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0013.png
6
| Introduktion og konklusion
Som det fremgår af figur 1, må disponering og godkendelse aldrig foretages af sam-
me person. Desuden fremgår det af figuren, at det bl.a. er godkenderens opgave at
kontrollere, at disponenten var bemyndiget, og samtidig føre en yderligere kontrol
med fakturaen og leveringen. Da godkenderen både skal kontrollere disponenten og
føre kontrol med fakturaen efter disponenten, kan godkendelse i sagens natur ikke
foretages af disponenten.
I de it-systemer, som vi har undersøgt, anvendes ikke nødvendigvis de samme beteg-
nelser som i figur 1. Fx hedder den første kontrol af, om de nævnte varer og ydelser
mv. er leveret, en varemodtagelse i IndFak, selv om denne omtales under disponering
i figur 1.
Stamdata
Stamdata er grundinforma-
tion, som tastes ind i systemet
én gang for derefter at blive
anvendt som grundlag for fx
udbetaling, fakturering eller
lønkørsel. Eksempler på stam-
data er stilling, navn, adresse,
cpr-nr. og betalingsoplysnin-
ger på modtageren af en ud-
betaling.
5. Således betyder funktionsadskillelse, at der på tværs af en finansiel proces er in-
terne kontroller, der sikrer, at det ikke er den samme person, som disponerer, god-
kender, bogfører og betaler. Ligeledes er det vigtigt, at der er funktionsadskillelse, så
fx stamdata er beskyttet mod såvel tilsigtede som utilsigtede fejl. Det er centralt, at
den ansvarlige ledelse både forholder sig til, at der er personmæssig funktionsadskil-
lelse ud fra et 4-øjneprincip, og at personerne er bemyndigede og har kompetencen
til at varetage deres funktioner i processen.
Begrebet
tilstrækkelig funktionsadskillelse
betyder i denne beretning, at begge for-
hold er opfyldt. Boks 1 forklarer, hvordan begrebet tilstrækkelig funktionsadskillelse
skal forstås, når det bruges i forhold til IndFak og RejsUd.
Boks 1
Tilstrækkelig og systemunderstøttet funktionsadskillelse i de
fællesstatslige it-systemer (eksempler)
Tilstrækkelig funktionsadskillelse i IndFak
Der kan godt være systemunderstøttet funktionsadskillelse i godkendelsen af en faktura
i IndFak, uden at der er tale om en tilstrækkelig funktionsadskillelse. Dette vil fx være til-
fældet, hvis medarbejderen, som godkender en faktura, ikke har tilstrækkelig prokura
til at udføre denne godkendelse, og fakturaen derfor sendes tilbage til den person, som
varemodtog fakturaen, til endelig godkendelse. Her vil der være en systemunderstøttet
funktionsadskillelse, da fakturaen har været forbi 2 forskellige medarbejdere. Funktions-
adskillelsen er dog ikke tilstrækkelig, da medarbejderen, som godkender i første omgang,
ikke havde prokura til at gennemføre den kontrol, som er indeholdt i godkenderrollen
(dvs. ikke var bemyndiget hertil). De 2 centrale kontroller – varemodtagelse og endelig
godkendelse (forud for bogføring og betaling af fakturaen) – er derfor i praksis varetaget
af den samme person.
Tilstrækkelig funktionsadskillelse i RejsUd
Der kan tilsvarende godt være systemunderstøttet funktionsadskillelse i godkendelsen
af en rejseafregning i RejsUd, uden at der er en tilstrækkelig funktionsadskillelse. Dette
vil fx være tilfældet, hvis en rejseafregning er kontrolleret af en medarbejder og efterføl-
gende godkendt af den medarbejder, som rejseafregningen vedrører. Her vil der være en
systemunderstøttet personmæssig funktionsadskillelse, da rejseafregnin-gen har været
forbi 2 medarbejdere. Funktionsadskillelsen er dog ikke tilstrækkelig, da godkenderen i
dette tilfælde ikke har bemyndigelse til at udføre den kontrol, som er indeholdt i godken-
derrollen, da vedkommende i praksis har godkendt sin egen rejseafregning.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Introduktion og konklusion |
7
Vi har således undersøgt, om der er tilstrækkelig funktionsadskillelse i betalingsforret-
ningerne, dvs. om der er 4 øjne involveret, og om de medarbejdere, som indgår i den
funktionsadskilte proces, har bemyndigelse, dvs. de nødvendige rettigheder, kompe-
tencer, prokura mv. til at udfylde den kontrolfunktion, som skal varetages i henhold til
de roller, som medarbejderne udfylder. 4 øjne er dog ikke en sikkerhed for, at der ikke
er besvigelser, da medarbejdere via sammensværgelse kan blive enige om at begå
svig.
Manglende funktionsadskillelse giver risiko for svig i form af fx ansattes indkøb til eget
forbrug eller overførsler til egen konto, mens manglende funktionsadskillelse mellem
fx medarbejdere med it-udviklingsopgaver og driftsopgaver medfører en svigrisiko
ved, at en medarbejder har mulighed for at foretage ændringer i udviklingsmiljøet og
efterfølgende kan overføre uberettigede ændringer direkte i driftssystemet, uden at
dette er godkendt.
Hvis det ikke er muligt at etablere systemunderstøttet funktionsadskillelse, fx på
grund af virksomhedens størrelse og organisation, skal ministerierne ifølge regnskabs-
bekendtgørelsen etablere kompenserende kontroller. En kompenserende kontrol kan
fx være en stikprøvevis kontrol af fakturaer og indkøbsordrer, opfølgning på logning
af ændringer i væsentlige data eller monitorering af brugernes aktiviteter og hændel-
ser i de anvendte it-systemer.
6. Ud over funktionsadskillelse indeholder regnskabsbekendtgørelsen også andre
krav, som er relevante for at begrænse risikoen for besvigelser og utilsigtede fejl. Fi-
gur 2 viser de relevante krav fra regnskabsbekendtgørelsen og andre relevante prin-
cipper for at imødegå risiko for besvigelser.
Svig ved sammensværgel-
ser
Hvis der er tale om en sam-
mensværgelse af fx 2 ansatte
med forskellige funktioner, der
begår svig, kan det være svært
at opklare, da parterne har
sammenfaldende interesser.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0015.png
8
| Introduktion og konklusion
Figur 2
Centrale principper for at imødegå besvigelsesrisici
RELEVANTE PRINCIPPER FRA REGNSKABSBEKENDTGØRELSEN
§ 24
Sikring af
funktionsadskillelse
§ 27
Dokumentation og
godkendelse
§ 28
Kontrol af grund-
laget for ind- og
udbetalinger
§ 30
Kontrol med
anvendelse af
betalingskort
§ 37
Etablering af tilsyn
med forretningsgange
og interne kontroller
§ 46
Forsvarlig forvalt-
ning af udgifter og
indtægter
Der er etableret en
personmæssig
adskillelse mellem
den regnskabsmæs-
sige registrering og
betalingen. Hvis dette
ikke er muligt, skal
der optages særskilte
bestemmelser herom
i regnskabsinstruksen
med henblik på at
sikre kontrollen med
betalingerne på
anden måde.
Der er bilag, som
dokumenterer
rigtigheden af de
enkelte regnskabs-
mæssige registreringer,
og som er godkendt af
hertil bemyndigede
personer.
Der er udarbejdet og
gennemført de
nødvendige kontroller
af grundlaget for ind-
og udbetalingerne
samt den faktiske
effektuering heraf.
Dette er tilrettelagt
under hensyntagen
til betalingernes
størrelse og frekvens.
Anvendelse af
betalingskort til
betaling skal ske efter
Finansministeriets
cirkulære om
anvendelse af
betalingskort i staten
og retningslinjer i
institutionens
regnskabsinstruks,
hvor der også
beskrives principper
for udstedelse og
anvendelse.
Der er etableret
forretningsgange og
interne kontroller
under hensyntagen til
væsentlighed og risiko.
I den forbindelse er
det kontrolleret, at der
er etableret et tilsyn
med fokus på
ovenstående.
Der foretages en
forsvarlig forvaltning
af udgifter og
indtægter. Dispone-
ringer (indgåelse af
aftaler, køb, tilsagn
om tilskud mv.)
godkendes af en
bemyndiget person,
og godkendelse af
udgifts- og indtægts-
bilag omfatter kontrol
med, at de i bilaget
nævnte varer, ydelser
mv. er leveret, og at
bilaget er korrekt.
§ 1 − DIGITAL ØKONOMIFORVALTNING
Regnskabsvæsenet skal bidrage til en sikker og effektiv økonomiforvaltning på alle niveauer i Statsforvaltningen og
skal i størst muligt omfang foregå digitalt med brug af færrest mulige ressourcer og størst mulig automatisering.
ANDRE RELEVANTE PRINCIPPER
Styring af brugerrettigheder
Logning og monitorering
Der er en velfungerende styring af brugerrettigheder, herunder
tildeling, ændring og afvikling af brugerrettigheder inden for det
enkelte system og på tværs af systemer.
Der er opsat en logfunktion, som gør det muligt at gå tilbage i en
proces og gennemgå, hvem der har gjort hvad og hvornår, og
brugeraktiviteter overvåges ved hjælp af loggen.
Kilde:
Rigsrevisionen.
Kombinationen af de krav og principper, der skitseres i figur 2, imødegår risikoen for
besvigelser begået af statsansatte ved at minimere muligheden for at begå en besvi-
gelse, samtidig med at det øger muligheden for at opdage en besvigelse, som allerede
er begået.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Introduktion og konklusion |
9
Revisionen af statsregnskabet for 2019
7. Statsrevisorerne har anmodet om, at undersøgelsen omfatter regnskabsåret 2019.
Rigsrevisionen har i august 2020 afgivet en beretning om revisionen af statsregnska-
bet for 2019. Resultater fra revisionen af 2019-regnskabet nævnes, hvor det er rele-
vant, og suppleres med nye observationer, idet den undersøgelse af indkøb, som ind-
går i beretningen, er baseret på data for alle rejse- og udgiftsafregninger foretaget af
alle ministerier, som anvendte de fællesstatslige it-systemer i 2019. Dette til forskel fra
den stikprøvebaserede revision, der blev gennemført i forbindelse med revisionen af
statsregnskabet for 2019.
I beretningen om revisionen af statsregnskabet for 2019 konkluderer Rigsrevisionen
bl.a., at et stort antal virksomheder fordelt på en række ministerier mangler funktions-
adskillelse og ikke har tilstrækkelig kontrol med betalinger mv. Medarbejdere i flere
virksomheder har desuden adgang til at deaktivere eller slette logs i it-systemerne,
hvilket gør det næsten umuligt for en virksomhed at opdage eventuelle uregelmæssig-
heder, som skyldes svig. Det drejer sig fx om følgende sager i beretningen om revisio-
nen af statsregnskabet for 2019:
mangelfuldt kontrolmiljø på indkøbsområdet hos Forsvarsministeriet
utilstrækkeligt kontrolmiljø på huslejeområdet hos Bygningsstyrelsen under Trans-
port- og Boligministeriet
mangler i Skatteministeriets brugerrettighedsstyring
utilstrækkelig it-sikkerhed i Navision Stat hos Direktoratet for Kriminalforsorgen
og Domstolsstyrelsen under Justitsministeriet
utilstrækkelig kontrol med udbetaling af tilskud hos Styrelsen for Arbejdsmarked
og Rekruttering under Beskæftigelsesministeriet.
Da ovennævnte sager er behandlet i beretningen om revisionen af statsregnskabet for
2019, indgår de ikke i denne undersøgelse.
1.3. Revisionskriterier, metode og afgrænsning
8. Undersøgelsen afdækker risikoen for statsansattes besvigelser ud fra en tværgå-
ende analyse af statslige virksomheders forretningsgange og interne kontroller samt
håndtering af risikoen i virksomhederne på et overordnet niveau. På baggrund af en
samlet risikovurdering baseret på dataanalyser, tidligere revisioner og en whistle-
blowerordning har vi udtaget virksomheder og forvaltningsområder til yderligere revi-
sionshandlinger. I beretningen beskriver vi eksempler på steder i forvaltningen af til-
skud, indkøb og løn, hvor der i 2019 har manglet funktionsadskillelse. Desuden frem-
hæver vi eksempler fra forskellige virksomheder, hvor forretningsgange og kontroller
til at begrænse risikoen for statsansattes mulighed for at begå svig ikke var tilfreds-
stillende i 2019.
Revisionskriterier
Rigsrevisionens whistle-
blowerordning
Whistleblowerordningen gav
mulighed for at indmelde til-
fælde af formodet svig og/el-
ler forretningsgange og kon-
troller, som muliggør statsan-
sattes svig.
Ordningen var åben i 2�½ må-
ned i foråret 2020, og oplys-
ninger derfra er inddraget i
undersøgelsen i de tilfælde,
hvor de har været relevante
inden for undersøgelsens af-
grænsning og har kunnet ef-
terprøves.
9. Formålet med undersøgelsen er at vurdere, om der i ministerierne er tilfredsstillen-
de forretningsgange og interne kontroller til at begrænse risikoen for ansattes besvi-
gelser. Med ministerierne mener vi departementer og underliggende virksomheder,
som indgår i statsregnskabet.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
10
| Introduktion og konklusion
Kriterierne for undersøgelsen udspringer primært af regnskabsbekendtgørelsen, hvor
de centrale krav og principper for interne kontroller fremgår. Disse omfatter kontroller
og kontrolfunktioner, som er særligt relevante for at imødegå besvigelsesrisici i forbin-
delse med forvaltning af bl.a. tilskud, indkøb og løn, herunder funktionsadskillelse, sty-
ring af brugerrettigheder/adgangskontrol og dokumentation samt tilsyn og it-under-
støttelse.
Tilfredsstillende forretningsgange og interne kontroller indebærer grundlæggende, at
der er etableret funktionsadskillelse, eller at der er iværksat kompenserende kontrol-
ler, hvor funktionsadskillelse ikke er mulig. Herudover er det væsentligt, at virksomhe-
derne styrer brugernes rettigheder i de anvendte it-systemer, så de ansatte har de ret-
tigheder, som er begrundet i et arbejdsbetinget behov, og at der ikke tildeles for brede
rettigheder, som kan tilsidesætte funktionsadskillelsen. Tilfredsstillende forretnings-
gange og interne kontroller indebærer i denne sammenhæng også, at der føres et til-
strækkeligt tilsyn med de interne kontroller, herunder med kontrollerne af grundlaget
for ind- og udbetalinger, og med anvendelsen af betalingskort mv. Endelig indebærer
det, at forretningsgange og interne kontroller i videst muligt omfang understøttes af it-
systemer og automatiske kontroller.
Tilsyn defineres i denne beretning bredt og dækker dermed både det departemen-
tale tilsyn og styring og controlling udført af virksomhederne.
10. Vi har undersøgt, om ministerierne havde en tilfredsstillende styringsramme i for-
hold til at forebygge risikoen for besvigelser begået af statsansatte vedrørende til-
skud, indkøb og løn i 2019, idet det fremgår af regnskabsbekendtgørelsen, at ministe-
rierne skal sikre, at der er etableret forretningsgange og interne kontroller samt tilsyn
hermed, som sikrer regnskabsaflæggelsen. Dette udmønter sig i, at der stilles krav om,
at det i ministerie-, virksomheds- og regnskabsinstrukserne skal beskrives, hvordan
hovedelementerne i den interne kontrol og risikostyring i relation til regnskabsgodken-
delsen er tilrettelagt. Konkret skal ministerieinstruksen indeholde en beskrivelse af ho-
vedelementerne i ministeriets tilrettelæggelse af den interne kontrol og risikostyring
i forbindelse med regnskabsaflæggelsen. Det fremgår ikke direkte af regnskabsbe-
kendtgørelsen, men en væsentlig del af formålet med intern kontrol er at forhindre mu-
ligheden for besvigelser fra ansatte og at sikre, at ansatte dermed ikke kan blive mis-
tænkt for besvigelser.
Ministerierne er forpligtede til at opbygge et internt kontrolsystem, som sikrer en for-
svarlig regnskabsaflæggelse og forvaltning af offentlige midler. Dette kræver en sty-
ringsramme, som omfatter en forsvarlig organisering af roller og ansvar i ministeriet og
strukturerede procedurer for risikostyring og overvågning af interne kontroller for at
begrænse risikoen for, at der sker fejl i bl.a. tilskuds-, indkøbs- og lønprocesser. I den
forbindelse er det nødvendigt, at de statslige virksomheder kortlægger deres finansi-
elle processer fra start til slut og vurderer, hvor der er risiko for tilsigtede fejl. Det er
desuden vigtigt, at de interne kontroller i processerne systematisk efterprøves for at
sikre, at kontrollerne er effektive i forhold til at imødegå konstaterede risici for fejl.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Introduktion og konklusion |
11
En klar systematik for intern kontrol og risikostyring indebærer bl.a.:
klart definerede roller og ansvarsfordeling
overvågning af, at der i virksomhederne foretages kortlægning og risikovurdering
af de finansielle processer fra start til slut, som gør det muligt at vurdere, hvilke ri-
sici ledelsen accepterer, og hvilke der skal afhjælpes af virksomhedernes interne
kontroller
overvågning af, at der i virksomhederne gennemføres en kontinuerlig overvågning
og tilpasning af kontrolmiljøet over tid for at sikre, at kontrollerne bliver udført, at
kontrolsvagheder udbedres, og at kontroller udvikles, hvor overvågningen viser, at
det er relevant og nødvendigt for at bringe konkrete risici ned på et acceptabelt
lavt niveau
ledelsesinformation om risici og kontroller, som giver ledelsen et overblik over væ-
sentlige risici, herunder besvigelsesrisici, og om, hvorvidt kontrollerne fungerer ef-
fektivt eller kræver ændringer/handlingsplaner og opfølgning.
Det er de enkelte ministeriers ansvar at sikre tilrettelæggelse af forsvarlige forret-
ningsgange, der følger gældende regelsæt, herunder at sikre, at der er tilstrækkelige
interne kontroller og er etableret et tilsyn hermed, der tager hensyn til væsentlighed
og risiko. Ministeriets underliggende virksomheder tilrettelægger selv deres interne
kontrol og risikostyring, men departementet har ansvaret for at sikre en tilstrækkelig
overvågning af, at der er fastlagt forretningsgange og interne kontroller, som er effek-
tive i forhold til at begrænse risici for væsentlige fejl. Derudover er departementet an-
svarlig for at sikre udbedring ved regelbrud og at sikre, at der følges op på konstatere-
de væsentlige fejl og mangler i ministeriet.
11. Vi har undersøgt, om ministerierne havde tilfredsstillende systemunderstøttelse af
funktionsadskillelse i de fællesstatslige it-systemer i 2019, idet det fremgår af regn-
skabsbekendtgørelsen, at statens regnskabsvæsen i størst muligt omfang skal fore-
gå digitalt med brug af færrest mulige resurser og størst mulig automatisering. Med
udgangspunkt heri har vi undersøgt, om der i de fællesstatslige systemer var system-
understøttede kontroller til at sikre tilfredsstillende funktionsadskillelse i 2019, og om
virksomhederne anvendte systemerne efter hensigten, så de systemunderstøttede
kontroller ikke blev fraveget uden at blive suppleret af kompenserende kontroller.
I undersøgelsen indgår de 4 it-systemer, som er en del af statens samlede virksom-
hedsløsning: Navision Stat (som anvendes til økonomistyring og regnskab), IndFak
(som anvendes til indkøb og fakturahåndtering), RejsUd (som anvendes til rejse- og
udlægsafregninger) og Statens Lønløsning – SLS og HR-Løn (som anvendes til lønud-
betalinger). Disse systemer anvendes af langt hovedparten af ministerierne.
For Navision Stat, IndFak og RejsUd er det centralt at undersøge, om systemopsæt-
ningen sikrer, at enkelte personer ikke kan gennemføre centrale dele af en betalings-
proces alene (dvs. at den samme person ikke kan fungere som disponent og godken-
der eller som bogfører og betaler). En sikker lønforvaltning er desuden afgørende for,
at der ikke sker svig, og at der ikke forekommer regelbrud, fejl og mangler i lønnen.
Lønområdet er kendetegnet ved, at en væsentlig del af lønnen udbetales som fast løn
til medarbejdere. Dette mindsker risikoen for svig på lønområdet, idet den faste løn
udbetales automatisk hver måned, når først lønoplysningerne er indtastet korrekt i
lønsystemet. Risikoen på lønområdet er størst, når der er knyttet manuelle processer
til udbetalingerne.
RejsUd og IndFak
I undersøgelsen indgår Fi-
nansministeriets fælles ind-
købs- og fakturahåndterings-
system IndFak2 (herefter kal-
det IndFak) samt Finansmini-
steriets fælles rejseafreg-
ningssystem RejsUd2 (heref-
ter kaldet RejsUd).
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
12
| Introduktion og konklusion
12. Økonomistyrelsen under Finansministeriet udvikler og drifter de fællesstatslige it-
systemer med henblik på at understøtte, at de administrative processer i staten kan
udføres digitalt. Finansministeriets ansvar fastlægges i regnskabsbekendtgørelsens
§ 6, stk. 5, hvor det fremgår, at Økonomistyrelsen har ansvaret for systemerne, herun-
der for at stille de relevante krav til systemernes drift og sikkerhed og for at sikre over-
holdelse af kravene. Det er også Økonomistyrelsens ansvar at udarbejde og vedlige-
holde systemdokumentation, brugervejledninger og installationsvejledninger til de
fællesstatslige systemer, mens det er de enkelte virksomheders ansvar at sikre den
specifikke dokumentation for, hvordan systemerne anvendes lokalt, og at vejlednin-
gerne er opdaterede.
Vi har undersøgt, om ministerierne i praksis havde tilfredsstillende interne kontroller
til at begrænse risikoen for besvigelser begået af statsansatte vedrørende indkøb og
løn samt tilfredsstillende it-understøttede kontroller i de anvendte tilskudssystemer
for at afdække, om den ovenfor beskrevne styringsramme og brugen af it-systemer-
ne i tilstrækkelig grad har sikret funktionsadskillelse i de gennemførte betalinger på
tilskuds-, indkøbs- og lønområdet. Udgangspunktet herfor er, at den praktiske anven-
delse af systemer kan medføre, at der – til trods for tilfredsstillende styringsrammer
og it-systemer – ikke finder de fornødne kontroller sted, så funktionsadskillelsen alli-
gevel ikke er tilstrækkelig.
Metode
13. Undersøgelsen bygger på en gennemgang af dokumenter, cases, stikprøver af bi-
lag, en selvangivelse og en spørgeskemaundersøgelse samt forskellige analyser af re-
gisterdata fra de fællesstatslige it-systemer og analyser af betalingskorttransaktioner
og transaktioner med Forsvarsministeriets tankkort i 2019.
I undersøgelsen indgår alle ministerier og deres underliggende virksomheder, der
fremgår af tabel C i bilag 2. Undersøgelsen omhandler regnskabsåret 2019. Da det i
sagens natur ikke er muligt at foretage en fysisk gennemgang af fx it-systemer, som
er blevet underlagt en ændring efter den 31. december 2019, inddrager vi i dele af un-
dersøgelsen resultater gældende for 2020. Vi har dog så vidt muligt taget udgangs-
punkt i interne kontroller og forretningsgange i statslige virksomheder, som de så ud
efter ressortændringen på baggrund af folketingsvalget i 2019. Det samme gælder in-
terne instrukser og procesbeskrivelser.
14. I kapitel 2 har vi vurderet ministeriernes styringsramme, dvs. tilrettelæggelse af for-
retningsgange og interne kontroller samt tilsyn med intern finansiel kontrol og risiko-
styring i forhold til svig. Denne del af undersøgelsen baserer sig på skriftligt materiale
fra ministerierne indhentet fra departementerne i forbindelse med spørgeskemabe-
svarelser og en selvangivelse, hvor spørgsmålene primært udsprang af regnskabsbe-
kendtgørelsen. Ministerierne har besvaret spørgeskemaet for departementet og de
underliggende virksomheder, der fremgår af statsregnskabet. Når ministerierne be-
svarer selvangivelsen, har de – i lighed med, hvad der er tilfældet i andre sammenhæn-
ge, hvor Rigsrevisionen anmoder om og indhenter redegørelser, oplysninger, revisions-
materiale mv. – pligt til at give korrekte oplysninger, og Rigsrevisionen har derfor ikke
efterprøvet ministeriernes svar.
Kapitlet omfatter således en overordnet kortlægning af ministeriernes arbejde med
kontrol og risikostyring med udgangspunkt i departementernes egne (selvangivne)
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Introduktion og konklusion |
13
oplysninger om, hvordan de i 2019 havde tilrettelagt ministeriets tilsyn i forhold til at
forebygge og opdage svig på områderne tilskud, indkøb og løn på ministerområdet.
15. I kapitel 3 har vi undersøgt, om der i de 4 udvalgte fællesstatslige it-systemer Na-
vision Stat, IndFak, RejsUd og Statens Lønsystem (SLS) er etableret mulighed for sy-
stemunderstøttet funktionsadskillelse, og om der er virksomheder, som ikke anven-
der eller omgår denne systemunderstøttelse.
I 2019 var der 3 ministerier, som ikke anvendte alle 4 fællesstatslige it-systemer. Stats-
ministeriet anvendte ikke RejsUd, Skatteministeriet anvendte hverken Navision Stat,
IndFak eller RejsUd (med undtagelse af Medarbejder- og Kompetencestyrelsen), og
Forsvarsministeriet anvendte hverken Navision Stat, IndFak, RejsUd eller SLS. Disse
ministerier er derfor ikke omfattet af kapitel 3. Det skal bemærkes, at nogle ministerier
har enkelte underliggende virksomheder, som anvender andre systemer end de fæl-
lesstatslige. Fx anvendes SAP af Vejdirektoratet og Banedanmark under Transport-
og Boligministeriet og af Skatteministeriet og underliggende virksomheder (med und-
tagelse af Medarbejder- og Kompetencestyrelsen).
16. I kapitel 4 har vi undersøgt udvalgte virksomheders interne kontroller, herunder
primært funktionsadskillelse. Virksomhederne er udvalgt på baggrund af vores risiko-
model, som har peget på ministerier og virksomheder, hvor dataanalyser, tidligere re-
visioner og whistleblowerhenvendelser umiddelbart indikerer, at der kan være svag-
heder i forretningsgangene eller i kontroller til forebyggelse af svig blandt statsansatte
på indkøbsområdet og/eller lønområdet. Desuden har vi undersøgt statsansattes an-
vendelse af betalingskort, som Statsrevisorerne eksplicit har ønsket, jf. pkt. 1.
Vi har analyseret data fra de fællesstatslige it-systemer for at klarlægge, hvilke perso-
ner/brugere der varetager forskellige delprocesser/roller i udbetalingsforretninger,
om der er personmæssig funktionsadskillelse, og hvornår forskellige delprocesser fin-
der sted. Da automatiske og forebyggende kontroller som udgangspunkt er stærkere
end kompenserende og opdagende kontroller, har vi i første del af kapitlet undersøgt,
om der har været en tilstrækkelig systemunderstøttet kontrol i RejsUd og IndFak. Da-
ta om betalingskort er analyseret ud fra indkøbskategorier knyttet til de steder, hvor
de er anvendt, og ud fra forbrugsmønstre med tidspunkter, steder og kombinationen
af flere på hinanden følgende indkøb. Data om tankkort er analyseret ud fra anomalier
og mønstre, som kunne antyde, at kortene anvendes i strid med gældende regler.
Endelig har vi undersøgt udvalgte ministeriers lønkontroller og styring af brugerrettig-
heder i SLS. Disse ministerier fremgår af henholdsvis bilag 3, 4 og 5.
17. I kapitel 5 har vi undersøgt, om udvalgte virksomheder har sikret tilfredsstillende
funktionsadskillelse, som begrænser risikoen for, at statsansatte kan begå svig i for-
valtningen af tilskud. Da der ikke fandtes et fællesstatsligt it-system til administration
af tilskud i 2019, har vi beskrevet 2 eksempler på tilskudssystemer: det tilskudsadmi-
nistrative system TAS, der blev anvendt i flere ministerier, og et særskilt system, som
blev anvendt i en virksomhed på Kulturministeriets område.
Data anvendt i under-
søgelsen
Fra Økonomistyrelsen
Udtræk af alle transaktioner
i Navision Stat foretaget af
virksomheder, som anvend-
te systemet i 2019, og som
indgår i undersøgelsen
Udtræk af alle transaktioner
i IndFak foretaget af virk-
somheder, som anvendte
systemet i 2019, og som ind-
går i undersøgelsen
Udtræk af alle transaktioner
i RejsUd foretaget af virk-
somheder, som anvendte
systemet i 2019, og som ind-
går i undersøgelsen.
Fra SEB Kort Bank
Udtræk af alle betalings-
korttransaktioner foretaget
i 2019 af statslige virksom-
heder, som indgår i under-
søgelsen.
Fra Forsvarsministeriet
Udtræk af alle tankninger
foretaget med Forsvarets
tankkort i 2019.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0021.png
14
| Introduktion og konklusion
Tabel 1 viser, hvilke ministerier der indgår i de enkelte dele af beretningens kapitel 4
og 5. Den sorte firkant angiver, hvor dataanalyserne peger på, at der kan være udfor-
dringer med funktionsadskillelsen, men hvor vi ikke har udtaget ministeriet til videre
undersøgelse/stikprøve. De farvede cirkler angiver, hvilke ministerier der er udtaget
som cases til videre undersøgelse. Farverne angiver desuden den primære kilde til ud-
vælgelse af de enkelte cases i vores risikomodel.
Tabel 1
Ministerier, der indgår som konkrete eksempler i kapitel 4 og 5 med angivelse af kilde til
udvælgelse af cases
Kapitel 4
Indkøb
IndFak
§ 5. Statsministeriet
§ 6. Udenrigsministeriet
§ 7. Finansministeriet
§ 8. Erhvervsministeriet
§ 9. Skatteministeriet
§ 11. Justitsministeriet
§ 12. Forsvarsministeriet
§ 14. Udlændinge- og
Integrationsministeriet
§ 15. Social- og Indenrigs-
ministeriet
§ 16. Sundheds- og Ældre-
ministeriet
§ 17. Beskæftigelsesministeriet
§ 19. Uddannelses- og
Forskningsministeriet
§ 20. Børne- og Undervisnings-
ministeriet
§ 21. Kulturministeriet
§ 22. Kirkeministeriet
§ 24. Miljø- og Fødevare-
ministeriet
§ 28. Transport- og Bolig-
ministeriet
§ 29. Klima-, Energi- og
Forsyningsministeriet
Dataanalyser
Whistleblowerordning
Tidligere revisioner
Note: I 2019 anvendte Statsministeriet ikke RejsUd, mens Skatteministeriet hverken anvendte IndFak eller RejsUd (med undtagelse af Medarbejder-
og Kompetencestyrelsen, som brugte IndFak). Forsvarsministeriet anvendte hverken IndFak, RejsUd eller SLS. Betalingskort som emne er in-
kluderet i undersøgelsen på foranledning af Statsrevisorerne.
Kilde:
Rigsrevisionen.
Kapitel 4
Løn
Betalings-
kort
Bruger-
styring
Løn-
kontroller
Kapitel 5
Tilskud
TAS
Lokalt
system
RejsUd
Tank-
kort
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Introduktion og konklusion |
15
18. Kapitel 4 og 5 baserer sig på en gennemgang af materiale fra den allerede udførte
finansielle revision, it-revision og lønrevision i forbindelse med revisionen af statsregn-
skabet for 2019 og på supplerende materiale indhentet fra de reviderede i 2020. Der-
udover er store dele af undersøgelsen baseret på analyser af data fra henholdsvis de
fællesstatslige it-systemer Navision Stat, IndFak, RejsUd og SLS samt på analyser af
forbruget på betalingskort fra SEB Kort Bank, som udsteder betalingskort til statsan-
satte i Danmark. Derudover har vi analyseret data fra Forsvarsministeriets database
om brændstof. Som en del af undersøgelsen har vi holdt virtuelle møder med ministe-
rier og med udvalgte virksomheder, som indgår som cases i kapitel 4 og 5, ligesom vi
har aflagt enkelte revisionsbesøg.
19. Rigsrevisionen har i forbindelse med whistleblowerordningen, der blev oprettet til
denne undersøgelse, modtaget en række henvendelser om uregelmæssigheder, som
ikke kunne efterprøves – enten på grund af manglende revisionsadgang, eller fordi
der er tale om et samarbejde mellem flere parter, hvilket gør det meget vanskeligt at
afdække svig. Alle tip er videreformidlet til de relevante ministerier, og relevante myn-
digheder har igangsat undersøgelser af udvalgte sager. Whistleblowerordningen be-
skrives i bilag 2.
20. Revisionen er udført i overensstemmelse med standarderne for offentlig revision,
jf. bilag 2.
Afgrænsning
Regeringens whistle-
blowerordninger
Regeringen har medio 2020
besluttet, at der senest den
1. november 2020 skal være
indført whistleblowerordnin-
ger på hele statens område.
21. I undersøgelsen indgår forretningsgange og interne kontroller forbundet med for-
valtningen af tilskud, indkøb og løn. På tilskudsområdet omfatter undersøgelsen til-
skud efter ansøgning og tildelingspuljer (idet vi har undersøgt det tilskudsadministra-
tive system TAS og et andet system). På indkøbsområdet indgår indkøb af varer og
ydelser og indkøb foretaget med arbejdsgiverudstedte (herunder privathæftende)
betalingskort (herunder tankkort) samt kontroller i delprocesser inden for indkøbs-
processerne. Undersøgelsen omfatter ikke leverandørstyring, kontraktforhandling,
udbud m.m. På lønområdet indgår udbetalinger knyttet til løn og pension.
22. Undersøgelsen omfatter forretningsgange og kontroller i regnskabsåret 2019.
23. Ministerierne har i 2019 som følge af de tidligere omtalte sager om svig, fx i Soci-
alstyrelsen, iværksat en række tiltag for at undersøge og vurdere risikoen for besvi-
gelser og de grundlæggende interne kontroller, herunder funktionsadskillelse og ad-
gangsrettigheder/brugerrettigheder. Dette gælder bl.a. i forhold til virksomhedernes
tilskuds-, indkøbs- og lønprocesser. Derfor var regnskabsåret 2019 et år med mange
ændringer, hvoraf flere først er ved at blive implementeret i 2020.
24. Første del af kapitel 2, der baserer sig på ministeriernes selvangivelse og spørge-
skemabesvarelse. Den del af kapitlet, der bygger på spørgeskemabesvarelser, om-
fatter ikke Erhvervsministeriet, da ministeriet med henvisning til opgaver i forlængel-
se af COVID-19 ikke har besvaret Rigsrevisionens materialeanmodning, der vedrører
ministeriernes tilrettelæggelse af kontrolmiljøer. Anden del af kapitlet dækker alle mi-
nisterier.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
16
| Introduktion og konklusion
25. Statsrevisorernes spørgsmål og angivelse af, i hvilke kapitler spørgsmålene bliver
besvaret, fremgår af bilag 1. I bilag 2 er undersøgelsens metodiske tilgang beskrevet.
Bilag 3 er en liste over de ministerier og underliggende virksomheder, som indgik i re-
visionen af lønkontrol i 2019, og som også indgår i denne undersøgelse. Bilag 4 er en
liste over de ministerier og underliggende virksomheder, som indgik i revisionen af
brugerstyring i staten i 2019, og som også indgår i denne undersøgelse. Bilag 5 er en
tilsvarende liste for 2020. Bilag 6 indeholder dataanalysen af Forsvarsministeriets
brug af tankkort. Bilag 7 indeholder en ordliste, der forklarer udvalgte ord og begreber.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0024.png
Ministeriernes styringsrammer i forhold til at forebygge besvigelser |
17
2. Ministeriernes styrings-
rammer i forhold til at
forebygge besvigelser
Delkonklusion
De fleste ministeriers styringsrammer var mangelfulde i forhold til at fore-
bygge, at statsansatte kan begå besvigelser ved indkøb og ved udbetalinger
af tilskud og løn.
Ministerierne har styringsrammer, der ud fra væsentlighed og risiko understøtter regn-
skabsaflæggelsen. Ministeriernes tilsyn med virksomhedernes interne kontrol giver dog
ikke et tilstrækkeligt overblik over, om kontrollerne i forbindelse med administrationen
af tilskud, indkøb og løn fungerer hensigtsmæssigt i forhold til at forebygge ansattes mu-
lighed for at begå svig.
Hovedparten af ministerierne havde hverken i 2019 eller 2020 opdateret ministeriein-
struksen med beskrivelser af hovedelementerne i ministeriets interne kontrol og risiko-
styring, på trods af at dette har været et krav i regnskabsbekendtgørelsen siden 2018.
Det er Rigsrevisionens vurdering, at der generelt har manglet viden i ministerierne om,
hvad dette krav i regnskabsbekendtgørelsen betød, og hvordan det kunne implemen-
teres i ministeriernes instrukser og interne procedurer. Det var samtidig et fåtal blandt
ministerierne, som i 2019 havde baseret deres styringsramme på anerkendte standar-
der og principper for intern finansiel kontrol.
Ministeriernes departementer har i forbindelse med Rigsrevisionens undersøgelse op-
lyst, at der er etableret basale kontroller, som sikrer funktionsadskillelse på minister-
området, men halvdelen af departementerne har oplyst, at ministeriet kun delvist eller
slet ikke har efterprøvet, om funktionsadskillelsen virkede efter hensigten.
Ministerierne, som forvalter tilskud, har med henvisning til bl.a. svigsagen i Socialsty-
relsen i 2018 øget det departementale tilsyn med, at virksomhederne sikrer, at der er
funktionsadskillelse og kontrol af grundlaget for udbetalinger af tilskud.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0025.png
18
| Ministeriernes styringsrammer i forhold til at forebygge besvigelser
26. Dette kapitel handler om, hvorvidt ministerierne i 2019 havde en tilfredsstillende
styringsramme i forhold til at begrænse risikoen for besvigelser begået af statsansat-
te på områderne tilskud, indkøb og løn.
Regnskabsbekendtgørelsen fra 2018 har tydeliggjort bestemmelserne om interne kon-
troller ved at stille krav om, at det i ministerie-, virksomheds- og regnskabsinstrukser-
ne skal beskrives, hvordan den interne kontrol og risikostyring er tilrettelagt i relation
til regnskabsgodkendelsen. Vi har derfor undersøgt, om ministeriernes departementer
fastsætter og beskriver hovedelementerne i den interne kontrol og risikostyring i mini-
sterieinstruksen, herunder tilsynet med kontrolsystemerne hos de enheder/virksom-
heder, der aflægger regnskab. Herudover har vi undersøgt, om ministeriernes interne
kontrol og risikostyring tager afsæt i anerkendte standarder eller principper for intern
finansiel kontrol til at sikre velfungerende kontrolsystemer, som i praksis kan yde en
betydelig beskyttelse mod svig. Endelig har vi undersøgt de af departementernes til-
synsaktiviteter, som i 2019 var målrettet kontroller på ministerområdet, der begræn-
ser risikoen for svig.
2.1. Ministerieinstrukser
27. Vi har gennemgået de senest opdaterede ministerieinstrukser for 2019 og 2020
og konstaterer, at størstedelen af ministerierne har ajourført ministerieinstruksen, ef-
ter regnskabsbekendtgørelsen trådte i kraft den 19. februar 2018, men at der kun i 4 af
disse ministerieinstrukser fremgår eksplicitte beskrivelser af, hvad ministeriet anser
som hovedelementerne i ministeriets tilrettelæggelse af den interne kontrol og risiko-
styring, herunder tilsynet med udførende enheder. Dette på trods af, at det var et krav
i regnskabsbekendtgørelsen. Figur 3 viser, hvilke ministerier der har ajourført ministe-
rieinstruksen, og hvilke ministerier der ikke har ajourført instruksen med afsnit om in-
tern kontrol og risikostyring. Af parentesen fremgår ajourføringsdatoen.
Figur 3
Ministerieinstrukser i 2019 og 2020 med eller uden afsnit om intern kontrol og risikostyring
Har ajourført ministerieinstruksen
med afsnit om intern kontrol og risikostyring
Har ajourført ministerieinstruksen
uden afsnit om intern kontrol og risikostyring
Skatteministeriet
(januar 2019)
Beskæftigelsesministeriet
(marts 2019)
Udenrigsministeriet
(september 2019)
Finansministeriet
(januar 2020)
Forsvarsministeriet
(januar 2019)
Kulturministeriet
(januar 2019)
Udlændinge- og Integrationsministeriet
(august 2019)
Miljø- og Fødevareministeriet
(oktober 2019)
Uddannelses- og Forskningsministeriet
(oktober 2019)
Kirkeministeriet
(december 2019)
Klima-, Energi- og Forsyningsministeriet
(december 2019)
Børne- og Undervisningsministeriet
(marts 2020)
Social- og Indenrigsministeriet
(marts 2020)
Statsministeriet
(april 2020)
Sundheds- og Ældreministeriet
(april 2020)
Transport- og Boligministeriet
(maj 2020)
Justitsministeriet
(juni 2020)
Erhvervsministeriet
(juli 2020)
Note: Ministerieinstrukserne er indhentet af Rigsrevisionen frem til medio 2020.
Kilde:
Rigsrevisionen.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes styringsrammer i forhold til at forebygge besvigelser |
19
Det fremgår af figur 3, at 4 ministerier har ajourført deres ministerieinstruks med af-
snit om, hvordan ministeriet har tilrettelagt den interne kontrol og risikostyring efter
regnskabsbekendtgørelsen fra 2018. Figuren viser også, at 14 ministerier har ajour-
ført deres ministerieinstrukser i 2019 eller 2020, men ikke med beskrivelserne af ho-
vedelementerne i den interne kontrol og risikostyring.
2.2. Ministeriers anvendelse af standarder for intern
kontrol og risikostyring
28. Vi har undersøgt, om ministerierne – selv om det ikke fremgår af ministerieinstruk-
serne – arbejdede med finansiel risikostyring og intern kontrol i 2019 med afsæt i fag-
ligt anerkendte standarder eller begrebsrammer for intern finansiel kontrol, fx COSO’s
begrebsramme. Tilsvarende systematik og hovedelementer afspejles også i Økonomi-
styrelsens vejledning om intern finansiel kontrol fra 2020.
29. Ministeriernes besvarelser af Rigsrevisionens spørgeskema om intern kontrol i for-
bindelse med undersøgelsen viser generelt, at ministeriernes styringsrammer i 2019
ikke omfattede formaliserede procedurer for finansiel risikostyring og evaluering af
kontroller. Ministerierne havde dermed ikke procedurer, som sikrede, at alle virksom-
heder på ministerområdet systematisk foretog vurderinger af specifikke besvigelses-
risici i alle finansielle processer og evalueringer af, om væsentlige kontroller i proces-
serne fungerer. Hovedparten af ministerierne havde i 2019 endvidere ikke dokumen-
terede procedurer for, hvordan ministerierne skulle følge op og rapportere til ledelsen
og departementet ved mistanke om svig. Ministerierne har oplyst, at den type infor-
mation fulgte de almindelige procedurer i det ministerielle hierarki.
30. 4 ministerier (Social- og Indenrigsministeriet, Børne- og Undervisningsministeriet,
Kulturministeriet og Klima-, Energi- og Forsyningsministeriet) gør opmærksom på, at
de har efterspurgt vejledning fra Økonomistyrelsen for at kunne implementere regn-
skabsbekendtgørelsens krav om beskrivelser af tilrettelæggelsen af intern kontrol og
risikostyring i deres ministerieinstruks og interne procedurer. Økonomistyrelsen op-
lyste ved ikrafttræden af den seneste regnskabsbekendtgørelse i 2018, at en vejled-
ning ville foreligge i løbet af sommeren 2019. Økonomistyrelsen udgav dog først en
vejledning om intern finansiel kontrol i juni 2020. Økonomistyrelsens vejledninger til
ministeriernes udarbejdelse af ministerie-, virksomheds- og regnskabsinstrukser var
desuden fra 2010 og 2013 og dermed ikke opdaterede i forhold til den gældende regn-
skabsbekendtgørelse.
Vores gennemgang indikerer således, at der har manglet viden hos flere af ministeri-
erne om, hvordan de skulle fortolke regnskabsbekendtgørelsens præcisering om, at
ministeriets tilrettelæggelse af intern kontrol og risikostyring skal fremgå af ministe-
rieinstruksen. Rigsrevisionen bemærker samtidig, at virksomhederne ud over at opda-
tere instruksen også bør være opmærksomme på, at instruksen skal være kendt af
medarbejderne.
COSO
COSO står for Committee of
Sponsoring Organizations of
the Treadway Commission og
dækker over en begrebsram-
me for interne kontroller til
svigforebyggelse.
Begrebsrammen består af
5 hovedkomponenter:
kontrolmiljø
risikovurdering
kontrolaktiviteter
information
kommunikation og over-
vågning.
Begrebsrammen er et værk-
tøj, som på struktureret vis
hjælper virksomheder med at
komme hele vejen rundt, af-
dækker skjulte risici og bidra-
ger til styrkelse og oprethol-
delse af et sundt kontrolmiljø.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
20
| Ministeriernes styringsrammer i forhold til at forebygge besvigelser
31. Status i 2020 er, at 5 ministerier (Finansministeriet, Skatteministeriet, Social- og
Indenrigsministeriet, Beskæftigelsesministeriet og Børne- og Undervisningsministe-
riet) har iværksat tiltag til at styrke ministeriets arbejde med intern kontrol og risiko-
styring. Finansministeriet er i den forbindelse det første ministerium, der i 2018 gen-
nemførte et større ”risikoafdækningsprojekt”, som omfattede kortlægning og vurde-
ring af risici og interne kontroller for alle processer på styrelsesniveau. Projektet blev
drevet af departementets interne tilsynsfunktion, der har til opgave at understøtte mi-
nisteriets risikostyring og overvågning af kontroller. Tilsynsfunktionen foretager også
selv tests af kontrolmiljøet og sikrer opfølgning på observationer og anbefalinger, her-
under tilsyns- og revisionsbemærkninger. De øvrige 4 ministerier har oplyst, at arbej-
det stadig pågår i 2020.
32. Rigsrevisionen kan konstatere, at flere departementer i 2019 iværksatte konkrete
relevante tiltag for at revurdere risikoen for besvigelser som reaktion på bl.a. svigsa-
gen i Socialstyrelsen. Fx indhentede de information fra virksomhederne for at vurdere,
om virksomhederne havde etableret funktionsadskillelse og kontroller, der begrænser
risikoen for svig i udbetalinger af tilskud.
Situationsbestemt tilsyn
Tilsyn med risikovurderin-
ger på udvalgte områder og
udvalgte interne kontroller,
der imødegår risikoen for
svig.
Reaktion på svigsager i sta-
ten og på revisionsbemærk-
ninger.
Tilsyn ud fra begrebs-
ramme for risikostyring
og intern kontrol
Kontrolsetup med 3 for-
Departementernes tilsyn i forhold til at begrænse risikoen for svig i 2019 var således
situationsbestemt og tog udgangspunkt i konstaterede problemområder, bl.a. som
følge af de konstaterede svigsager andre steder i staten, revisionsbemærkninger, op-
ståede sager mv. Dette tilsyn blev gennemført som led i departementernes løbende
tilsyn med virksomhederne ud fra væsentlighed og risiko.
33. Rigsrevisionen anbefaler, at alle ministerier implementerer en systematisk sty-
ringsramme for intern kontrol og risikostyring ud fra de anerkendte principper til at
understøtte, at ministeriets forretningsgange og interne kontroller imødegår væsent-
lige risici, herunder besvigelsesrisici. Rigsrevisionen anbefaler i den forbindelse, at mi-
nisterierne også revurderer, hvordan ministeriets tilrettelæggelse af tilsynet med den
interne kontrol sikrer ledelsens overblik og stillingtagen til risici og kontroller på mini-
sterområdet.
svarslinjer, formaliseret risi-
kostyring og rapporterings-
procedurer.
Overblik over væsentlige ri-
sici inkl. besvigelsesrisici.
Efterprøvning og vurderin-
ger af, om kontrolmiljøet
fungerer effektivt.
Forebyggende, risikorette-
de tiltag.
2.3. Ministeriernes revurdering af kontrolmiljø og funk-
tionsadskillelse i 2019
34. Vi har i forbindelse med undersøgelsen bedt alle departementer om at udfylde en
selvangivelse for deres ministerområde. Her har de oplyst, om ministeriet har foreta-
get en samlet revurdering af kontrolmiljøet i ministeriet i 2019 i forlængelse af arbejdet
med interne kontroller.
Departementerne har derudover afgivet en samlet vurdering af, om der var etableret
en betryggende funktionsadskillelse mellem regnskabsmæssige registreringer og be-
talinger på ministerområdet i 2019, jf. regnskabsbekendtgørelsens specifikke krav til
funktionsadskillelse. Endelig har departementerne oplyst, om funktionsadskillelse og
logning af brugeraktiviteter er særskilt efterprøvet for ministeriet i 2019. Ministeriernes
svar fremgår af tabel 2. Vi skal understrege, at tabellen kun viser ministeriernes selv-
angivne svar, og at svaret ikke er efterprøvet af Rigsrevisionen, selvom vi må konsta-
tere, at selvangivelserne fra ministerierne ikke i alle tilfælde svarer overens med Rigs-
revisionens konklusioner i beretningen om revisionen af statsregnskabet for 2019.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0028.png
Ministeriernes styringsrammer i forhold til at forebygge besvigelser |
21
Tabel 2
Ministeriernes besvarelse af selvangivelsen
§ 29. Klima-, Energi- og Forsyningsministeriet
§ 14. Udlændinge- og Integrationsministeriet
§ 19. Uddannelses- og Forskningsministeriet
§ 20. Børne- og Undervisningsministeriet
§ 16. Sundheds- og Ældreministeriet
§ 15. Social- og Indenrigsministeriet
§ 17. Beskæftigelsesministeriet
Har ministeriet i 2019 sikret, at der er
etableret funktionsadskillelse mellem
regnskabsmæssige registreringer og
betalinger på ministerområdet?
Har ministeriet i 2019 sikret, at der er
etableret funktionsadskillelse i beta-
lingsforretninger på ministerieområ-
det?
Har ministeriet i 2019 foretaget sær-
skilt efterprøvning af, at funktionsad-
skillelsen fungerer?
Har ministeriet i 2019 foretaget sær-
skilt efterprøvning af, at der er opsat
logning af brugernes handlinger i til-
skuds-, indkøbs- og lønsystemer i det
omfang, det er relevant for ministeri-
ets aktiviteter?
Har ministeriet i forlængelse af arbej-
det med interne kontroller og tilsyn i
løbet af 2019 eventuelt foretaget en
revurdering af kontrolmiljøet for at sik-
re en korrekt regnskabsaflæggelse på
ministerområdet i forhold til underlig-
gende virksomheder?
Tilskud: Vurderes forretningsgange
betryggende på området?
Indkøb: Vurderes forretningsgange
betryggende på området?
Løn: Vurderes forretningsgange
betryggende på området?
§ 24. Miljø- og Fødevareministeriet
§ 8. Erhvervsministeriet
§ 6. Udenrigsministeriet
§ 11. Justitsministeriet
§ 21. Kulturministeriet
§ 22. Kirkeministeriet
§ 9. Skatteministeriet
§ 5. Statsministeriet
§ 28. Transport- og Boligministeriet
§ 12. Forsvarsministeriet
§ 7. Finansministeriet
Ja
Nej
Delvist
Ikke relevant
Note: For Skatteministeriet er selvangivelsen afgrænset til § 9. Skatteministeriet og omfatter derfor ikke § 38. Skatter og afgifter.
Kilde:
Rigsrevisionen på baggrund af ministeriernes selvangivelse besvaret i foråret 2020.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
22
| Ministeriernes styringsrammer i forhold til at forebygge besvigelser
Det fremgår af tabel 2, at hovedparten af ministerierne har oplyst, at der er etableret
den fornødne funktionsadskillelse mellem regnskabsmæssige registreringer og beta-
linger på ministerområdet (16 ud af 18) samt i betalingsforretninger på ministerområ-
det (17 ud af 18). Kun Skatteministeriets departement og Beskæftigelsesministeriets
departement har oplyst, at funktionsadskillelse delvist er sikret på deres ministerom-
råder.
Logning
Logning nævnes ikke som et
specifikt krav i regnskabs-
bekendtgørelsen, men er et
grundlæggende tiltag til at
forebygge besvigelser.
Hovedparten af departementerne (16 ud af 18) har desuden oplyst, at ministeriet har
revurderet kontrolmiljøet i forlængelse af arbejdet med interne kontroller og tilsyn i lø-
bet af 2019. 9 departementer har oplyst, at der i 2019 er foretaget særskilt efterprøv-
ning af, om funktionsadskillelsen på ministerområdet fungerer, og 5 departementer
har oplyst, at ministeriet delvist har efterprøvet funktionsadskillelsen. Endvidere har
8 af de 18 departementer oplyst, at det i 2019 blev særskilt efterprøvet, om der er op-
sat logning af brugernes handlinger i tilskuds-, indkøbs- og lønsystemer, og 7 ministe-
rier har delvist efterprøvet, at der er opsat logning.
Rigsrevisionen konstaterer, at langt hovedparten af ministerierne har selvangivet, at
de vurderer, at der er betryggende funktionsadskillelse på ministerområdet, og at mi-
nisteriet har foretaget en revurdering af kontrolmiljøet i 2019 på baggrund af ministe-
riets arbejde med interne kontroller.
3 departementer (Social- og Indenrigsministeriet, Beskæftigelsesministeriet og Trans-
port- og Boligministeriet) har gjort opmærksom på, at deres organisering af ministe-
riets interne kontrol indebærer, at konkrete efterprøvninger af interne kontroller skal
foretages af virksomhederne, der også har ansvaret for at etablere de nærmere ret-
ningslinjer for funktionsadskillelse i virksomhedernes regnskabsinstruks og interne
retningslinjer. Der er ikke krav i regnskabsbekendtgørelsen om, at departementerne
skal godkende virksomhedernes retningslinjer for funktionsadskillelse i regnskabsin-
struksen, eller at departementerne som led i deres tilsyn selv skal efterprøve virksom-
hedernes interne kontroller, herunder om der er etableret funktionsadskillelse, der
fungerer effektivt i praksis i virksomhederne.
Rigsrevisionen er opmærksom på, at ministerierne har indrettet kontrolsystemerne
på ministerområdet og i den enkelte virksomhed forskelligt, og at det i den forbindel-
se er forskelligt, hvordan departementerne søger relevant information til at vurdere,
om kontrolsystemerne fungerer hensigtsmæssigt. Rigsrevisionen er enig i, at de un-
derliggende virksomheder selv er ansvarlige for at etablere og overvåge implemente-
rede interne kontroller. Departementerne har dog, jf. regnskabsbekendtgørelsen, et
ansvar for at føre et tilsyn, der er tilstrækkeligt til at overvåge og sikre en viden, der
gør, at departementet løbende kan vurdere, om der inden for ministerområdet er til-
strækkelige og velfungerende interne finansielle kontroller, herunder i forhold til at fo-
rebygge, at der sker såvel tilsigtede som utilsigtede fejl. I sidste ende er det respekti-
ve ministerium ansvarlig for den samlede forvaltning af ministeriets bevilling og der-
med for eventuelle besvigelser, der fx kan skyldes, at de underliggende virksomheder
ikke har sikret effektiv funktionsadskillelse og interne kontroller.
I beretningen om revisionen af statsregnskabet for 2019 vurderede Rigsrevisionen, at
der i et stort antal virksomheder fordelt på 10 ministerier var mangler i funktionsad-
skillelsen og ikke tilstrækkelig kontrol med betalinger, hvilket har givet en stor unødig
risiko for svig og fejl i regnskaberne.
De 10 ministerier, som
Rigsrevisionen omtalte
i beretningen om revisio-
nen af statsregnskabet
for 2019
Skatteministeriet
Justitsministeriet
Forsvarsministeriet
Social- og Indenrigsmini-
steriet
Beskæftigelsesministeriet
Uddannelses- og Forsk-
ningsministeriet
Børne- og Undervisnings-
ministeriet
Kulturministeriet
Transport- og Boligmini-
steriet
Klima-, Energi- og Forsy-
ningsministeriet.
Sagerne vedrører manglende
funktionsadskillelse, mangler i
forhold til styring af brugerret-
tigheder og andre utilstrække-
lige kontroller.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes styringsrammer i forhold til at forebygge besvigelser |
23
Resultater
Undersøgelsen viser, at de fleste ministeriers styringsrammer i forhold til at forebyg-
ge, at statsansatte kan begå besvigelser, ikke er tilfredsstillende. Hovedparten af mi-
nisterierne havde hverken i 2019 eller 2020 opdateret ministerieinstruksen med kla-
re beskrivelser af ministeriets interne kontrol og risikostyring, på trods af at dette har
været et krav i regnskabsbekendtgørelsen siden 2018. Generelt er der indikationer
på, at der har manglet viden i ministerierne om, hvad ændringen i regnskabsbekendt-
gørelsen indebar, og hvordan den kunne implementeres i ministerieinstrukser og in-
terne procedurer.
Det var samtidig et fåtal blandt ministerierne, der i 2019 havde baseret deres styrings-
ramme for intern finansiel kontrol på anerkendte standarder og principper.
Ministerierne har efter svigsagen i Socialstyrelsen i 2018 øget det departementale til-
syn med, at virksomhederne sikrer, at der er implementeret grundlæggende funktions-
adskillelse og kontrol af grundlaget for udbetalinger i bl.a. forvaltningen af tilskud. Alle
departementerne har oplyst, at ministerierne har etableret basale kontroller såsom
funktionsadskillelse på ministerområdet, men halvdelen af ministerierne har ikke ef-
terprøvet, om kontrollerne virkede efter hensigten.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0031.png
24
| It-understøttede kontroller i de fællesstatslige it-systemer
3. It-understøttede kon-
troller i de fællesstatslige
it-systemer
Delkonklusion
Den systemunderstøttede funktionsadskillelse kunne omgås via lokale til-
pasninger og tildeling af brugerrettigheder i virksomhederne
Undersøgelsen viser, at de fællesstatslige it-systemer IndFak, RejsUd og SLS som stan-
dard er sat op med henblik på at understøtte funktionsadskillelse. Men undersøgelsen
viser også, at systemerne IndFak og RejsUd lokalt kan sættes op og bruges på en måde,
der gør, at medarbejdere kan gennemføre transaktioner uden tilstrækkelig funktions-
adskillelse. SLS er generelt karakteriseret ved, at der altid skal foretages manuelle kon-
troller i sagsbehandlingen, fordi ikke-godkendte lønudbetalinger ikke automatisk stand-
ses af lønsystemet.
Kompenserende kontrol-
ler
Regnskabsbekendtgørelsen
giver mulighed for at omgå
funktionsadskillelse i forbin-
delse med udbetalinger, hvis
der sker en kompenserende
kontrol, jf. § 24.
Finansministeriet har sikret, at standardopsætningen i de fællesstatslige it-systemer til
forvaltning af betalinger knyttet til indkøb (IndFak) og rejser og udlæg (RejsUd) under-
støtter en betryggende systemunderstøttet funktionsadskillelse. I ministeriernes opsæt-
ninger og anvendelse af disse systemer kan de automatiske kontroller til funktionsad-
skillelse imidlertid tilsidesættes ud fra lokale hensyn. I sådanne tilfælde skal ministeri-
erne have kompenserende kontroller for at forebygge og kunne opdage eventuelt svig.
35. Dette kapitel handler om, hvorvidt de 4 udvalgte fællesstatslige it-systemer Navi-
sion Stat, IndFak, RejsUd og SLS understøtter en tilfredsstillende funktionsadskillelse
ved hjælp af størst mulig it-understøttelse.
Virksomhederne er som udgangspunkt forpligtede til at anvende de fællesstatslige it-
systemer, som Økonomistyrelsen stiller til rådighed. Størstedelen af de virksomheder,
der anvender de fællesstatslige systemer, er kunder hos Statens Administration, der
som fællesstatsligt servicecenter varetager udvalgte løn- og regnskabsopgaver.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0032.png
It-understøttede kontroller i de fællesstatslige it-systemer |
25
3.1. Systemunderstøttet funktionsadskillelse i de fælles-
statslige it-systemer
36. Vi har undersøgt de systemunderstøttede kontroller af funktionsadskillelse i de 4
udvalgte fællesstatslige it-systemer, der anvendes af virksomhederne og Statens Ad-
ministration. Figur 4 viser principperne for den systemunderstøttede funktionsadskil-
lelse (dvs. hvor der ikke må være sammenfald mellem brugere) i de nævnte systemer.
Figur 4
Principper for systemunderstøttet funktionsadskillelse i de fællesstatslige it-systemer
VIRKSOMHEDERNE
IndFak
STATENS ADMINISTRATION
Opretter
Varemodtager
Første øjne
Godkender
Sidste øjne
Navision
Stat
RejsUd
1. Godkender
Første øjne
2. Godkender
Sidste øjne
Rejsende
Kontrollant
Første øjne
Godkender
Sidste øjne
SLS
Indtaster
Første øjne
Godkender
Sidste øjne
Note: I forhold til SLS viser figuren forløbet ved engangsudbetalinger. For hovedparten af de statslige virksomheder er Statens Administration ikke
involveret i forløbet med engangsudbetalinger i henhold til opgavesplit.
Kilde:
Rigsrevisionen.
Det fremgår af figur 4, at der er etableret en systemunderstøttet funktionsadskillelse
i IndFak og RejsUd i virksomhederne i forhold til at varemodtage, kontrollere og god-
kende grundlaget for de enkelte udbetalinger. Samtidig er der også systemunderstøt-
tet funktionsadskillelse hos Statens Administration, som har til opgave at kontrollere,
at de tilsendte oplysninger fra virksomhederne ikke ændres, efter de er registreret i
Navision Stat. Da Statens Administration ikke kontrollerer og ikke har til opgave at
kontrollere, om de oplysninger, der modtages fra virksomhederne, er korrekte og i
overensstemmelse med fx originalbilag i form af fakturaer, er det centralt, at virksom-
hederne sikrer funktionsadskillelse i godkendelsen af de oprindelige transaktioner.
For SLS er Statens Administration for hovedparten af virksomhederne ikke involve-
ret i processen ved engangsudbetalinger.
Statens Administration
Den regnskabsmæssige regi-
strering varetages som ud-
gangspunkt af virksomhedens
egne medarbejdere, men regi-
streringen kan aftalemæssigt
henlægges til et eksternt servi-
cecenter, hvis dette af økono-
miske eller andre årsager er
hensigtsmæssigt. Med etable-
ringen af et statsligt service-
center (Statens Administra-
tion) er en stadig større del af
virksomhedernes regnskabs-
mæssige registrering over-
gået hertil.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
26
| It-understøttede kontroller i de fællesstatslige it-systemer
Hvert af de 4 fællesstatslige it-systemer har ved standardopsætning indbyggede
kontroller, som begrænser risikoen for tilsigtede og utilsigtede fejl. Det er Økonomi-
styrelsens ansvar som leverandør af systemerne at sikre, at sådanne kontroller er
indbygget i systemerne. Samtidig er det virksomhedernes ansvar at sikre, at syste-
merne bliver anvendt hensigtsmæssigt, når de skal tilrettelægge et tilfredsstillende
kontrolmiljø. Figur 4 viser den systemunderstøttede funktionsadskillelse, som efter
Rigsrevisionens vurdering ikke altid er tilstrækkelig, jf. boks 1 i kapitel 1.
Funktionsadskillelse i Navision Stat
37. Der blev i 2019 afviklet godt 830.000 udbetalingsposteringer via Navision Stat for
de virksomheder, hvor Navision Stat driftsafvikles hos Statens It (dvs. for den andel af
statslige virksomheder, der regnskabsmæssigt serviceres af Statens Administra-
tion). Vi har gennemgået data om gennemførte transaktioner i Navision Stat i 2019 og
kan konstatere, at systemopsætningen forhindrer, at én og samme person både kan
registrere og godkende en transaktion i systemet.
Ændringslog
Økonomistyrelsen har oplyst,
at alle ændringer i Navision
Stat-data kan spores tilbage i
tid ved hjælp af en ændrings-
log. Ændringsloggen har væ-
ret obligatorisk ved udvalgte
tabeller siden 2019.
Vi har set mange tilfælde af transaktioner, hvor den første og anden godkendelse i Na-
vision Stat udføres af de samme 2 brugere, som skifter status fra den ene til den an-
den rolle, inden transaktionen sendes til udbetaling. Der sker således en overskrivning
af godkendelserne. Vi har udtrukket en stikprøve af denne type transaktioner hos Sta-
tens Administration, som har undersøgt årsagen og oplyst, at der hovedsageligt er ta-
le om fejl i posteringer, som skal rettes og derefter igennem nye godkendelser. Disse
ændringer er dokumenteret i en ændringslog, som Statens Administration har frem-
sendt. Vores undersøgelse har derfor ikke påvist mangler, for så vidt angår funktions-
adskillelse i Navision Stat.
Som beskrevet under figur 4 er formålet med kontrollerne af funktionsadskillelse i Na-
vision Stat dog ikke at sikre, at registreringerne er foretaget på det korrekte grundlag,
men alene at sikre, at de modtagne posteringer registreres i overensstemmelse med
de givne ordrer fra virksomhederne. Derfor er det virksomhedernes opgave at sikre,
at registreringerne sker på rette grundlag, og at der eksisterer et intakt transaktions-
og kontrolspor, som er nødvendigt for at dokumentere transaktionernes rigtighed, in-
den posteringsordren – fx betaling – sendes til Statens Administration.
Funktionsadskillelse i RejsUd
Ikke alle rejseafregninger
foretages via RejsUd
Der er også rejseafregninger,
der håndteres uden for Rejs-
Ud, fx i Forsvarsministeriet.
Disse indgår ikke i undersø-
gelsen.
38. I 2019 var der over 184.000 unikke afregningsdokumenter i RejsUd (svarende til
513.310 dokumentlinjer). Vores gennemgang af data fra RejsUd viser, at standardop-
sætningen i systemet understøtter funktionsadskillelse i processen mellem personer,
der varetager henholdsvis kontrol og godkendelse af en rejseafregning. Systemet kan
dog anvendes lokalt på en måde, hvorpå en rejsende kan godkende egne rejser og ud-
læg.
Når en rejsende skal afregne udlæg via RejsUd, skal afregningen oprettes, kontrolle-
res (underskrives) og godkendes. En tilstrækkelig funktionsadskillelse er til stede, når
den rejsende ikke godkender sin egen rejse. Standardopsætningen i RejsUd forhin-
drer ikke, at samme person kan oprette og godkende en rejse og dermed godkende
sin egen rejseafregning. Dette forløb er vist i figur 5.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0034.png
It-understøttede kontroller i de fællesstatslige it-systemer |
27
Figur 5
Funktionsadskillelse i standardopsætningen i RejsUd
OPRETTER
KONTROLLANT/
UNDERSKRIVER
GODKENDER
A
indtaster sin rejse- eller
udlægsafregning i RejsUd
B
kontrollerer i forhold til regler
og underskriver afregningen
(Første 2 øjne)
A
godkender beløb i henhold
til budget, aftale m.m.
(Sidste 2 øjne)
Kilde:
Rigsrevisionen.
Det fremgår af figur 5, at standardopsætningen i RejsUd ikke forhindrer, at oprette-
ren (A), som typisk også er den rejsende, kan godkende sin egen rejseafregning. Så-
ledes er der ikke tilstrækkelig funktionsadskillelse, da der ikke er andre, som godken-
der rejsen i henhold til budget eller aftale.
RejsUd er sat op således, at systemet automatisk videresender en rejse- eller udlægs-
afregning til godkendelse hos en anden person end den, der har oprettet afregningen.
Dog er det muligt efterfølgende for fx en regnskabsmedarbejder manuelt at omdirige-
re denne videresendelse, så en afregning alligevel ender til godkendelse hos den sam-
me person, som har oprettet den (som kan være den, der har afviklet en rejse eller har
haft et udlæg). Systemet forhindrer således ikke, at en rejsende kan godkende sin
egen rejse- eller udlægsafregning.
I RejsUd er det endvidere muligt at anvende en sekretærfunktion (hvor en person op-
retter en afregning på vegne af den rejsende) og en stedfortræderfunktion (hvor en
person kontrollerer/underskriver eller godkender på vegne af en anden person). Dis-
se funktioner kræver, at virksomheder, der anvender dem, har tilrettelagt arbejdspro-
cesser (også kaldet), som tager højde for, at en rejsende fx ikke kommer til at godken-
de sin egen rejse på vegne af en anden, dvs. ved brug af stedfortræderfunktionen. En
sådan lokal anvendelse af RejsUd bør altid følges af kompenserende kontroller i virk-
somhederne.
39. Da den systemunderstøttede funktionsadskillelse i RejsUd kan omgås ved lokal
tildeling af særlige roller og brugerrettigheder i de virksomheder, som bruger syste-
met, har vi i kapitel 4 undersøgt en stikprøve af virksomheder for at vurdere, om funk-
tionsadskillelsen er omgået, og om virksomhederne i givet fald havde implementeret
passende kompenserende kontroller. Dette kunne fx være en regelmæssig eller stik-
prøvevis gennemgang af aktiviteterne hos medarbejdere med særlige rettigheder
(privilegerede brugere) for at undersøge, om disse har medført, at funktionsadskillel-
sen er tilsidesat.
Systemadministratorer
kan oprette og godkende
rejseafregninger, men
kan ikke få dem udbetalt
Rigsrevisionen har i 2019 kon-
stateret, at lokale systemad-
ministratorer kan oprette og
godkende rejseafregninger i
RejsUd og dermed omgå
funktionsadskillelsen, dog
uden at kunne sende rejseaf-
regningen videre til udbetaling
i Navision Stat, medmindre en
anden bruger har godkendt
rejseafregningen.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
28
| It-understøttede kontroller i de fællesstatslige it-systemer
40. Flere af virksomhederne har oplyst, at de har været i kontakt med Statens Admini-
stration om problemstillingen med manglende systemunderstøttet funktionsadskillel-
se ved brug af sekretærfunktionen i RejsUd, og at de på baggrund af Rigsrevisionens
orientering om risikoen nu iværksætter kompenserende kontroller.
Funktionsadskillelse i IndFak
IndFak anvendes ikke
af alle statslige virksom-
heder
IndFak anvendes ikke af de 5
store SAP-brugere, som er
Forsvarsministeriet, Skatte-
ministeriet, Vejdirektoratet,
Banedanmark og Statens
Serum Institut.
Det er samtidig ikke alle virk-
somheder, der anvender Ind-
Fak, som får Navision Stat
driftsafviklet hos Statens It.
Moduler i IndFak
41. Der kom over 1,5 mio. fakturaer fra både statslige og selvejende institutioner igen-
nem IndFak i 2019. Vi har analyseret data for de virksomheder, som dækkes af denne
undersøgelse, og vores gennemgang viser, at standardopsætningen understøtter, at
hverken faktura eller indkøbsordre kan godkendes af en enkelt person alene.
Systemet giver dog virksomhederne mulighed for at fravælge standardopsætningen
og derved tilsidesætte funktionsadskillelsen. Virksomhederne kunne i 2019 fx tildele
den samme medarbejder flere, indbyrdes modstridende roller i IndFak, fx indkøber,
varemodtager og godkender. I den situation giver systemet den samme person mulig-
hed for at gennemføre hele indkøbsprocessen fra bestilling, registrering af varemod-
tagelse til godkendelse uden inddragelse af andre. Økonomistyrelsen har oplyst, at
denne mulighed nu er lukket fra og med august 2020.
Det var i 2019 også muligt for virksomhederne at tilrettelægge deres lokale indkøbs-
proces således, at enkelte medarbejdere kunne udarbejde og godkende indkøbsord-
rer inden afsendelse til leverandøren uden yderligere kontrol efter modtagelse af fak-
tura og dermed uden behov for at involvere andre personer i indkøbet. Denne mulig-
hed kan være velbegrundet og er beskrevet i Økonomistyrelsens vejledninger fra
2015 og 2016 om rettigheder og roller i IndFak. Det kræver imidlertid, at virksomheder-
ne konkret definerer, hvilken dokumentation der skal være til stede, inden den endeli-
ge udbetaling sker i Navision Stat. Dette kan fx være dokumentation, der understøtter,
at der rent faktisk er leveret en ydelse (fx dokumentation af, at en konsulent har leve-
ret den rapport, der er specificeret i kontrakten). Økonomistyrelsen har oplyst, at den-
ne mulighed blev lukket i december 2019.
42. Undersøgelsen viser herudover, at den systemunderstøttede funktionsadskillelse
i IndFak ikke automatisk garanterer en tilstrækkelig funktionsadskillelse. Dette skyl-
des, at systemet automatisk tjekker, om der mindst er 2 personer inde over henholds-
vis varemodtagelsen og godkendelsen af en faktura, men ikke tjekker, om begge per-
soner har foretaget de nødvendige kontrolfunktioner undervejs. Undersøgelsen viser
fx, at det er muligt for samme person både at varemodtage og godkende en faktura,
hvis en person uden bemyndigelse, såsom utilstrækkelig prokura eller manglende ret-
tigheder, har foretaget en delvis godkendelse undervejs i processen. I dette tilfælde vil
en faktura kun være kontrolleret af en enkelt person med bemyndigelse til at udføre
sin kontrolfunktion. Der vil således være en systemunderstøttet funktionsadskillelse,
men funktionsadskillelsen vil ikke være tilstrækkelig, da realiteten er, at det er den
samme person, der både varemodtager og endeligt godkender.
Det er derfor nødvendigt, at virksomhederne sikrer, at den lokale anvendelse af Ind-
Fak medfører, at der har været en tilstrækkelig funktionsadskillelse ved godkendelse
af fakturaer.
Både IndFaks indkøbsmodul
og fakturamodul indgår i den-
ne undersøgelse.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0036.png
It-understøttede kontroller i de fællesstatslige it-systemer |
29
Funktionsadskillelse i SLS
43. En af de største udgifter i statsregnskabet er løn til ansatte i staten, og i 2019 blev
der udbetalt 77,2 mia. kr. i løn via Statens Lønsystem (SLS). Vores gennemgang af SLS
har vist, at der i SLS er systemmæssig funktionsadskillelse ved indtastning og godken-
delse af lønudbetalinger. Systemet er dog karakteriseret ved, at der skal foretages ma-
nuelle kontroller i sagsbehandlingen, fordi der ikke er opsat en systemmæssig spær-
ring til at sikre, at ikke-godkendte lønudbetalinger standses. Virksomhederne skal der-
for gennemføre manuelle kontroller af, at der er sket en forudgående godkendelse in-
den lønberegningen, jf. Finansministeriets vejledning ”Lønkontrol – Koncept og ram-
mer”.
Lønområdet er kendetegnet ved, at der er flere aktører involveret – både den enkelte
virksomhed, som har det bevillingsmæssige ansvar, og Statens Administration, som
varetager den centraliserede lønudbetaling. Størstedelen af virksomhederne i staten
anvender SLS og er kunder hos Statens Administration. Figur 6 viser arbejdsgangene
ved løbende lønudbetalinger (fast løn) for de virksomheder, der er kunder hos Statens
Administration.
Figur 6
Inddatakontrol
Inddatakontrol foretages, før
lønnen beregnes i SLS. Ved
inddatakontrol sker en funk-
tionsadskilt godkendelse af,
at indtastningen er korrekt.
Ved godkendelsen foretages
bl.a. en test af, at lønnen er
indtastet i overensstemmelse
med lønbilaget, og at satser
mv. vil blive beregnet korrekt.
Den overvejende kontrol vil
derfor være foretaget før en
lønkørsel.
Arbejdsgange ved løbende lønudbetalinger (fast løn)
INSTITUTION
STATENS ADMINISTRATION
Indtaster og sender
oplysninger (blanket og
grunddokumentation)
Printer blanket
og grund-
dokumentation
Indtaster
oplysninger
i HR-Løn
Kontrollerer
inddata
Kontrollerer
uddata
Udbetaler
løn
Kilde:
Rigsrevisionen.
Det fremgår af figur 6, at virksomhederne skal indtaste og sende oplysninger til Sta-
tens Administration, der behandler oplysningerne og indtaster lønnen i SLS. Herefter
kontrollerer Statens Administration indtastningen af lønnen (inddatakontrol), og når
systemet har bearbejdet de indtastede oplysninger, kontrollerer Statens Administra-
tion resultatet (uddatakontrol), før lønnen bliver udbetalt. Det er dog fortsat den enkel-
te virksomhed, der har det bevillingsmæssige ansvar for, at medarbejderne får den
korrekte løn, og at eventuelle risici for svig minimeres.
Finansministeriet har oplyst, at der i 2020 er igangsat en udvikling af en funktionalitet
i SLS, som vil standse lønnen til en person, hvis der ikke foreligger godkendte indtast-
ninger. Denne nye funktionalitet vil afskaffe en del af behovet for manuel kontrol og
planlægges sat i drift i 2021.
Uddatakontrol
Uddatakontrol foretages, ef-
ter lønnen er beregnet i SLS,
men før den udbetales, så det
er muligt at standse lønnen i
tilfælde af fx svig. Denne kon-
trol kan foretages stikprøvevis
ud fra virksomhedens vurde-
ring af væsentlighed og risiko
på lønområdet.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
30
| It-understøttede kontroller i de fællesstatslige it-systemer
Funktionsadskillelse i de fællesstatslige it-systemer i 2020
44. Undersøgelsen viser, at Økonomistyrelsen i 2020 har spærret for adgangen til at
fravælge systemunderstøttet funktionsadskillelse i flere af de fællesstatslige it-syste-
mer, og at det fra sommeren 2020 kræver dispensation fra Økonomistyrelsen, hvis en
virksomhed ønsker at fravige standardopsætningen i IndFaks indkøbsmodul. Økono-
mistyrelsen har oplyst, at denne ændring medfører, at der fra medio 2020 i IndFak er
tvungen funktionsadskillelse på fakturaer, men der kan gives dispensation til, at der ik-
ke er funktionsadskillelse på indkøbsordren, så længe der er 4 øjne på fakturaen. Øko-
nomistyrelsen har endvidere medio 2020 publiceret en ny kontrolvejledning for rettig-
heder i IndFak og RejsUd.
Vi skal bemærke, at vi ikke har undersøgt, om de ændringer, som Økonomistyrelsen
har gennemført i de fællesstatslige it-systemer i 2020, medfører, at funktionsadskil-
lelse ikke kan omgås lokalt, som det var tilfældet i 2019.
Resultater
Undersøgelsen viser, at Finansministeriet (Økonomistyrelsen) har sikret systemun-
derstøttet funktionsadskillelse i standardopsætningen i de fællesstatslige it-systemer
Navision Stat, IndFak og RejsUd i 2019. Undersøgelsen viser dog samtidig, at den sy-
stemunderstøttede funktionsadskillelse kan omgås via lokale tilpasninger og tildeling
af brugerrettigheder i virksomhederne. Dette er bl.a. tilfældet, når medarbejdere får
rettigheder til at godkende egne rejseafregninger eller udlæg eller til både at varemod-
tage og godkende en faktura. Her er der ikke en tilstrækkelig funktionsadskillelse.
For SLS viser undersøgelsen, at der er systemmæssig funktionsadskillelse ved ind-
tastning og godkendelse af lønudbetalinger, men at der i systemet foretages bereg-
ning og udbetaling af løn, selv om en indtastning ikke er godkendt.
Samtidig oplyser flere virksomheder i forbindelse med Rigsrevisionens undersøgelse,
at de har været i kontakt med Statens Administration om problemstillingen med man-
glende funktionsadskillelse ved brug af sekretærfunktionen i RejsUd, og at de på bag-
grund af Rigsrevisionens orientering om risikoen nu iværksætter kompenserende kon-
troller.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0038.png
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
31
4. Ministeriernes interne
kontroller i praksis – kon-
krete eksempler fra for-
valtning af indkøb og løn
Delkonklusion
De fleste ministerier havde i praksis ikke tilfredsstillende interne kontrol-
ler til at begrænse risikoen for besvigelser begået af statsansatte vedrøren-
de indkøb og/eller løn.
Undersøgelsen viser, at flere virksomheder under forskellige ministerier i 2019 har haft
en utilstrækkelig funktionsadskillelse i forbindelse med afregninger og indkøb i RejsUd
og IndFak. Medarbejdere ansat i flere virksomheder under forskellige ministerier har
i 2019 godkendt egne udlæg i RejsUd samt både varemodtaget og godkendt samme ind-
køb i IndFak. Der har i disse tilfælde ikke været tilstrækkelig funktionsadskillelse i for-
bindelse med indkøb i RejsUd og IndFak. Rigsrevisionen kan herudover konstatere, at
ministerierne ikke i tilstrækkelig grad har implementeret kompenserende kontroller.
Dermed har ministerierne ikke i tilstrækkelig grad imødegået risikoen for svig begået
af ansatte.
Indkøb til en værdi af mere end 220 mio. kr. blev varemodtaget og godkendt i IndFak
i 2019 uden tilstrækkelig funktionsadskillelse. Dette skyldes dels, at medarbejderne
har fået tildelt rettigheder/roller til at gennemføre indkøb op til en given beløbsgræn-
se alene, dels at virksomhedernes lokale anvendelse af systemerne medfører, at selv
om funktionsadskillelsen rent systemmæssigt har fundet sted, har indkøbene i praksis
ikke været underlagt en tilstrækkelig kontrol.
Undersøgelsen viser desuden, at det er muligt for brugere med rollen som lokaladmini-
strator at ændre password og/eller tilknytte e-mailadresser på vegne af en hvilken som
helst anden bruger af RejsUd og IndFak og derefter få adgang til denne brugers bruger-
flade. Rigsrevisionen finder, at det er vigtigt, at Finansministeriet informerer brugerne
af de fællesstatslige it-systemer om mulige kompenserende kontroller for at imødegå ri-
sici fra bl.a. rollen som lokaladministrator. Det er dog i sidste ende de enkelte ministe-
riers/virksomheders ansvar, at der er tilrettelagt tilstrækkelige interne kontroller ud
fra en konkret risikovurdering hos den enkelte virksomhed.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0039.png
32
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Ministerierne har ikke i tilstrækkelig grad overvåget ansattes brug af betalings- og tank-
kort, der i flere tilfælde er anvendt i strid med reglerne. Dette indikerer, at der kan væ-
re en øget risiko for svig ved brugen af betalings- og tankkort. Rigsrevisionen finder, at
virksomhederne bør være opmærksomme på at inddrage udleverede betalingskort, når
en medarbejder fratræder. Samtidig bør virksomhederne forbedre kontroller og tilsyn
ved fx i højere grad at monitorere, hvordan medarbejdere anvender betalings- og tank-
kort. Dette kunne fx være i form af en stikprøvevis kontrol.
Undersøgelsen viser også, at der er behov for, at virksomhederne målretter og effektivi-
serer kontrollerne på indkøbsområdet for at undgå fejl og for at minimere risikoen for
svig. Samlet set viser undersøgelsen, at den lokale anvendelse af IndFak og RejsUd ofte
følges af manglende styring af brugernes rettigheder i systemerne, og at ministerierne
ikke udfører kompenserende kontroller.
Endelig viser undersøgelsen mangler i flere ministeriers lønkontroller og styring af bru-
gerrettigheder i SLS. Selv om undersøgelsen ikke har påvist tilfælde af svig, kan der ha-
ve fundet uretmæssige transaktioner sted, og flere ministerier har i kølvandet på un-
dersøgelsen igangsat initiativer med henblik på at stramme op og imødegå risikoen for
besvigelser på løn- og indkøbsområdet.
45. Dette kapitel handler om, hvorvidt ministerierne i 2019 i praksis havde tilfredsstil-
lende interne kontroller for at begrænse risikoen for besvigelser begået af ansatte
vedrørende indkøb og løn. Vi har undersøgt ministeriernes kontroller på indkøbsområ-
det i forhold til rejse- og udlægsafregninger i RejsUd, indkøb via IndFak og indkøb fo-
retaget med betalings- og tankkort. Herudover har vi undersøgt brugerrettigheder i
RejsUd og IndFak. På lønområdet har vi undersøgt ministeriernes lønkontroller og sty-
ring af brugerrettigheder i SLS. De undersøgte områder er bl.a. udvalgt på baggrund af
en vurdering af væsentlighed og risiko på områderne og på baggrund af vores whistle-
blowerordning.
Som udgangspunkt er automatiske og forebyggende kontroller stærkere end kompen-
serende og opdagende kontroller. Derfor har vi i dette kapitel undersøgt, om der har
været en tilstrækkelig it-understøttet kontrol hos de enkelte ministerier i RejsUd og
IndFak.
4.1. Ministeriernes rejseafregninger i RejsUd
46. Som omtalt i kapitel 3 har Rigsrevisionen konstateret, at der til trods for system-
mæssig funktionsadskillelse i opsætningen i RejsUd ikke altid finder en tilstrækkelig
funktionsadskillelse sted. Vi har derfor analyseret registreringer knyttet til alle rejse-
afregninger i RejsUd for 2019 for at vurdere, i hvilket omfang der har været utilstræk-
kelig funktionsadskillelse i rejseafregninger på tværs af staten.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0040.png
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
33
Figur 7 viser et eksempel på et workflow for en rejseafregning i RejsUd. Her ses det,
at der har været 4 øjne inde over rejseafregningen, og at der dermed er sikret system-
understøttet funktionsadskillelse mellem kontrollant (B) og godkender (A). Det ses og-
så, at den rejsende (A) og godkenderen (A) er den samme i flowet. Dermed har med-
arbejder A godkendt sin egen rejse.
Figur 7
Eksempel på et workflow for en rejseafregning i RejsUd
A
Rejsende
B
Kontrollant
A
Godkender
Handling
Samler bilag for
rejsen og sender til
opretteren
Kontrollerer, at rejse-
regler er overholdt,
og underskriver
Godkender afregnin-
gen i henhold til aftaler
og budget
4-øjne-
princip
(system)
Den rejsende er ikke en
del af 4-øjneprincippet
Kontrollanten udfører
den sidste handling
inden godkendelse
(Første 2 øjne)
Brugeren, som endeligt
godkender afregningen
(Sidste 2 øjne)
Tilstrækkelig
funktions-
adskillelse
Rigsrevisionen lægger til grund for en tilstrækkelig funktionsadskillelse i RejsUd,
at det ud over adskillelse mellem kontrollant og godkender også bør være en
anden medarbejder end den rejsende, som godkender afregningen
Rejsende
Godkender
Kilde:
Rigsrevisionen.
I overensstemmelse med 4-øjneprincippet i RejsUd har der i situationen, som illustre-
res i figur 7, systemmæssigt fundet funktionsadskillelse sted, idet kontrollanten og
godkenderen ikke er den samme person. For at denne funktionsadskillelse er tilstræk-
kelig, må godkenderen ikke være den samme som den rejsende. Derfor har der i ek-
semplet ikke fundet en tilstrækkelig funktionsadskillelse sted. Dette er muligt, når af-
regningen oprettes af en rejsende med godkenderrettigheder – hvilket typisk er den
budgetansvarlige eller en bemyndiget medarbejder.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
34
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Konkrete eksempler på manglende funktionsadskillelse i RejsUd
47. Vores gennemgang af alle rejse- og udlægsafregninger afsluttet i RejsUd i perio-
den 1. januar-31. december 2019 viser næsten 490 afregninger, hvor der ikke har væ-
ret tilstrækkelig funktionsadskillelse (og dermed sammenfald) mellem den rejsende
og godkenderen i RejsUd. Dermed har ministerierne tilbagebetalt afregninger til den
rejsende, selv om disse ikke er godkendt af andre i henhold til aftaler og budget (jf.
handlingen under godkenderfunktionen i figur 7). Afregningerne svarer til en samlet
udgift på over 390.000 kr. og fordeler sig på 21 forskellige virksomheder i 9 ministe-
rier.
I redegørelserne fra de 21 virksomheder gør hovedparten af virksomhederne opmærk-
som på, at de ikke har været vidende om risikoen for utilstrækkelig funktionsadskillel-
se i RejsUd, da dette ikke kunne ske i en tidligere version af systemet. Flere virksomhe-
der har efter Rigsrevisionens henvendelse endvidere kontaktet Statens Administra-
tion for at få afklaret, hvornår en funktionsadskillelse er sikret i RejsUd.
Da hovedparten af virksomhederne ikke har været klar over, at det var muligt for den
rejsende at godkende sine egne rejseafregninger i RejsUd, kan Rigsrevisionen konsta-
tere, at de kompenserende kontroller til at forebygge, at den rejsende og godkenderen
er den samme i virksomhederne, generelt er utilstrækkelige eller slet ikke etableret.
I dette afsnit gennemgår vi konkrete eksempler på, hvorfor der hos nogle virksomhe-
der har været utilstrækkelig funktionsadskillelse på én eller flere af deres rejseafreg-
ninger. Det skal bemærkes, at der hos de udvalgte virksomheder har været systemun-
derstøttet funktionsadskillelse i godkendelsen af rejseafregningerne i RejsUd, dvs. der
har været mindst 4 øjne involveret i processen. Dog er det Rigsrevisionens vurdering,
at der ikke har været tilstrækkelig funktionsadskillelse, idet de involverede ikke er be-
myndigede til at varetage deres funktioner i processen, jf. beskrivelsen af tilstrækkelig
funktionsadskillelse i boks 1 i kapitel 1 og regnskabsbekendtgørelsens bestemmelse
om, at godkender skal være bemyndiget til at godkende.
De 5 virksomheder, fra hvilke vi præsenterer konkrete eksempler, er de virksomheder,
der ifølge data fra RejsUd for 2019 havde den største andel af rejseafregninger uden
tilstrækkelig funktionsadskillelse (dvs. over gennemsnittet). Virksomhederne hører
under Sundheds- og Ældreministeriet, Udenrigsministeriet, Transport- og Boligmini-
steriet og Miljø- og Fødevareministeriet.
Trafik-, Bygge- og Boligstyrelsen
48. Trafik-, Bygge- og Boligstyrelsen er en af de få virksomheder, der har oplyst, at
de har indført kompenserende kontroller, i forbindelse med at medarbejdere har god-
kendt deres egen rejse eller deres eget udlæg i RejsUd. Styrelsen har oplyst, at den lo-
kale anvendelse af RejsUd tillader, at en disponeringsberettiget medarbejder kan god-
kende sine egne rejseafregninger, hvis de er kontrolleret af en anden person i styrel-
sens økonomikontor. Rigsrevisionen kan i den forbindelse konstatere, at denne sup-
plerende kontrol ikke er tilstrækkelig, da den ikke forhindrer en medarbejder i at god-
kende sin egen rejseafregning. Departementet har efterfølgende været i dialog med
styrelsen og anmodet om, at forholdet bringes i orden, og henstillet til, at fx chefer al-
drig bør godkende for sig selv.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
35
Landbrugsstyrelsen
49. Hos Landbrugsstyrelsen er der ligeledes eksempler på, at medarbejdere har god-
kendt deres egne rejseafregninger. Styrelsen har oplyst, at der er tale om ledere med
prokura (dvs. fuldmagt), men at alle afregninger forinden godkendelsen har været for-
bi en central kontrol i styrelsen, hvor der er foretaget en rejse- og udgiftspolitisk kon-
trol og derfor er kontrolleret for overholdelse af styrelsens retningslinjer.
Selv om der er foretaget kontrol af rejseafregningerne, er funktionsadskillelsen ikke
tilstrækkelig, da kontrollanten i opgavevaretagelsen ikke tager hensyn til budget eller
aftaler om pris i henhold til rejsen (herunder rejsens formål). Hensynet til budget og
pris er placeret ved godkendelsen af rejseudlægget og udføres i dette tilfælde af den
rejsende selv.
Landbrugsstyrelsen har oplyst, at der i 2019 ikke har været kompenserende kontrol-
ler, da RejsUd efter styrelsens opfattelse skulle spærre for, at ledere med prokura kun-
ne godkende deres egen afregning. Styrelsen har samtidig oplyst, at nu hvor de er ble-
vet opmærksomme på, at dette er muligt, vil de fremadrettet regelmæssigt foretage
samme opfølgning, som er foretaget af Rigsrevisionen, for at sikre regeloverholdelse,
så længe dette er en mulighed (risiko) i RejsUd. Desuden vil styrelsen gennemgå de
specifikke afregninger og indskærpe reglerne over for de specifikke ledere på listen –
og styrelsens ledere generelt.
Fødevarestyrelsen
50. Fødevarestyrelsen har oplyst, at styrelsen benytter en opsætning, hvor rejseafreg-
ningen i workflowet i RejsUd går gennem en kontrollantgruppe og herefter en godken-
delsesgruppe i stedet for de specifikke medarbejdere. Der er dermed ikke en system-
mæssig spærring, som forhindrer, at der er sammenfald mellem medarbejdernavne.
Derfor kan afregningen blive godkendt af den rejsende. Styrelsen understreger, at op-
retter (den rejsende eller sekretæren for den rejsende), kontrollant og godkender ik-
ke må være samme person på en rejseafregning i styrelsen, men at der opstår en ud-
fordring, når det er chefen (som har budgetansvaret), der figurerer som godkender i
godkendergruppen.
Fødevarestyrelsen har i sin seneste regnskabsinstruks vedtaget, at rejseafregninger
fra chefer, vicedirektører og direktører skal godkendes af kontorchefen for kundeser-
vice og forretningskommunikation. Dette er desuden meldt ud i organisationen.
Kontrol og godkendelse
af en rejseafregning
I Økonomistyrelsens vejled-
ning ”Best Practice for rejse-
administration i staten” be-
skrives følgende:
”Når den rejsende har udarbej-
det en samlet rejseafregning i
rejseafregningssystemet, skal
afregningen kontrolleres, før
den kan endelig godkendes af
den budgetansvarlige”.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0043.png
36
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Sundheds- og Ældreministeriets departement
51. Eksempler på manglende funktionsadskillelse i Sundheds- og Ældreministeriets
departement viser, at en kollega har oprettet rejseafregningen på vegne af den rejsen-
de (ved brug af sekretærfunktionen i RejsUd). Denne proces er vist i figur 8.
Figur 8
Eksempel på et workflow for en afregning i RejsUd
REJSENDE
OPRETTER
(SEKRETÆR)
KONTROLLANT/
UNDERSKRIVER
(Første 2 øjne)
GODKENDER
(Sidste 2 øjne)
Kilde:
Rigsrevisionen.
Det fremgår af figur 8, at det er den rejsende, som godkender sin egen rejseafregning,
og derved er der ikke en tilstrækkelig funktionsadskillelse. Dette beror på, at oprettel-
sen af rejsen sker på den rejsendes vegne, og at den mellemliggende kontrol, som of-
te omhandler kontrol med fx korrekt indtastning af grunddata og beløbsmæssige for-
hold mv., ikke tager hensyn til budget eller aftaler om pris i henhold til rejsen (herunder
rejsens formål). Denne kontrol er placeret ved godkendelsen af rejseafregningen og
udføres i dette tilfælde af den rejsende selv.
Funktionsadskillelsen er efter Sundheds- og Ældreministeriets opfattelse til stede, da
der ud over den rejsende er 4 øjne (sekretæren og kontrollanten) involveret i workflo-
wet, inden rejseafregningen kommer til den endelige godkender. Ifølge ministeriet sik-
rer sekretæren sig, at alle transaktioner er dokumenteret ved en kvittering, og at alle
regler og retningslinjer er overholdt i henhold til de interne retningslinjer.
Selv om der er indlagt en kontrol i sekretærfunktionen eller i en anden afdeling, fx Kon-
cernregnskab, konstaterer Rigsrevisionen, at det i sidste ende vil være den rejsende
selv, der godkender sin egen rejseafregning i henhold til indgåede aftaler for rejsen og
budgettet.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
37
Udenrigsministeriet
52. En gennemgang af rejseafregninger fra Udenrigsministeriet viser ligeledes, at ud-
valgte medarbejdere med bestemte rettigheder både kunne oprette og godkende de-
res egne rejseafregninger i 2019. Derved var der ikke en tilstrækkelig funktionsadskil-
lelse i lighed med ovenstående eksempler.
Udenrigsministeriet havde i 2019 ikke etableret kompenserende kontroller for de rej-
seafregninger, hvor der var sammenfald mellem den rejsende og godkenderen, men
har oplyst, at der nu er etableret en kompenserende kontrolproces, hvor alle egen-
godkendte afregninger kontrolleres for tegn på svig, og at chefer i de pågældende en-
heder fremover kontaktes med henblik på at undgå, at der er personsammenfald. Mi-
nisteriet har endvidere oplyst, at der ikke er fundet tegn på besvigelser.
Lokaladministratorer i RejsUd
53. Vi har også undersøgt rettighederne tilknyttet lokaladministratorer i RejsUd, idet
rollen som administrator giver adgang til at tildele andre brugere rettigheder og pro-
kura. Undersøgelsen viser, at det er muligt for brugere med rollen som lokaladmini-
strator at ændre password og/eller tilknytte e-mailkonti på vegne af en hvilken som
helst anden bruger af RejsUd og derefter få adgang til denne brugers brugerflade.
Det betyder, at lokaladministratorer teknisk set har kunnet anvende andre brugeres
adgange til fx at godkende egne rejseafregninger og udlæg.
Risikoen er, at en ansat med lokaladministratorrettigheder kan oprette fiktive rejser
eller udlæg og derefter fx anvende sin egen chefs adgang til at godkende dette og få
udbetalt de udgifter, der fremgik af rejseafregningen. Dette vil kun kunne opdages,
hvis virksomheden sender rejseafregningen til en separat kontrollant inden godken-
delse, eller hvis der er indført kompenserende kontroller, der tager højde for dette.
54. Økonomistyrelsen har i marts 2020 oplyst, at rettighederne tilknyttet lokaladmi-
nistratorer er en tilsigtet funktionalitet i systemerne, idet det er nødvendigt for den ka-
tegori af medarbejdere at have adgang til at ændre e-mailadresser og/eller passwords
for de lokale brugere, for at de kan udføre deres rolle som lokaladministrator. Rigsrevi-
sionen er enig i, at lokaladministratorer har dette behov, men vurderer dog, at funktio-
naliteten forudsætter en monitorering/kontrol af, at personer med administratorret-
tigheder ikke tilsidesætter funktionsadskillelsen, som beskrevet ovenfor.
Økonomistyrelsen har desuden oplyst, at styrelsen gennemfører kontrol af de globale
administratorer på halvårlig basis, mens kontrollen af lokaladministratorer påhviler
virksomhederne selv, og at virksomhederne kan trække en kontrolrapport herom.
Økonomistyrelsen har herudover oplyst, at styrelsen ikke kan se, om virksomhederne
trækker kontrolrapporterne, der kan anvendes til at kontrollere lokaladministratorer-
ne. Endelig understreger Økonomistyrelsen, at det ikke er styrelsens ansvar at moni-
torere statslige virksomheders udførelse af kontroller. Rigsrevisionen finder, at det er
vigtigt, at Finansministeriet informerer brugerne af de fællesstatslige it-systemer om
mulige kompenserende kontroller for at imødegå risici fra bl.a. rollen som lokaladmini-
strator. Det er dog de enkelte ministeriers/virksomheders ansvar, at der er tilrettelagt
tilstrækkelige interne kontroller ud fra en konkret risikovurdering hos den enkelte virk-
somhed.
Lokale og globale system-
administratorer
Lokal systemadministrator
(kaldet lokaladministrator) er
en administratorrolle i IndFak,
som tildeles administratorer
lokalt i virksomhederne. Rol-
len giver bl.a. adgang til at til-
dele rettigheder og prokura til
brugere og til at administrere
lokale konfigurationer på or-
ganisations- og bogførings-
kredsniveau.
Global systemadministrator
(kaldet globaladministrator)
er en administratorrolle i Ind-
Fak, som tildeles administra-
torer hos Økonomistyrelsen
og konsulenter. Rollen giver
bl.a. rettighed til at oprette,
vedligeholde og administrere
virksomheder, oprette lokal-
administratorer og at oprette,
vedligeholde og administrere
roller og konfigurationer i Ind-
Fak.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
38
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Resultater
Undersøgelsen viser, at flere virksomheder ikke havde en tilstrækkelig funktionsad-
skillelse ved afregninger i RejsUd i 2019, da der var personsammenfald mellem den
rejsende og godkenderen af den samme rejseafregning. Selv om der mellem opret-
telsen og godkendelsen er en mellemliggende kontrol, som omhandler fx korrekt ind-
tastning af grunddata og beløbsmæssige forhold mv., er den endelige godkendelse af
budget og aftaler om pris i henhold til rejsen placeret hos den rejsende selv. Årsagen
til dette sammenfald er i flere tilfælde, at afregningen er oprettet af en rejsende med
godkenderrettigheder/budgetansvar. Herudover har virksomhederne bl.a. ikke været
bekendt med risikoen for utilstrækkelig funktionsadskillelse ved benyttelse af en an-
den opretter end den rejsende (ved brug af sekretærfunktionen). Flere virksomheder
tilkendegiver, at det var deres opfattelse, at standardopsætningen i RejsUd sikrede,
at en medarbejder ikke kunne godkende sine egne rejseafregninger. Virksomheder-
ne har derfor ikke implementeret kompenserende kontroller eller skabt et workflow,
der sikrer, at den rejsende ikke kan godkende sin egen rejseafregning.
Undersøgelsen viser desuden, at det er muligt for brugere med rollen som lokaladmi-
nistrator at ændre password og/eller tilknytte e-mailkonti på vegne af en hvilken som
helst anden bruger af RejsUd og derefter få adgang til denne brugers brugerflade. Det
betyder, at lokaladministratorer teknisk set har kunnet anvende andre brugeres ad-
gange til fx at godkende egne rejseafregninger og få udbetalt de udgifter, der fremgik
af den fiktive rejseafregning.
Rigsrevisionen finder, at det er vigtigt, at Finansministeriet informerer brugerne af de
fællesstatslige it-systemer om mulige kompenserende kontroller for at imødegå risici
fra bl.a. rollen som lokaladministrator. Det er dog de enkelte ministeriers/virksomhe-
ders ansvar, at der er tilrettelagt tilstrækkelige interne kontroller ud fra en konkret ri-
sikovurdering hos den enkelte virksomhed.
4.2. Ministeriernes indkøb i IndFak
55. Som omtalt i kapitel 3 er det muligt for virksomheder at anvende lokale tilpasnin-
ger (konfigurationer) af IndFak, som betyder, at den systemunderstøttede funktions-
adskillelse mellem varemodtager og godkender ikke er tilstrækkelig, men skal sup-
pleres af kompenserende kontroller. Mange systemregistreringer i forhold til samme
handling, fx varemodtagelse eller godkendelse, gør det vanskeligt at gennemskue,
hvor den reelle kontrol har fundet sted. Et eksempel herpå er, når en faktura bliver del-
vist godkendt eller opdelt i flere konteringslinjer. Vi har undersøgt alle indkøb i IndFak
for 2019 for at vurdere, i hvilket omfang ministerierne har foretaget indkøb, hvor en
medarbejder både har varemodtaget og godkendt det samme indkøb, dvs. uden til-
strækkelig funktionsadskillelse.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0046.png
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
39
Figur 9 viser et eksempel på, hvordan et workflow i IndFak kan se ud i en virksomhed.
Af eksemplet fremgår det, at medarbejder A først varemodtager og kontrollerer ind-
købet, hvorefter indkøbet sendes til godkendelse hos medarbejder B, som kun delvist
kan godkende indkøbet, da vedkommende ikke har bemyndigelse, fx ikke har prokura
(dvs. fuldmagt) eller organisationskode til endeligt at godkende fakturaen. Dette kan i
systemet ses ved, at medarbejder B registreres med handlingen ”Godkendt (kræver
yderligere)”. Da medarbejder B ikke endeligt kan godkende indkøbet, sendes indkøbet
retur til medarbejder A, som godkender endeligt og dermed både er sidste person på
varemodtagelsen og godkendelsen af indkøbet.
Prokura
Prokura er en fuldmagt, som
legitimerer, at medarbejderen
kan handle (herunder købe
ind) for virksomheden i alle
forhold, der hører til den nor-
male drift.
Når en medarbejder er opsat
med en given prokuragrænse,
burde det ikke være muligt at
gennemføre køb for beløb
over denne grænse.
Figur 9
Eksempel på et workflow for en faktura for et indkøb i IndFaks faktura-
del
A
Varemodtager
B
Godkender
(kræver yderligere)
A
Godkender
Handling
Varemodtager og
kontrollerer indkøbet,
som er foretaget
Godkender delvist
og videresender til
endelig godkendelse
Godkender endeligt
indkøbets beløb i hen-
hold til aftaler og budget
4-øjne-
princip
(system)
Varetager den
praktiske bestilling
og anskaffelse i hen-
hold til indkøbspolitik
(Første 2 øjne)
Kan ikke endeligt
godkende, da der
mangler prokura,
kode eller andet
(Sidste 2 øjne)
Sikrer, at indkøbet er
sket inden for
rammerne, og at
konteringen er korrekt
Tilstrækkelig
funktions-
adskillelse
Rigsrevisionen lægger til grund for en tilstrækkelig funktionsadskillelse
i IndFak, at varemodtageren og den sidste godkender
er 2 forskellige medarbejdere
Varemodtager
Godkender
Kilde:
Rigsrevisionen.
Systemmæssigt er medarbejder B i figur 9 de sidste 2 øjne på fakturaen, selv om ved-
kommende ikke endeligt kan godkende beløbet og derfor må sende den til yderligere
godkendelse.
Da 4-øjneprincippet i IndFak er sat op til, at der skal være systemmæssig funktionsad-
skillelse mellem varemodtager og godkender, vil systemet i eksemplet i figur 9 tillade,
at medarbejder B registreres som godkender af indkøbet.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
40
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
På trods af at der i eksemplet i figur 9 er 4 øjne involveret i indkøbsprocessen, er funk-
tionsadskillelsen ikke tilstrækkelig, fordi de 2 centrale kontrolfunktioner for fakturaen
(varemodtagelse og endelig godkendelse) i praksis er varetaget af den samme person.
Rigsrevisionen finder det uhensigtsmæssigt, at funktionsadskillelsen ikke (også) er sat
op til at gælde for sidste godkender, så medarbejder A ikke både kan være varemod-
tager og endelig godkender på samme indkøb.
Det er Rigsrevisionens vurdering, at medarbejder B ikke kan fungere som godkender,
da vedkommende mangler prokura og dermed ikke er bemyndiget og/eller har kom-
petencen til at varetage godkenderfunktionen i processen, jf. beskrivelsen af tilstræk-
kelig funktionsadskillelse i boks 1 i kapitel 1 og § 27 i regnskabsbekendtgørelsen, som
siger, at godkender skal være bemyndiget til at godkende.
IndFak er opsat således, at hvis medarbejder B blev fjernet fra eksemplet i figur 9, vil-
le indkøbet ikke kunne gennemføres, medmindre medarbejder A specifikt havde fået
tildelt en rolle med prokura, som gav vedkommende rettighed til både at modtage va-
rer og godkende indkøbet op til en vis beløbsgrænse. Dette var muligt i 2019. Ved til-
deling af en sådan rolle til én eller flere medarbejdere tillader virksomhederne, at der
kun er 2 øjne på indkøb, og Rigsrevisionen vurderer, at der i disse tilfælde bør være en
kompenserende kontrol.
Konkrete eksempler på manglende funktionsadskillelse i IndFak
Forsvarsministeriet og
Skatteministeriet bruger
ikke IndFak
Forsvarsministeriet indgår ik-
ke i vores gennemgang af ind-
køb fra IndFak, idet ministeriet
benytter it-systemet DeMars
og ikke IndFak. Rigsrevisionen
har dog flere gange tidligere
påpeget, at Forsvarsministe-
riet ikke har en systemunder-
støttet funktionsadskillelse i
DeMars – senest i beretningen
om revisionen af statsregn-
skabet for 2019. Her konstate-
rede Rigsrevisionen desuden,
at Forsvarsministeriet ikke
havde overblik over, hvor der
manglede funktionsadskillel-
se, og ikke havde sørget for
tilstrækkelige kontroller til at
kompensere for manglerne.
Medarbejder- og Kompeten-
cestyrelsen under Skattemini-
steriet bruger IndFak, men her
har alle transaktioner funkti-
onsadskillelse.
56. Vi har analyseret data for alle indkøb i 2019, som er blevet varemodtaget og god-
kendt i IndFak, for at afdække, om der har været tilstrækkelig funktionsadskillelse. Da-
ta indeholder fakturalinjer (der kan være flere fakturalinjer på en faktura) og indehol-
der både køb, som er foretaget i IndFak, og køb, som er foretaget uden for IndFak. An-
tallet af indkøb, der beskrives i dette afsnit, er dermed ikke kun indkøb foretaget i sel-
ve indkøbsmodulet, men omfatter fx også indkøb foretaget med statslige betalings-
kort, som virksomheden efterfølgende afregner med banken i IndFak. Når vi omtaler
antal køb uden funktionsadskillelse, dvs. hvor varemodtager og godkender har været
den samme, er der tale om antal fakturalinjer og ikke antal fakturaer.
57. Vores gennemgang af alle indkøb i IndFak i perioden 1. januar-31. december 2019
viser, at der i virksomheder under 12 ministerier blev gennemført over 27.000 transak-
tioner i IndFak uden funktionsadskillelse mellem varemodtagelse og den sidste god-
kendelse. Indkøbene havde en samlet værdi på over 220 mio. kr. De 12 ministerier kan
ses i tabel 2 i afsnit 2.3.
De virksomheder, som havde gennemført indkøb uden tilstrækkelig funktionsadskil-
lelse mellem varemodtagelse og sidste godkendelse, havde i flere tilfælde tildelt med-
arbejdere roller og prokura (dvs. fuldmagt), som gav de enkelte brugere af IndFak mu-
lighed for både at modtage varer og godkende indkøbet op til en bestemt beløbsgræn-
se. Herudover er det i flere tilfælde systemmæssigt blevet registreret som godkendt
(de sidste 2 øjne), selv om medarbejderen ikke havde bemyndigelse til endeligt at god-
kende indkøbet. Indkøbene uden tilstrækkelig funktionsadskillelse var i 2019 fordelt
på i alt 592 medarbejdere på tværs af staten.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
41
Undersøgelsen viser, at 8 ministerier i 2019 havde meget få transaktioner i IndFak
uden tilstrækkelig funktionsadskillelse mellem varemodtager og godkender (under
0,5
%
af ministeriets samlede udgifter i IndFak), mens 4 ministerier havde en større
andel af transaktioner (fakturalinjer) uden tilstrækkelig funktionsadskillelse. Disse er
Sundheds- og Ældreministeriet, Uddannelses- og Forskningsministeriet, Børne- og
Undervisningsministeriet og Kulturministeriet.
Udvalgte virksomheders styring af brugerrettigheder i IndFak
58. Vi har udvalgt 6 virksomheder under de 4 ministerier med høj andel af transaktio-
ner uden tilstrækkelig funktionsadskillelse mellem varemodtager og endelig godken-
der i IndFak til en stikprøve. 4 af de 6 virksomheder i stikprøven – Det Kongelige Tea-
ter og Kapel, Danmarks Evalueringsinstitut, Dansk Dekommissionering og Sundheds-
og Ældreministeriets departement – er kendetegnet ved at have flere medarbejdere,
som i kraft af bl.a. en tildeling af udvidede rettigheder (roller med prokura) har kunnet
modtage og godkende et indkøb alene. Denne mulighed for at gennemføre indkøbet
med kun 2 øjne er beskrevet i Økonomistyrelsens vejledninger, men bør ifølge disse
følges op med begrundelse herfor beskrevet i virksomhedens instruks samt kompen-
serende kontroller. Nedenfor gennemgår vi konkrete eksempler fra de 6 virksomhe-
der.
Det Kongelige Teater og Kapel
59. Det Kongelige Teater og Kapel har oplyst, at der er tildelt udvidede rettigheder
med forskellige prokuraer til 62 af de 136 medarbejdere, hvilket næsten er halvdelen
af alle virksomhedens brugere i IndFak (og RejsUd). Af disse medarbejdere havde 19
fuldmagt til at foretage indkøb op til 49.999 kr., 3 op til 100.000 kr., 38 op til 150.000
kr. og 2 op til 14.999.999 kr. i IndFak. Medarbejderne har således kunnet gennemføre
meget store indkøb uden funktionsadskillelse i 2019.
Det Kongelige Teater og Kapel vurderer, at teatret har foretaget en kompenserende
kontrol, herunder tæt økonomiopfølgning og kontogennemgang. Det Kongelige Tea-
ter og Kapel bemærker desuden, at teatret medio 2020 har afskaffet brugen af ene-
prokura i IndFak.
Rigsrevisionen har i forbindelse med den løbende revision tidligere gjort Det Kongeli-
ge Teater og Kapel opmærksom på problemet med anvendelsen af roller med udvide-
de rettigheder. Teatret oplyste i den forbindelse, at teatret fulgte Økonomistyrelsens
vejledninger og best practice for IndFak om eneprokura, herunder at de havde indført
kompenserende kontroller. Teatret oplyste samtidig, at et 4-øjneprincip ville være ad-
ministrativt tungt.
Da Det Kongelige Teater og Kapel ikke målrettet i de kompenserende kontroller (fx
stikprøvevis) gennemgår specifikke indkøb eller undersøger de køb i IndFak, hvor log-
gen viser, at en medarbejder har gennemført et helt indkøb alene, finder Rigsrevisio-
nen, at de etablerede kontroller ikke i tilstrækkelig grad kompenserer for den mang-
lende funktionsadskillelse.
Fakturalinjer
Rigsrevisionen har analyseret
indkøb fordelt på fakturalinjer,
da flere virksomheder hver
måned behandler mange ind-
køb på en samlet faktura, fx
fra SEB Kort Bank.
En enkelt faktura indeholder
således alle indkøb foretaget
med firmaets betalingskort
(det kan også være alle afreg-
ninger af en rejsekonto) i løbet
af den pågældende måned.
Dermed dækker en faktura
flere indkøb, som bør vare-
modtages og godkendes indi-
viduelt.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0049.png
42
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Den Danske Filmskole
60. Den Danske Filmskole har oplyst, at ikke alle medarbejderne bruger IndFak kor-
rekt. Derfor har varemodtageren i mange tilfælde videresendt fakturaen i stedet for
at bekræfte varemodtagelsen, som medarbejderen ellers burde. Derfor opfattes den
medarbejder, der skal godkende indkøbet, som både varemodtager og godkender i
IndFak. Den Danske Filmskole har desuden oplyst, at der i alle tilfælde har været funk-
tionsadskillelse i de udvalgte indkøb i Rigsrevisionens stikprøve. Den ansvarlige har
ifølge Den Danske Filmskole forud for indtastningen i IndFak typisk skriftligt dokumen-
teret sin varemodtagelse på bilaget, hvorefter dette efterfølgende både er indtastet af
bogholder (ved at skrive handlingen i kommentarfeltet eller scanne ind fra hardcopy)
og godkendt af en anden medarbejder. I systemet kommer det derfor til at fremstå
som et indkøb uden tilstrækkelig funktionsadskillelse. Rigsrevisionen er desuden ble-
vet oplyst om, at godkendelsen i få tilfælde har været mundtlig, og at der derfor ikke
har været noget at scanne ind, som efterfølgende kan understøtte og dokumentere
handlingen.
Rigsrevisionen finder det uhensigtsmæssigt, at Den Danske Filmskole har tilrettelagt
en praksis, der ikke understøttes af systemmæssig funktionsadskillelse.
Statens Værksteder for Kunst
61. Statens Værksteder for Kunst har oplyst, at der altid er 4 øjne involveret i en fak-
turabehandling, og at det er virksomhedens opfattelse, at der derfor har været funk-
tionsadskillelse ved de udvalgte indkøb. Vores gennemgang af bilag viser dog, at den
første person i en indkøbsproces videresender til varemodtagelse (A), mens den an-
den person (B) både modtager og bekræfter varen samt godkender indkøbet. Dette
er vist i figur 10.
Figur 10
Eksempel på et workflow for et indkøb i IndFak
SENDER TIL
VAREMODTAGELSE
BEKRÆFTER
VAREMODTAGELSE
GODKENDER
A
opretter dokumentet, som
sendes til varemodtagelse
hos relevant medarbejder
B
varemodtager og
kontrollerer det indkøb,
som er foretaget
(Første 2 øjne)
B
godkender endeligt
indkøbets beløb i henhold
til budget, aftaler m.m.
(Sidste 2 øjne)
Kilde:
Rigsrevisionen.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
43
Rigsrevisionen kan konstatere, at der i forbindelse med et indkøb som illustreret i fi-
gur 10 ikke har været en tilstrækkelig funktionsadskillelse mellem varemodtager og
godkender af indkøbet. For både at kunne varemodtage og godkende købet har med-
arbejderen fået tildelt en rolle med prokura, som gav vedkommende rettighed til det.
I disse tilfælde er der derfor kun 2 øjne på indkøbet.
Rigsrevisionen har i forbindelse med en tidligere revision gjort Statens Værksteder for
Kunst opmærksom på problemstillingen, men Statens Værksteder for Kunst har op-
lyst, at det på grund af virksomhedens størrelse er udfordrende at have tilstrækkelig
funktionsadskillelse på alle transaktioner.
Danmarks Evalueringsinstitut
62. Danmarks Evalueringsinstitut har oplyst, at årsagen til, at der ikke har været til-
strækkelig funktionsadskillelse i alle instituttets indkøb i 2019, er, at alle medarbejde-
re med titlen projektleder er tildelt roller, som medfører, at de kan foretage indkøb op
til en værdi af 49.999 kr. i IndFak. Vores gennemgang viser desuden, at der i 2019 var
66 medarbejdere, som havde gennemført indkøb uden funktionsadskillelse, svarende
til ca. 85
%
af instituttets ansatte (målt i årsværk).
Danmarks Evalueringsinstitut har oplyst, at instituttets fakturamanager har et godt
kendskab til alle medarbejdere og altid kan kontakte den ansvarlige projektleder eller
chef ved spørgsmål. Instituttet har videre oplyst, at den løbende budgetopfølgning
samtidig har sikret fokus på afvigelser fra projektets budget. Rigsrevisionen vurderer
dog, at muligheden for at tage kontakt til de pågældende medarbejdere ikke i sig selv
udgør en tilstrækkelig kompenserende kontrol, da det hverken er systematisk eller do-
kumenteret. Endvidere beskriver instituttet ikke, at instituttet fx systematisk gennem-
går de indkøb i IndFak, hvor loggen viser utilstrækkelig funktionsadskillelse. Rigsrevi-
sionen vurderer desuden, at den løbende budgetopfølgning ikke kompenserer for den
manglende funktionsadskillelse.
Danmarks Evalueringsinstitut har på forespørgsel ikke kunnet fremskaffe dokumen-
tation for alle de udvalgte indkøb uden funktionsadskillelse i 2019, men har oplyst, at
de pågældende indkøb (og kreditorer) ikke afviger fra tilsvarende indkøb, hvad angår
beløb.
Sundheds- og Ældreministeriets departement
63. Data fra IndFak viser, at der hos Sundheds- og Ældreministeriets departement i
perioden før 5. april 2019 ikke har været tilfredsstillende funktionsadskillelse. Depar-
tementet har oplyst, at det indtil 5. april var muligt for enkelte medarbejdere både at
varemodtage og godkende indkøb, men at departementet pr. 5. april 2019 havde fuldt
implementeret funktionsadskillelse på indkøbsområdet og således fra og med denne
dato har sørget for, at der i den systemmæssige opsætning i IndFak er funktionsad-
skillelse mellem varemodtager og godkender.
Rigsrevisionen konstaterer, at data fra IndFak viser, at Sundheds- og Ældreministe-
riets departement ikke havde transaktioner i IndFak uden tilstrækkelig funktionsad-
skillelse efter den 5. april 2019.
Dokumentation for ind-
køb i IndFak
Regnskabsbekendtgørelsens
§ 44 tilsiger, at data og regn-
skabsmateriale skal registre-
res og gemmes i 5 år efter af-
sluttet transaktion.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
44
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Dansk Dekommissionering
64. Dansk Dekommissionering har oplyst, at virksomheden i 2019 havde tildelt roller
og prokura til medarbejderne, som gjorde, at den enkelte medarbejder både kunne
varemodtage og godkende et indkøb op til en bestemt beløbsgrænse. Beløbsgrænsen
var på 2.000 kr. for almindelige medarbejdere, mens den for særlige medarbejdere
var fastsat til 50.000 kr., for funktionsledere til 100.000 kr., for sektionschefer til
200.000 kr. og for souschefer til 500.000 kr. Direktøren havde ubegrænset prokura.
Var indkøbet også foretaget af godkenderen, var prokuragrænsen dog sat til 25.000
kr. Vores undersøgelse viser, at prokuragrænsen ikke var systemunderstøttet, og der-
for er der enkelte eksempler i stikprøven på, at dette beløb blev overskredet.
Dansk Dekommissionering har oplyst, at den budgetansvarlige leder hver måned gen-
nemgår alle bogførte transaktioner på de enkelte finanskontokort. Desuden har Dansk
Dekommissionering oplyst, at en varemodtagelse forinden den systemmæssige mod-
tagelse kan være modtaget fysisk, hvor der er kvitteret for varen eller ydelsen.
Rigsrevisionen kan konstatere, at Dansk Dekommissionering ikke selv har været op-
mærksom på, at flere medarbejdere havde varemodtaget og godkendt deres egne
indkøb.
Kompenserende kontroller og dokumentation
65. Generelt gælder det for 2019, at en virksomhed i særlige tilfælde kan vælge at til-
dele en medarbejder udvidede rettigheder/roller, som gør, at vedkommende kan fore-
tage indkøb i IndFak, uden at andre medarbejdere skal ind over. Virksomheden skal i
givet fald dokumentere overvejelserne herom og gennemføre kompenserende kon-
troller for at sikre, at der for de indkøb, der gennemføres uden funktionsadskillelse, er
dokumentation for, at der er leveret den rigtige vare eller ydelse til virksomheden.
Flere af virksomhederne i stikprøven har i forbindelse med vores undersøgelse oplyst,
at medarbejdere har fået tildelt udvidede rettigheder i IndFak ud fra et arbejdsbetin-
get behov, idet de skal kunne foretage indkøb uden andres godkendelse, og at valget
om at tildele medarbejdere udvidede rettigheder er truffet ud fra en risikovurdering
sammenholdt med de ekstra resurser og den ekstra tid, som en funktionsadskilt god-
kendelse ville kræve.
Rigsrevisionen kan samlet konstatere, at de undersøgte virksomheder kun i meget be-
grænset omfang har beskrevet de særlige tilfælde i deres regnskabsinstruks, som det
ellers burde være sket. Rigsrevisionen finder, at der netop i indkøbssituationer uden
funktionsadskillelse bør være ekstra ledelsesmæssigt fokus på, at der er implemente-
ret kompenserende kontroller, som kan reducere risikoen for svig, eller at virksomhe-
derne i regnskabsinstruksen angiver, hvordan de forholder sig hertil.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
45
De 6 virksomheder har oplyst, at de bl.a. løbende afholder møder mellem fagkontorer,
økonomi og regnskab for at sikre en kontrol af, at der ikke sker misbrug og utilsigtede
hændelser som led i indkøb og betalingsforretning. Ligeledes kontrollerer nogle af virk-
somhederne indkøbene uden funktionsadskillelse ved den månedlige budgetopfølg-
ning, hvor de enkelte afdelinger og økonomiafdelingen følger op på afdelingernes øko-
nomi. Nogle virksomheder har endvidere oplyst, at de minimum én gang i kvartalet
trækker en rapport, der viser balancen mellem indtægter og omkostninger for alle ind-
køb/projekter, som efterfølgende gennemgås af virksomhedens direktør/chefer. Ingen
af virksomhederne beskriver dog kontroller målrettet specifikke indkøb, eller at de fx
systematisk gennemgår de køb i IndFak, hvor loggen viser, at en medarbejder har gen-
nemført indkøb alene. Rigsrevisionen vurderer på den baggrund, at de etablerede kon-
troller ikke i tilstrækkeligt omfang kompenserer for den manglende funktionsadskil-
lelse.
Lokaladministratorer i IndFak
66. Rigsrevisionen har ligesom for RejsUd undersøgt rettighederne tilknyttet lokalad-
ministratorer i IndFak. Vi har her konstateret, at de samme risici med, at lokaladmini-
stratorer kan oprette fiktive indkøb og derefter fx anvende deres egen chefs adgang
til at godkende dette og få udbetalt de udgifter, der fremgik af indkøbet, også er til ste-
de i IndFak.
Der var i 2019 brugere i flere virksomheder, der med rollen som lokaladministrator i
IndFak havde mulighed for at ændre password og e-mail for andre brugere, der i for-
vejen var oprettet i systemet. På denne måde havde disse brugere muligheden for at
bruge andre brugeres rollesæt og dermed varetage flere roller ved samme transaktion
og potentielt omgå den systemopsatte funktionsadskillelse i IndFak.
Økonomistyrelsen har ligesom til RejsUd oplyst, at dette er en tilsigtet funktionalitet
i systemerne, og at styrelsen gennemfører kontrollen af de globale administratorer
på halvårlig basis, mens kontrollen af lokale administratorer påhviler virksomhederne
selv. Rigsrevisionen finder, at det er vigtigt, at Finansministeriet informerer brugerne
af de fællesstatslige it-systemer om mulige kompenserende kontroller for at imødegå
risici fra bl.a. rollen som lokaladministrator. Det er dog de enkelte ministeriers/virk-
somheders ansvar, at der er tilrettelagt tilstrækkelige interne kontroller ud fra en kon-
kret risikovurdering hos den enkelte virksomhed.
67. Som det fremgår ovenfor, kan de systemunderstøttede kontroller i IndFak (og i
RejsUd) omgås, hvis virksomhederne ikke i tilstrækkelig grad er opmærksomme på,
om brugernes rettigheder til systemerne styres hensigtsmæssigt. Ud over rollekom-
binationer, som gør det muligt at omgå funktionsadskillelse, udgør særligt privilegere-
de brugeres (fx lokaladministratorer) handlinger i it-systemerne en potentiel risiko for
svig, hvis de ikke følges af kompenserende kontroller. Den kompenserende kontrol
kan fx være, at en uvildig ansat kontrollerer logningen for at undersøge, om den privi-
legerede bruger fx har anvendt sin adgang til at få et password fra en anden bruger.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
46
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Resultater
Undersøgelsen viser, at der i flere virksomheder på tværs af forskellige ministerier har
været gennemført indkøb, som er blevet varemodtaget og godkendt i IndFak uden til-
strækkelig funktionsadskillelse og uden tilstrækkelige kompenserende kontroller i
2019. IndFak skelner ikke i den systemopsatte kontrol af 4-øjneprincippet, om de sid-
ste 2 øjne er en godkendelse, som kræver yderligere øjne (dvs. kun er en delvis god-
kendelse), eller om det er den endelige godkendelse. Samme medarbejder kan derfor
både varemodtage og endeligt godkende samme indkøb. Endvidere viser undersøgel-
sen, at virksomhederne kun i begrænset omfang i deres regnskabsinstruks har be-
grundet, hvorfor medarbejdere tildeles rettigheder/roller til at gennemføre indkøb ale-
ne op til en given beløbsgrænse. Selv om der i 2019 blev gennemført indkøb uden til-
strækkelig funktionsadskillelse i IndFak for over 220 mio. kr., har ingen af virksomhe-
derne nærmere beskrevet, at de har målrettet kontrollen mod specifikke indkøb, eller
at de systematisk monitorerer brugeraktivitet i IndFak. Rigsrevisionen vurderer sam-
let, at der i 2019 (og tidligere) i flere virksomheder har eksisteret en mulighed for, at
medarbejderne ville have kunnet gennemføre uretmæssige indkøb via IndFak, uden
at det umiddelbart ville blive opdaget.
Undersøgelsen viser desuden, at medarbejdere med rollen som lokaladministrator i
IndFak i 2019 havde mulighed for at ændre password og e-mail for andre brugere, der
i forvejen var oprettet i systemet. På denne måde havde disse brugere muligheden for
at bruge andre brugeres rollesæt og dermed varetage flere roller ved samme transak-
tion og potentielt omgå den systemopsatte funktionsadskillelse i IndFak. Dette blev
ikke imødegået af kompenserende kontroller.
Rigsrevisionen finder, at det er vigtigt, at Finansministeriet informerer brugerne af de
fællesstatslige it-systemer om mulige kompenserende kontroller for at imødegå risici
fra bl.a. rollen som lokaladministrator. Det er dog de enkelte ministeriers/virksomhe-
ders ansvar, at der er tilrettelagt tilstrækkelige interne kontroller ud fra en konkret ri-
sikovurdering hos den enkelte virksomhed.
4.3. Tankkort
Tankkort
Kortene kan anvendes til for-
skellige typer af brændstof,
fx benzin og diesel.
68. Vi har undersøgt, om Forsvarsministeriet har tilfredsstillende kontroller med bru-
gen af tankkort til betaling/forbrug af brændstof. Vi har gennemført undersøgelsen i
forlængelse af en henvendelse via vores whistleblowerordning om, at ansatte i For-
svarsministeriet uretmæssigt kunne tanke Forsvarsministeriets brændstof til private
formål. Da indkøb af brændstof blandt ansatte sker med brug af tankkort på både ci-
vile tankstationer og militære tankanlæg på alle tidspunkter af døgnet og uden at in-
volvere flere personer ved selve tankningen, er der umiddelbart risiko for, at Forsvars-
ministeriets tankkort kan blive anvendt til privat forbrug.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0054.png
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
47
Vi har undersøgt, om der er indikationer på uretmæssig anvendelse af Forsvarsmini-
steriets tankkort, og om ledelsen i 2019 havde truffet passende foranstaltninger for at
minimere risikoen forbundet med kortene. Disse foranstaltninger omfattede fx ned-
skrevne procedurer for anvendelsen af tankkort, og at de ansattes anvendelse af
tankkort i et vist omfang blev monitoreret for at kunne opdage og sanktionere even-
tuelt uretmæssigt brug.
Forsvarets retningslinjer
Forsvarets køretøjer må kun
anvendes til tjenstlige formål,
som skal godkendes af nær-
meste chef. Køretøjerne må
aldrig bruges til private formål
og må ikke medtages til privat
bopælsadresse undtagen i
særlige chefgodkendte tilfæl-
de.
Retningslinjerne tilsiger samti-
dig, at der kun må tankes på
civile tankstationer, hvis det
ikke er muligt eller hensigts-
mæssigt at tanke på Forsva-
rets egne anlæg.
Forsvarsministeriet havde i 2019 et budget til forskellige typer af brændstof på ca. 421
mio. kr. Heraf blev ca. 92
%
brugt på skibe og fly, mens ca. 8 % blev anvendt til Forsvarets
køretøjer. Forsvarets køretøjer bruger hovedsageligt diesel, og Forsvaret havde i 2019 et
forbrug på ca. 32 mio. kr. hertil. I 2019 brugte Forsvaret 7.460 unikke tankkort på civile
tankstationer og militære tankanlæg.
Data om forbrug på tankkort
69. Det er Forsvarets Materiel- og Indkøbsstyrelse, som har ansvaret for indkøb, kon-
trol og tilsyn med brændstof i Forsvarsministeriet, mens det er de enkelte myndighe-
der, som har ansvaret for selve forvaltningen. Forsvarets Materiel- og Indkøbsstyrelse
indhenter som led i den månedlige kontrol automatisk registrerede transaktionsoplys-
ninger fra de civile tankstationer og militære tankanlæg, som omfatter data om hver
tankning og dækker alle transaktioner foretaget med tankkortene på både civile tank-
stationer og militære tankanlæg. Herudover skal medarbejderne manuelt indtaste
nogle informationer ved hver tankning. De oplysninger, der indgår om transaktionerne,
og som lagres i NetFuel-databasen, fremgår af figur 11.
Transaktionsoplysninger
De automatisk lagrede trans-
aktionsdata fra tankanlæg in-
deholder bl.a. registrerings-
nummer på køretøjet, køre-
tøjstype, sted for tankning, for-
brugskategori, tanket mæng-
de og pris.
NetFuel-databasen
Figur 11
NetFuel-databasen opsamler
oplysninger om forbruget på
Forsvarets tankkort og inde-
holder data 2 år tilbage i tid.
Dataregistrering i forbindelse med tankning
BRUG AF TANKKORT
DATA
Tankning af køretøj
på enten en civil
tankstation eller på
et militært tankanlæg
Indtastning af:
• Pinkode
• Kilometertal
• Medarbejdernummer
• Liter
• Kroner
• Kortnummer
• Tankstation
Kilde:
Rigsrevisionen.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
48
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Det fremgår af figur 11, at data består af både automatisk dannede og manuelt indta-
stede data, og at medarbejderne selv skal taste bl.a. medarbejdernummer, som skal
bruges til at identificere personen, som har tanket. Transaktionsdata anvendes i For-
svarets Materiel- og Indkøbsstyrelses tilsyn med Forsvarsministeriets brug af brænd-
stof.
Vores gennemgang viser, at kvaliteten af datagrundlaget gør det vanskeligt for For-
svarets Materiel- og Indkøbsstyrelse at basere kontroller på disse data og at lave ana-
lyser af enkeltpersoners handlinger over tid, fordi det i mange tilfælde ikke indeholder
unikke medarbejdernumre for de enkelte tankninger. For knap 21.000 transaktioner,
svarende til 59
%
af alle Forsvarsministeriets køb af brændstof i 2019 på civile tank-
stationer, indeholder datagrundlaget således ikke det unikke medarbejdernummer.
Det samme gør sig gældende for knap 3.000 tankninger på militære tankanlæg, sva-
rende til knap 3 % af transaktionerne på disse tankanlæg, på trods af at Forsvarsmi-
nisteriets retningslinjer stiller krav om, at der skal indtastes et unikt medarbejdernum-
mer, kilometertal for køretøjet på tankningstidspunktet og en pinkode til kortet på
tankanlægget, hver gang et køretøj tankes med et tankkort.
Andre datakilder hos For-
svarsministeriet
Forsvarsministeriet har oplyst,
at puljekøretøjer (som er ho-
vedparten af ministerområ-
dets personbiler) udelukken-
de registreres centralt i dele-
bilsdatabasen, hvorimod kø-
retøjer, der forvaltes af den
enkelte myndighed, fx kamp-
vogne, pansrede køretøjer og
andre specialkøretøjer, regi-
streres og autoriseres lokalt
ved den enkelte myndighed
og ikke i delebilsdatabasen.
70. Vi har endvidere ved stedlig revision på et militært tankanlæg konstateret, at ind-
tastning af medarbejdernummer og kilometertal ikke var nødvendigt for at tanke. Rigs-
revisionen kunne anvende et af Forsvarsministeriets tankkort, selv om vi indtastede
tilfældige cifre som medarbejdernummer. Det er efterfølgende kontrolleret, at cifrene
ikke var enslydende med et eksisterende medarbejdernummer. Rigsrevisionen kon-
staterer, at når Forsvarsministeriets tankkort tillader tankninger uden indtastning af
identifikationsoplysninger, er det vanskeligt efterfølgende at følge op på transaktioner
for det enkelte tankkort.
Forsvarsministeriet har oplyst, at det er muligt at kontrollere, hvem der er registreret
som bruger af et givent køretøj uden at bruge NetFuel-databasen, da Forsvarsmini-
steriet råder over andre datakilder, fx andre databaser eller rapporter hos de enkelte
myndigheder, hvor information om brugerne fremgår. Forsvarsministeriet har oplyst,
at kontroller hermed, bl.a. for at finde afvigelser, kræver samkøring af de forskellige
datakilder. Denne mulighed er ikke systemunderstøttet, men Forsvarsministeriet har
oplyst, at ministeriet arbejder på en it-understøttelse af kontrollen.
Rigsrevisionen bemærker, at selv om det er muligt at kontrollere forbruget ud fra for-
skellige datakilder, kan Rigsrevisionen konstatere, at en sådan kontrol ikke er foreta-
get af Forsvarsministeriet i 2019.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0056.png
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
49
Tankninger i weekender og om aftenen
71. Vi har undersøgt, hvordan betalingerne med tankkort i 2019 fordeler sig på hver-
dage og weekender samt på forskellige tidspunkter af døgnet, og dermed om der er
tegn på, at anvendelsen af tankkort uden for normal arbejdstid på civile tankstationer
og militære tankanlæg viser et specielt mønster. Resultaterne af vores analyse viser,
at medarbejderne oftere tanker uden for normal arbejdstid på civile tankstationer end
på militære anlæg, jf. figur 12.
Brændstofforbrug i 2019
Det totale brændstofforbrug
registreret i Forsvarets trans-
aktionsdatabase var i 2019:
Civile tankstationer: 14, 3
mio. kr.
Militære tankanlæg: 39,9
mio. kr.
Figur 12
Andelen af tankninger foretaget i weekender eller om aftenen/natten
i 2019
25 %
20 %
15 %
10 %
5%
0%
Weekender
Mellem kl. 22.00-04.00
Civile tankstationer
Militære tankanlæg
Kilde:
Rigsrevisionen på baggrund af Forsvarsministeriets NetFuel-database.
Det fremgår af figur 12, at 20 % af alle tankninger på civile tankstationer (svarende til
7.119 tankninger til en samlet værdi af 2,8 mio. kr.) fandt sted på weekenddage i 2019.
Det samme gør sig kun gældende for 8 % af tankningerne på militære tankanlæg til
en samlet værdi af 50.000 kr. Hyppigheden af tankninger, som finder sted mellem
kl. 22.00-04.00, er også højere på civile tankstationer, hvor knap 8 % af alle tanknin-
ger fandt sted i dette tidsrum (til en værdi af 955.000 kr.), mens det samme kun var
tilfældet for 3 % af tankningerne på militære tankanlæg.
Rigsrevisionen konstaterer, at der er et højt antal tankninger i weekender og om nat-
ten på civile tankstationer.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0057.png
50
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Forsvarsministeriet har oplyst, at tankninger uden for normal arbejdstid ikke er usæd-
vanligt, da ministeriet har aktiviteter hele døgnet rundt, og at der ud over nationale op-
gaver er kursus- og øvelsesvirksomhed uden for normal arbejdstid, hvor der er et
transportbehov på grund af den geografiske spredning af ministerområdets aktivite-
ter. Forsvarsministeriet finder det derfor ikke påfaldende, at tankninger under løsning
af nationale opgaver og øvelsesaktiviteter i hele Danmark foretages i weekender og
om natten.
Rigsrevisionen har ikke sammenholdt oplysninger om tankninger med Forsvarsmini-
steriets opgaveløsning, og hvornår på døgnet denne finder sted.
Forbrugsmønstre i 2019
Analyser af forbrugsmønstre
er foretaget på baggrund af
stikprøver (risikobaserede og
tilfældige), som ikke er repræ-
sentative.
72. Vores analyser af udvalgte forbrugsmønstre viser også, at der i 2019 blev gennem-
ført en del overtankninger, dvs. at der blev tanket mere brændstof, end køretøjets
tank kan rumme. Dette gør sig gældende for tankninger på både civile tankstationer
og militære tankanlæg, men oftest på civile tankstationer. Tabel 3 viser eksempler på
overtankning.
Tabel 3
Eksempler på overtankning i 2019
Tankanlæg
Civil
Civil
Civil
Civil
Militær
Militær
Militær
Militær
Biltype
Toyota Landcruiser
Mercedes Atego
Nissan Navara
Toyota Hilux
Toyota Landcruiser
Mercedes Atego
Nissan Navara
Toyota Hilux
Tank-
kapacitet
96 L
125 L
80 L
80 L
96 L
125 L
80 L
80 L
Antal tankninger
i alt
66
126
214
22
117
683
593
19
Antal tankninger
over tankkapacitet
4
31
5
2
8
87
2
1
Andelen af tankninger
over kapacitet
6
%
25
%
2
%
9%
7
%
13 %
0
%
5
%
Note: Tankkapaciteten er fastsat ud fra den offentligt tilgængelige standard for biltypen fundet ved internetsøgning. Forsvarsministeriet har oplyst, at
hovedparten af ministeriets køretøjer har standardtanke, men at Toyota Landcruiser har en tank, som er større end standarden. Vores beregnin-
ger tager udgangspunkt i, at køretøjerne er kørt helt tomme for brændstof, før der tankes, hvilket må formodes at høre til undtagelserne. Bereg-
ningerne undervurderer derfor omfanget af overtankninger.
Kilde:
Rigsrevisionen på baggrund af Forsvarsministeriets NetFuel-database.
Eksemplerne i tabel 3 indikerer, at der i flere tilfælde ikke kun bliver fyldt brændstof på
det køretøj, der hører til tankkortet. Vores undersøgelse viser herudover, at der ikke
kun bliver overtanket med små mængder. Der er fx tilfælde, hvor der på civile tanksta-
tioner er tanket 176 %, 258 %, 449 % og 508 % af køretøjets tankkapacitet. Der er lig-
nende eksempler på de militære tankanlæg, hvor der i nogle tilfælde er tanket 292 %,
495 % og 843 % af tankkapaciteten. Undersøgelsen viser således, at Forsvarsministe-
riets tankkort er anvendt til overtankning af køretøjer, hvilket er i strid med retnings-
linjerne.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
51
Forsvarsministeriet har oplyst, at Forsvarets Materiel- og Indkøbsstyrelse ikke tidli-
gere har analyseret de data, som modtages fra tankanlæggene, for at kunne identifi-
cere eventuel overtankning. Dog har Forsvarets Materiel- og Indkøbsstyrelse i forlæn-
gelse af Rigsrevisionens undersøgelse foretaget lignende analyser af data for 2019 og
har fået tilsvarende resultater. Forsvarets Materiel- og Indkøbsstyrelse har stikprøve-
vis indhentet forklaringer fra medarbejderne på overtankninger og har oplyst, at det
vedrører situationer, hvor tankkortene er anvendt til flere køretøjer ud fra en pragma-
tisk løsning på et problem og vel vidende, at det er i strid med reglerne. Forsvarsmini-
steriet har endvidere oplyst, at der ikke findes skriftlig dokumentation for, at disse
tankninger i sin tid blev ledelsesgodkendt, da autorisation til at anvende et køretøj au-
tomatisk medfører tilladelse til at tanke bilen. Tankninger skal derfor ikke godkendes
separat.
I øvrigt kan Rigsrevisionen konstatere ud fra tankdata for august 2020, at disse data i
modsætning til tankdata for august 2019 nu i langt større grad indeholder medarbej-
dernummer.
Nye tiltag i 2020
Forsvarets Materiel- og Ind-
købsstyrelse har i efteråret
2020 oplyst, at der er igang-
sat en række tiltag for at for-
bedre kontrollen på området,
herunder udarbejdelse af et it-
program, som automatisk vil
analysere data fra bl.a. Net-
Fuel-databasen for at identifi-
cere tilfælde af overtankning.
Implementeringen forventes
medio 2021.
Resultater
Undersøgelsen viser, at Forsvarsministeriet har nedskrevne retningslinjer for, hvornår
tankkort må bruges, og hvad de må bruges til, men at ministeriet ikke har en tilfreds-
stillende kontrol med, at reglerne overholdes.
Undersøgelsen viser, at Forsvarets tankkort er anvendt til overtankning af køretøjer,
hvilket er i strid med retningslinjerne. Overtankningerne gælder i særlig grad tanknin-
ger på civile tankstationer.
Desuden viser Rigsrevisionens gennemgang, at de data, som ligger til grund for For-
svarets Materiel- og Indkøbsstyrelses tilsyn med medarbejdernes anvendelse af tank-
kort, ikke har en tilstrækkelig kvalitet og ikke hidtil er blevet anvendt til fx stikprøvevis
at kontrollere medarbejderes anvendelse af tankkort til Forsvarsministeriets køretø-
jer. Rigsrevisionen finder samlet, at Forsvarsministeriet ikke har haft en tilfredsstillen-
de kontrol med anvendelsen af tankkort, og at dette har medført en øget risiko for en
uretmæssig anvendelse af kortene. Rigsrevisionen finder, at Forsvarsministeriet har
adgang til data, som potentielt vil kunne anvendes i en mere effektiv kontrol, hvis dis-
se blev samkørt. Forsvarets Materiel- og Indkøbsstyrelse har i efteråret 2020 oplyst,
at der er igangsat en række tiltag for at forbedre kontrollen på området.
4.4. Betalingskort
73. Statsrevisorerne bad specifikt Rigsrevisionen om at undersøge anvendelsen af
statens betalingskort. Vi har derfor undersøgt, om 3 udvalgte virksomheder (Forsvars-
ministeriet, politiet og anklagemyndigheden og Danmarks Meteorologiske Institut) har
tilfredsstillende kontroller i forhold til ansattes brug af betalingskort i forbindelse med
tjenesterejser og tjenstlige indkøb af varer og ydelser. Virksomhederne er udvalgt på
baggrund af en analyse af alle transaktioner på betalingskort foretaget af alle ministe-
riers ansatte i 2019, hvor vi har taget højde for henholdsvis antal transaktioner og en
risikoanalyse af transaktionerne.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
52
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Vi har undersøgt, om virksomhederne i 2019 har truffet passende foranstaltninger for
at minimere risikoen for svig med betalingskort. Det kan fx være ved at sikre retnings-
linjer, der beskriver, hvordan medarbejderne skal anvende betalingskort, og at virk-
somhederne i et vist omfang monitorerer de ansattes anvendelse af betalingskort for
at opdage og korrigere eventuelle fejludbetalinger.
Ny vejledning om statens
betalingskort i 2020
Økonomistyrelsen har i april
2020 udsendt en ny vejled-
ning om anvendelsen af beta-
lingskort i staten, hvor bl.a. de-
finitionen på firmahæftende
og privathæftende betalings-
kort er præciseret.
74. Det er de enkelte ministeriers og virksomheders opgave at monitorere medarbej-
deres anvendelse af betalingskort og at inddrage kort, når det er nødvendigt. Statens
betalingskort må kun anvendes til arbejdsrelaterede formål, hvilket følger af regn-
skabsbekendtgørelsens regler og Økonomistyrelsens vejledninger på området. Korte-
ne kan både være firmahæftende, hvor virksomheden hæfter for betalingerne, og pri-
vathæftende, hvor medarbejderen hæfter for betalingerne, men ingen af kortene må
benyttes til private formål. Betalingskort skal dog som hovedregel være firmahæften-
de og kun undtagelsesvist med privathæftende. Hvis en virksomhed anvender privat-
hæftende kort, skal anvendelsen og kriterierne herfor fremgå af virksomhedens regn-
skabsinstruks (jf. cirkulære nr. 24 af 20. april 2020 om anvendelse af betalingskort og
regnskabsbekendtgørelsens § 30).
Virksomhederne har mulighed for at trække en kortindehaverliste, som bl.a. kan an-
vendes til at kontrollere grundlaget for de udstedte kort, herunder kontrollere det må-
nedlige maksimum knyttet til det enkelte tildelte kort. SEB Kort Bank, som administre-
rer alle statens betalingskort, sender dagligt datafiler med oplysninger om virksomhe-
dernes enkelte transaktioner, som kan afstemmes med de fakturaer, som SEB Kort
Bank månedligt sender til virksomhederne. Herudover kan virksomhederne få adgang
til et statistikværktøj, som kan anvendes til at se virksomhedens forbrugsmønstre for-
delt på fx branche og indkøbssted.
75. Vi har analyseret data om virksomhedernes indkøb og har på den baggrund ud-
trukket virksomheder med mønstre for transaktioner, der kunne indikere, at betalings-
kort er blevet anvendt til privat forbrug. Vi har udtrukket en risikobaseret stikprøve af
transaktioner inden for følgende kategorier:
SEB Kort Bank
SEB Kort Bank står for Skan-
dinaviska Enskilda Banken,
som opererer i Danmark.
barer og diskoteker
sundhed og beauty spa
bøder samt told og skat
datingtjenester
tips og gambling
kontanthævninger
MobilePay-betalinger
tv-pakker og musiktjenester
tøj.
Figur 13 viser alle indkøb foretaget inden for de 9 kategorier med statens betalingskort
i 2019. Kategorierne bygger på koder defineret af SEB Kort Bank, som knytter sig til
indkøbsstedet (både fysiske og internetbaserede). Det er således ikke den enkelte va-
re, der identificeres, men selve forretningen, hvor der indkøbes. I bilag 2 beskrives, hvi-
lke kategorier fra SEB Kort Bank der indgår i hver af de 9 indkøbskategorier.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0060.png
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
53
Figur 13
Antal indkøb og samlet indkøbssum inden for 9 udvalgte kategorier i
staten i 2019
2.500
2.000
1.500
1.116
2.383
2.113
1.856
1.569 1.543
1.000
648
668
186
12
5
39 20
500
33 48
125 104
64
0
MobilePay-betalinger
Bøder samt told og skat
Datingtjenester
Tips og gambling
Antal transaktioner
Beløb i alt (i 1.000 kr.)
Note: Vi har frasorteret kontanthævninger i udlandet og i Kastrup, da disse må antages at være knyttet til
rejseaktivitet.
Kilde:
Rigsrevisionen på baggrund af data fra SEB Kort Bank.
Forbruget på betalingskort var i 2019 på godt 586 mio. kr. fordelt på over 533.400
transaktioner på over 18.000 statslige betalingskort udstedt af SEB Kort Bank. Heraf
udgjorde ca. 1 % af beløbet, svarende til knap 5,3 mio. kr., indkøb inden for de 9 ind-
købskategorier.
Vi lægger til grund, at der er en øget iboende risiko for, at medarbejdere kan anvende
betalingskort til privat forbrug i forbindelse med pengeoverførsler og kontanthævnin-
ger i Danmark og i udlandet, og at virksomhederne derfor i 2019 har truffet passende
foranstaltninger for at minimere risikoen ved fx at sikre, at der var fastsat retningslin-
jer for anvendelse af betalingskort, og at medarbejdernes anvendelse af betalingskort
i et vist omfang blev monitoreret for at opdage og korrigere fejludbetalinger.
Tv-pakker og musiktjenester
Barer og diskoteker
Sundhed og beauty spa
Kontanthævninger
Tøj
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
54
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
76. Bestemmelsen om anvendelsen af betalingskort er som nævnt beskrevet i regn-
skabsbekendtgørelsens § 30 og uddybet i Finansministeriets cirkulære om anvendel-
se af betalingskort i staten. Det er de enkelte ministeriers og virksomheders opgave at
bestille, administrere og monitorere medarbejderes anvendelse af betalingskort og at
inddrage kort, når det er nødvendigt. Statens betalingskort anvendes til afholdelse af
tjenstlige udgifter i forbindelse med tjenesterejser eller ved tjenstlige indkøb på vegne
af arbejdsgiveren. Uanset om kortet er firmahæftende eller privathæftende, må kor-
tet kun anvendes til tjenstlige formål med undtagelse af mindre private udgifter under
tjenesterejser, som medarbejderen selv betaler i forbindelse med rejseafregningen.
Anvendes et firmahæftende kort til ikke-tjenstlige forhold, vil der være tale om under-
slæb.
Vi har til vores undersøgelse udtaget risikobaserede stikprøver af betalingskorttrans-
aktioner fra Forsvarsministeriet (herunder Forsvarskommandoen og Forsvarsstaben),
Justitsministeriet (herunder politiet og anklagemyndigheden) og Klima-, Energi- og
Forsyningsministeriet (herunder Danmarks Meteorologiske Institut). Der blev i 2019 i
alt gennemført over 142.000 betalinger med betalingskort fra de 2 virksomheder un-
der Forsvarsministeriet (svarende til indkøb for over 238,5 mio. kr.), mens politiet og
anklagemyndighedens betalingskort blev brugt til over 55.500 betalinger (svarende
til godt 63 mio. kr.). Betalingskort fra Danmarks Meteorologiske Institut blev anvendt
næsten 4.000 gange i 2019 (svarende til 4,4 mio. kr.). Forsvarsministeriet rådede iføl-
ge oplysninger fra Økonomistyrelsen over flere end 10.600 betalingskort ved udgan-
gen af 2019, mens Justitsministeriet havde godt 1.500 kort, og Klima-, Energi- og For-
syningsministeriet godt 1.100 kort.
Forsvarsministeriets kontrol med betalingskort
Småfornødenheder
Forsvarsministeriet accepte-
rer, at 25 % af time- og dag-
pengene må anvendes til ind-
køb af småfornødenheder.
Forsvarsministeriet har oplyst,
at 75 % af time- og dagpenge-
ne skal dække merudgifter til
måltider, mens de resterende
25 % er til afholdelse af udgif-
ter til småfornødenheder.
Forsvarsministeriet har oplyst,
at der ikke skal foreligge doku-
mentation for afholdte udgifter
i forbindelse med udbetaling
af time- og dagpenge baseret
på Økonomistyrelsens Perso-
nale Administrative Vejled-
ning, afsnit 21.4.2.1.
77. Forsvarsministeriets retningslinjer for anvendelse af betalingskort er beskrevet i
regnskabsinstruksen for 2019. Retningslinjerne tilsiger, at betalingskort kun må anven-
des i forbindelse med betaling af tjenstlige udgifter vedrørende rejser og under rejser.
Betalingskort må dog også anvendes til mindre private udgifter under tjenesterejsen,
som har direkte sammenhæng med tjenesterejsen eller ophold herunder, og som med-
arbejderen selv skal betale i forbindelse med rejseafregningen (såkaldte småfornø-
denheder). Samtidig fremgår det, at betalingskortet aldrig må anvendes til rent privat
forbrug, da dette ikke har sammenhæng med tjenesterejsen eller er tjenstligt begrun-
det. Forsvarsministeriet har endvidere oplyst, at bestemmelsesgrundlaget og admini-
strationen henhører under Forsvarsministeriets Regnskabsstyrelse, og at medarbej-
derne fremsender bilag til dækning af det hævede beløb på kortene til afregning cen-
tralt, hvorefter eventuelt overskud (det hævede beløb minus summen af alle bilag) fra
den enkelte medarbejder indbetales ved at indeholde det i nettolønnen.
Vores undersøgelse af de udvalgte indkøbskategorier, jf. pkt. 75, viser, at det særligt
er på kategorierne indkøb af tøj, betaling på barer og diskoteker, kontanthævninger
og MobilePay-betalinger, at Forsvarsministeriets betalingskort anvendes. Figur 14 vi-
ser forbruget i de 9 udvalgte kategorier i Forsvarsministeriet i 2019.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0062.png
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
55
Figur 14
Indkøb inden for 9 kategorier i Forsvarsministeriet i 2019
1.000
829
800
600
400
735
599
328
235
174
28
92
11
9
4
3
13
1
88
30
17
232
200
0
MobilePay-betalinger
Datingtjenester
Bøder samt told og skat
Tips og gambling
Antal transaktioner
Beløb i alt (i 1.000 kr.)
Note: Indkøb dækker over transaktioner foretaget med betalingskort fra Forsvarskommandoen, Hjemmevær-
net, Forsvarsministeriets Personalestyrelse og Forsvarsministeriets Materiel- og Indkøbsstyrelse samt
nogle få transaktioner fra Forsvarsministeriets departement. Transaktioner fra departementet indgik
ikke i den risikobaserede stikprøve, som Rigsrevisionen har indhentet redegørelse for fra Forsvarsmini-
steriet.
Kilde:
Rigsrevisionen på baggrund af data fra SEB Kort Bank.
Det fremgår af figur 14, at medarbejderne i Forsvaret i 2019 har foretaget knap 600
kontanthævninger, som beløber sig til ca. 830.000 kr., dvs. gennemsnitligt ca. 1.400
kr. pr. gang. Herudover har medarbejderne overført penge til tilsyneladende private
brugere af MobilePay 174 gange, svarende til overførsler på godt 92.000 kr., dvs. gen-
nemsnitligt ca. 500 kr. pr. gang. Ifølge Forsvarsministeriets retningslinjer må betalings-
kort ikke anvendes til MobilePay eller til at hæve kontanter, med visse undtagelser i
forbindelse med hævning i danske lufthavne.
Kreditmaksimum på alle firmahæftende betalingskort i Forsvarsministeriet er som ud-
gangspunkt fastsat til 50.000 kr. pr. løbende 30 dage ved udstedelse. Der kan ansø-
ges om en midlertidig forhøjelse heraf, hvis dette er begrundet og chefgodkendt.
Tv-pakker og musiktjenester
Barer og diskoteker
Sundhed og beauty spa
Kontanthævninger
Tøj
Hævning af udenlandsk
valuta i danske lufthavne
Kontanthævninger i uden-
landsk valuta i danske lufthav-
ne i forbindelse med udrejse er
tilladt med Forsvarsministe-
riets betalingskort, jf. Økono-
mistyrelsens vejledning om
betalingskort i staten. Trans-
aktioner foretaget i danske
lufthavne er derfor på forhånd
frasorteret i Rigsrevisionens
datagrundlag.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
56
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Forsvarets Regnskabsstyrelses kontrol med betalingskorttransaktioner
78. Forsvarets Regnskabsstyrelse screener ugentligt alle betalingskorttransaktioner
foretaget med Forsvarsministeriets firmahæftende betalingskort for at sikre, at korte-
ne benyttes efter reglerne til tjenstlige udgifter. Under screeningen undersøges poster,
som kan have karakter af rent privatforbrug, kontanthævninger i Danmark og transak-
tioner foretaget via apps, fx MobilePay, og der ses efter afvigende poster eller tenden-
ser. Forsvarsministeriet har oplyst, at transaktioner undersøges ved bl.a. at se på be-
skrivelsen af kreditkorttransaktionen (dvs. forretningsstedet), beløbets størrelse, om
forretningsstedet ligger i umiddelbar nærhed af den ansattes bopæl, og hvordan po-
sten er placeret på rejsen. Der foreligger en vejledning, der beskriver, hvilke parametre
gennemgangen kan tage udgangspunkt i, men ikke en detaljeret beskrivelse af, hvilke
parametre de enkelte transaktioner udtrækkes efter, og hvordan det fastslås, om der
er tale om et privat indkøb eller ej.
Ifølge Forsvarsministeriet er der tale om en kontrol, der screener for uhensigtsmæs-
sig adfærd med udgangspunkt i tendenser, mistænksomme forbrugsmønstre osv., og
derfor skal kontrollen/screeningen ifølge ministeriet ikke begrænses af fuldstændigt
fastlagte parametre og udtræksmetoder. Ministeriet har endvidere oplyst, at formå-
let med screeningen ikke er at tilsikre korrekt registrering af forbrug, men i stedet at
screene for, at anvendelse af betalingskortet overholder cirkulære nr. 24 af 20. april
2010. Desuden har Forsvarsministeriet oplyst, at screeningen ikke står alene, idet der
også foretages kontrol i forbindelse med fordeling af indlæste poster fra SEB Kort
Bank til videre behandling, ligesom der ligger en kontrol i processen for rejse- og ud-
lægssystemet. Samtidig må firmakortene ifølge Forsvarsministeriets retningslinjer an-
vendes til dækning af mindre private udgifter, der har direkte sammenhæng med tje-
nesterejsen, og de skal i givet fald ikke vedlægges dokumentation, hvis udgiften mod-
regnes i time-og dagpengene. Dog har Forsvarets Regnskabsstyrelse oplyst, at hvis
det på baggrund af screeningen skønnes, at der er tale om en transaktion eller et for-
brug, der har karakter af privatforbrug, kontaktes den pågældende medarbejder med
henblik på videre udredning og fremsendelse af eventuel dokumentation for det tjenst-
lige formål med købet.
Kun firmahæftende betalingskort screenes, idet forbrug på privathæftende kort – der
kun anvendes af frivillige i Hjemmeværnet – ikke skal dokumenteres med bilag ved
træk på medarbejderens egen bankkonto, men først i forbindelse med, at der ansøges
om udlæg, hvorved forbruget bliver en udgift for Forsvarsministeriet. Mens firmahæf-
tende kort afregnes via lønnen, gælder det for privathæftende kort, at faktura for an-
vendelsen fremsendes til den frivillige, og at Forsvarsministeriet først hæfter over for
SEB Kort Bank, hvis den frivillige ikke betaler fakturaen til SEB Kort Bank, og Gælds-
styrelsen derefter ikke kan inddrive fordringen.
79. Vores undersøgelse viser, at der er foretaget kontanthævninger, betalinger i butik-
ker, der kategoriseres med indkøbstyperne ”tips og gambling” og ”sundhed og beauty
spa”, betalinger i tøjbutikker i udlandet og betalinger for forskellige abonnementer med
Forsvarsministeriets firmahæftende kort i 2019. Der er også hævet kontanter og gen-
nemført betalinger inden for kategorien ”datingtjenester” med privathæftende kort ud-
stedt af Forsvarsministeriet. Rigsrevisionen har derfor udtrukket en risikobaseret stik-
prøve inden for disse kategorier og bedt Forsvarsministeriet redegøre for, om knap
200 transaktioner, som ikke umiddelbart virker som arbejdsrelaterede udgifter, dæk-
ker over køb til privat forbrug eller har en arbejdsmæssig forbindelse.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
57
80. Forsvarets Regnskabsstyrelse har i en redegørelse oplyst, at der ikke foreligger
underliggende bilag for 105 (svarende til 55 %) af transaktionerne i stikprøven. For-
svarsministeriet har oplyst, at dette skyldes, at der er tale om forbrug med privathæf-
tende eller firmahæftende betalingskort, hvor udgiften trækkes direkte på medarbej-
derens bankkonto og derfor ikke er en udgift for Forsvarsministeriet. Ministeriet har
endvidere oplyst, at i de tilfælde, hvor medarbejderen ønsker et forbrug på et privat-
hæftende betalingskort dækket af Forsvarsministeriet, opretter medarbejderen et
udlæg i ministeriets rejse- og udlægssystem. I forbindelse med oprettelsen af udlæg-
get vedlægges bilag, hvorefter udlægget fremsendes til chefgodkendelse. Bilag fore-
findes i disse tilfælde i rejse- og udlægssystemet. Ministeriet har derudover oplyst, at
der er tale om forbrug på firmahæftende kort i forbindelse med køb af småfornøden-
heder (også betegnet privatforbrug på rejsen), hvor der ifølge cirkulære nr. 12212 af
30. juni 2000 ikke er krav om dokumentation, og hvor udgiften modregnes direkte i
time- og dagpengene. Desuden har ministeriet oplyst, at der for 9 poster vedrørende
indkøbskort er dokumentation og chefgodkendelse i workflowet (fakturabehandlings-
processen) i SAP.
For 49 af de 105 bilag har Forsvarsministeriet endvidere ikke mulighed for at foretage
kontrol eller fremfinde dokumentation. Dette skyldes ifølge Forsvarsministeriet, at der
er brugt privathæftende betalingskort, som fremover vil blive udfaset. For 41 af de 105
bilag har Forsvarsministeriet oplyst, at udgifterne er modregnet i time- og dagpenge-
satserne, men ministeriet har ikke fremsendt dokumentation herfor. Dog har ministe-
riet oplyst, at der ikke er krav om dokumentation for udgifter til småfornødenheder
modregnet i time- og dagpengene med henvisning til cirkulære nr. 12212 af 30. juni
2000.
Vi har fra Forsvarsministeriet modtaget bilag for de resterende indkøb i vores stikprø-
ve, som for langt hovedparten dækker indkøb af streamingtjenester og opkobling til
internettet, besøg hos udenlandske lægeklinikker (transaktioner med indkøbskatego-
rien ”sundhed og beauty spa” dækker, jf. de tilsendte bilag, over lægebesøg i udlandet)
og et enkelt tilfælde betaling for et midlertidigt kørekort i udlandet. Rigsrevisionen har
ikke modtaget en detaljeret redegørelse med oplysninger om, af hvem og hvornår dis-
se transaktioner er blevet godkendt. Forsvarsministeriet har dog oplyst, at der forelig-
ger en chefgodkendelse for alle transaktionerne, og at Forsvarets Regnskabsstyrelse
har kontrolleret alle transaktioner i den tilsendte stikprøve, herunder bl.a. betalinger i
butikker med indkøbskategorien ”tips og gambling”, og vurderet, at alle ligger inden for
gældende retningslinjer. Forsvarsministeriet fremhæver desuden i sin redegørelse, at
det er de enkelte lokale enheder (kommandoer og myndigheder), der har ansvaret for
at godkende medarbejdernes brug af betalingskort i forhold til de regler, som Forsva-
rets Regnskabsstyrelse har udarbejdet på området. Herunder henviser Forsvarsmini-
steriet til chefansvar i forbindelse med firmahæftende betalingskort og oplyser, at der
ikke findes lokale beskrivelser af, hvilken kontrol der skal være med ansattes anven-
delse af betalingskort.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
58
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Rigsrevisionen vurderer, at den screening, der er foretaget i Forsvarets Regnskabs-
styrelse, ikke er helt tilstrækkelig til at mindske risikoen for, at medarbejdere anven-
der betalingskort til ikke-arbejdsrelaterede udgifter. Dette gælder alle typer betalings-
kort (hvad enten det er privathæftende kort eller ej), idet det under alle omstændighe-
der i sidste ende er staten, der hæfter for eventuel manglende betaling af forbrug. For-
svarsministeriet har i den forbindelse oplyst, at alle betalingskortposter, som den en-
kelte medarbejder ikke enten selv knytter til en udgift med tilhørende dokumentation
eller anmoder om at blive modregnet i time- og dagpengene eller i lønnen, bliver gen-
nemgået af Forsvarsministeriets Regnskabsstyrelse. Forsvarsministeriets Regnskabs-
styrelse tager kontakt til de enkelte medarbejdere med anmodning om at fremsende
bilag – idet der ellers foretages en modregning af betalingskortposten i medarbejde-
rens løn. Dermed sikres, at alle betalingskortposter håndteres og afsluttes. Forsvars-
ministeriet har oplyst, at håndteringen af dokumentation sker i regi af rejse- og ud-
lægssystemet, som ikke indgår i vores undersøgelse.
Rigsrevisionen konstaterer, at når Forsvarsministeriet ikke har dokumentation for al-
le indkøb, der gennemføres med ministeriets betalingskort, kan ministeriet ikke kon-
trollere, at betalingskortene anvendes inden for reglerne. Når Forsvarsministeriet ikke
kræver, at der vedlægges dokumentation for betalinger for småfornødenheder, som
modregnes i time- og dagpengene, kan ministeriet ikke kontrollere, om betalingskor-
tene eventuelt anvendes til private formål, hvilket er i strid med de gældende regler.
Rigsrevisionen understreger herudover, at anvendelse af betalingskort i forbindelse
med tjenesterejser ikke kun skal følge de statslige regler for rejseudgifter, men også
reglerne for anvendelse af betalingskort. Reglerne for betalingskort stiller særlige krav
til de udgifter, som kortene må anvendes til, og dermed også til den dokumentation,
der skal foreligge, og til virksomhedernes kontrol hermed.
Forsvarsministeriet har videre oplyst, at der i 2019 var 272 sager vedrørende uautori-
seret forbrug på firmahæftende betalingskort. I disse sager havde Forsvarsministeriet
registreret uautoriseret forbrug for i alt godt 320.000 kr. I de nævnte sager har med-
arbejderne selv hæftet for udgiften, så Forsvarsministeriet ikke har lidt tab.
Forsvarsministeriets interne revision har analyseret brugen af betalingskort i 2018, og
ministeriet har på den baggrund planlagt og iværksat initiativer såsom indskærpelse
af regelsættet om brug af betalingskort.
Den interne revision har først afrapporteret sin revision af betalingskort i februar 2020,
og Forsvarsministeriet har oplyst at have et skærpet fokus på området.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0066.png
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
59
Politiet og anklagemyndighedens kontrol med betalingskort
81. Reglerne for brug af betalingskort i politiet og anklagemyndigheden fremgår af
regnskabsinstruksen for politiet og anklagemyndigheden. Politiet og anklagemyndig-
heden har fået dispensation fra Økonomistyrelsen fra reglen om kontanthævninger i
Danmark, så det i konkrete tilfælde – særligt på asylområdet – er tilladt at hæve kon-
tanter i Danmark. Dog må kortene ikke anvendes til at købe abonnementer.
82. Vores undersøgelse af betalingstransaktioner foretaget med politiet og anklage-
myndighedens kort viser bl.a., at medarbejdere i politiet og anklagemyndigheden har
brugt deres betalingskort til private formål, fx betaling af afgifter, køb af ydelser i ka-
tegorien ”sundhed og beauty spa” (herunder massage), datingtjenester og tøj. Under-
søgelsen viser også, at der i 2019 blev hævet kontanter svarende til 202.000 kroner
med politiet og anklagemyndighedens betalingskort i Danmark. Undersøgelsen viser,
at det særligt er indkøb af tøj, kontanthævninger, MobilePay-betalinger og betaling
på barer og diskoteker, hvor politiet og anklagemyndighedens betalingskort anven-
des blandt de udvalgte indkøbstyper. Figur 15 viser forbruget i de udvalgte kategorier
i 2019.
Private kort i politiet og
anklagemyndigheden
Justitsministeriet har oplyst,
at hovedparten af de udstedte
betalingskort er tilknyttet kort-
indehaverens private bank-
konto, hvor kortindehaverens
udlæg efterfølgende udeluk-
kende kan refunderes i forbin-
delse med udarbejdelse og
godkendelse af en rejseafreg-
ning eller anden afregning.
Figur 15
Antal indkøb og samlet indkøbssum inden for 4 udvalgte kategorier i
Rigspolitiet i 2019
600
527 532
400
200
202
160
42
151
141
118
0
Barer og diskoteker
Antal transaktioner
Kontanthævninger
MobilePay-betalinger
Tøj
Beløb i alt (i 1.000 kr.)
Note: Vi har frasorteret kontanthævninger i udlandet og i Kastrup, da disse må antages at være knyttet til
rejseaktivitet.
Kilde:
Rigsrevisionen på baggrund af data fra SEB Kort Bank.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
60
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Tøjindkøb med politiet
og anklagemyndighedens
betalingskort
Tøjindkøb kan i visse tilfælde
være en refusionsberettiget
tjenstlig udgift. Fx har livvag-
ter i PET mulighed for at købe
beklædning for et vist beløb
årligt, som refunderes af PET.
83. Rigspolitiet har undersøgt dokumentationen for de transaktioner i 2019, hvor Rigs-
revisionens analyse har indikeret, at betalingskortet kan være blevet anvendt i strid
med retningslinjerne. Rigspolitiet har oplyst, at 217 af de 233 transaktioner, som er ud-
taget til gennemgang, vedrører privat forbrug. Det svarer til 93 % af den samlede risi-
kobaserede stikprøve.
Rigspolitiet har oplyst, at i de tilfælde, hvor der er tale om private køb, er disse foreta-
get med de privathæftende betalingskort, hvor forbruget trækkes direkte på medar-
bejderens private bankkonto uden om politiet og anklagemyndighedens økonomi. De
pågældende medarbejdere har således ikke fået refunderet de private udgifter.
Politiet og anklagemyndigheden hæfter imidlertid subsidiært for forbruget på de pri-
vathæftende betalingskort, hvilket – som en sag fra 2017 viser – kan føre til, at staten
i sidste ende risikerer at betale for privatforbruget.
Sagen fra 2017 resulterede i, at Rigspolitiet hæftede for en restance over for betalings-
kortudsteder, inden en medarbejders kort blev lukket. Rigspolitiet har efterfølgende
sendt gælden til opkrævning hos skattemyndighederne, og Gældsstyrelsen har ind-
drevet gælden hos den tidligere medarbejder i 2020. Der er ikke sket en besvigelse,
men det har taget 3 år, før gælden blev indfriet.
84. Rigspolitiet har desuden oplyst, at gennemgangen har vist, at nogle medarbejdere
gentagne gange – ud over de transaktioner, der er omfattet af Rigsrevisionens stikprø-
ve fra 2019 – har anvendt betalingskortet til privat forbrug – dog også uden at få pri-
vatforbruget refunderet af politiet. Rigspolitiet har som konsekvens heraf spærret de
udstedte betalingskort, og indehaverne har fået indskærpet, at de har handlet i strid
med politiet og anklagemyndighedens retningslinjer for anvendelse af betalingskort.
85. Rigspolitiet har oplyst, at de fremover vil ændre retningslinjerne for udstedelse af
betalingskort til medarbejdere, så betalingskort kun udstedes til medarbejdere, der
vurderes at have et særligt tjenstligt behov, fx betydelig rejseaktivitet, ligesom beta-
lingskort fremadrettet ændres, så de udstedes som firmahæftende kort, hvor kredit-
korttransaktionerne vil blive afregnet direkte med politiets bankkonti. Dette vurderes
samlet set at ville medføre en reduktion i antallet af betalingskort. Dermed vil det ikke
længere være muligt at anvende betalingskortet til private formål, uden at det vil frem-
gå af politiets bankkontoudtog og i RejsUd. Rigspolitiet vil også undersøge, hvordan
kontrolmiljøet mv. for udstedelse og brug af betalingskort kan styrkes, så risikoen for
politiets hæftelse og muligheden for brug af kortet til ikke-tjenstlige formål minimeres.
Rigspolitiet oplyser supplerende, at de er i gang med at gennemgå et samlet udtræk af
transaktioner fra perioden 1. januar 2019 - juni 2020 for at undersøge, om der er yder-
ligere tilfælde, hvor betalingskort i modstrid med retningslinjerne er anvendt til priva-
te formål. Rigspolitiet gennemgår herudover alle kortholdere, hvor der primo august
2020 var restancer, for at undersøge, om betalingsfristerne overholdes.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
61
Danmarks Meteorologiske Instituts spærring af betalingskort
86. Danmarks Meteorologiske Institut (DMI) har beskrevet procedurer for udstedelse
af betalingskort, og reglerne for anvendelse af betalingskort fremgår af regnskabsin-
struksen. Vores analyse af DMI’s brug af betalingskort i 2019 viser, at der blev foreta-
get uretmæssige transaktioner med MobilePay og kontanthævninger i januar 2019,
og at transaktionerne blev foretaget af en på daværende tidspunkt opsagt medarbej-
der (pr. september 2018).
DMI har oplyst, at medarbejderen på grund af længere tids sygemelding ikke havde af-
leveret sit betalingskort til DMI, som heller ikke havde spærret kortet. DMI opdagede
selv de uretmæssige transaktioner i RejsUd, hvorefter bogholderiet lukkede betalings-
kortet og fulgte op på sagen, hvilket resulterede i, at medarbejderen betalte alle pen-
gene tilbage. DMI har på baggrund af sagen ændret proceduren for, hvordan fratrådte
medarbejderes kreditkort bliver lukket, så betalingskort fremover lukkes på fratræ-
delsesdatoen.
Resultater
Rigsrevisionens gennemgang af forbruget på statslige betalingskort i 3 udvalgte virk-
somheder viser, at der ifølge regnskabsbekendtgørelsen findes retningslinjer, der be-
skriver brug af betalingskort, men at medarbejdere i et vist omfang har anvendt beta-
lingskort til privat forbrug hos politiet og anklagemyndigheden i strid med retningslin-
jerne på området, og at hverken Forsvarsministeriets eller politiet og anklagemyndig-
hedens kontrol på området har været tilstrækkelig i 2019. Det skal bemærkes, at den
uretmæssige anvendelse af betalingskort ikke har medført uretmæssige udgifter for
de 2 virksomheder.
Herudover viser en sag fra DMI, at der er risiko for, at medarbejdere, der ikke længere
er ansat, kan anvende betalingskort i strid med reglerne. Efter sagen i 2019 skærpede
DMI proceduren for at sikre rettidig lukning af fratrådte medarbejderes betalingskort.
4.5. Kontroller på lønområdet
87. Ministeriernes lønkontroller og deres styring af brugerrettigheder i SLS er væsent-
lige elementer i ministeriernes arbejde med at sikre, at der udbetales korrekt løn, og at
risikoen for svig på lønområdet minimeres. Vi har derfor undersøgt, om ministerierne
har fastlagt betryggende forretningsgange vedrørende lønkontroller og styring af bru-
gerrettigheder i SLS.
Samlet vurderes lønområdet mindre risikofyldt i forhold til de statsansattes mulighed
for at begå besvigelser, idet den faste løn udbetales automatisk hver måned, når først
lønoplysningerne er indtastet korrekt i lønsystemet.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
62
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
Ministeriernes lønkontroller
Lønkontrol – Koncept og
rammer
I Finansministeriets vejledning
”Lønkontrol – Koncept og ram-
mer” beskrives, hvilke kontrol-
foranstaltninger (fx kernekon-
troller og stikprøvekontroller)
der som minimum skal være
til stede for at afdække even-
tuelle besvigelsesrisici.
Virksomheder med væ-
sentlige fejl og mangler
88. Vi har undersøgt, om virksomhederne har udarbejdet en lønkontrolplan, der lever
op til Finansministeriets vejledning om lønkontroller. Videre har vi undersøgt, om virk-
somhederne samler op på de fejl, der eventuelt konstateres ved udbetaling af løn. En-
delig har vi undersøgt, om der er væsentlige mangler i virksomhedernes lønkontroller.
89. Rigsrevisionen foretog i 2019 revision af lønkontroller i 26 udvalgte virksomheder
baseret på væsentlighed og risiko, jf. bilag 3. Undersøgelsen viser, at der i 8 virksomhe-
der var væsentlige fejl og mangler i lønkontrollerne. De 8 virksomheder var fordelt på
5 ministerier (Uddannelses- og Forskningsministeriet, Klima-, Energi- og Forsynings-
ministeriet, Kulturministeriet, Transport- og Boligministeriet og Social- og Indenrigsmi-
nisteriet). I alle 8 virksomheder var der mangler i beskrivelsen af lønkontroller i lønkon-
trolplanen, og de levede derfor ikke op til Finansministeriets vejledning om lønkontrol-
ler. Fx var lønkontrollerne ikke baseret på en konkret vurdering af væsentlighed og ri-
siko, eller håndteringen af svig var ikke dækkende beskrevet i forretningsgangene.
Manglende fokus på væsentlighed og risiko samt manglende fokus på svig kan fx re-
sultere i, at lønkontrollerne ikke afdækker fejludbetalinger eller eventuelt svig.
90. Rigsrevisionen har desuden konstateret, at 6 ud af de 8 virksomheder i 5 ministe-
rier enten ikke havde foretaget en systematisk og dokumenteret fejlopsamling eller
ikke anvendte fejlopsamlingen til at sikre, at processer forbedres, fejl ikke gentages
over tid, og at risikoen for svig minimeres. Konsekvensen ved manglende systematisk
og dokumenteret fejlopsamling er, at virksomhederne ikke har overblik over antal og
typer af fejl. Dermed kan virksomhederne ikke målrette og effektivisere lønkontrol-
lerne fremadrettet for at undgå fejl og minimere risikoen for svig. Rigsrevisionen har
endelig konstateret, at der i 2 ud af de 8 virksomheder i 2 ministerier var svage eller
manglende lønkontroller. Manglende kontrol af lønnen kan både medføre øget risiko
for fejl og øget risiko for svig.
91. Rigsrevisionen vurderede i beretningen om lønforvaltningen i staten, at Finansmi-
nisteriet (Økonomistyrelsen) ikke havde understøttet lønforvaltningen i staten tilfreds-
stillende. Rigsrevisionen påpegede ligeledes, at Finansministeriet (Økonomistyrelsen)
ikke havde fulgt op på, om konceptet for lønkontrol er implementeret efter hensigten.
Finansministeriet har oplyst, at Statens Administration har præciseret opgavesplittet
i forhold til sine kunder, så det tydeligere fremgår, hvilken kontrol der skal udføres hos
kunderne. Ligeledes har Finansministeriet (Økonomistyrelsen) oplyst, at der er udar-
bejdet et koncept for fejlopsamling, som har fokus på væsentlighed og risiko.
Ministeriernes styring af brugerrettigheder i SLS
De 8 virksomheder, som hav-
de væsentlige fejl og mangler i
deres lønkontroller i 2019, er:
Danmarks Akkrediterings-
institution
Dansk Dekommissionering
Arkitektskolen Aarhus
Energistyrelsen
Den Danske Scenekunst-
skole
Det Kongelige Teater
Banedanmark
Økonomi- og Indenrigsmini-
steriets departement.
Virksomheder, lønfælles-
skaber og løngrupper
En
virksomhed
er én enhed, fx
Kriminalforsorgen, der vareta-
ger egen brugerstyring.
Et
lønfællesskab
anvendes om
de virksomheder, der vareta-
ger administration af bruger-
styring for flere virksomheder
på et ministerområde, fx i et
fælleskontor for HR og løn.
En
løngruppe
er en enhed, der
udbetaler løn til egen løngrup-
pe. Det vil typisk også være en
selvstændig virksomhed, men
en virksomhed kan dog også
råde over flere løngrupper.
92. Vi har undersøgt ministeriernes styring af brugernes rettigheder i SLS. For at sikre
funktionsadskillelsen i lønprocessen i SLS er det centralt, at ministerierne styrer bru-
gernes rettigheder, og at de handlinger, som medarbejderne kan gennemføre i SLS,
er afgrænset ud fra et arbejdsbetinget behov. I hver virksomhed eller i hvert lønfæl-
lesskab bør der ifølge Finansministeriets vejledning om brugerstyring være oprettet
én eller flere lokale brugeradministratorer, der kan give andre brugere rettigheder til
SLS.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0070.png
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
63
Figur 16 viser, at styring af brugerrettigheder til SLS sker via systemet Brugerstyring
Løn (BSL), og styringen af brugerrettigheder varetages med udgangspunkt i 4 primæ-
re roller hos virksomheden. Brugeradministratoren tildeler rettigheder til lønsystemet
på baggrund af oplysninger fra en bestiller, og de tildelte rettigheder bliver løbende
kontrolleret af en anden medarbejder (kontrollant).
Figur 16
Styring af brugerrettigheder i Statens Lønsystem
Kontrollant
Foretager en løbende kontrol
på baggrund af kontrolmail fra
BSL ved ændringer i BSL.
Foretager en supplerende
kontrol af, om alle brugere har
et arbejdsbetinget behov for
rettigheder til lønsystemet.
@
Brugerstyring Løn
BSL
Bestiller
Bestiller oprettelse,
ændring eller sletning
hos brugeradministrator.
Brugeradministrator
Tildeler brugeradgange og bru-
gerrettigheder i BSL og foretager
ændringer og sletninger. Bruger-
administrator har fuld adgang til
at tildele rettigheder, uanset om
der foreligger en bestilling eller ej,
og må derfor ikke være bestiller
eller kontrollant.
Trækker kontrollister til kontrol-
lant med aktuelle brugere i løn-
systemet.
Bruger
Bruger i lønsystemet, som
indtaster og godkender
lønudbetalinger.
Kilde:
Rigsrevisionen på baggrund af Finansministeriets ”Guide til brugeradministration – Løn”.
Det fremgår af figur 16, at virksomhederne skal udføre kontrol, når der sker ændringer
i de rettigheder, som brugeradministratoren tildeler medarbejdere i SLS. Kontrollen
foretages på baggrund af en kontrolmail, der sendes automatisk fra BSL til kontrollan-
ten ved enhver oprettelse, ændring mv. Hvis kontrollen ikke udføres, kan brugeradmi-
nistratoren i princippet tildele uautoriserede rettigheder samt oprette og lukke fiktive
brugere, uden at det opdages.
Kontrolmail
En automatisk systemmail til
kontrollanten, når der er fore-
taget oprettelser, ændringer
eller er lukket brugere, hvilket
begrænser muligheden for
uopdaget svig.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
64
| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn
93. Vi har undersøgt, om væsentlige løbende kontroller udføres, og om der er medar-
bejdere, som har konfliktende rettigheder (medarbejdere, som både kan tildele rettig-
heder og indrapportere og godkende løn i SLS).
94. I 2019 har vi undersøgt styringen af brugerrettigheder i SLS i 37 virksomheder og
lønfællesskaber på tværs af 5 ministerier (Kulturministeriet, Social- og Indenrigsmini-
steriet, Klima-, Energi- og Forsyningsministeriet, Børne- og Undervisningsministeriet
og Justitsministeriet), jf. bilag 4. Undersøgelsen er afrapporteret i beretningen om re-
visionen af statsregnskabet for 2019. Rigsrevisionen konstaterede mangler i styringen
af brugerrettigheder i SLS i 4 af de 5 ministerier, idet ministerierne ikke har sikret, at
Finansministeriets vejledning ”Guide til brugeradministration – Løn” efterleves. Rigs-
revisionen konstaterede bl.a., at de 4 ministerier i deres styring af brugerrettigheder
ikke havde dokumentation for, at væsentlige løbende kontroller blev udført. Videre
var der konfliktende rettigheder i alle 5 ministerier, da den fungerende brugeradmini-
strator både kunne tildele rettigheder og samtidig indrapportere eller godkende løn.
Det fremgår af Finansministeriets vejledning, at brugeradministratoren også kan væ-
re bruger af lønsystemet. Rigsrevisionen vurderer dog, at virksomhederne i så fald bør
sikre, at der er etableret kompenserende kontroller, der mindsker risikoen for svig ved
de konfliktende rettigheder. Hvis virksomhederne ikke har kompenserende kontroller,
eller kontrollerne ikke fungerer, har brugeradministratoren mulighed for at oprette en
bruger og udbetale løn til sig selv.
Børne- og undervisningsministeren og justitsministeren har i redegørelserne til beret-
ningen om revisionen af statsregnskabet for 2019 tilkendegivet, at de vil adskille ret-
tighederne, så opgaven som brugeradministrator bliver videregivet til medarbejdere
uden adgang til lønsystemet.
95. Rigsrevisionen konstaterede ligeledes i beretningen om revisionen af statsregn-
skabet for 2019, at manglerne i tildelingen af brugerrettigheder indikerer, at Finans-
ministeriet bør styrke vejlednings- og overvågningsindsatsen på området. Dette kan
understøtte ministeriernes sikring af, at underliggende virksomheder har en sikker
styring af brugerrettigheder.
Finansministeren har i redegørelsen til beretningen om revisionen af statsregnskabet
for 2019 oplyst, at Finansministeriet vil se på muligheden for at styrke kontrollen med
brugere og brugerrettigheder gennem en bedre understøttelse af ministerierne.
96. Rigsrevisionen har i forlængelse af undersøgelsen i 2019 undersøgt styringen af
brugerrettigheder i SLS i yderligere 4 lønfællesskaber på tværs af 4 ministerier (Uden-
rigsministeriet, Skatteministeriet, Erhvervsministeriet og Sundheds- og Ældreministe-
riet) for 2019 og 2020, jf. bilag 5. Rigsrevisionen konstaterede de samme fejl og mang-
ler i styringen af brugerrettigheder, som blev rapporteret i beretningen om revisionen
af statsregnskabet for 2019. Undersøgelsen viste bl.a., at 3 ministerier (Udenrigsmini-
steriet, Skatteministeriet og Sundheds- og Ældreministeriet) i deres styring af bruger-
rettigheder ikke havde dokumentation for, at væsentlige løbende kontroller blev ud-
ført. Videre var der konfliktende rettigheder i alle 4 ministerier, da den fungerende bru-
geradministrator både kunne tildele rettigheder og samtidig indrapportere eller god-
kende løn.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |
65
Rigsrevisionen kunne endvidere konstatere, at Udenrigsministeriet havde særligt væ-
sentlige udfordringer sammenlignet med de øvrige undersøgte ministerområder, idet
ministeriet havde oprettet en brugeradministrator, uden at denne havde kendskab
hertil. Desuden videregav brugeradministratoren en mail med en personlig første-
gangskode til BSL til en anden medarbejder, som herefter varetog funktionen som
brugeradministrator. Endelig blev der i Udenrigsministeriet ikke udført væsentlig kon-
trol med brugeradministratorens arbejde i 8 måneder (fra oktober 2019 til juni 2020),
idet kontrollanten, som skulle varetage kontrollen, var fratrådt.
Udenrigsministeriet har oplyst, at ministeriet efter Rigsrevisionens gennemgang af mi-
nisteriets brug af BSL har opdateret rollerne i forhold til BSL, så der nu er fuld klarhed
over, hvem der gør hvad, så alle roller er bemandet. Udenrigsministeriet har endvi-
dere udarbejdet og iværksat nye kompenserende kontrolprocedurer i forhold til BSL.
Statens Administrations styring af brugerrettigheder i SLS
97. Vi har undersøgt, om Statens Administration har sikret kontrol med brugerrettig-
hederne for egne medarbejdere og påset, at brugerrettighederne svarer til det ar-
bejdsbetingede behov, hvilket mindsker risikoen for uautoriseret adgang til SLS.
98. Undersøgelsen viser, at Statens Administration månedligt kontrollerer egne med-
arbejderes brugerrettigheder. Kontrollen er dog mangelfuld, idet der fx ikke i alle de
gennemgåede sager var foretaget en dokumenteret gennemgang af brugerrettighe-
derne, ligesom det ikke var alle teamledere i Statens Administration, som udførte den
påkrævede kontrol hver måned i overensstemmelse med Finansministeriets forret-
ningsgange. Finansministeriet har oplyst, at Statens Administration er i gang med at
implementere et nyt brugerstyringskoncept, der bl.a. indeholder løbende kontrol af
brugerrettigheder for egne medarbejdere. Konceptet forventes fuldt implementeret
i 2020.
Statens Administration
kontrollerer fra 2020
medarbejdernes bruger-
rettigheder automatisk
Statens Administration har i
2020 udviklet en ”robot”, der
løbende scanner medarbej-
dernes brugerrettigheder og
disses eventuelle konflikter.
Resultater
Rigsrevisionen konstaterer, at 8 virksomheder i 5 ministerier ikke levede op til Finans-
ministeriets vejledning om lønkontroller, og at 6 ud af 8 virksomheder i 5 ministerier
enten ikke havde foretaget en systematisk og dokumenteret fejlopsamling eller ikke
anvendte fejlopsamlingen til at sikre, at processer forbedres, at fejl ikke gentages over
tid, og at risikoen for svig minimeres. Rigsrevisionen har endelig konstateret, at der i
2 ud af 8 virksomheder i 2 ministerier var svage eller manglende lønkontroller. Mang-
lende kontrol af lønnen kan både medføre øget risiko for fejl og øget risiko for svig.
Rigsrevisionen konstaterer ligeledes mangler i styringen af brugerrettigheder i SLS i
både 2019 og 2020. Således har ministerierne ikke sikret, at Finansministeriets vejled-
ning ”Guide til brugeradministration – Løn” efterleves. Rigsrevisionen konstaterede
bl.a., at 7 af de undersøgte ministerier i deres styring af brugerrettigheder ikke havde
dokumentation for, at væsentlige løbende kontroller blev udført. Videre var der kon-
fliktende rettigheder i alle 9 undersøgte ministerier, da den fungerende brugeradmini-
strator både kunne tildele rettigheder og samtidig indrapportere eller godkende løn.
Endelig kan Rigsrevisionen konstatere, at Statens Administration ikke i tilstrækkelig
grad foretog kontrol af brugerrettigheder for egne medarbejdere.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0073.png
66
| Ministeriernes administration af tilskud i udvalgte tilskudssystemer
5. Ministeriernes admini-
stration af tilskud i ud-
valgte tilskudssystemer
Delkonklusion
4 ud af 5 udvalgte ministerier anvendte it-systemer til at håndtere tilskud
på en måde, som ikke i tilstrækkelig grad sikrede kontrol med styring af
brugerrettigheder og overvågning af brugeres aktiviteter i tilskudssystemet
til at understøtte betryggende funktionsadskillelse.
De 5 ministerier anvender systemet TAS til at håndtere tilskud. Der er fundet eksem-
pler på utilfredsstillende styring af brugernes rettigheder i systemet. De 5 ministerier
havde derudover ikke etableret en tilstrækkelig proces for logning og kontrol af privi-
legerede brugeres handlinger i systemet.
Rigsrevisionen konstaterer dog, at ministerierne i 2019 har arbejdet med at styrke kon-
trollerne i tilskudsprocessen for at reducere risikoen for fejl og svig. Socialstyrelsen har
i den forbindelse foretaget en større omlægning af kontrolmiljøet, så registrering af fx
tilskudsmodtager og bankkonto, der ligger til grund for udbetalinger, ikke længere sker
via tilskudssystemet. Herved er besvigelsesrisikoen, som tidligere var til stede ved sty-
relsens brug af TAS, væsentligt reduceret.
Undersøgelsen viser også et eksempel på en mindre tilskudsordning, hvor Kulturmini-
steriet anvender et lokalt it-system til at administrere tilskud, og hvor manglende funk-
tionsadskillelse og utilstrækkelig styring af brugerrettigheder har givet en øget risiko
for, at ansatte kunne begå svig. De kompenserende kontroller var heller ikke tilstræk-
kelige til at begrænse risikoen for svig.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0074.png
Ministeriernes administration af tilskud i udvalgte tilskudssystemer |
67
99. Dette kapitel handler om, hvorvidt ministerierne i 2019 anvendte it-systemer til at
håndtere tilskud på en måde, som i tilstrækkelig grad sikrede funktionsadskillelse og
en tilfredsstillende kontrol med styring af brugerrettigheder. Vi har for det første un-
dersøgt, om de 5 virksomheder har vurderet risici ved administrationen af tilskud i
TAS, og om virksomhederne har sikret funktionsadskillelse samt styring og logning af
brugernes rettigheder i systemet. Herudover har vi undersøgt, om Kulturministeriet an-
vender et specialudviklet system til at håndtere tilskud med tilfredsstillende funktions-
adskillelse.
Tilskudssystemet TAS
TAS anvendes af i alt 9 stats-
lige virksomheder, hvoraf 3
anvender specialudviklede sy-
stemløsninger (B-TAS, MJV-
TAS mv.). De udvalgte virk-
somheder i denne undersøgel-
se anvendte følgende versio-
ner af TAS i 2019:
Socialstyrelsen
5.1. Administration af tilskud i TAS
100. De 5 udvalgte virksomheder, der benytter TAS, udbetalte tilsammen ca. 15,1 mia.
kr. i tilskudsmidler i 2019. Virksomhederne fordelt på de 5 ministerområder fremgår
af tabel 4.
TAS 6.1.0.774
Styrelsen for Arbejdsmar-
ked og Rekruttering
TAS 7.1 og 8.1.0.160
Miljøstyrelsen
TAS 7.1.0.499 og 7.1.0.627
Energistyrelsen
TAS 7.1 og 8.2
Slots- og Kulturstyrelsen
TAS 5.1.2.231.
Tabel 4
De 5 virksomheders udbetalinger af tilskud i 2019
Klima-, Energi- og Forsyningsministeriet
Miljø- og Fødevareministeriet
Beskæftigelsesministeriet
Kulturministeriet
Social- og Indenrigsministeriet
I alt
Energistyrelsen
Miljøstyrelsen
Styrelsen for Arbejdsmarked og Rekruttering
Slots- og Kulturstyrelsen
Socialstyrelsen
7�½839 mio. kr.
196 mio. kr.
813 mio. kr.
5�½334 mio. kr.
942 mio. kr.
15�½123 mio. kr.
Note: For Miljøstyrelsen dækker oplysningerne i tabellen tilsagn på ansøgningspuljerne og således ikke udbetaling af alle tilskud foretaget i TAS i 2019.
For Slots- og Kulturstyrelsen dækker oplysningerne udgifter til alle tilskud, jf. årsrapporten for 2019, og vedrører ikke kun TAS. For Socialstyrel-
sen dækker beløbet over udgifter bogført på standardkonto 46 i 2019.
Kilde:
Rigsrevisionen på baggrund af oplysninger fra virksomhederne.
Risikovurdering vedrørende administration af tilskud i TAS
101. Vi har undersøgt, om de 5 virksomheder har vurderet risici i administrationen af
tilskud og arbejdet på at afhjælpe eventuelle kontrolsvagheder i 2019.
102. Styrelsen for Arbejdsmarked og Rekruttering og Socialstyrelsen har udarbejdet
systematiske, ledelsesgodkendte vurderinger af risici og planer til at håndtere risici
i 2019. De 2 virksomheder har også beskrevet og iværksat initiativer til, hvordan de
identificerede kontrolsvagheder kan udbedres.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
68
| Ministeriernes administration af tilskud i udvalgte tilskudssystemer
Der er også blevet arbejdet med at vurdere risici og kontroller i tilskudsadministratio-
nen hos de øvrige 3 virksomheder. Energistyrelsen har dog ikke systematisk (tilbage-
vendende og ensartet) udarbejdet ledelsesgodkendte risikovurderinger af tilskudsad-
ministrationen i 2019 og har således ikke sikret, at alle relevante og væsentlige risici i
de interne kontroller er identificeret, analyseret og evalueret, herunder risikoen for, at
en medarbejder kan omgå eksisterende kontroller eller udnytte viden om eventuelle
kontrolmangler. Slots- og Kulturstyrelsen har udarbejdet ledelsesgodkendte risikovur-
deringer af tilskudsadministrationen på aggregeret niveau, så risikovurderingerne har
en mere generel karakter og ikke forholder sig til specifikke risici. Fx har Slots- og Kul-
turstyrelsen i sin risikovurdering af TAS ikke forholdt sig til relevante risici for mangler
i funktionsadskillelse, til logning og til risikoen for besvigelser ved omgåelse af syste-
mets opsætning. Miljøstyrelsen har foretaget en risikovurdering, men ikke foretaget
sig videre, fx udarbejdet en handlingsplan.
103. Vores gennemgang viser derudover, at alle 5 virksomheder i perioden september
2018 - ultimo 2019 har styrket eksisterende funktionsadskilte kontroller og implemen-
teret nye kontroller, der begrænser risikoen for svig i processerne for registrering og
udbetaling af tilskud. Socialstyrelsen har efter svigsagen foretaget en egentlig omlæg-
ning af kontrolmiljøet i tilskudsprocessen, hvor stamdata- og udbetalingshåndtering
er blevet flyttet ud af TAS og over i Navision Stat. I den forbindelse har Socialstyrelsen
bl.a. implementeret en ny database, som sikrer, at der sker en automatisk validering af
stamoplysninger og posteringer før indlæsning i udbetalingskladder. I Energistyrelsen
foregår stamdata- og udbetalingshåndteringen i TAS, men styrelsen har oplyst, at der
er en manuel kompenserende kontrol, hvor regnskabsafdelingen kontrollerer, at bank-
kontonummeret og beløbet stemmer overens med tilskudsmodtagerens udbetalings-
anmodning forud for fremsendelse af udbetalingsbilag til Navision Stat.
Funktionsadskillelse og styring af adgange og rettigheder i TAS
104. Vi har undersøgt, om de 5 virksomheder har sikret funktionsadskillelse mellem
brugerroller i TAS, herunder at brugere med privilegerede rettigheder til at drifte og
vedligeholde systemet ikke kan deltage i administrationen af tilskud.
105. Vores undersøgelse viser, at 4 ud af de 5 virksomheder (Energistyrelsen, Styrel-
sen for Arbejdsmarked og Rekruttering, Slots- og Kulturstyrelsen og Socialstyrelsen)
ikke havde fastlagt retningslinjer og procedurer for funktionsadskillelse mellem bru-
gerroller i TAS, hvilket ellers kunne sikre overblik over, om en tilfredsstillende person-
mæssig funktionsadskillelse var sikret.
Energistyrelsen har dog oplyst, at der i styrelsens regnskabsafdeling er en kompen-
serende kontrol, som sikrer funktionsadskillelse, idet tilsagn om tilskud og udbetalin-
ger kontrolleres forud for fremsendelse til bogføring i Navision Stat uden for TAS.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes administration af tilskud i udvalgte tilskudssystemer |
69
Gennemgangen viser endvidere, at 4 ud af 5 virksomheder (Energistyrelsen, Miljøsty-
relsen, Styrelsen for Arbejdsmarked og Rekruttering og Socialstyrelsen) ikke udførte
løbende kontroller af, om der var et arbejdsbetinget behov for egne brugeres adgange
og rettigheder i TAS, herunder sagsbehandlere og brugere med privilegerede rettig-
heder som sikkerhedsbrugere eller superbrugere. Særligt brugere med privilegerede
rettigheder kan udgøre en øget risiko i forhold til svig, da disse brugere har udvidet ad-
gang til kontroller og data. Brugere med privilegerede rettigheder vil fx kunne ændre
i systemopsætningen, oprette brugere og tildele rettigheder og dermed omgå funk-
tionsadskillelse, uden at det opdages.
For Socialstyrelsen gør det sig dog som nævnt gældende, at brugere i TAS ikke har
muligheden for at gennemføre betalinger alene, idet alle betalinger og stamdata kon-
trolleres af 2 uafhængige godkendere fra styrelsen i Navision Stat. Dermed er besvi-
gelsesrisikoen forbundet med de privilegerede brugeres handlinger i TAS imødegået
af kontroller hos Socialstyrelsen.
106. Undersøgelsen viser også, at Energistyrelsen og Styrelsen for Arbejdsmarked og
Rekruttering ikke havde sikret funktionsadskillelse i forhold til deres privilegerede bru-
gere. Energistyrelsen har fx i 2019 haft en privilegeret bruger, som arbejdede i den af-
deling, der varetog tilskudsadministration. Energistyrelsen har efter Rigsrevisionens
henvendelse oplyst, at den pågældende medarbejders privilegerede rettigheder nu er
blevet lukket. Styrelsen for Arbejdsmarked og Rekruttering havde 2 brugere med pri-
vilegerede rettigheder i 2019. Dvs. at de 2 brugere med privilegerede rettigheder som
sikkerhedsbruger eller superbruger har haft teknisk mulighed for fx at oprette brugere
og tildele rettigheder, godkende tilsagn og udbetalinger samt ændre i systemopsæt-
ningen og i budgetrammen. Disse brugere havde derfor mulighed for at omgå system-
understøttede kontroller i TAS.
Miljøstyrelsen etablerede i 3. kvartal 2019 dokumenterede gennemgange af brugere
og brugerhandlinger foretaget af privilegerede TAS-brugere. Miljøstyrelsen har op-
lyst, at styrelsen har vurderet, at hvis en privilegeret bruger forsøger at omgå den sy-
stemunderstøttede funktionsadskillelse (1. og 2. godkendelse), vil dette blive fanget i fx
budgetopfølgningen. Rigsrevisionen vurderer dog, at det vil være muligt for en privile-
geret bruger med kendskab til Miljøstyrelsens interne kontroller at omgå funktions-
adskillelsen uden at blive opdaget. Fx har Miljøstyrelsen ikke taget stilling til og udar-
bejdet procedurer for logning af brugeraktivitet og gennemgang af loggen. Det bety-
der, at de privilegerede brugeres brugeraktivitet i systemet ikke logges, fx opsætning
af regler eller oprettelse af brugere.
Styrelsen for Arbejdsmarked og Rekruttering har oplyst, at styrelsen på baggrund af
Rigsrevisionens revision af tilskudsområdet i 2018 har etableret en række kompense-
rende kontroller, som sikrer, at et eventuelt misbrug vil blive opdaget. Styrelsen vil
endvidere indføre et tilsyn med ændringer i opsætningen, som forventes fuldt imple-
menteret i efteråret 2020, og vil desuden fremadrettet føre kontrol med ændringer i
stamdata. Energistyrelsen har ligeledes oplyst, at styrelsen i forlængelse af revisionen
i 2019 har igangsat tiltag til at styrke opsætningen af roller i TAS og kontrollen med, at
brugere har et arbejdsbetinget behov.
Brugere med privilegere-
de rettigheder
En privilegeret bruger af et it-
system kan have det højeste
niveau af rettigheder, adgang
og kontrol over systemer og
data og kan i de tilfælde bl.a.
overskrive loggen eller fore-
tage handlinger uden om log-
gen, medmindre der specifikt
er indsat logfunktioner til over-
vågning af dette.
Nogle privilegerede brugeres
rettigheder er dog begrænse-
de, så de ikke har server- og
databaseadgang.
Eksempler på privilegerede
brugere er sikkerhedsbrugere
eller superbrugere, som har
udvidede rettigheder.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
70
| Ministeriernes administration af tilskud i udvalgte tilskudssystemer
Nyere versioner af TAS
har ikke samme kontrol-
svaghed i systemet
Systemleverandøren af TAS
har lukket kontrolsvagheden i
systemet i en opdateret ver-
sion af TAS, som blev udgivet i
januar 2020.
Dog er det aktuelt kun Energi-
styrelsen, som har implemen-
teret den pågældende version
af TAS, dvs. at 4 ud af 5 virk-
somheder fortsat mangler at
opgradere til en nyere version
af TAS, hvor kontrolsvaghe-
den er udbedret af systemle-
verandøren.
107. I slutningen af 2019 blev Rigsrevisionen orienteret om, at der var en kontrolsvag-
hed i TAS, som betød, at det i de eksisterende versioner af TAS i 2019 har været mu-
ligt at ændre i stamdata, herunder kreditorstamdata, dvs. til hvem og til hvilken bank-
konto tilskud udbetales. Denne ændring af stamdata var mulig, efter 1. godkender hav-
de oprettet grundlaget for udbetaling, og 2. godkender havde godkendt grundlaget for
udbetaling. Det betød i praksis, at en medarbejder med det rette kendskab og rettig-
heder kunne udbetale tilskud til uretmæssige modtagere efter 2. godkendelse, så ud-
betalingen i systemet var godkendt efter reglerne, men pengene alligevel blev udbe-
talt til en forkert modtager.
3 ud af 5 virksomheder (Slots- og Kulturstyrelsen, Styrelsen for Arbejdsmarked og Re-
kruttering og Miljøstyrelsen) har ikke været bekendt med denne kontrolsvaghed i TAS,
men alle 3 virksomheder vurderer på baggrund af vores henvendelse, at de i 2019 hav-
de etableret kontroller vedrørende ændring af stamdata, som ville fange kontrolsvag-
heden. Slots- og Kulturstyrelsen har desuden oplyst, at styrelsen på baggrund af ori-
enteringen fra Rigsrevisionen har spærret for muligheden for at ændre stamdata i sy-
stemet med hjælp fra systemleverandøren i juni 2020.
Undersøgelsen viser samlet set, at de 5 virksomheder ikke har etableret en fuldt ud til-
fredsstillende personmæssig funktionsadskillelse på grund af utilstrækkelig styring af
adgange og rettigheder.
Logning og overvågning af brugernes handlinger i TAS
Aktiviteter, som bør log-
ges og kontrolleres
Aktiviteter, som bør logges og
kontrolleres, er fx stamdata-
ændringer, ændringer i sy-
stemopsætningen, ændringer
i adgange og rettigheder og
privilegerede brugeres aktivi-
teter i systemet.
Desuden forudsætter en ef-
fektiv logning, at loggen er be-
skyttet mod ændringer, at den
kontrolleres, og at kontrollen
af loggen er personmæssigt
funktionsadskilt fra de perso-
ner, hvis handlinger kontrolle-
res i loggen.
108. Logning og overvågning af brugernes handlinger i TAS er en kompenserende
kontrol i forhold til muligheden for at omgå funktionsadskillelsen, særligt i forhold til de
privilegerede brugeres handlinger og stamdataændringer. Vi har derfor undersøgt,
om de 5 udvalgte virksomheder har begrænset risikoen for svig ved at sikre en til-
strækkelig logning og kontrol af brugernes aktiviteter i systemet, dvs. hvad brugerne
har foretaget sig i systemet.
109. Alle 5 virksomheder har i 2019 anvendt versioner af TAS med en logfunktion. Her-
af havde 4 virksomheder (Miljøstyrelsen, Styrelsen for Arbejdsmarked og Rekrutte-
ring, Slots- og Kulturstyrelsen og Socialstyrelsen) dog kun en begrænset logfunktion,
som ikke loggede privilegerede brugeres aktiviteter (fx oprettelse af brugere og tilde-
ling af rettigheder). Desuden har en gennemgang af loggen foretaget af henholdsvis
Miljøstyrelsen og Slots- og Kulturstyrelsen ikke omfattet ændringer i stamdata, som
indgår i betalingsgrundlaget. Ingen af de 5 virksomheder har etableret en tilfredsstil-
lende kontrol af gennemgangen af loggen og opfølgning herpå. Dog ville gennemgan-
gen af loggen i TAS ikke være relevant for at begrænse risikoen for svig i Socialstyrel-
sen, idet Navision Stat – og ikke TAS – anvendes til at styre stamdata og betalinger.
110. Vores gennemgang viser, at Energistyrelsen i september 2019 opgraderede til en
nyere version af TAS med en central log og logning af privilegerede brugeres aktivite-
ter. Frem til opgraderingen har Energistyrelsen anvendt en TAS-version, som har haft
en begrænset logfunktion. Efter opgraderingen har Energistyrelsen af egen drift fore-
taget en bagudrettet kontrol tilbage til 2011, som på grund af ovennævnte konstate-
rede kontrolsvaghed i systemet omfattede en gennemgang af alle udbetalinger, også
for 2019, for at sikre, at der var blevet udbetalt til rette tilskudsmodtager og bank-
konto. Energistyrelsen havde imidlertid ikke i løbet af 2019 etableret en kontrol for
gennemgang af loggen og opfølgning på de privilegerede brugeraktiviteter i TAS.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes administration af tilskud i udvalgte tilskudssystemer |
71
Undersøgelsen viser således, at de 5 virksomheder ikke har etableret en fuldt ud til-
fredsstillende kontrol for gennemgang af loggen og opfølgning på særligt privilegere-
de brugeres handlinger. Det kan i kombination med manglende personmæssig funk-
tionsadskillelse og utilstrækkelig styring af adgange og rettigheder hos nogle af virk-
somhederne i 2019 have medført en risiko for, at uautoriserede brugeraktiviteter ikke
kunne afdækkes, og at eventuelle fejl eller svig dermed ikke kunne opdages.
5.2. Administration af tilskud i et lokalt system i Kultur-
ministeriet
111. Slots- og Kulturstyrelsen under Kulturministeriet forvalter en tilskudsordning kal-
det biblioteksafgiften. Ordningen administreres sammen med 2 andre ordninger i
Slots- og Kulturstyrelsen i et specialudviklet sagsbehandlingssystem. Vi har undersøgt,
om Slots- og Kulturstyrelsen har vurderet risici i administrationen af tilskuddet og sik-
ret funktionsadskillelse og kompenserende kontroller (herunder tilstrækkelig styring
af brugerrettigheder), der begrænser risikoen for svig.
Risikovurdering vedrørende administration af biblioteksafgiften
Biblioteksafgiften
Biblioteksafgiften er en kultur-
støtteordning til dansk sprog
og kultur, der har til formål at
støtte forfattere, oversættere,
illustratorer mfl., hvis bøger
benyttes på bl.a. Danmarks
folkebiblioteker.
I 2019 var der afsat 188,7 mio.
kr. til biblioteksafgiften på fi-
nansloven, og der blev udbe-
talt støttekroner til 10.521 per-
soner.
Fordelingen af biblioteksafgif-
ten finder sted på grundlag af
indberetninger fra folkebiblio-
tekerne, folkebibliotekernes
digitale udlånstjenester, folke-
skolens pædagogiske lærings-
centre og Nota, i det omfang
disse biblioteker har deres
bogbestand registreret i ma-
skinlæsbar form, og indberet-
ningerne indeholder de nød-
vendige data til beregning af
afgiften.
112. Slots- og Kulturstyrelsens risikovurdering af it-systemet er meget kortfattet, og
styrelsen forholder sig ikke til relevante it-risikoområder som fx adgangsstyring, æn-
dringsstyring og it-risici i forbindelse med manglende sikkerhedskontroller, herunder
fx funktionsadskillelse, logning og godkendelsesprocedurer. Vi kan desuden konstate-
re, at risikovurderinger er foretaget af den person fra it-afdelingen, som også er sy-
stemejer, og som dermed har privilegerede rettigheder til systemet. Der er ikke ind-
draget andre relevante sagsbehandlere fra Slots- og Kulturstyrelsen. Slots- og Kultur-
styrelsen har dog i december 2018 og september 2019 taget stilling til og rapporteret
sin vurdering af risikoen for besvigelse forbundet med manglende funktionsadskillel-
se i administrationen af biblioteksafgiften til departementet.
Funktionsadskillelse
113. Vores undersøgelse viser, at der i mange år – inkl. i 2019 – ikke har været funk-
tionsadskillelse i forvaltningen af biblioteksafgiften, da én it-medarbejder i Slots- og
Kulturstyrelsen har kunnet registrere, beregne og udbetale biblioteksafgiften. Figur 17
viser de opgaver, som denne ene medarbejder har løst.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0079.png
72
| Ministeriernes administration af tilskud i udvalgte tilskudssystemer
Figur 17
Én medarbejders opgaver knyttet til forvaltning af biblioteksafgiften
OPGAVER I
TILSKUDS-
PROCESSEN
Indlæser data om
tilmeldte modtagere
af biblioteksafgiften,
herunder bl.a. oplysninger
om forfattere og
bogbestand
Programmerer
algoritme og udfører
pointberetning til brug
for fastsættelse af
tilskud til den enkelte
modtager
Registrerer tilsagn og
udsender tilsagnsbreve
Danner udbetalingsliste
fra systemet og
uploader denne til
NemKonto-systemet
ANDRE OPGAVER
KNYTTET TIL
DETTE SYSTEM
Udarbejder risikovurdering af systemet
Varetager brugeradministration af roller og brugerrettigheder
Kilde:
Rigsrevisionen.
Det fremgår af figur 17, at én it-medarbejder har haft flere konfliktende roller. Ud over
at være systemadministrator har medarbejderen udarbejdet it-risikovurdering, vare-
taget brugeradministration af roller og brugerrettigheder og har haft privilegerede ret-
tigheder, som giver adgang til fx at programmere i systemet, herunder mulighed for at
rette og slette data i loggen.
114. Slots- og Kulturstyrelsen har oplyst, at sagsbehandlere ikke har adgang til at rette
beløb i systemet, ligesom de ikke kan ændre den automatisk beregnede pointværdi,
der ligger til grund for det beløb, som udbetales. Vores undersøgelse viser dog, som
vist i figur 17, at den førnævnte it-medarbejder løser opgaver, som skal danne grund-
laget for den regnskabsmæssige registrering og udbetalingerne, samtidig med at med-
arbejderen også har privilegerede rettigheder i systemet. I praksis betyder det, at
medarbejderen har ubegrænsede adgange og rettigheder i systemet. Slots- og Kultur-
styrelsen har oplyst, at medarbejderen har et arbejdsbetinget behov for at kunne va-
retage centrale funktioner i de arbejdsprocesser, der foregår i systemet. Samtidig har
vi dog konstateret, at Slots- og Kulturstyrelsen ikke har overvågning af administrator-
profiler i form af fx opfølgning i logs. Én person har således mulighed for at fuldføre al-
le handlinger i systemet uden at involvere andre medarbejdere i processen. Dette be-
tyder fx, at it-medarbejderen har mulighed for at ændre i de data, som bl.a. danner
grundlag for efterfølgende kontroller, udbetaling og bogføring. Det medfører en risiko
for, at utilsigtede fejl og svig ikke kan opdages af andre sikkerhedskontroller (fx en log-
funktion eller manuelle kompenserede kontroller). På baggrund af Rigsrevisionens un-
dersøgelse vil Slots- og Kulturstyrelsen gennemgå systemet og processerne omkring
dette og vurdere, om der skal foretages yderligere tiltag, som kan forbedre sikkerhe-
den, fx ved brug af logning og funktionsadskillelse.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Ministeriernes administration af tilskud i udvalgte tilskudssystemer |
73
115. Der eksisterer systemunderstøttede funktioner i systemet, som automatisk kan
sikre funktionsadskillelse. Disse funktioner har dog ikke været taget i brug hos Slots-
og Kulturstyrelsen. Ved manglende funktionsadskillelse skal der etableres kompen-
serende kontroller såsom overvågning af brugernes aktiviteter i systemet ved hjælp
af logdata. Slots- og Kulturstyrelsen har oplyst, at styrelsen endnu ikke har fundet en
metode til at bruge loggen fra systemet til kontrol.
Slots- og Kulturstyrelsen har videre oplyst, at det er styrelsens opfattelse, at håndte-
ringen af biblioteksafgiften – og risiko for svig – skal ses i lyset af, at biblioteksafgiften
er et ”lukket kredsløb”, og at styrelsen dels anvender stikprøver som kompenserende
kontrol, dels vurderer, at risikoen for svig er relativt lille. Slots- og Kulturstyrelsen har
også oplyst, at styrelsen har vurderet, at muligheden og sandsynligheden for at begå
svig i forbindelse med udbetaling af midler fra den undersøgte tildelingspulje er bety-
deligt mindre i forhold til mere ”klassiske” tilskudsordninger.
Kompenserende kontroller
Loganalyser som kom-
penserende kontrol
Da en log typisk stiller en stor
datamængde til rådighed for
videre analyse, kan det være
svært at afdække uregelmæs-
sige mønstre og adfærd. Der-
for er der udviklet værktøjer til
formålet (fx Log Analytics).
116. Vi har undersøgt, om Slots- og Kulturstyrelsen har kontroller, der kompenserer
for systemets svagheder. Slots- og Kulturstyrelsen har oplyst, at modtagerne af biblio-
teksafgiften må formodes at forvente udbetaling af en bestemt størrelse, hvorved de
udgør en ”resurse” i forhold til at afdække utilsigtede fejl og svig. Rigsrevisionen finder,
at dette ikke er en tilstrækkelig kompenserende kontrol til at imødegå risikoen for, at
der fx fejlagtigt udbetales mindre beløb over en periode til en uretmæssig modtager.
Da hele biblioteksafgiften fordeles på berettigede tilskudsmodtagere, vil en større æn-
dring ét sted i systemet påvirke alle øvrige udbetalinger. Slots- og Kulturstyrelsen har
på den baggrund valgt at anvende stikprøvekontroller på 10 sager i 2019 og 25 sager i
2020 og har oplyst, at styrelsen fremadrettet vil styrke kontrollen af dokumentation
for nye tilmeldte til ordningen. Slots- og Kulturstyrelsen har videre oplyst, at styrelsen
siden januar 2020 har været i dialog med Økonomistyrelsen om i fremtiden at etable-
re en bankkontokontrol, hvor udbetalinger fra Slots- og Kulturstyrelsen vil blive kon-
trolleret op imod udbetalinger fra banken.
Resultater
4 ud af 5 udvalgte ministerier anvender it-systemer, som ikke har tilfredsstillende it-
understøttede kontroller. Samtidig sikrer ministerierne ikke i tilstrækkelig grad kon-
trol med styring af brugerrettigheder og overvågning af brugeres aktiviteter i tilskuds-
systemet til at understøtte tilfredsstillende funktionsadskillelse.
De 5 ministerier anvender systemet TAS, der også blev anvendt i svigsagen fra Social-
styrelsen, til at håndtere tilskud. Der er fundet eksempler på, at brugernes rettigheder
til systemet ikke bliver styret i tilstrækkelig grad. Ingen af de 5 ministerier havde etab-
leret en tilstrækkelig proces for logning og kontrol af privilegerede brugeres handlin-
ger i systemet. Rigsrevisionen konstaterer dog, at Social- og Indenrigsministeriet ad-
ministrerer betalinger af tilskud uden for TAS, hvorved risikoen for besvigelser begået
ved brug af TAS reduceres.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
74
| Ministeriernes administration af tilskud i udvalgte tilskudssystemer
Undersøgelsen viser også et eksempel fra et mindre system, som Kulturministeriet an-
vender til at administrere en tildelingspulje, hvor manglende funktionsadskillelse og
utilstrækkelig styring af brugerrettigheder gav risiko for, at ansatte kunne begå svig.
De kompenserende kontroller var heller ikke tilstrækkelige til at imødegå risikoen for
svig. Desuden betød det faktum, at én nøglemedarbejder med privilegerede rettighe-
der har varetaget flere centrale funktioner i systemet i 2019, at der har været risiko for
fejl og svig.
Rigsrevisionen konstaterer, at ministerierne har arbejdet med at reducere besvigel-
sesrisici i TAS.
Rigsrevisionen, den 10. december 2020
Lone Strøm
/Peder Juhl Madsen
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0082.png
Statsrevisorernes anmodning |
75
Bilag 1. Statsrevisorernes anmodning
Statsrevisorernes spørgsmål
Kan ministeriers og styrelsers interne kontroller og forretningsgange så vidt muligt sikre en tilfredsstillende
og sikker økonomiforvaltning i staten, så besvigelser udført af ansatte i staten kan undgås?
Der ønskes særligt en gennemgang af, om statens virksomheder har beskrevet tilfredsstillende forretnings-
gange og interne kontroller på indkøbs-, tilskuds- og lønområderne, som er statens store udgiftsområder,
herunder en klar funktionsadskillelse.
Understøtter den it-mæssige opsætning i væsentlige tilskuds-, løn- og økonomisystemer funktionsadskilte
kontroller og logning af atypisk adfærd?
Efterleves forretningsgange, it-kontroller og øvrige interne kontroller i praksis på de områder, hvor der iden-
tificeres en særlig risiko fx atypiske indkøbs-, forbrugs- og bogføringsmønstre?
(Spørgsmålet er i undersøgelsen omformuleret til:
Havde ministerierne i 2019 i praksis tilfredsstillende in-
terne kontroller til at begrænse risikoen for besvigelser begået af statsansatte vedrørende indkøb og løn?)
Statsrevisorerne lagde i anmodningen vægt på, at undersøgelsen både skulle indeholde dataanalyser og
stikprøvevis efterprøvelse af, om de interne kontroller og forretningsgange efterleves.
Her besvares
spørgsmålet
Kapitel 2 og 3.
Kapitel 3 og 4.
Kapitel 5.
Statsrevisorerne anmodede den 12. december 2019 Rigsrevisionen om at undersøge
statens forretningsgange og interne kontroller med henblik på at undgå statsansattes
besvigelser, jf. rigsrevisorlovens § 8, stk. 1.
I anmodningen omtalte Statsrevisorerne, at Rigsrevisionen i en lang årrække i beret-
ningerne om revisionen af statsregnskabet har rapporteret, at der overordnet set er
en god og sikker regnskabsforvaltning i staten. Revisionen har dog også afdækket en
række fejl, usikkerheder og svagheder i ministeriernes interne kontroller og sager,
hvor der er risiko for fejl eller svig, fordi virksomhederne ikke i tilstrækkelig grad har
etableret funktionsadskilte kontroller i forbindelse med tilskudsforvaltning, indkøb,
betaling og bogføring. Statsrevisorerne henviste bl.a. til svig i forvaltningen af indkøb
på vedligeholdelsesområdet i Forsvarsministeriets Ejendomsstyrelse, svindel med
tilskudsmidler på socialområdet og svindel med refusion af udbytteskat.
Da Statsrevisorerne behandlede Rigsrevisionens forslag til tilrettelæggelse af under-
søgelsen, ønskede de, at undersøgelsen også omfattede statslige ansattes brug af
betalingskort.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
76
| Metodisk tilgang
Bilag 2. Metodisk tilgang
Formålet med undersøgelsen er at vurdere, om der i ministerierne er tilfredsstillende
forretningsgange og interne kontroller til at begrænse risikoen for besvigelser. Derfor
har vi undersøgt følgende:
Havde ministerierne i 2019 en tilfredsstillende styringsramme i forhold til at fore-
bygge risikoen for besvigelser begået af statsansatte vedrørende tilskud, indkøb
og løn?
Havde ministerierne i 2019 en tilfredsstillende systemunderstøttelse af funktions-
adskillelse i de fællesstatslige it-systemer?
Havde ministerierne i 2019 i praksis tilfredsstillende interne kontroller til at begræn-
se risikoen for besvigelser begået af statsansatte vedrørende indkøb og løn?
Havde ministerierne i 2019 tilfredsstillende it-understøttede kontroller i de anvend-
te tilskudssystemer?
Andre it-systemer
Skatteministeriet anvender
SAP og ikke IndFak til indkøb.
Dog er Medarbejder- og Kom-
petencestyrelsen under Skat-
teministeriet bruger af IndFak,
så godt 1.000 fakturaer fra
Skatteministeriets område
indgår i vores analyser af Ind-
Fak-data. Disse dækker dog
ikke hele regnskabsåret 2019,
da opsplitningen fra Økonomi-
styrelsen er sket løbende.
I undersøgelsen indgår alle ministerier og deres underliggende virksomheder, der
fremgår af tabel C i afsnittet om afgrænsning. Erhvervsministeriet har ikke besvaret
Rigsrevisionens materialeanmodning om ministeriernes interne kontrolmiljøer, hvor-
for resultater herfra ikke indgår. Hertil kommer, at Skatteministeriet hverken anven-
der Navision Stat, IndFak eller RejsUd (bortset fra Medarbejder- og Kompetencesty-
relsen under Skatteministeriet, som anvender IndFak), ligesom Forsvarsministeriet
heller ikke anvender Navision Stat, SLS, IndFak og RejsUd. Det betyder, at dataud-
træk fra de fællesstatslige it-systemer ikke indeholder data fra disse ministerier på
de respektive områder.
Undersøgelsen omhandler regnskabsåret 2019. Da det i sagens natur ikke er muligt at
foretage en fysisk gennemgang af fx it-systemer, som er blevet underlagt en ændring
efter den 31. december 2019, inddrager vi i dele af undersøgelsen resultater gælden-
de for 2020. Vi har dog så vidt muligt taget udgangspunkt i interne kontroller og for-
retningsgange i statslige virksomheder, som de så ud efter ressortændringen efter
folketingsvalget i 2019. Det samme gælder interne instrukser og procesbeskrivelser.
Undersøgelsen bygger på gennemgang af dokumenter, cases, stikprøver af bilag, en
selvangivelse og en spørgeskemaundersøgelse samt forskellige analyser af register-
data fra de fællesstatslige it-systemer samt det tilskudsadministrative system TAS
og et lokalt Oracle-baseret system. Hertil kommer, at vi har foretaget analyser af be-
talingskorttransaktioner i 2019. Vi har desuden holdt onlinemøder med udvalgte virk-
somheder for at drøfte de cases, der beskrives i kapitel 4 og 5. Som udgangspunkt for
undersøgelsen har vi – bl.a. ud fra en afdækning af ministeriernes kontrolmiljø, som
bygger på deres egen vurdering i henholdsvis selvangivelsen og spørgeskemaet – fo-
retaget en tværgående analyse af statslige virksomheders forretningsgange og inter-
ne kontroller samt håndteringen af risikoen i virksomhederne på et overordnet niveau.
Ud over gennemgangen af dokumenter og afholdelse af møder valgte vi at åbne en
whistleblowerordning, hvor ansatte i staten mfl. kunne tippe os om eventuelle uregel-
mæssigheder. Ordningen var åben for henvendelser i 2�½ måned i foråret 2020. Den-
ne afdækning (selvangivelse, analyse af data fra fællesstatslige it-systemer og whist-
leblowerordning) resulterede i et billede af risici, som vi efterfølgende anvendte til at
udtage virksomheder og stikprøver til yderligere revisionshandlinger.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0084.png
Metodisk tilgang |
77
Undersøgelsens opbygning med en bred tværgående analyse først og senere ind-
snævring af undersøgelsesfeltet til en smallere substansrevision og test af kontroller
er skitseret i figur A.
Figur A
Undersøgelsens opbygning og kilder hertil
Trin 1: Tværgående dataindsamling
Selvangivelse og
spørgeskema
Fællesstatslige
it-systemer
Trin 2: Risikobaseret caseudvælgelse
Risikomodel (analyse og vægtning af resultater fra trin 1)
Trin 3: Substansrevision og test af kontroller
Tilskud
Indkøb
Løn
Whistleblower-
ordning
Forretningsgange
Kontroller
It-systemer
Kilde:
Rigsrevisionen.
Nedenfor gennemgås figurens trin.
Trin 1: Tværgående dataindsamling med henblik på at danne et risiko-
billede
Undersøgelsen tager for det første udgangspunkt i revisionsbemærkningerne fra den
finansielle revision, den juridisk-kritiske revision og forvaltningsrevisionen af stats-
regnskabet og den erklæring, som Rigsrevisionen afgiver herom.
Til brug for undersøgelsen har vi endvidere anmodet ministerierne om at selvangive
i relation til regnskabsbekendtgørelsens specifikke krav til ministeriernes interne til-
syn, kontroller, funktionsadskillelse mv. og at besvare et spørgeskema, hvor hvert mi-
nisterium blev bedt om at redegøre for ledelsens fokus på risikoen for svig og ministe-
riets arbejde med at afdække og forebygge besvigelser inden for områderne tilskud,
indkøb og løn.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
78
| Metodisk tilgang
Undersøgelsen bygger på en trinvis afdækning, og nogle departementer og underlig-
gende virksomheder er derfor blevet kontaktet flere gange, bl.a. for at afdække kon-
trolmiljøer og indhente oplysninger om centrale (på ministerieniveau) og lokale (på
virksomhedsniveau) politikker, retningslinjer og ansvarsfordeling, og hvordan der for-
skellige steder arbejdes med risikovurderinger, for så vidt angår svig.
Ved hjælp af data fra de fællesstatslige it-systemer har vi udtrukket risikobaserede
stikprøver for at identificere forretningsgange, hvor der er en mulig øget risiko for be-
svigelser, som virksomhederne skal være opmærksomme på i deres risikostyring. Vi
har undersøgt data fra Finansministeriets fælles indkøbs- og fakturahåndteringssy-
stem (IndFak), Finansministeriets fælles rejseafregningssystem (RejsUd) og Statens
Lønsystem (SLS). Herudover har vi også gennemgået data fra økonomistyringssyste-
met Navision Stat.
Desuden har vi gennemgået data om betalingskorttransaktioner foretaget med sta-
tens betalingskort fra SEB Kort Bank og på den baggrund udtrukket risikobaserede
stikprøver.
Vores dataindsamling inkluderer også viden fra henvendelser til Rigsrevisionens
whistleblowerordning. Ordningen var oprettet særskilt til denne undersøgelse og gav
mulighed for at indmelde tilfælde af formodet svig og/eller forretningsgange og kon-
troller, som muliggør statsansattes svig inden for områderne tilskud, indkøb og løn i
én eller flere statslige institutioner og virksomheder.
Relevante oplysninger fra whistleblowerordningen er blevet efterprøvet og inkluderet
i undersøgelsen, hvor det har været muligt. Rigsrevisionen kan i forhold til whistleblo-
werordningen konstatere, at det kan være særdeles svært at ”komme til bunds” i så-
danne tip om formodet svig og/eller forretningsgange og kontroller, som muliggør svig,
af den simple årsag, at oplysningerne vedrørte forældede sager eller ikke var konkre-
te nok til, at vi kunne undersøge dem nærmere. I øvrigt modtog Rigsrevisionen en hel
del – for denne undersøgelse – mindre relevante henvendelser.
Trin 2: Risikobaseret caseudvælgelse
På baggrund af revisionsbemærkninger og andre informationer fra Rigsrevisionens år-
lige revision for 2019, data fra selvangivelsen og spørgeskemaet, udtræk fra de fælles-
statslige it-systemer og informationer fra whistleblowerordningen har vi identificeret,
hvor der inden for én eller flere af de statslige virksomheder var indikationer på øget
risiko for svig på områderne tilskud, indkøb og løn. Det har således været en kombina-
tion af informationer fra forskellige kilder, der tilsammen har været udgangspunkt for
den risikovurdering, som vi brugte til at udpege virksomheder, der indgår som cases i
beretningens kapitel 4 og 5. Ved udvælgelsen har vi foretaget en samlet vurdering af
relevante risikofaktorer for virksomhederne, og på den baggrund mener vi at have
dækket et bredt spektrum af risici.
Virksomhederne er blevet risikovurderet for hvert af områderne tilskud, indkøb og løn
(selvfølgelig kun i det omfang, det er relevant for de enkelte virksomheders aktivite-
ter).
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Metodisk tilgang |
79
Trin 3: Substansrevision og test af kontroller
Den dybdegående substansrevision og test af kontroller har som nævnt taget ud-
gangspunkt i en samlet risikovurdering ud fra de risikofaktorer, som undersøgelsen
i trin 1 pegede på. Derfor har vi for hver af de udvalgte casevirksomheder undersøgt
netop de parametre, som vurderedes risikofyldte hos virksomheden, fx anvendelsen
af et særskilt it-system, tilstedeværelsen af særlige forretnings- og arbejdsgange og
særlig opbygning af organisationens økonomistyring.
I vores substansrevision har vi yderligere undersøgt kontroller ved at efterprøve de
systemunderstøttede og eventuelle manuelle processer, der sikrer funktionsadskil-
lelse i godkendelses- og kontrolprocesser, og ved at indsamle dokumentation af sa-
ger og forvaltning af brugeradgange knyttet til pengeoverførsler. Denne del af under-
søgelsen har derfor bl.a. omfattet dokument- og bilagsgennemgang, dataanalyser, it-
revision og kontrol ved hjælp af fx screendumps fra den enkelte virksomheds appli-
kationer.
Stikprøveudtræk – betalinger i Navision Stat
Økonomistyrelsen har leveret et udtræk af alle transaktioner i Navision Stat foretaget
af virksomheder, som indgår i undersøgelsen, og som anvendte Navision Stat i 2019.
Vi har ved hjælp af data om betalingshistorik for transaktionerne foretaget analyser
af processerne med henblik på at afdække, om der finder funktionsadskillelse sted,
og om der findes transaktioner med et uregelmæssigt mønster. Vi har testet for bl.a.
dubletter, gamle transaktioner (der strækker sig over lang tid fra start til afslutning af
transaktion/betaling), funktionsadskillelse, mistænkelige posteringer efter nøgleord
og transaktioner på helligdage.
På baggrund af analyserne har vi udtrukket en risikobaseret stikprøve af transaktio-
ner gennemført i Statens Administration. Statens Administration har redegjort for al-
le transaktionerne i stikprøven med bilag og/eller udtræk fra ændringsloggen.
Stikprøveudtræk – rejser i RejsUd
Økonomistyrelsen har leveret et udtræk af alle afregninger, som enten er oprettet el-
ler afsluttet i RejsUd i 2019 og foretaget af virksomheder, som indgår i undersøgelsen.
Vi har analyseret data om henholdsvis alle afregninger og rejser afsluttet i perioden
1. januar-31. december 2019 for manglende funktionsadskillelse. Vi har kun medtaget
rejser, hvor der er angivet en slutdato for rejsen. Alle sidstnævnte afregninger, hvor
der har været sammenfald mellem den rejsende og den, der har godkendt afregnin-
gen, er efterfølgende sendt til gennemgang hos de virksomheder, hos hvem rejseaf-
regningen er blevet registreret. I gennemgangen er virksomhederne blevet præsen-
teret for et udtræk i Excel med bilagsnumre og bedt om at redegøre for, hvorfor sam-
me person i stikprøven både har været disponent og godkender.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
80
| Metodisk tilgang
Stikprøveudtræk – indkøb i IndFak
Økonomistyrelsen har leveret et udtræk af alle indkøb i IndFak, som er foretaget af
virksomheder, som indgår i undersøgelsen. Vi har analyseret, om der har været til-
strækkelig funktionsadskillelse mellem varemodtagelse og godkendelse i data om
indkøb foretaget i perioden 1. januar-31. december 2019. Virksomheder, som har haft
en stor andel af indkøb uden tilstrækkelig funktionsadskillelse, har efterfølgende mod-
taget en stikprøve til gennemgang. Ligesom for RejsUd har virksomhederne modta-
get et udtræk i Excel med tilkoblet fakturanummer, så de har kunnet gennemgå og
redegøre for, hvorfor samme person både har varemodtaget og godkendt indkøbet.
Vi har analyseret indkøb fordelt på fakturalinjer, da flere virksomheder hver måned
behandler mange indkøb på en samlet faktura, fx fra SEB Kort Bank. En enkelt faktu-
ra indeholder således alle indkøb foretaget med firmaets betalingskort (det kan også
være alle afregninger af en rejsekonto) i løbet af den pågældende måned. Dermed
dækker en faktura flere indkøb, som bør varemodtages og godkendes individuelt. Vi
har fjernet fakturalinjer, som er opdelte, fakturalinjer, som er blevet bekræftet vare-
modtaget flere gange, dubletter og fakturalinjer, som er godkendt via automatch. Au-
tomatch kan ske, når en indkøbsordre er varemodtaget i indkøbsmodulet. Når en fak-
tura automatches, bliver den automatisk godkendt og overført til Navision Stat, dvs.
den skal ikke gennem yderligere godkendelse, og fakturaen får herefter konterings-
linjer påført fra ordren, så de matcher.
Det er Økonomistyrelsen, som har påhæftet data fra IndFak en markering for, om fak-
turalinjer er opdelte eller ej. Økonomistyrelsen har oplyst, at fakturalinjer kan opdeles,
hvis der er foretaget en opdeling/sammenlægning før varemodtagelse, men også hvis
der er foretaget en opdeling/sammenlægning efter varemodtagelse, og at der også
kan finde 2 eller flere opdelinger/sammenlægning sted pr. fakturalinje.
Stikprøveudtræk – indkøb med statslige betalingskort
SEB Kort Bank har leveret et udtræk af alle transaktioner foretaget med betalingskort
i 2019 i de statslige virksomheder, der indgår i undersøgelsen. Vi har gennemgået data
for indkøbskategorier (såkaldte MCC-koder defineret af SEB Kort Bank) og udtrukket
en risikobaseret stikprøve af transaktioner inden for følgende indkøbskategorier:
MobilePay-betalinger til private (en delmængde af transaktionerne fra kategorien
”Financial transactions”)
kontanthævninger (kategorien ”Cash Advance/Automated Cash Disbursements”)
datingtjenester (en delmængde af transaktionerne fra kategorien ”Services/Dating
Services”)
tv-pakker og musiktjenester (kategorierne ”Cable, Satellite, Other Pay Television,
Radio SVCS” og ”Digital Goods – Audiovisual Media Including Books”)
tøj (kategorierne ”Family Clothing Stores”, ”Men’s and Boy’s Clothing and Acces-
sories Stores”, “Sports Apparel, Riding Apparel Stores” og “Children’s and Infants’
Wear Stores”)
sundhed og beauty spa (kategorierne ”Health and Beauty Spas” og ”Massage Par-
lors”)
tips og gambling (kategorien ”Gambling Transactions”)
barer og diskoteker (en delmængde af transaktionerne fra kategorien ”Restau-
rants”)
bøder samt told og skat (kategorien ”Fines”).
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0088.png
Metodisk tilgang |
81
Stikprøven er blevet afgrænset til 3 ministerier ud fra en vurdering af antal transaktio-
ner i ovennævnte kategorier, antal transaktioner i alt og mønstre i transaktioner. Op-
lysninger om stikprøven fremgår af tabel A.
Tabel A
Oplysninger om stikprøve af transaktioner foretaget med statslige betalingskort i 2019
Forsvars-
kommandoen
(Forsvars-
ministeriet)
Forsvarsstaben
(Forsvars-
ministeriet)
Forsvars-
ministeriet
i alt
Rigspolitiet
(Justits-
ministeriet)
Danmarks
Meteorologiske
Institut
(Klima-, Energi-
og Forsynings-
ministeriet)
Betalingskorttransaktioner
i 2019
Transaktioner i alt
Beløb i alt
Gennemsnitligt beløb pr.
transaktion
Betalingskorttransaktioner
i stikprøven
Transaktioner i stikprøven
Beløb i alt i stikprøven
Gennemsnitligt beløb pr.
transaktion i stikprøven
Stikprøveantal i procent af
populationen
Stikprøvebeløb i procent af
populationen
190
150�½299 kr.
791 kr.
0�½20
%
0�½10
%
9
22�½209 kr.
2�½468 kr.
0�½10
%
0�½10
%
199
172�½509 kr.
867 kr.
0�½10
%
0�½10
%
233
197�½073 kr.
846 kr.
0�½40
%
0�½30
%
9
16�½531 kr.
1�½837 kr.
0�½20
%
0�½40
%
126�½408
213�½012�½816 kr.
1�½685 kr.
15�½903
25�½438�½129 kr.
1�½600 kr.
142�½311
238�½450�½945 kr.
1�½676 kr.
55�½528
63�½070�½753 kr.
1�½136 kr.
3�½915
4�½391�½172 kr.
1�½122 kr.
Note: I data for Forsvarsministeriets stikprøve indgår 9 transaktioner fra Forsvarets Efterretningstjeneste. Da Forsvarets Regnskabsstyrelse ikke har
adgang til at kontrollere disse, er de efterfølgende fjernet fra stikprøven, som derfor består af i alt 190 betalingskorttransaktioner.
Kilde:
Rigsrevisionen på baggrund af data fra SEB Kort Bank.
Som det fremgår af tabellen, viser data fra SEB Kort Bank, at der i 2019 blev gennem-
ført over 142.000 betalinger med betalingskort fra de 2 virksomheder under Forsvars-
ministeriet (svarende til indkøb for ca. 238,5 mio. kr.). Forsvarets Regnskabsstyrelse
har oplyst, at styrelsen ikke kender tallene, og at der i forhold til de 2 virksomheder har
været et forbrug på 102 mio. kr. fordelt på 134.000 transaktioner i 2019. Rigsrevisio-
nens analyser bygger på alle data fra SEB Kort Bank, og afvigelsen skyldes formentlig,
at der også indgår private transaktioner betalt direkte af brugeren af kortet til SEB
Kort Bank, som Forsvarets Regnskabsstyrelse ikke har været involveret i.
Afgrænsning
Trin 1 af undersøgelsen dækkede som beskrevet et bredt udsnit af statslige virksom-
heder, mens trin 3 med cases kun dækkede et smallere udsnit af populationen. Denne
fremgangsmåde er valgt, da det ikke er muligt at teste kontroller og udføre substans-
revision hos alle statslige virksomheder i én undersøgelse.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0089.png
82
| Metodisk tilgang
Den endelige afgrænsning af virksomheder til undersøgelsens trin 3 er blevet foreta-
get på baggrund af den ovenfor beskrevne dataindsamling (trin 1) og den derpå føl-
gende risikobaserede caseudvælgelse (trin 2). Undersøgelsens trin 3 omfatter såle-
des de ministerier for områderne tilskud, indkøb og løn, som fremgår af tabel B.
Tabel B
Ministerier, der indgår i udvalgte cases
Kapitel 4
Indkøb
IndFak
§ 5. Statsministeriet
§ 6. Udenrigsministeriet
§ 7. Finansministeriet
§ 8. Erhvervsministeriet
§ 9. Skatteministeriet
§ 11. Justitsministeriet
§ 12. Forsvarsministeriet
§ 14. Udlændinge- og
Integrationsministeriet
§ 15. Social- og Indenrigs-
ministeriet
§ 16. Sundheds- og Ældre-
ministeriet
§ 17. Beskæftigelsesministeriet
§ 19. Uddannelses- og
Forskningsministeriet
§ 20. Børne- og Undervisnings-
ministeriet
§ 21. Kulturministeriet
§ 22. Kirkeministeriet
§ 24. Miljø- og Fødevare-
ministeriet
§ 28. Transport- og Bolig-
ministeriet
§ 29. Klima-, Energi- og
Forsyningsministeriet
Dataanalyser
Whistleblowerordning
Tidligere revisioner
Note: Den sorte firkant angiver, hvor dataanalyserne peger på, at der kan være udfordringer med funktionsadskillelsen, men hvor vi ikke har udtaget
ministeriet til videre undersøgelse/stikprøve. De farvede cirkler angiver, hvilke ministerier der er udtaget som cases til videre undersøgelse.
I 2019 anvendte Statsministeriet ikke RejsUd, mens Skatteministeriet hverken anvendte IndFak eller RejsUd (med undtagelse af Medarbejder-
og Kompetencestyrelsen, som brugte IndFak). Forsvarsministeriet anvendte hverken IndFak, RejsUd eller SLS. Betalingskort som emne er in-
kluderet i undersøgelsen på foranledning af Statsrevisorerne.
Kilde:
Rigsrevisionen.
Kapitel 4
Løn
Betalings-
kort
Bruger-
styring
Løn-
kontroller
Kapitel 5
Tilskud
TAS
Lokalt
system
RejsUd
Tank-
kort
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0090.png
Metodisk tilgang |
83
En stor del af virksomhederne i den valgte gruppe (ministerier og underliggende virk-
somheder) anvender fællesstatslige it-systemer, hvilket gør det muligt at gennemføre
bredt dækkende dataanalyser. Resultaterne fra disse dataanalyser indgik i den sam-
lede risikovurdering som grundlag for udtagelse af cases til substansrevision og test
af kontroller. For netop at sikre, at også oplysninger om den gruppe af virksomheder,
som ikke anvender de fællesstatslige it-systemer, indgik i vores risikovurdering, ind-
drog vi viden fra den årlige revision og fra den whistleblowerordning, som vi har opret-
tet til denne undersøgelse.
Undersøgelsen er afgrænset til at omfatte ministerier og underliggende virksomheder,
som har en virksomhedsbærende hovedkonto på finansloven. Med ministerier mener
vi i denne undersøgelse departementer og underliggende virksomheder, som indgår
i statsregnskabet. Det betyder, at fx selvejende institutioner, selvstændige offentlige
virksomheder mv., hvor ansvaret for driften ligger hos en bestyrelse, ikke indgår i un-
dersøgelsen. Tabel C viser en oversigt over, hvilke virksomheder der hører til under de
enkelte ministerier.
Tabel C
Ministerier og underliggende virksomheder, som indgår i undersøgelsen
§ 5. Statsministeriet
Statsministeriets departement
Rigsombudsmanden i Grønland
Rigsombudsmanden på Færøerne
§ 6. Udenrigsministeriet
Udenrigstjenesten
Fiskeristyrelsen (hørte under Udenrigsministeriet indtil juni 2019 – herefter en styrelse under
Miljø- og Fødevareministeriet)
§ 7. Finansministeriet
Finansministeriets departement
Digitaliseringsstyrelsen
Kompetencesekretariatet (under Finansministeriet indtil den 30. september 2019 – herefter en
del af Medarbejder- og Kompetencestyrelsen under Skatteministeriet)
Økonomistyrelsen (tidligere Moderniseringsstyrelsen)
Statens Administration
Statens It
De Økonomiske Råd
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0091.png
84
| Metodisk tilgang
Tabel C – fortsat
Ministerier og underliggende virksomheder, som indgår i undersøgelsen
§ 8. Erhvervsministeriet
Erhvervsministeriets departement
Nævnenes Hus
Sikkerhedsstyrelsen
Patent- og Varemærkestyrelsen
Konkurrence- og Forbrugerstyrelsen
Erhvervsstyrelsen
Søfartsstyrelsen
Finanstilsynet
§ 9. Skatteministeriets departement
Skatteministeriets departement
Skattestyrelsen
Gældsstyrelsen
Vurderingsstyrelsen
Toldstyrelsen
Motorstyrelsen
Administrations- og Servicestyrelsen
Udviklings- og Forenklingsstyrelsen
Spillemyndigheden
Skatteankestyrelsen
Medarbejder- og Kompetencestyrelsen (oprettet pr. 1. oktober 2019)
§ 11. Justitsministeriet
Justitsministeriets departement
Politiet og anklagemyndigheden
Kriminalforsorgen i anstalter og frihed
Civilstyrelsen
Politiklagemyndigheden
Domstolsstyrelsen
Datatilsynet
Tilsynet med efterretningstjenesten
§ 12. Forsvarsministeriet
Forsvarsministeriets departement
Forsvarsministeriets Personalestyrelse
Forsvarets Materiel- og Indkøbsstyrelse
Forsvarsministeriets Ejendomsstyrelse
Forsvarsministeriets Regnskabsstyrelse
Forsvarskommandoen
Hjemmeværnet
Forsvarsministeriets Efterretningstjeneste
Beredskabsstyrelsen
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0092.png
Metodisk tilgang |
85
Tabel C – fortsat
Ministerier og underliggende virksomheder, som indgår i undersøgelsen
§ 14. Udlændinge- og Integrationsministeriet
Udlændinge- og Integrationsministeriets departement
Styrelsen for International Rekruttering og Integration
Udlændingestyrelsen
§ 15. Social- og Indenrigsministeriet
Social- og Indenrigsministeriets departement
Statsforvaltningen/Familieretshuset (pr. 1. april Familieretshuset)
Socialstyrelsen
Børnerådet
Frivilligrådet
Det Centrale Handicapråd
Rådet for Socialt Udsatte
Kofoeds Skole
VIVE – Det Nationale Forsknings- og Analysecenter for Velfærd
Ankestyrelsen
Danmarks Statistik
§ 16. Sundheds- og Ældreministeriet
Sundheds- og Ældreministeriets departement
Sundhedsstyrelsen
Lægemiddelstyrelsen
Sundhedsdatastyrelsen
Statens Serum Institut
Fællessekretariat for Det Etiske Råd og National Videnskabsetisk Komité
Styrelsen for Patientklager
Nationalt Genom Center
§ 17. Beskæftigelsesministeriet
Beskæftigelsesministeriets departement
Styrelsen for Arbejdsmarked og Rekruttering
Arbejdstilsynet
Det Nationale Forskningscenter for Arbejdsmiljø
Tværgående it-understøtning i beskæftigelsesindsatsen
Videncenter for arbejdsmiljø (VFA)
(VFA nedlagt pr. 1. januar 2020. Det Nationale Forskningscenter for Arbejdsmiljø har ansvaret
for VFA’s regnskaber mv.)
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0093.png
86
| Metodisk tilgang
Tabel C – fortsat
Ministerier og underliggende virksomheder, som indgår i undersøgelsen
§ 19. Uddannelses- og Forskningsministeriet
Uddannelses- og Forskningsministeriets departement
Styrelsen for Forskning og Uddannelse
Styrelsen for Institutioner og Uddannelsesstøtte
Det Kongelige Danske Kunstakademis Skoler for Arkitektur, Design og Konservering
Studenterrådgivningen, Administrationen
Danmarks Akkrediteringsinstitution
Studievalg Danmark
Dansk Dekommissionering
Arkitektskolen Aarhus
§ 20. Børne- og Undervisningsministeriet
Børne- og Undervisningsministeriets departement
Styrelsen for Undervisning og Kvalitet
Styrelsen for It og Læring
Danmarks Evalueringsinstitut
Sorø Akademis Skole
Dansk Center for Undervisningsmiljø
§ 21. Kulturministeriet
Kulturministeriets departement
Dansk Sprognævn
Den Danske Filmskole
Den Danske Scenekunstskole
Den Hirschsprungske Samling
Det Danske Filminstitut
Det Jyske Musikkonservatorium
Det Kongelige Akademi for de Skønne Kunster
Det Kongelige Bibliotek, Nationalbibliotek og Københavns Universitetsbibliotek
Kunstakademiets Billedkunstskoler
Det Kongelige Danske Musikkonservatorium
Det Kongelige Teater og Kapel
Nationalmuseet
Nota – Nationalbibliotek for mennesker med læsevanskeligheder
Ordrupgaard
Rytmisk Musikkonservatorium
Slots- og Kulturstyrelsen
Statens Museum for Kunst
Statens Værksteder for Kunst
Syddansk Musikkonservatorium & Skuespillerskole
Det Grønne Museum
Statens Arkiver
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0094.png
Metodisk tilgang |
87
Tabel C – fortsat
Ministerier og underliggende virksomheder, som indgår i undersøgelsen
§ 22. Kirkeministeriet
Kirkeministeriets departement
§ 24. Miljø- og Fødevareministeriet
Miljø- og Fødevareministeriets departement
Landbrugsstyrelsen
Fødevarestyrelsen
Naturstyrelsen
Miljøstyrelsen
Danmarks Miljøportal – Digital miljøforvaltning
Fiskeristyrelsen (fra juni 2019)
§ 28. Transport- og Boligministeriet
Transport- og Boligministeriets departement
Banedanmark
Bygningsstyrelsen
Havarikommissionen for Vejtrafik
Havarikommissionen for Civil Luftfart og Jernbane
Kommissarius ved Statens Ekspropriationer på Øerne
Kommissarius ved Statens Ekspropriationer i Jylland
Trafik-, Bygge- og Boligstyrelsen
Vejdirektoratet
§ 29. Klima-, Energi- og Forsyningsministeriet
Klima,- Energi- og Forsyningsministeriets departement
Energistyrelsen
Forsyningstilsynet
Danmarks Meteorologiske Institut
De Nationale Geologiske Undersøgelser for Danmark og Grønland (GEUS)
Styrelsen for Dataforsyning og Effektivisering
Geodatastyrelsen
Klimarådet
Kvalitetssikring
Denne undersøgelse er kvalitetssikret via vores interne procedurer for kvalitetssik-
ring, som omfatter høring hos de reviderede samt ledelsesbehandling og sparring på
forskellige tidspunkter i undersøgelsesforløbet med chefer og medarbejdere i Rigs-
revisionen med relevante kompetencer. Herudover har vi løbende kvalitetssikret de
datasæt, som indgår i vores tværgående analyser, i samarbejde med Økonomistyrel-
sen og SEB Kort Bank.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
88
| Metodisk tilgang
Væsentlige dokumenter
bekendtgørelse om statens regnskabsvæsen (bekendtgørelse nr. 116 af 19. fe-
bruar 2018)
ministerieinstrukser
virksomhedsinstrukser og dokumenter, der beskriver virksomhedernes forret-
ningsgange og dokumenterer virksomhedernes egne kontroller, analyser og stik-
prøver, der kan afdække, om virksomhederne i praksis har hensigtsmæssige for-
retningsgange og kontroller
regnskabsinstrukser
vejledninger
udtræk fra de fællesstatslige it-systemer og betalingskorttransaktioner leveret
af henholdsvis Økonomistyrelsen og SEB Kort Bank
udtræk fra Forsvarsministeriets NetFuel-database
spørgeskemabesvarelser fra ministerierne
selvangivelser fra ministerierne.
Selvangivelse og spørgeskemaundersøgelse
Indledningsvis udsendte vi – med udgangspunkt i regnskabsbekendtgørelsens krav
– en selvangivelse til alle ministerier, hvor vi bl.a. bad ministerierne selvangive, om de
har sikret sig, at hovedelementerne i ministeriets tilrettelæggelse af den interne kon-
trol og risikostyring, herunder tilsynet med udførende enheder, er ajourført. Herudover
bad vi dem svare på, om der er sikret funktionsadskillelse, og om denne og logning er
efterprøvet. Herefter udsendte vi et spørgeskema, hvor vi bad ministerierne oplyse,
hvilken kontrol og risikostyring de udførte i 2019 i forhold til ministeriet selv og i forhold
til underliggende virksomheder på områderne tilskud, indkøb og løn. Disse oplysninger
er sammenholdt med den viden, som Rigsrevisionen allerede havde fra den finansielle
revision.
Rigsrevisionen er opmærksom på, at en selvangivelse og et spørgeskema, hvor mini-
sterierne svarer ud fra deres egen opfattelse, ikke har helt samme validitet som en
stedlig gennemgang og kontrol. Rigsrevisionen har under høringen af beretningen er-
faret, at flere ministerier har ændret de svar, som de oprindeligt opgav i selvangivel-
sen. Når ministerierne besvarer selvangivelsen, har de – i lighed med, hvad der er til-
fældet i andre sammenhænge, hvor Rigsrevisionen anmoder om og indhenter redegø-
relser, oplysninger, revisionsmateriale mv. – pligt til at give korrekte oplysninger, og
Rigsrevisionen har derfor ikke efterprøvet ministeriernes svar. Hertil kommer, at mini-
sterierne hvert år i forbindelse med regnskabsaflæggelsen erklærer sig om regnska-
bets rigtighed, herunder overholdelsen af reglerne om statens regnskabsvæsen.
Desuden har udefrakommende hensyn betydet, at stedlige besøg i forhold til denne
undersøgelse har måttet begrænses. Vi har gennemført en del virtuelle møder med
ministerier og udvalgte casevirksomheder.
Rigsrevisionen konstaterer, at nogle ministerier således undervejs i forløbet har æn-
dret svar på selvangivelsen til et mere positivt svar end oprindeligt angivet. Vi konsta-
terer samtidig, at flere ministerier, som vurderer, at de har et tilfredsstillende kontrol-
miljø, fremgår af beretningen om revisionen af statsregnskabet for 2019 som ministe-
rier, der ifølge Rigsrevisionens vurdering havde udfordringer med fx funktionsadskil-
lelse.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
Metodisk tilgang |
89
Registerdata
Vi har i undersøgelsen som nævnt indhentet full scale-data vedrørende de fælles-
statslige it-systemer Navision Stat, SLS, IndFak og RejsUd samt betalingskorttrans-
aktioner for 2019. Økonomistyrelsen har leveret disse data til os ad flere omgange.
Betalingskorttransaktioner er leveret af SEB Kort Bank. Derudover har vi indhentet
data for hele 2019 og august 2020 fra Forsvarsministeriets databaser omhandlende
brændstof.
Standarderne for offentlig revision
Revisionen er udført i overensstemmelse med standarderne for offentlig revision.
Standarderne fastlægger, hvad brugerne og offentligheden kan forvente af revisio-
nen, for at der er tale om en god faglig ydelse. Standarderne er baseret på de grund-
læggende revisionsprincipper i rigsrevisionernes internationale standarder (ISSAI
100-999).
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0097.png
90
| Ministerier og virksomheder, som indgik i revisionen af lønkontrol i 2019, og som indgår i denne undersøgelse
Bilag 3. Ministerier og virksomheder, som indgik i revisio-
nen af lønkontrol i 2019, og som indgår i denne undersø-
gelse
Finansministeriet
Finansministeriets departement
Digitaliseringsstyrelsen
Statens Administration
Statens It
Økonomistyrelsen (tidligere Moderniseringsstyrelsen)
Skatteministeriet
Administrations- og Servicestyrelsen
Justitsministeriet
Kriminalforsorgen
Politiet og anklagemyndigheden
Social- og Indenrigsministeriet
(tidligere Økonomi- og Indenrigsministeriet)
Social- og Indenrigsministeriets departement
Uddannelses- og Forskningsministeriet
Uddannelses- og Forskningsministeriets departement
Arkitektskolen Aarhus
Danmarks Akkrediteringsinstitution
Dansk Dekommissionering
Styrelsen for Forskning og Uddannelse
Styrelsen for Institutioner og Uddannelsesstøtte
Børne- og Undervisningsministeriet
(tidligere Børne- og Socialministeriet)
Børne- og Undervisningsministeriets departement
Kulturministeriet
Kulturministeriets departement
Den Danske Scenekunstskole
Det Kongelige Teater og Kapel
Slots- og Kulturstyrelsen
Kirkeministeriet
Kirkeministeriets departement
Folkekirkens Fællesfond
Miljø- og Fødevareministeriet
Landbrugsstyrelsen
Transport- og Boligministeriet
Transport- og Boligministeriets departement
Banedanmark
Klima-, Energi- og Forsyningsministeriet
Energistyrelsen
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0098.png
Ministerier og virksomheder, som indgik i revisionen af brugerstyring i staten i 2019, og som indgår i denne undersøgelse |
91
Bilag 4. Ministerier og virksomheder, som indgik i revisio-
nen af brugerstyring i staten i 2019, og som indgår i den-
ne undersøgelse
I 2019 var der en række ressortændringer, så flere ministerier ændrede navn. Det er
virksomhedernes og lønfællesskabernes navne fra brugerstyringssystemet BSL, der
er anført i oversigten.
Justitsministeriet
Justitsministeriets Lønfællesskab
Domstolsstyrelsens Lønfællesskab
Kriminalforsorgen
Rigspolitiets Lønfællesskab
Klima-, Energi- og Forsyningsministeriet
GEUS
Lønfællesskab ENS
Børne- og Undervisningsministeriet
US puljer lønfællesskab + GRL
Kulturministeriet
Kulturministeriets Lønfællesskab
Den Danske Filmskole
Nationalmuseet
Det Kgl. Bibliotek
Dansk Sprognævn (hører pr. 1. januar 2019 sammen med Syddansk Musikkonservatorium)
Den Danske Scenekunstskole
Det Danske Filminstitut
Det Grønne Museum
Det Jyske musikkonservatorium
Det Kgl. Teater
Det Kongelige Danske Musikkonservatorium
Kunstakademiets Billedkunstskoler
Nota
Ordrupgaard Samling
Rigsarkivet
Rytmisk Musikkonservatorium
Statens Museum for Kunst
Syddansk Musikkonservatorium (hører pr. 1. januar 2019 sammen med Dansk Sprognævn)
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0099.png
92
| Ministerier og virksomheder, som indgik i revisionen af brugerstyring i staten i 2019, og som indgår i denne undersøgelse
Social- og Indenrigsministeriet
Social- og Indenrigsministeriet
Økonomi- og Indenrigsministeriet
Socialstyrelsen
Døvefilm Video
Statsforvaltninger Fællesskab
Kofoeds Skoles Lønfællesskab
Ankestyrelsen
Center for Frivilligt Socialt Arbejde
Center for selvmordsforskning
Danmarks Statistik
Den Uvildige Konsulentordning
VIVE
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0100.png
Ministerier og virksomheder, som indgik i revisionen af brugerstyring i staten i 2020, og som indgår i denne undersøgelse |
93
Bilag 5. Ministerier og virksomheder, som indgik i revisio-
nen af brugerstyring i staten i 2020, og som indgår i den-
ne undersøgelse
I 2019 var der en række ressortændringer, så flere ministerier ændrede navn. Det er
virksomhedernes og lønfællesskabernes navne fra brugerstyringssystemet BSL, der
er anført i oversigten.
Udenrigsministeriet
Udenrigsministeriet – GRL
Skatteministeriet
Skattestyrelsens lønfællesskab
Erhvervsministeriet
Erhvervs- og vækstmin. Fællesskab
Sundheds- og Ældreministeriet
Statens Serum Institut Koncern HR
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0101.png
94
| Dataanalyse af Forsvarsministeriets brug af tankkort
Bilag 6. Dataanalyse af Forsvarsministeriets brug af tank-
kort
Vi har testet data fra NetFuel-databasen for bl.a. dubletter, størrelse samt datoer og
tidspunkter, dvs. posteringer på helligdage og forskellige tidsintervaller på døgnet.
Tabel A
Krav til indtastninger af medarbejdernummer følges sjældent på civile tankstationer
Tankanlæg
Antal transaktioner
i alt
35�½173
97�½709
Antal transaktioner
med 6-cifret
medarbejdernummer
14�½313
94�½831
Antal transaktioner
uden 6-cifret
medarbejdernummer
20�½860
2�½878
Andelen af transaktioner
uden 6-cifret
medarbejdernummer
59
%
3
%
Civil
Militær
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Forsvarsministeriet.
Tabel B
Der tankes mere i bilerne, end der kan være i tanken (tilfældigt udvalgte eksempler)
Tankanlæg
Civil
Civil
Civil
Civil
Militær
Militær
Militær
Militær
Biltype
Toyota Landcruiser
Mercedes Atego
Nissan Navara
Toyota Hilux
Toyota Landcruiser
Mercedes Atego
Nissan Navara
Toyota Hilux
Tank-
kapacitet
96 L
125 L
80 L
80 L
96 L
125 L
80 L
80 L
Antal tankninger
i alt
66
126
214
22
117
683
593
19
Antal tankninger
over tankkapacitet
4
31
5
2
8
87
2
1
Andelen af tankninger
over kapacitet
6
%
25
%
2
%
9%
7
%
13 %
0
%
5
%
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Forsvarsministeriet.
Tabel C
Tankninger mellem kl. 22.00-04.00 på civile tankstationer og militære tankanlæg
Civile tankstationer
Samlet beløb, diesel og benzin
Samlet antal tankninger, diesel og benzin
Antal tankninger mellem kl. 22�½00-04�½00
Tankninger mellem kl. 22�½00-04�½00, andelen af samlet antal
Tankninger mellem kl. 22�½00-04�½00, beløb
Tankninger mellem kl. 22�½00-04�½00, andelen af samlet beløb
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Forsvarsministeriet.
Militære tankanlæg
39�½848�½825 kr.
97�½709
2�½496
2�½55
%
901�½710 kr.
2�½26
%
14�½315�½222 kr.
35�½180
2�½785
7�½92
%
955�½628 kr.
6�½68
%
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0102.png
Dataanalyse af Forsvarsministeriets brug af tankkort |
95
Tabel D
Tankninger i weekenden på civile tankstationer og militære tankanlæg
Tankanlæg
Beløb tanket i alt
i weekender
2�½798�½080 kr.
50�½494 kr.
Tankninger i
weekender,
andelen af samlet beløb
19�½55
%
0�½13
%
Antal tankninger
i weekender
7�½119
7�½676
Tankninger i
weekender,
andelen af samlet antal
20�½24
%
7�½86
%
Civil
Militær
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Forsvarsministeriet.
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0103.png
96
| Ordliste
Bilag 7. Ordliste
Automatiske kontroller
Automatiske kontroller er programmerede kontroller. Automatiske kontroller kan gavne en virk-
somheds interne kontroller ved at sætte virksomheden i stand til fx at bruge foruddefinerede regler
og udføre komplekse beregninger ved behandlingen af store mængder af transaktioner, forbedre
muligheden for at overvåge virksomhedens aktiviteter og dens politikker og procedurer, reducere
risikoen for, at kontroller bliver omgået og forbedre muligheden for effektiv funktionsadskillelse ved
at implementere sikkerhedskontroller i applikationer, databaser og operativsystemer. Automatiske
kontroller er generelt mere pålidelige end manuelle kontroller, jf. den internationale revisionsstan-
dard 315 ISA 315.
Biblioteksafgiften er en er en tildelingspulje og en kulturstøtteordning til dansk sprog og kultur, der
har til formål at støtte forfattere, oversættere, illustratorer mfl., hvis bøger benyttes på bl.a. Dan-
marks folkebiblioteker.
COSO står for Committee of Sponsoring Organizations of the Treadway Commission og dækker
over en begrebsramme for interne kontroller til svigforebyggelse. Begrebsrammen består af 5 ho-
vedkomponenter: kontrolmiljø, risikovurdering, kontrolaktiviteter, information og kommunikation
samt overvågning. Begrebsrammen er et værktøj, som på struktureret vis hjælper virksomheder
med at komme hele vejen rundt, afdækker skjulte risici og bidrager til styrkelse og opretholdelse af
et sundt kontrolmiljø.
Forretningsgange dækker processer og retningslinjer, der beskriver administrationens tilrettelæg-
gelse, og hvordan interne kontroller og tilsyn med kontrollerne skal udføres.
Økonomistyrelsen driver et sammenhængende sæt af digitale datadrevne services, der understøt-
ter ledelse og styring af økonomi, HR og løn i staten. Hovedparten af de statslige virksomheder an-
vender ét eller flere af de fællesstatslige it-systemer.
En globaladministrator er en administratorrolle i IndFak, som tildeles administratorer hos Økonomi-
styrelsen og konsulenter. Rollen giver bl.a. rettigheder til at oprette, vedligeholde og administrere
virksomheder, oprette lokaladministratorer samt oprette, vedligeholde og administrere roller og
konfigurationer i IndFak.
HR-Løn er et indberetningssystem til brug for Statens Administrations lønkunder. Med HR-Løn vil
kunderne skulle indberette fx engangsløndele og oprettelser af timelønnede i HR-Løn frem for på
en blanket via Lønportalen som for øvrige medarbejdere.
Inddatakontrol foretages, før lønnen beregnes i lønsystemet. Ved inddatakontrol sker en funktions-
adskilt godkendelse af, at indtastningen er korrekt. Ved godkendelsen foretages bl.a. en test af, at
lønnen er indtastet i overensstemmelse med lønbilaget, og at satser mv. vil blive beregnet korrekt.
Den overvejende kontrol vil derfor være foretaget før en lønkørsel.
IndFak er et fælles system for statslige og selvejende institutioner, som understøtter indkøbs- og
fakturahåndteringsprocessen. Økonomistyrelsen stiller et fælles system til rådighed for statslige
og selvejende institutioner. IndFak bruges bl.a. til at bestille varer.
Interne kontroller dækker de handlinger, der implementeres af ledelsen for at undgå fejl og svig.
Kompenserende kontroller foretages, hvor det ikke er muligt at foretage intern kontrol, eller hvor
man har tilsidesat intern kontrol, i dagligdagens risikofyldte procedurer og processer. En kompen-
serende kontrol kan fx være en stikprøvevis kontrol af fakturaer og indkøbsordrer, opfølgning på
logning af ændringer i væsentlige data eller monitorering af brugernes aktiviteter og hændelser i de
anvendte it-systemer.
Biblioteksafgiften
COSO
Forretningsgange
Fællesstatslige it-systemer
Globaladministrator
HR-Løn
Inddatakontrol
IndFak
Interne kontroller
Kompenserende kontrol
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0104.png
Ordliste |
97
Kontrolmail
En kontrolmail er en automatisk systemmail, som sendes til kontrollanten, når der er foretaget op-
rettelser, ændringer eller lukket brugere, hvilket begrænser muligheden for svig.
En logning er registreringer af aktiviteter i virksomhedens it-systemer. Det er et vigtigt redskab til at
opdage, hvis noget går galt. Samtidig er det vigtigt for at kunne sikre beviser. Da en log typisk stiller
en stor datamængde til rådighed for videre analyse, kan det være svært at afdække uregelmæssige
mønstre og adfærd. Derfor er der udviklet værktøjer til formålet (fx Log Analytics).
En lokaladministrator er en administratorrolle i IndFak, som tildeles administratorer lokalt i virksom-
hederne. Rollen giver bl.a. adgang til at tildele rettigheder og prokura til brugere og at administrere
lokale konfigurationer på organisations- og bogføringskredsniveau.
Et lønfællesskab anvendes om de virksomheder, der varetager administration af brugerstyring for
flere virksomheder på et ministerområde, fx i et fælleskontor for HR og løn.
En løngruppe er en enhed, der udbetaler løn til egen løngruppe. Det vil typisk også være en selvstæn-
dig virksomhed, men en virksomhed kan dog også råde over flere løngrupper.
Manuelle kontroller udføres manuelt (af personer) og kan være mindre pålidelige end automatiske
kontroller, fordi de lettere kan omgås, ignoreres eller tilsidesættes. Samtidig er de mere udsat for
simple fejl. Det kan derfor ikke forudsættes, at et manuelt kontrolelement anvendes ensartet.
NetFuel er et system til styring og administration af brændstofanlæg i Forsvarsministeriet. I NetFuel-
databasen opsamles oplysninger om forbruget på tankkortene. Databasen indeholder data 2 år til-
bage i tid.
En privilegeret bruger af et it-system kan have det højeste niveau af rettigheder, adgang og kontrol
over systemer og data og kan i de tilfælde bl.a. overskrive loggen eller foretage handlinger uden om
loggen, medmindre der specifikt er indsat logfunktioner til overvågning af dette. Nogle privilegerede
brugeres rettigheder er dog begrænsede, så de ikke har server- og databaseadgang.
Prokura er en fuldmagt, som legitimerer, at en medarbejder (der har fået denne) kan handle for virk-
somheden i alle forhold, der hører til den normale drift, og i øvrigt forpligte virksomheden med visse
begrænsninger. Når en person har beføjelser til at gennemføre hele transaktioner fra start til slut, fx
en indkøbstransaktion fra rekvirering/bestilling til varemodtagelse/godkendelse af faktura, har per-
sonen eneprokura.
RejsUd samler den rejsendes afregninger og udlæg i ét system og standardiserer opgavevaretagel-
sen for de statslige og selvejende institutioner.
SAP er et it-system, der overordnet set anvendes til at strømline, forbedre og systematisere virk-
somheders interne processer inden for et væld af områder. De 5 store SAP-brugere er Forsvarsmi-
nisteriet, Skatteministeriet (undtagen Medarbejder- og Kompetencestyrelsen, der bruger IndFak),
Vejdirektoratet, Banedanmark og Statens Serum Institut.
SEB Kort Bank udsteder betalingskort til statsansatte i Danmark, og det er muligt at se alle indkøb
foretaget med virksomhedens kreditkort via bankens data. SEB Kort Bank har leveret et udtræk af
alle transaktioner foretaget med betalingskort i 2019 i de statslige virksomheder, der indgår i under-
søgelsen.
En sikkerhedsbruger har udvidede rettigheder ligesom en privilegeret bruger.
Stamdata er grundinformation, som tastes ind i systemet én gang for derefter at blive anvendt som
grundlag for fx udbetaling, fakturering eller lønkørsel. Eksempler på stamdata er fx stilling, navn,
adresse, cpr-nr. og betalingsoplysninger på modtageren af en udbetaling.
Logning (loganalyse)
Lokaladministrator
Lønfællesskab
Løngruppe
Manuelle kontroller
NetFuel databasen
Privilegerede brugere
Prokura (eneprokura)
RejsUd
SAP
SEB Kort Bank
Sikkerhedsbruger
Stamdata
FIU, Alm.del - 2020-21 - Bilag 46: Beretning nr. 7/2020 om indsatsen for at undgå statsansattes besvigelser
2308654_0105.png
98
| Ordliste
Statens Lønsystem (SLS)
Økonomistyrelsen administrerer Statens Lønsystem (SLS), der anvendes til beregning og anvisning
af løn samt til udarbejdelse af løn og personalestatistik. Statsinstitutioner er forpligtede til at anven-
de SLS.
Statsansatte kan være medarbejdere ansat i forskellige typer af statslige virksomheder, herunder
bl.a. departementer og underliggende virksomheder.
En systematik og struktur, der understøtter, at ministeriet får tilstrækkeligt overblik over risici og
kontroller, og at der i forhold til de finansielle processer i et ministerium og underliggende virksom-
heder er tilstrækkelige og relevante interne kontroller til at begrænse risikoen for såvel tilsigtede
som utilsigtede fejl.
Ved en tilfredsstillende styringsramme forstås, at der er fastsat rammer og procedurer, som gør, at
det for den enkelte medarbejder er svært at omgå reglerne. Dette kan fx være ved opsætninger, som
gør, at én person ikke både kan godkende og betale en faktura. Regler og procedurer kan være for-
muleret lokalt i ministerie-, virksomheds- og regnskabsinstrukserne eller overordnet i regnskabsbe-
kendtgørelsen.
Ved substansrevision foretager revisor analyser af sammenhænge, nøgletal, trends og sammenlig-
ninger samt detailrevision af afstemninger, bilag mv. Disse sammenholdes med underliggende do-
kumentation, der kan bekræfte regnskabsposterne eller andre oplysninger i regnskabet.
Svig er i denne undersøgelse defineret som i den internationale revisionsstandard ISSAI 1240:
”En
bevidst handling udført af én eller flere personer blandt den daglige ledelse, den øverste ledelse,
medarbejdere eller tredjeparter, der benytter vildledning til at opnå en uberettiget eller ulovlig for-
del”.
Statsansatte
Styringsramme
Styringsramme (tilfreds-
stillende)
Substansrevision
Svig
TAS
TAS er et tilskudsadministrativt system, som anvendes af 9 statslige virksomheder, hvoraf 3 anven-
der specialudviklede systemløsninger.
En funktionsadskillelse er ikke tilstrækkelig i IndFak hvis de 2 centrale kontroller – varemodtagelse
og endelig godkendelse (forud for bogføring og betaling af fakturaen) – er varetaget af den samme
person. Der kan godt være systemunderstøttet funktionsadskillelse i godkendelsen af en faktura i
IndFak, uden at der er tale om en tilstrækkelig funktionsadskillelse.
En funktionsadskillelse er ikke tilstrækkelig i RejsUd, hvis en medarbejder godkender sin egen rejse-
afregning. Medarbejderen har i dette tilfælde ikke bemyndigelse til at udføre den kontrol, som er in-
deholdt i godkenderrollen. Der kan tilsvarende godt være systemunderstøttet personmæssig funk-
tionsadskillelse i godkendelsen af en rejseafregning i RejsUd, uden at der er en tilstrækkelig funk-
tionsadskillelse.
Når et tilsyn er situationsbestemt, vil det typisk være et tilsyn med risikovurderinger på udvalgte om-
råder og udvalgte interne kontroller, der imødegår risikoen for svig. Det kan også være en reaktion
på svigsager i staten og på revisionsbemærkninger.
Når et tilsyn foretages ud fra en begrebsramme, så vil det forventes, at der et kontrolsetup med 3
forsvarslinjer, formaliseret risikostyring og rapporteringsprocedurer. Virksomheden vil have over-
blik over væsentlige risici inkl. besvigelsesrisici og har efterprøvet og foretaget vurderinger af, om
kontrolmiljøet fungerer effektivt.
Uddatakontrol foretages, efter lønnen er beregnet i lønsystemet, men før den udbetales, så det er
muligt at standse lønnen i tilfælde af fx svig. Kontrollen kan foretages stikprøvevis ud fra virksom-
hedens vurdering af væsentlighed og risiko på lønområdet.
En ordning, hvor ansatte eller en anden specifik målgruppe kan oplyse om kritisable eller ulovlige
forhold eller begrundet mistanke om sådanne forhold.
Tilstrækkelig funktions-
adskillelse – IndFak
Tilstrækkelig funktions-
adskillelse – RejsUd
Tilsyn – situationsbestemt
Tilsyn – ud fra begrebsramme
Uddatakontrol
Whistleblowerordning