Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Indenrigs- og Boligudvalget 2020-21
SB 7 1
Offentligt

December 2020

— 7/2020

Rigsrevisionens beretning afgivet

til Folketinget med Statsrevisorernes

bemærkninger

Indsatsen for at

undgå statsansattes

besvigelser

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

7/2020

Beretning om

indsatsen for at undgå

statsansattes besvigelser

Statsrevisorerne fremsender denne beretning med

deres bemærkninger til Folketinget og vedkommende

minister, jf. § 3 i lov om statsrevisorerne og § 18, stk. 1,

i lov om revisionen af statens regnskaber m.m.

København 2020

Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:

Statsrevisorerne fremsender med deres bemærkning Rigsrevisionens beretning til Folketinget og vedkom-

mende minister.

Alle ministre afgiver en redegørelse til beretningen.

Rigsrevisor afgiver et notat med bemærkninger til ministrenes redegørelser.

På baggrund af ministrenes redegørelser og rigsrevisors notat tager Statsrevisorerne endelig stilling til beret-

ningen, hvilket forventes at ske i april 2021.

Ministrenes redegørelser, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles

i Statsrevisorernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i februar må-

ned – i dette tilfælde Endelig betænkning over statsregnskabet 2020, som afgives i februar 2022.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Statsrevisorernes bemærkning tager udgangspunkt i denne karakterskala:

Karakterskala

Positiv kritik

•

finder det meget/særdeles positivt

•

finder det positivt

•

finder det tilfredsstillende/er tilfredse med

•

finder det ikke helt tilfredsstillende

•

finder det utilfredsstillende/er utilfredse med

•

påpeger/understreger/henstiller/forventer

•

beklager/finder det bekymrende/foruroligende

•

kritiserer/finder det kritisabelt/kritiserer skarpt/indskærper

•

påtaler/påtaler skarpt

•

påtaler skarpt og henleder særligt Folketingets opmærksomhed på

Kritik under middel

Middel kritik

Skarp kritik

Skarpeste kritik

Henvendelse vedrørende

denne publikation rettes til:

Statsrevisorerne

Folketinget

Christiansborg

1240 København K

Tlf.: 3337 5987

[email protected]

www.ft.dk/statsrevisorerne

Yderligere eksemplarer kan

købes ved henvendelse til:

Rosendahls Lager og Logistik

Vandtårnsvej 83A

2860 Søborg

Tlf.: 4322 7300

[email protected]

www.rosendahls.dk

ISSN 2245-3008

ISBN trykt 978-87-7434-694-4

ISBN online 978-87-7434-695-1

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Statsrevisorernes bemærkning

Statsrevisorernes

bemærkning

Statsrevisorerne

Beretning om indsatsen for at undgå statsansattes

besvigelser

Statsrevisorerne har anmodet om denne undersøgelse på baggrund af

en række konkrete sager, hvor statsansatte har begået svig og svindel på

vedligeholdelsesområdet i Forsvarsministeriets Ejendomsstyrelse, svin-

del med tilskudsmidler på socialområdet og svindel med refusion af ud-

bytteskat. Undersøgelsen viser, at Rigsrevisionen ikke har fundet flere

konkrete tilfælde af svig begået af statsansatte, men at der er risiko for,

at der i 2019 og flere år bagud kan have fundet uretmæssige udbetalinger

sted, når statsansatte har forvaltet indkøb, løn og tilskud.

Statsrevisorerne finder det meget utilfredsstillende, at ministerierne

generelt har så svage interne kontroller og forretningsgange, at det er

muligt for statsansatte at begå svig på indkøbs-, løn- og tilskudsområ-

det, uden at det bliver opdaget.

Statsrevisorerne indskærper, at ministerierne generelt bør styrke de-

res ledelsesfokus på tilrettelæggelsen af den interne kontrol og risiko-

styring.

Statsrevisorerne finder, at der er behov for en generel oprustning i

forhold til, om kontrollerne vedrørende forvaltning af indkøb, løn og

tilskud fungerer hensigtsmæssigt og i tilstrækkelig grad forebygger

statsansattes mulighed for at begå svig. Der er i den forbindelse be-

hov for, at Finansministeriet i højere grad udbreder viden, vejled-

ning og rammer for ministeriernes styrkelse af kontrolmiljøet, her-

under funktionsadskillelse og kontroller i fællesstatslige it-systemer.

17. december 2020

Henrik Thorup

Klaus Frandsen

Frank Aaen

Britt Bager

Mai Mercado*

Jesper Petersen

* Statsrevisor Mai Mercado har

ikke deltaget ved behandlin-

gen af denne sag på grund af

inhabilitet.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Statsrevisorernes bemærkning

Statsrevisorerne har særligt hæftet sig ved disse risikofaktorer:

•

Selv om ministerierne tilkendegiver, at de har etableret basale kontrol-

ler såsom funktionsadskillelse og logning af brugerhandlinger, har

den øverste ledelse i ministerierne ikke i tilstrækkelig grad ført tilsyn

med, om kontrollerne forebygger ansattes mulighed for at begå svig.

Det er muligt at omgå den systemunderstøttede funktionsadskillelse i

de fællesstatslige it-systemer IndFak (indkøb og fakturering), RejsUd

(rejseafregning) og SLS (løn), fx via lokale tilpasninger eller tildeling af

brugerrettigheder. Det er i praksis sket i 13 ud af 15 ministerier, uden

at ministerierne har gennemført kompenserende kontroller for at und-

gå besvigelser.

4 ud af 5 udvalgte ministerier, der anvendte it-systemet TAS til forvalt-

ning af tilskud, gjorde det uden tilstrækkelig kontrol med styring af

brugerrettigheder og logning og uden tilstrækkelig kontrol af privile-

gerede brugere.

Der er risiko for, at medarbejdere kan anvende statslige betalingskort

til privat forbrug, som bør imødegås med fastsatte retningslinjer og

monitorering.

•

I undersøgelsen er der således konkrete eksempler på, at medarbejdere

har brugt statslige betalingskort i Justitsministeriet og Klima-, Energi- og

Forsyningsministeriet i strid med gældende regler. Der er også konkrete

eksempler på, at ansatte har brugt statslige betalingskort og tankkort i

Forsvarsministeriet i strid med Forsvarsministeriets og Finansministeriets

gældende regler. Det finder Statsrevisorerne meget utilfredsstillende. Det

er i den forbindelse en skærpende omstændighed, at Forsvarsministeriet

gentagne gange er blevet gjort opmærksom på et mangelfuldt kontrolmil-

jø på indkøbsområdet, senest i beretning nr. 19/2019 om revisionen af

statsregnskabet for 2019.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Indholdsfortegnelse

1. Introduktion og konklusion ....................................................................................................... 1

1�½1. Formål og konklusion ....................................................................................................................... 1

1�½2. Baggrund ............................................................................................................................................... 5

1�½3. Revisionskriterier, metode og afgrænsning ........................................................................... 9

2. Ministeriernes styringsrammer i forhold til at forebygge besvigelser ..................... 17

2�½1. Ministerieinstrukser ....................................................................................................................... 18

2�½2. Ministeriers anvendelse af standarder for intern kontrol og risikostyring ............ 19

2�½3. Ministeriernes revurdering af kontrolmiljø og funktionsadskillelse i 2019 ......... 20

3. It-understøttede kontroller i de fællesstatslige it-systemer ....................................... 24

3�½1. Systemunderstøttet funktionsadskillelse i de fællesstatslige it-systemer .......... 25

4. Ministeriernes interne kontroller i praksis – konkrete eksempler fra

forvaltning af indkøb og løn ................................................................................................... 31

4�½1. Ministeriernes rejseafregninger i RejsUd ............................................................................. 32

4�½2. Ministeriernes indkøb i IndFak .................................................................................................. 38

4�½3. Tankkort ............................................................................................................................................. 46

4�½4. Betalingskort ..................................................................................................................................... 51

4�½5. Kontroller på lønområdet ............................................................................................................ 61

5. Ministeriernes administration af tilskud i udvalgte tilskudssystemer ..................... 66

5�½1. Administration af tilskud i TAS ................................................................................................. 67

5�½2. Administration af tilskud i et lokalt system i Kulturministeriet ................................... 71

Bilag 1. Statsrevisorernes anmodning ..................................................................................................... 75

Bilag 2. Metodisk tilgang ................................................................................................................................. 76

Bilag 3. Ministerier og virksomheder, som indgik i revisionen af lønkontrol i 2019,

og som indgår i denne undersøgelse......................................................................................................... 90

Bilag 4. Ministerier og virksomheder, som indgik i revisionen af brugerstyring i

staten i 2019, og som indgår i denne undersøgelse ......................................................................... 91

Bilag 5. Ministerier og virksomheder, som indgik i revisionen af brugerstyring i

staten i 2020, og som indgår i denne undersøgelse ......................................................................... 93

Bilag 6. Dataanalyse af Forsvarsministeriets brug af tankkort..................................................... 94

Bilag 7. Ordliste................................................................................................................................................... 96

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Undersøgelsen er en statsrevisoranmodning, og Rigsrevisionen af-

giver derfor beretningen til Statsrevisorerne i henhold til § 8, stk. 1,

og § 17, stk. 2, i rigsrevisorloven, jf. lovbekendtgørelse nr. 101 af

19. januar 2012.

Rigsrevisionen har revideret regnskaberne efter § 2, stk. 1, nr. 1,

jf. § 3 i rigsrevisorloven.

Beretningen vedrører alle ministerområder. På alle ministerområder

har der været udskiftning på ministerposterne i 2019, som er det år,

beretningen vedrører. Rigsrevisionen har derfor valgt ikke at opliste

ministrene.

Beretningen har i udkast været forelagt alle ministerier, hvis be-

mærkninger er afspejlet i beretningen.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Introduktion og konklusion |

1. Introduktion og

konklusion

1.1.

Formål og konklusion

Definition af svig

1. Denne beretning handler om ministeriernes indsats for at undgå, at statsansatte be-

går svig. Ansatte i staten kan fx begå svig ved at misbruge statens midler til at foreta-

ge private indkøb eller udbetale penge til egen konto. I de seneste år har der været fle-

re sager, hvor statsansatte har begået eller medvirket til svig. Der har fx været sager

om ansattes svindel i forbindelse med indkøb i Forsvarsministeriets Ejendomsstyrel-

se, svindel med tilskudsmidler på socialområdet og svindel med refusion af udbytte-

skat.

Rigsrevisionen har i en årrække i beretninger om revisionen af statsregnskabet rap-

porteret til Statsrevisorerne, at der overordnet set er en god og sikker regnskabsfor-

valtning i staten. Rigsrevisionen har dog også afdækket en række fejl, usikkerheder

og svagheder i ministeriernes interne kontroller og sager, hvor der er risiko for fejl el-

ler svig.

Det er ikke revisors ansvar at opdage besvigelser, der ikke beløbsmæssigt er væsent-

lige i forhold til regnskabet, men bliver revisor opmærksom på svigagtige forhold, skal

revisor reagere. Ansvaret for at forebygge og opdage besvigelser ligger hos ledelsen i

de enkelte ministerier og virksomheder. Det er derfor også deres opgave og ansvar at

etablere betryggende forretningsgange og interne kontroller. En vigtig del af denne op-

gave er at sikre funktionsadskillelse (også kaldet personmæssig adskillelse eller 4-øj-

neprincip), hvilket betyder, at det fx ikke må være den samme medarbejder, der vare-

modtager et indkøb og godkender betalingen for indkøbet. På indkøbsområdet er det-

te helt centralt i forhold til at forebygge statsansattes misbrug af statens midler.

Rigsrevisionen har igangsat undersøgelsen i april 2020 på baggrund af en anmodning

fra Statsrevisorerne, jf. bilag 1. Statsrevisorerne ønskede, at undersøgelsen skulle dæk-

ke områderne tilskud, indkøb og løn. Da Statsrevisorerne behandlede Rigsrevisionens

forslag til tilrettelæggelse af undersøgelsen, ønskede de desuden, at undersøgelsen

også omfattede statsansattes brug af betalingskort. I undersøgelsen peger vi på ste-

der i den statslige forvaltning, hvor utilfredsstillende forretningsgange og kontroller

kan betyde, at statsansatte har mulighed for at begå svig. Dette gælder uanset beløbs-

størrelse, og uanset om en eventuel besvigelse ville påvirke det samlede regnskabs

rigtighed, idet besvigelser både kan begås for større og mindre beløb.

En bevidst handling udført af

én eller flere personer blandt

den daglige ledelse, den øver-

ste ledelse, medarbejdere el-

ler tredjeparter, der benytter

vildledning til at opnå en ube-

rettiget eller ulovlig fordel.

Definitionen følger af den in-

ternationale revisionsstan-

dard ISSAI 1240.

Forretningsgange og

interne kontroller

Forretningsgange

dækker

processer og retningslinjer,

der beskriver administratio-

nens tilrettelæggelse, og hvor-

dan interne kontroller og tilsyn

med kontrollerne skal udføres.

Interne kontroller

dækker de

handlinger, der implementeres

af ledelsen for at undgå fejl og

svig.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Introduktion og konklusion

Styringsramme

Ved en tilfredsstillende sty-

ringsramme forstås, at der er

fastsat rammer og procedurer,

som gør, at det for den enkelte

medarbejder er svært at om-

gå reglerne. Dette kan fx være

ved opsætninger, som gør, at

én person ikke både kan god-

kende og betale en faktura.

Regler og procedurer kan væ-

re formuleret lokalt i ministe-

rie-, virksomheds- og regn-

skabsinstrukserne eller over-

ordnet i regnskabsbekendtgø-

relsen.

2. Formålet med undersøgelsen er at vurdere, om der i ministerierne er tilfredsstillen-

de forretningsgange og interne kontroller til at begrænse risikoen for ansattes besvi-

gelser. Vi besvarer følgende spørgsmål i beretningen:

Havde ministerierne i 2019 en tilfredsstillende styringsramme i forhold til at fore-

bygge risikoen for besvigelser begået af statsansatte vedrørende tilskud, indkøb

og løn?

•

Havde ministerierne i 2019 en tilfredsstillende systemunderstøttelse af funktions-

adskillelse i de fællesstatslige it-systemer?

•

Havde ministerierne i 2019 i praksis tilfredsstillende interne kontroller til at begræn-

se risikoen for besvigelser begået af statsansatte vedrørende indkøb og løn?

•

Havde ministerierne i 2019 tilfredsstillende it-understøttede kontroller i de anvend-

te tilskudssystemer?

•

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Introduktion og konklusion |

Hovedkonklusion

Rigsrevisionen vurderer, at ministeriernes forretningsgange og interne kon-

troller i 2019 samlet set ikke var tilfredsstillende i forhold til at begrænse

risikoen for, at statsansatte kunne begå besvigelser. Rigsrevisionen har ik-

ke fundet konkrete tilfælde af svig vedrørende tilskud, indkøb og løn, men

har konstateret en række svage kontroller, som betyder, at det for statsan-

satte ville have været muligt at begå svig uden at blive opdaget. Konsekven-

sen heraf er, at der i 2019 – og i princippet flere år bagud – kan have fundet

uretmæssige udbetalinger sted i forbindelse med statsansattes forvaltning

af tilskud, indkøb og løn.

De fleste ministeriers styringsrammer var mangelfulde i forhold til at forebygge, at

statsansatte kan begå besvigelser ved indkøb og ved udbetalinger af tilskud og løn

Undersøgelsen viser, at ministerierne har styringsrammer, der ud fra væsentlighed og

risiko understøtter regnskabsaflæggelsen. Ministeriernes tilsyn med virksomhedernes

interne kontrol understøtter dog ikke, at den øverste ledelse har et tilstrækkeligt over-

blik over, om kontrollerne vedrørende tilskud, indkøb og løn fungerer hensigtsmæssigt

i forhold til at forebygge ansattes mulighed for at begå svig. Hovedparten af ministeri-

erne har desuden hverken i 2019 eller 2020 opdateret ministerieinstruksen med be-

skrivelser af hovedelementerne i ministeriets interne kontrol og risikostyring, på trods

af at dette har været et krav i regnskabsbekendtgørelsen siden 2018. Alle ministerier-

ne tilkendegiver, at de har sikret basale kontroller såsom funktionsadskillelse og log-

ning af brugernes handlinger på hele ministerområdet, men halvdelen af departemen-

terne oplyser, at ministeriet kun delvist eller slet ikke i 2019 har efterprøvet, om funk-

tionsadskillelsen virkede efter hensigten.

Rigsrevisionen kan dog samtidig konstatere, at flere ministerier efter afdækningen af

svigsager i staten i 2018 og 2019 har revurderet og styrket kontrollerne.

Den systemunderstøttede funktionsadskillelse kunne omgås via lokale tilpasnin-

ger og tildeling af brugerrettigheder i virksomhederne

Undersøgelsen viser, at de fællesstatslige it-systemer IndFak, RejsUd og SLS som

standard er sat op med henblik på at understøtte funktionsadskillelse. Men undersø-

gelsen viser også, at systemerne IndFak og RejsUd lokalt kan sættes op og bruges på

en måde, der gør, at medarbejdere kan gennemføre transaktioner uden tilstrækkelig

funktionsadskillelse. SLS er generelt karakteriseret ved, at der altid skal foretages ma-

nuelle kontroller i sagsbehandlingen, fordi ikke-godkendte lønudbetalinger ikke auto-

matisk standses af lønsystemet.

IndFak, RejsUd og SLS

IndFak

er Finansministeriets

fælles indkøbs- og faktura-

håndteringssystem.

RejsUd

er Finansministeriets

fælles rejseafregningssystem.

SLS

er Statens Lønsystem.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Introduktion og konklusion

De fleste ministerier havde i praksis ikke tilfredsstillende interne kontroller til

at begrænse risikoen for besvigelser begået af statsansatte vedrørende indkøb

og/eller løn

Undersøgelsens stikprøver viser, at 13 ud af de 15 ministerier, der hovedsageligt an-

vendte de fællesstatslige it-systemer i 2019, i nogle tilfælde ikke har haft en tilstræk-

kelig funktionsadskillelse i systemerne RejsUd og/eller IndFak, og at ministerierne

ikke i tilstrækkelig grad har ført tilsyn med og overvåget kontroller. Dette kunne la-

de sig gøre på grund af lokale opsætninger af indkøbssystemet.

Samlet set viser undersøgelsen, at de fællesstatslige it-systemer IndFak og RejsUd

ofte anvendes uden tilstrækkelig styring af brugernes rettigheder i systemerne, og

at ministerierne ikke udfører kompenserende kontroller.

Undersøgelsen viser desuden konkrete eksempler på, at medarbejdere har brugt

statslige betalingskort i Forsvarsministeriet, Justitsministeriet og Klima-, Energi- og

Forsyningsministeriet samt tankkort i Forsvarsministeriet i strid med gældende reg-

ler.

Rigsrevisionen anbefaler, at alle ministerierne undersøger, om de eksisterende for-

retningsgange og interne kontroller vedrørende ansattes brug af betalingskort, her-

under tankkort, er tilstrækkelige i forhold til at imødegå risikoen for eventuelle be-

svigelser.

På lønområdet viser undersøgelsen mangler i flere ministeriers lønkontroller og sty-

ring af brugerrettigheder i SLS.

Selv om undersøgelsen ikke har påvist tilfælde af svig, kan der have fundet uretmæs-

sige transaktioner sted, og flere ministerier har i kølvandet på Rigsrevisionens under-

søgelse igangsat initiativer med henblik på at stramme op og imødegå risikoen for

besvigelser på løn- og indkøbsområdet.

Udvalgte ministerier, der

anvendte TAS i undersø-

gelsesperioden

•

Klima-, Energi- og Forsy-

ningsministeriet

•

Miljø- og Fødevareministe-

riet

•

Beskæftigelsesministeriet

•

Social- og Indenrigsministe-

riet

•

Kulturministeriet (anvender

også et specialudviklet sy-

stem).

4 ud af 5 udvalgte ministerier anvendte it-systemer til at håndtere tilskud på en

måde, som ikke i tilstrækkelig grad sikrede kontrol med styring af brugerrettig-

heder og overvågning af brugeres aktiviteter i tilskudssystemet til at understøtte

betryggende funktionsadskillelse

Systemet TAS bliver brugt i de 5 ministerier til at håndtere tilskud. Der er fundet ek-

sempler på utilfredsstillende styring af brugerrettigheder. Ingen af de 5 ministerier

havde i 2019 etableret en tilstrækkelig proces for logning og kontrol af privilegerede

brugeres handlinger i systemet. Undersøgelsen viser også et eksempel fra et mindre

it-system, som Kulturministeriet anvender til at administrere et tilskud, hvor mang-

lende funktionsadskillelse og utilstrækkelig styring af brugerrettigheder gav risiko

for, at ansatte kunne begå svig.

Undersøgelsen har afdækket, at der findes forskelligartet praksis i ministerierne og

i virksomhederne vedrørende tilskud, indkøb og løn. Ministerierne kan generelt for-

bedre de eksisterende forretningsgange og interne kontroller ved at videndele mere

på tværs af ministerområdet, men også med andre ministerier om, hvordan risikoen

for svig kan begrænses.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Introduktion og konklusion |

1.2. Baggrund

3. Når ministerierne tilrettelægger deres forretningsgange og interne kontroller for

at forebygge svig, skal de leve op til de krav, der er fastsat i bl.a. lov om statens regn-

skabsvæsen og i regnskabsbekendtgørelsen fra 2018. Det fremgår af regnskabsbe-

kendtgørelsen, at de enkelte institutioner (omtales herefter virksomheder) skal fast-

lægge og beskrive forretningsgange og kontroller, herunder sikre en effektiv funkti-

onsadskillelse.

4. Forvaltning af tilskud, indkøb og løn foregår på forskellig vis og i forskellige statsli-

ge it-systemer. Fælles for alle 3 områder er dog bl.a., at de regnskabsmæssige regi-

streringer skal tilrettelægges, så der etableres en funktionsadskillelse mellem den

regnskabsmæssige registrering og betalingen. Dette fremgår af regnskabsbekendt-

gørelsens § 24.

Funktionsadskillelse dækker over opdeling af ansvar for arbejdsopgaver mellem per-

soner, der varetager uforenelige funktioner inden for registrering, bogholderi, betalin-

ger, it mv. Det skal sikre, at en person ikke har adgang til eller mulighed for at udføre

flere forskellige funktioner, hvor der i funktionen er en form for kontrol. Funktionsad-

skillelse opnås derfor, når én og samme person ikke har ansvaret for fx både at dispo-

nere og godkende eller for at bogføre og betale, som illustreret for en finansiel proces

i figur 1.

Regnskabsbekendtgørel-

sen fra 2018

Regnskabsbekendtgørelsen

blev revideret i 2018 (seneste

revision inden da fandt sted i

2011).

Den nye regnskabsbekendt-

gørelse indeholder en tydelig-

gørelse af bestemmelserne

om interne kontroller med

krav om, at ministerie-, virk-

somheds- og regnskabsin-

strukserne skal beskrive,

hvordan den interne kontrol

og risikostyring i relation til

regnskabsgodkendelsen er til-

rettelagt i virksomhederne.

Figur 1

Funktionsadskillelse i en finansiel proces

FUNKTIONSADSKILLELSE

I FAGKONTORET

FUNKTIONSADSKILLELSE

I UDBETALINGSHÅNDTERINGEN

KR.

DISPONERING

Under disponering indgås

aftaler og køb af varer og

tjenesteydelser mv., og det

kontrolleres, at de i

fakturaen nævnte varer,

ydelser mv. er leveret

GODKENDELSE

Under godkendelsen

kontrolleres, at personen,

der disponerede, var

bemyndiget, at de i

fakturaen nævnte varer,

ydelser mv. er leveret, og

at fakturaen er korrekt

BOGFØRING

Under bogføringen

kontrolleres, at fakturaen

er korrekt og godkendt af

bemyndigede personer,

og fakturaen registreres

i regnskabet

BETALING

Under betaling kontrolleres

udbetalingen i forhold

til fakturaens betalings-

oplysninger, og

udbetalingen foretages

OBS:

Disponering og godkendelse

må aldrig foretages af samme person

Kilde:

Rigsrevisionen på baggrund af oplysninger fra Økonomistyrelsen.

OBS:

Bogføring og betaling må

aldrig foretages af samme person

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Introduktion og konklusion

Som det fremgår af figur 1, må disponering og godkendelse aldrig foretages af sam-

me person. Desuden fremgår det af figuren, at det bl.a. er godkenderens opgave at

kontrollere, at disponenten var bemyndiget, og samtidig føre en yderligere kontrol

med fakturaen og leveringen. Da godkenderen både skal kontrollere disponenten og

føre kontrol med fakturaen efter disponenten, kan godkendelse i sagens natur ikke

foretages af disponenten.

I de it-systemer, som vi har undersøgt, anvendes ikke nødvendigvis de samme beteg-

nelser som i figur 1. Fx hedder den første kontrol af, om de nævnte varer og ydelser

mv. er leveret, en varemodtagelse i IndFak, selv om denne omtales under disponering

i figur 1.

Stamdata

Stamdata er grundinforma-

tion, som tastes ind i systemet

én gang for derefter at blive

anvendt som grundlag for fx

udbetaling, fakturering eller

lønkørsel. Eksempler på stam-

data er stilling, navn, adresse,

cpr-nr. og betalingsoplysnin-

ger på modtageren af en ud-

betaling.

5. Således betyder funktionsadskillelse, at der på tværs af en finansiel proces er in-

terne kontroller, der sikrer, at det ikke er den samme person, som disponerer, god-

kender, bogfører og betaler. Ligeledes er det vigtigt, at der er funktionsadskillelse, så

fx stamdata er beskyttet mod såvel tilsigtede som utilsigtede fejl. Det er centralt, at

den ansvarlige ledelse både forholder sig til, at der er personmæssig funktionsadskil-

lelse ud fra et 4-øjneprincip, og at personerne er bemyndigede og har kompetencen

til at varetage deres funktioner i processen.

Begrebet

tilstrækkelig funktionsadskillelse

betyder i denne beretning, at begge for-

hold er opfyldt. Boks 1 forklarer, hvordan begrebet tilstrækkelig funktionsadskillelse

skal forstås, når det bruges i forhold til IndFak og RejsUd.

Boks 1

Tilstrækkelig og systemunderstøttet funktionsadskillelse i de

fællesstatslige it-systemer (eksempler)

Tilstrækkelig funktionsadskillelse i IndFak

Der kan godt være systemunderstøttet funktionsadskillelse i godkendelsen af en faktura

i IndFak, uden at der er tale om en tilstrækkelig funktionsadskillelse. Dette vil fx være til-

fældet, hvis medarbejderen, som godkender en faktura, ikke har tilstrækkelig prokura

til at udføre denne godkendelse, og fakturaen derfor sendes tilbage til den person, som

varemodtog fakturaen, til endelig godkendelse. Her vil der være en systemunderstøttet

funktionsadskillelse, da fakturaen har været forbi 2 forskellige medarbejdere. Funktions-

adskillelsen er dog ikke tilstrækkelig, da medarbejderen, som godkender i første omgang,

ikke havde prokura til at gennemføre den kontrol, som er indeholdt i godkenderrollen

(dvs. ikke var bemyndiget hertil). De 2 centrale kontroller – varemodtagelse og endelig

godkendelse (forud for bogføring og betaling af fakturaen) – er derfor i praksis varetaget

af den samme person.

Tilstrækkelig funktionsadskillelse i RejsUd

Der kan tilsvarende godt være systemunderstøttet funktionsadskillelse i godkendelsen

af en rejseafregning i RejsUd, uden at der er en tilstrækkelig funktionsadskillelse. Dette

vil fx være tilfældet, hvis en rejseafregning er kontrolleret af en medarbejder og efterføl-

gende godkendt af den medarbejder, som rejseafregningen vedrører. Her vil der være en

systemunderstøttet personmæssig funktionsadskillelse, da rejseafregnin-gen har været

forbi 2 medarbejdere. Funktionsadskillelsen er dog ikke tilstrækkelig, da godkenderen i

dette tilfælde ikke har bemyndigelse til at udføre den kontrol, som er indeholdt i godken-

derrollen, da vedkommende i praksis har godkendt sin egen rejseafregning.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Introduktion og konklusion |

Vi har således undersøgt, om der er tilstrækkelig funktionsadskillelse i betalingsforret-

ningerne, dvs. om der er 4 øjne involveret, og om de medarbejdere, som indgår i den

funktionsadskilte proces, har bemyndigelse, dvs. de nødvendige rettigheder, kompe-

tencer, prokura mv. til at udfylde den kontrolfunktion, som skal varetages i henhold til

de roller, som medarbejderne udfylder. 4 øjne er dog ikke en sikkerhed for, at der ikke

er besvigelser, da medarbejdere via sammensværgelse kan blive enige om at begå

svig.

Manglende funktionsadskillelse giver risiko for svig i form af fx ansattes indkøb til eget

forbrug eller overførsler til egen konto, mens manglende funktionsadskillelse mellem

fx medarbejdere med it-udviklingsopgaver og driftsopgaver medfører en svigrisiko

ved, at en medarbejder har mulighed for at foretage ændringer i udviklingsmiljøet og

efterfølgende kan overføre uberettigede ændringer direkte i driftssystemet, uden at

dette er godkendt.

Hvis det ikke er muligt at etablere systemunderstøttet funktionsadskillelse, fx på

grund af virksomhedens størrelse og organisation, skal ministerierne ifølge regnskabs-

bekendtgørelsen etablere kompenserende kontroller. En kompenserende kontrol kan

fx være en stikprøvevis kontrol af fakturaer og indkøbsordrer, opfølgning på logning

af ændringer i væsentlige data eller monitorering af brugernes aktiviteter og hændel-

ser i de anvendte it-systemer.

6. Ud over funktionsadskillelse indeholder regnskabsbekendtgørelsen også andre

krav, som er relevante for at begrænse risikoen for besvigelser og utilsigtede fejl. Fi-

gur 2 viser de relevante krav fra regnskabsbekendtgørelsen og andre relevante prin-

cipper for at imødegå risiko for besvigelser.

Svig ved sammensværgel-

ser

Hvis der er tale om en sam-

mensværgelse af fx 2 ansatte

med forskellige funktioner, der

begår svig, kan det være svært

at opklare, da parterne har

sammenfaldende interesser.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Introduktion og konklusion

Figur 2

Centrale principper for at imødegå besvigelsesrisici

RELEVANTE PRINCIPPER FRA REGNSKABSBEKENDTGØRELSEN

§ 24

Sikring af

funktionsadskillelse

§ 27

Dokumentation og

godkendelse

§ 28

Kontrol af grund-

laget for ind- og

udbetalinger

§ 30

Kontrol med

anvendelse af

betalingskort

§ 37

Etablering af tilsyn

med forretningsgange

og interne kontroller

§ 46

Forsvarlig forvalt-

ning af udgifter og

indtægter

Der er etableret en

personmæssig

adskillelse mellem

den regnskabsmæs-

sige registrering og

betalingen. Hvis dette

ikke er muligt, skal

der optages særskilte

bestemmelser herom

i regnskabsinstruksen

med henblik på at

sikre kontrollen med

betalingerne på

anden måde.

Der er bilag, som

dokumenterer

rigtigheden af de

enkelte regnskabs-

mæssige registreringer,

og som er godkendt af

hertil bemyndigede

personer.

Der er udarbejdet og

gennemført de

nødvendige kontroller

af grundlaget for ind-

og udbetalingerne

samt den faktiske

effektuering heraf.

Dette er tilrettelagt

under hensyntagen

til betalingernes

størrelse og frekvens.

Anvendelse af

betalingskort til

betaling skal ske efter

Finansministeriets

cirkulære om

anvendelse af

betalingskort i staten

og retningslinjer i

institutionens

regnskabsinstruks,

hvor der også

beskrives principper

for udstedelse og

anvendelse.

Der er etableret

forretningsgange og

interne kontroller

under hensyntagen til

væsentlighed og risiko.

I den forbindelse er

det kontrolleret, at der

er etableret et tilsyn

med fokus på

ovenstående.

Der foretages en

forsvarlig forvaltning

af udgifter og

indtægter. Dispone-

ringer (indgåelse af

aftaler, køb, tilsagn

om tilskud mv.)

godkendes af en

bemyndiget person,

og godkendelse af

udgifts- og indtægts-

bilag omfatter kontrol

med, at de i bilaget

nævnte varer, ydelser

mv. er leveret, og at

bilaget er korrekt.

§ 1 − DIGITAL ØKONOMIFORVALTNING

Regnskabsvæsenet skal bidrage til en sikker og effektiv økonomiforvaltning på alle niveauer i Statsforvaltningen og

skal i størst muligt omfang foregå digitalt med brug af færrest mulige ressourcer og størst mulig automatisering.

ANDRE RELEVANTE PRINCIPPER

Styring af brugerrettigheder

Logning og monitorering

Der er en velfungerende styring af brugerrettigheder, herunder

tildeling, ændring og afvikling af brugerrettigheder inden for det

enkelte system og på tværs af systemer.

Der er opsat en logfunktion, som gør det muligt at gå tilbage i en

proces og gennemgå, hvem der har gjort hvad og hvornår, og

brugeraktiviteter overvåges ved hjælp af loggen.

Kilde:

Rigsrevisionen.

Kombinationen af de krav og principper, der skitseres i figur 2, imødegår risikoen for

besvigelser begået af statsansatte ved at minimere muligheden for at begå en besvi-

gelse, samtidig med at det øger muligheden for at opdage en besvigelse, som allerede

er begået.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Introduktion og konklusion |

Revisionen af statsregnskabet for 2019

7. Statsrevisorerne har anmodet om, at undersøgelsen omfatter regnskabsåret 2019.

Rigsrevisionen har i august 2020 afgivet en beretning om revisionen af statsregnska-

bet for 2019. Resultater fra revisionen af 2019-regnskabet nævnes, hvor det er rele-

vant, og suppleres med nye observationer, idet den undersøgelse af indkøb, som ind-

går i beretningen, er baseret på data for alle rejse- og udgiftsafregninger foretaget af

alle ministerier, som anvendte de fællesstatslige it-systemer i 2019. Dette til forskel fra

den stikprøvebaserede revision, der blev gennemført i forbindelse med revisionen af

statsregnskabet for 2019.

I beretningen om revisionen af statsregnskabet for 2019 konkluderer Rigsrevisionen

bl.a., at et stort antal virksomheder fordelt på en række ministerier mangler funktions-

adskillelse og ikke har tilstrækkelig kontrol med betalinger mv. Medarbejdere i flere

virksomheder har desuden adgang til at deaktivere eller slette logs i it-systemerne,

hvilket gør det næsten umuligt for en virksomhed at opdage eventuelle uregelmæssig-

heder, som skyldes svig. Det drejer sig fx om følgende sager i beretningen om revisio-

nen af statsregnskabet for 2019:

mangelfuldt kontrolmiljø på indkøbsområdet hos Forsvarsministeriet

utilstrækkeligt kontrolmiljø på huslejeområdet hos Bygningsstyrelsen under Trans-

port- og Boligministeriet

•

mangler i Skatteministeriets brugerrettighedsstyring

•

utilstrækkelig it-sikkerhed i Navision Stat hos Direktoratet for Kriminalforsorgen

og Domstolsstyrelsen under Justitsministeriet

•

utilstrækkelig kontrol med udbetaling af tilskud hos Styrelsen for Arbejdsmarked

og Rekruttering under Beskæftigelsesministeriet.

Da ovennævnte sager er behandlet i beretningen om revisionen af statsregnskabet for

2019, indgår de ikke i denne undersøgelse.

•

1.3. Revisionskriterier, metode og afgrænsning

8. Undersøgelsen afdækker risikoen for statsansattes besvigelser ud fra en tværgå-

ende analyse af statslige virksomheders forretningsgange og interne kontroller samt

håndtering af risikoen i virksomhederne på et overordnet niveau. På baggrund af en

samlet risikovurdering baseret på dataanalyser, tidligere revisioner og en whistle-

blowerordning har vi udtaget virksomheder og forvaltningsområder til yderligere revi-

sionshandlinger. I beretningen beskriver vi eksempler på steder i forvaltningen af til-

skud, indkøb og løn, hvor der i 2019 har manglet funktionsadskillelse. Desuden frem-

hæver vi eksempler fra forskellige virksomheder, hvor forretningsgange og kontroller

til at begrænse risikoen for statsansattes mulighed for at begå svig ikke var tilfreds-

stillende i 2019.

Revisionskriterier

Rigsrevisionens whistle-

blowerordning

Whistleblowerordningen gav

mulighed for at indmelde til-

fælde af formodet svig og/el-

ler forretningsgange og kon-

troller, som muliggør statsan-

sattes svig.

Ordningen var åben i 2�½ må-

ned i foråret 2020, og oplys-

ninger derfra er inddraget i

undersøgelsen i de tilfælde,

hvor de har været relevante

inden for undersøgelsens af-

grænsning og har kunnet ef-

terprøves.

9. Formålet med undersøgelsen er at vurdere, om der i ministerierne er tilfredsstillen-

de forretningsgange og interne kontroller til at begrænse risikoen for ansattes besvi-

gelser. Med ministerierne mener vi departementer og underliggende virksomheder,

som indgår i statsregnskabet.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Introduktion og konklusion

Kriterierne for undersøgelsen udspringer primært af regnskabsbekendtgørelsen, hvor

de centrale krav og principper for interne kontroller fremgår. Disse omfatter kontroller

og kontrolfunktioner, som er særligt relevante for at imødegå besvigelsesrisici i forbin-

delse med forvaltning af bl.a. tilskud, indkøb og løn, herunder funktionsadskillelse, sty-

ring af brugerrettigheder/adgangskontrol og dokumentation samt tilsyn og it-under-

støttelse.

Tilfredsstillende forretningsgange og interne kontroller indebærer grundlæggende, at

der er etableret funktionsadskillelse, eller at der er iværksat kompenserende kontrol-

ler, hvor funktionsadskillelse ikke er mulig. Herudover er det væsentligt, at virksomhe-

derne styrer brugernes rettigheder i de anvendte it-systemer, så de ansatte har de ret-

tigheder, som er begrundet i et arbejdsbetinget behov, og at der ikke tildeles for brede

rettigheder, som kan tilsidesætte funktionsadskillelsen. Tilfredsstillende forretnings-

gange og interne kontroller indebærer i denne sammenhæng også, at der føres et til-

strækkeligt tilsyn med de interne kontroller, herunder med kontrollerne af grundlaget

for ind- og udbetalinger, og med anvendelsen af betalingskort mv. Endelig indebærer

det, at forretningsgange og interne kontroller i videst muligt omfang understøttes af it-

systemer og automatiske kontroller.

Tilsyn defineres i denne beretning bredt og dækker dermed både det departemen-

tale tilsyn og styring og controlling udført af virksomhederne.

10. Vi har undersøgt, om ministerierne havde en tilfredsstillende styringsramme i for-

hold til at forebygge risikoen for besvigelser begået af statsansatte vedrørende til-

skud, indkøb og løn i 2019, idet det fremgår af regnskabsbekendtgørelsen, at ministe-

rierne skal sikre, at der er etableret forretningsgange og interne kontroller samt tilsyn

hermed, som sikrer regnskabsaflæggelsen. Dette udmønter sig i, at der stilles krav om,

at det i ministerie-, virksomheds- og regnskabsinstrukserne skal beskrives, hvordan

hovedelementerne i den interne kontrol og risikostyring i relation til regnskabsgodken-

delsen er tilrettelagt. Konkret skal ministerieinstruksen indeholde en beskrivelse af ho-

vedelementerne i ministeriets tilrettelæggelse af den interne kontrol og risikostyring

i forbindelse med regnskabsaflæggelsen. Det fremgår ikke direkte af regnskabsbe-

kendtgørelsen, men en væsentlig del af formålet med intern kontrol er at forhindre mu-

ligheden for besvigelser fra ansatte og at sikre, at ansatte dermed ikke kan blive mis-

tænkt for besvigelser.

Ministerierne er forpligtede til at opbygge et internt kontrolsystem, som sikrer en for-

svarlig regnskabsaflæggelse og forvaltning af offentlige midler. Dette kræver en sty-

ringsramme, som omfatter en forsvarlig organisering af roller og ansvar i ministeriet og

strukturerede procedurer for risikostyring og overvågning af interne kontroller for at

begrænse risikoen for, at der sker fejl i bl.a. tilskuds-, indkøbs- og lønprocesser. I den

forbindelse er det nødvendigt, at de statslige virksomheder kortlægger deres finansi-

elle processer fra start til slut og vurderer, hvor der er risiko for tilsigtede fejl. Det er

desuden vigtigt, at de interne kontroller i processerne systematisk efterprøves for at

sikre, at kontrollerne er effektive i forhold til at imødegå konstaterede risici for fejl.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Introduktion og konklusion |

En klar systematik for intern kontrol og risikostyring indebærer bl.a.:

•

klart definerede roller og ansvarsfordeling

overvågning af, at der i virksomhederne foretages kortlægning og risikovurdering

af de finansielle processer fra start til slut, som gør det muligt at vurdere, hvilke ri-

sici ledelsen accepterer, og hvilke der skal afhjælpes af virksomhedernes interne

kontroller

•

overvågning af, at der i virksomhederne gennemføres en kontinuerlig overvågning

og tilpasning af kontrolmiljøet over tid for at sikre, at kontrollerne bliver udført, at

kontrolsvagheder udbedres, og at kontroller udvikles, hvor overvågningen viser, at

det er relevant og nødvendigt for at bringe konkrete risici ned på et acceptabelt

lavt niveau

•

ledelsesinformation om risici og kontroller, som giver ledelsen et overblik over væ-

sentlige risici, herunder besvigelsesrisici, og om, hvorvidt kontrollerne fungerer ef-

fektivt eller kræver ændringer/handlingsplaner og opfølgning.

Det er de enkelte ministeriers ansvar at sikre tilrettelæggelse af forsvarlige forret-

ningsgange, der følger gældende regelsæt, herunder at sikre, at der er tilstrækkelige

interne kontroller og er etableret et tilsyn hermed, der tager hensyn til væsentlighed

og risiko. Ministeriets underliggende virksomheder tilrettelægger selv deres interne

kontrol og risikostyring, men departementet har ansvaret for at sikre en tilstrækkelig

overvågning af, at der er fastlagt forretningsgange og interne kontroller, som er effek-

tive i forhold til at begrænse risici for væsentlige fejl. Derudover er departementet an-

svarlig for at sikre udbedring ved regelbrud og at sikre, at der følges op på konstatere-

de væsentlige fejl og mangler i ministeriet.

11. Vi har undersøgt, om ministerierne havde tilfredsstillende systemunderstøttelse af

funktionsadskillelse i de fællesstatslige it-systemer i 2019, idet det fremgår af regn-

skabsbekendtgørelsen, at statens regnskabsvæsen i størst muligt omfang skal fore-

gå digitalt med brug af færrest mulige resurser og størst mulig automatisering. Med

udgangspunkt heri har vi undersøgt, om der i de fællesstatslige systemer var system-

understøttede kontroller til at sikre tilfredsstillende funktionsadskillelse i 2019, og om

virksomhederne anvendte systemerne efter hensigten, så de systemunderstøttede

kontroller ikke blev fraveget uden at blive suppleret af kompenserende kontroller.

I undersøgelsen indgår de 4 it-systemer, som er en del af statens samlede virksom-

hedsløsning: Navision Stat (som anvendes til økonomistyring og regnskab), IndFak

(som anvendes til indkøb og fakturahåndtering), RejsUd (som anvendes til rejse- og

udlægsafregninger) og Statens Lønløsning – SLS og HR-Løn (som anvendes til lønud-

betalinger). Disse systemer anvendes af langt hovedparten af ministerierne.

For Navision Stat, IndFak og RejsUd er det centralt at undersøge, om systemopsæt-

ningen sikrer, at enkelte personer ikke kan gennemføre centrale dele af en betalings-

proces alene (dvs. at den samme person ikke kan fungere som disponent og godken-

der eller som bogfører og betaler). En sikker lønforvaltning er desuden afgørende for,

at der ikke sker svig, og at der ikke forekommer regelbrud, fejl og mangler i lønnen.

Lønområdet er kendetegnet ved, at en væsentlig del af lønnen udbetales som fast løn

til medarbejdere. Dette mindsker risikoen for svig på lønområdet, idet den faste løn

udbetales automatisk hver måned, når først lønoplysningerne er indtastet korrekt i

lønsystemet. Risikoen på lønområdet er størst, når der er knyttet manuelle processer

til udbetalingerne.

RejsUd og IndFak

I undersøgelsen indgår Fi-

nansministeriets fælles ind-

købs- og fakturahåndterings-

system IndFak2 (herefter kal-

det IndFak) samt Finansmini-

steriets fælles rejseafreg-

ningssystem RejsUd2 (heref-

ter kaldet RejsUd).

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Introduktion og konklusion

12. Økonomistyrelsen under Finansministeriet udvikler og drifter de fællesstatslige it-

systemer med henblik på at understøtte, at de administrative processer i staten kan

udføres digitalt. Finansministeriets ansvar fastlægges i regnskabsbekendtgørelsens

§ 6, stk. 5, hvor det fremgår, at Økonomistyrelsen har ansvaret for systemerne, herun-

der for at stille de relevante krav til systemernes drift og sikkerhed og for at sikre over-

holdelse af kravene. Det er også Økonomistyrelsens ansvar at udarbejde og vedlige-

holde systemdokumentation, brugervejledninger og installationsvejledninger til de

fællesstatslige systemer, mens det er de enkelte virksomheders ansvar at sikre den

specifikke dokumentation for, hvordan systemerne anvendes lokalt, og at vejlednin-

gerne er opdaterede.

Vi har undersøgt, om ministerierne i praksis havde tilfredsstillende interne kontroller

til at begrænse risikoen for besvigelser begået af statsansatte vedrørende indkøb og

løn samt tilfredsstillende it-understøttede kontroller i de anvendte tilskudssystemer

for at afdække, om den ovenfor beskrevne styringsramme og brugen af it-systemer-

ne i tilstrækkelig grad har sikret funktionsadskillelse i de gennemførte betalinger på

tilskuds-, indkøbs- og lønområdet. Udgangspunktet herfor er, at den praktiske anven-

delse af systemer kan medføre, at der – til trods for tilfredsstillende styringsrammer

og it-systemer – ikke finder de fornødne kontroller sted, så funktionsadskillelsen alli-

gevel ikke er tilstrækkelig.

Metode

13. Undersøgelsen bygger på en gennemgang af dokumenter, cases, stikprøver af bi-

lag, en selvangivelse og en spørgeskemaundersøgelse samt forskellige analyser af re-

gisterdata fra de fællesstatslige it-systemer og analyser af betalingskorttransaktioner

og transaktioner med Forsvarsministeriets tankkort i 2019.

I undersøgelsen indgår alle ministerier og deres underliggende virksomheder, der

fremgår af tabel C i bilag 2. Undersøgelsen omhandler regnskabsåret 2019. Da det i

sagens natur ikke er muligt at foretage en fysisk gennemgang af fx it-systemer, som

er blevet underlagt en ændring efter den 31. december 2019, inddrager vi i dele af un-

dersøgelsen resultater gældende for 2020. Vi har dog så vidt muligt taget udgangs-

punkt i interne kontroller og forretningsgange i statslige virksomheder, som de så ud

efter ressortændringen på baggrund af folketingsvalget i 2019. Det samme gælder in-

terne instrukser og procesbeskrivelser.

14. I kapitel 2 har vi vurderet ministeriernes styringsramme, dvs. tilrettelæggelse af for-

retningsgange og interne kontroller samt tilsyn med intern finansiel kontrol og risiko-

styring i forhold til svig. Denne del af undersøgelsen baserer sig på skriftligt materiale

fra ministerierne indhentet fra departementerne i forbindelse med spørgeskemabe-

svarelser og en selvangivelse, hvor spørgsmålene primært udsprang af regnskabsbe-

kendtgørelsen. Ministerierne har besvaret spørgeskemaet for departementet og de

underliggende virksomheder, der fremgår af statsregnskabet. Når ministerierne be-

svarer selvangivelsen, har de – i lighed med, hvad der er tilfældet i andre sammenhæn-

ge, hvor Rigsrevisionen anmoder om og indhenter redegørelser, oplysninger, revisions-

materiale mv. – pligt til at give korrekte oplysninger, og Rigsrevisionen har derfor ikke

efterprøvet ministeriernes svar.

Kapitlet omfatter således en overordnet kortlægning af ministeriernes arbejde med

kontrol og risikostyring med udgangspunkt i departementernes egne (selvangivne)

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Introduktion og konklusion |

oplysninger om, hvordan de i 2019 havde tilrettelagt ministeriets tilsyn i forhold til at

forebygge og opdage svig på områderne tilskud, indkøb og løn på ministerområdet.

15. I kapitel 3 har vi undersøgt, om der i de 4 udvalgte fællesstatslige it-systemer Na-

vision Stat, IndFak, RejsUd og Statens Lønsystem (SLS) er etableret mulighed for sy-

stemunderstøttet funktionsadskillelse, og om der er virksomheder, som ikke anven-

der eller omgår denne systemunderstøttelse.

I 2019 var der 3 ministerier, som ikke anvendte alle 4 fællesstatslige it-systemer. Stats-

ministeriet anvendte ikke RejsUd, Skatteministeriet anvendte hverken Navision Stat,

IndFak eller RejsUd (med undtagelse af Medarbejder- og Kompetencestyrelsen), og

Forsvarsministeriet anvendte hverken Navision Stat, IndFak, RejsUd eller SLS. Disse

ministerier er derfor ikke omfattet af kapitel 3. Det skal bemærkes, at nogle ministerier

har enkelte underliggende virksomheder, som anvender andre systemer end de fæl-

lesstatslige. Fx anvendes SAP af Vejdirektoratet og Banedanmark under Transport-

og Boligministeriet og af Skatteministeriet og underliggende virksomheder (med und-

tagelse af Medarbejder- og Kompetencestyrelsen).

16. I kapitel 4 har vi undersøgt udvalgte virksomheders interne kontroller, herunder

primært funktionsadskillelse. Virksomhederne er udvalgt på baggrund af vores risiko-

model, som har peget på ministerier og virksomheder, hvor dataanalyser, tidligere re-

visioner og whistleblowerhenvendelser umiddelbart indikerer, at der kan være svag-

heder i forretningsgangene eller i kontroller til forebyggelse af svig blandt statsansatte

på indkøbsområdet og/eller lønområdet. Desuden har vi undersøgt statsansattes an-

vendelse af betalingskort, som Statsrevisorerne eksplicit har ønsket, jf. pkt. 1.

Vi har analyseret data fra de fællesstatslige it-systemer for at klarlægge, hvilke perso-

ner/brugere der varetager forskellige delprocesser/roller i udbetalingsforretninger,

om der er personmæssig funktionsadskillelse, og hvornår forskellige delprocesser fin-

der sted. Da automatiske og forebyggende kontroller som udgangspunkt er stærkere

end kompenserende og opdagende kontroller, har vi i første del af kapitlet undersøgt,

om der har været en tilstrækkelig systemunderstøttet kontrol i RejsUd og IndFak. Da-

ta om betalingskort er analyseret ud fra indkøbskategorier knyttet til de steder, hvor

de er anvendt, og ud fra forbrugsmønstre med tidspunkter, steder og kombinationen

af flere på hinanden følgende indkøb. Data om tankkort er analyseret ud fra anomalier

og mønstre, som kunne antyde, at kortene anvendes i strid med gældende regler.

Endelig har vi undersøgt udvalgte ministeriers lønkontroller og styring af brugerrettig-

heder i SLS. Disse ministerier fremgår af henholdsvis bilag 3, 4 og 5.

17. I kapitel 5 har vi undersøgt, om udvalgte virksomheder har sikret tilfredsstillende

funktionsadskillelse, som begrænser risikoen for, at statsansatte kan begå svig i for-

valtningen af tilskud. Da der ikke fandtes et fællesstatsligt it-system til administration

af tilskud i 2019, har vi beskrevet 2 eksempler på tilskudssystemer: det tilskudsadmi-

nistrative system TAS, der blev anvendt i flere ministerier, og et særskilt system, som

blev anvendt i en virksomhed på Kulturministeriets område.

Data anvendt i under-

søgelsen

Fra Økonomistyrelsen

•

Udtræk af alle transaktioner

i Navision Stat foretaget af

virksomheder, som anvend-

te systemet i 2019, og som

indgår i undersøgelsen

•

Udtræk af alle transaktioner

i IndFak foretaget af virk-

somheder, som anvendte

systemet i 2019, og som ind-

går i undersøgelsen

•

Udtræk af alle transaktioner

i RejsUd foretaget af virk-

somheder, som anvendte

systemet i 2019, og som ind-

går i undersøgelsen.

Fra SEB Kort Bank

•

Udtræk af alle betalings-

korttransaktioner foretaget

i 2019 af statslige virksom-

heder, som indgår i under-

søgelsen.

Fra Forsvarsministeriet

•

Udtræk af alle tankninger

foretaget med Forsvarets

tankkort i 2019.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Introduktion og konklusion

Tabel 1 viser, hvilke ministerier der indgår i de enkelte dele af beretningens kapitel 4

og 5. Den sorte firkant angiver, hvor dataanalyserne peger på, at der kan være udfor-

dringer med funktionsadskillelsen, men hvor vi ikke har udtaget ministeriet til videre

undersøgelse/stikprøve. De farvede cirkler angiver, hvilke ministerier der er udtaget

som cases til videre undersøgelse. Farverne angiver desuden den primære kilde til ud-

vælgelse af de enkelte cases i vores risikomodel.

Tabel 1

Ministerier, der indgår som konkrete eksempler i kapitel 4 og 5 med angivelse af kilde til

udvælgelse af cases

Kapitel 4

Indkøb

IndFak

§ 5. Statsministeriet

§ 6. Udenrigsministeriet

§ 7. Finansministeriet

§ 8. Erhvervsministeriet

§ 9. Skatteministeriet

§ 11. Justitsministeriet

§ 12. Forsvarsministeriet

§ 14. Udlændinge- og

Integrationsministeriet

§ 15. Social- og Indenrigs-

ministeriet

§ 16. Sundheds- og Ældre-

ministeriet

§ 17. Beskæftigelsesministeriet

§ 19. Uddannelses- og

Forskningsministeriet

§ 20. Børne- og Undervisnings-

ministeriet

§ 21. Kulturministeriet

§ 22. Kirkeministeriet

§ 24. Miljø- og Fødevare-

ministeriet

§ 28. Transport- og Bolig-

ministeriet

§ 29. Klima-, Energi- og

Forsyningsministeriet



Dataanalyser



Whistleblowerordning



Tidligere revisioner

Note: I 2019 anvendte Statsministeriet ikke RejsUd, mens Skatteministeriet hverken anvendte IndFak eller RejsUd (med undtagelse af Medarbejder-

og Kompetencestyrelsen, som brugte IndFak). Forsvarsministeriet anvendte hverken IndFak, RejsUd eller SLS. Betalingskort som emne er in-

kluderet i undersøgelsen på foranledning af Statsrevisorerne.

Kilde:

Rigsrevisionen.

Kapitel 4

Løn

Betalings-

kort

Bruger-

styring



Løn-

kontroller

Kapitel 5

Tilskud

TAS

Lokalt

system

RejsUd

Tank-

kort





















Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Introduktion og konklusion |

18. Kapitel 4 og 5 baserer sig på en gennemgang af materiale fra den allerede udførte

finansielle revision, it-revision og lønrevision i forbindelse med revisionen af statsregn-

skabet for 2019 og på supplerende materiale indhentet fra de reviderede i 2020. Der-

udover er store dele af undersøgelsen baseret på analyser af data fra henholdsvis de

fællesstatslige it-systemer Navision Stat, IndFak, RejsUd og SLS samt på analyser af

forbruget på betalingskort fra SEB Kort Bank, som udsteder betalingskort til statsan-

satte i Danmark. Derudover har vi analyseret data fra Forsvarsministeriets database

om brændstof. Som en del af undersøgelsen har vi holdt virtuelle møder med ministe-

rier og med udvalgte virksomheder, som indgår som cases i kapitel 4 og 5, ligesom vi

har aflagt enkelte revisionsbesøg.

19. Rigsrevisionen har i forbindelse med whistleblowerordningen, der blev oprettet til

denne undersøgelse, modtaget en række henvendelser om uregelmæssigheder, som

ikke kunne efterprøves – enten på grund af manglende revisionsadgang, eller fordi

der er tale om et samarbejde mellem flere parter, hvilket gør det meget vanskeligt at

afdække svig. Alle tip er videreformidlet til de relevante ministerier, og relevante myn-

digheder har igangsat undersøgelser af udvalgte sager. Whistleblowerordningen be-

skrives i bilag 2.

20. Revisionen er udført i overensstemmelse med standarderne for offentlig revision,

jf. bilag 2.

Afgrænsning

Regeringens whistle-

blowerordninger

Regeringen har medio 2020

besluttet, at der senest den

1. november 2020 skal være

indført whistleblowerordnin-

ger på hele statens område.

21. I undersøgelsen indgår forretningsgange og interne kontroller forbundet med for-

valtningen af tilskud, indkøb og løn. På tilskudsområdet omfatter undersøgelsen til-

skud efter ansøgning og tildelingspuljer (idet vi har undersøgt det tilskudsadministra-

tive system TAS og et andet system). På indkøbsområdet indgår indkøb af varer og

ydelser og indkøb foretaget med arbejdsgiverudstedte (herunder privathæftende)

betalingskort (herunder tankkort) samt kontroller i delprocesser inden for indkøbs-

processerne. Undersøgelsen omfatter ikke leverandørstyring, kontraktforhandling,

udbud m.m. På lønområdet indgår udbetalinger knyttet til løn og pension.

22. Undersøgelsen omfatter forretningsgange og kontroller i regnskabsåret 2019.

23. Ministerierne har i 2019 som følge af de tidligere omtalte sager om svig, fx i Soci-

alstyrelsen, iværksat en række tiltag for at undersøge og vurdere risikoen for besvi-

gelser og de grundlæggende interne kontroller, herunder funktionsadskillelse og ad-

gangsrettigheder/brugerrettigheder. Dette gælder bl.a. i forhold til virksomhedernes

tilskuds-, indkøbs- og lønprocesser. Derfor var regnskabsåret 2019 et år med mange

ændringer, hvoraf flere først er ved at blive implementeret i 2020.

24. Første del af kapitel 2, der baserer sig på ministeriernes selvangivelse og spørge-

skemabesvarelse. Den del af kapitlet, der bygger på spørgeskemabesvarelser, om-

fatter ikke Erhvervsministeriet, da ministeriet med henvisning til opgaver i forlængel-

se af COVID-19 ikke har besvaret Rigsrevisionens materialeanmodning, der vedrører

ministeriernes tilrettelæggelse af kontrolmiljøer. Anden del af kapitlet dækker alle mi-

nisterier.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Introduktion og konklusion

25. Statsrevisorernes spørgsmål og angivelse af, i hvilke kapitler spørgsmålene bliver

besvaret, fremgår af bilag 1. I bilag 2 er undersøgelsens metodiske tilgang beskrevet.

Bilag 3 er en liste over de ministerier og underliggende virksomheder, som indgik i re-

visionen af lønkontrol i 2019, og som også indgår i denne undersøgelse. Bilag 4 er en

liste over de ministerier og underliggende virksomheder, som indgik i revisionen af

brugerstyring i staten i 2019, og som også indgår i denne undersøgelse. Bilag 5 er en

tilsvarende liste for 2020. Bilag 6 indeholder dataanalysen af Forsvarsministeriets

brug af tankkort. Bilag 7 indeholder en ordliste, der forklarer udvalgte ord og begreber.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes styringsrammer i forhold til at forebygge besvigelser |

2. Ministeriernes styrings-

rammer i forhold til at

forebygge besvigelser

Delkonklusion

De fleste ministeriers styringsrammer var mangelfulde i forhold til at fore-

bygge, at statsansatte kan begå besvigelser ved indkøb og ved udbetalinger

af tilskud og løn.

Ministerierne har styringsrammer, der ud fra væsentlighed og risiko understøtter regn-

skabsaflæggelsen. Ministeriernes tilsyn med virksomhedernes interne kontrol giver dog

ikke et tilstrækkeligt overblik over, om kontrollerne i forbindelse med administrationen

af tilskud, indkøb og løn fungerer hensigtsmæssigt i forhold til at forebygge ansattes mu-

lighed for at begå svig.

Hovedparten af ministerierne havde hverken i 2019 eller 2020 opdateret ministeriein-

struksen med beskrivelser af hovedelementerne i ministeriets interne kontrol og risiko-

styring, på trods af at dette har været et krav i regnskabsbekendtgørelsen siden 2018.

Det er Rigsrevisionens vurdering, at der generelt har manglet viden i ministerierne om,

hvad dette krav i regnskabsbekendtgørelsen betød, og hvordan det kunne implemen-

teres i ministeriernes instrukser og interne procedurer. Det var samtidig et fåtal blandt

ministerierne, som i 2019 havde baseret deres styringsramme på anerkendte standar-

der og principper for intern finansiel kontrol.

Ministeriernes departementer har i forbindelse med Rigsrevisionens undersøgelse op-

lyst, at der er etableret basale kontroller, som sikrer funktionsadskillelse på minister-

området, men halvdelen af departementerne har oplyst, at ministeriet kun delvist eller

slet ikke har efterprøvet, om funktionsadskillelsen virkede efter hensigten.

Ministerierne, som forvalter tilskud, har med henvisning til bl.a. svigsagen i Socialsty-

relsen i 2018 øget det departementale tilsyn med, at virksomhederne sikrer, at der er

funktionsadskillelse og kontrol af grundlaget for udbetalinger af tilskud.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes styringsrammer i forhold til at forebygge besvigelser

26. Dette kapitel handler om, hvorvidt ministerierne i 2019 havde en tilfredsstillende

styringsramme i forhold til at begrænse risikoen for besvigelser begået af statsansat-

te på områderne tilskud, indkøb og løn.

Regnskabsbekendtgørelsen fra 2018 har tydeliggjort bestemmelserne om interne kon-

troller ved at stille krav om, at det i ministerie-, virksomheds- og regnskabsinstrukser-

ne skal beskrives, hvordan den interne kontrol og risikostyring er tilrettelagt i relation

til regnskabsgodkendelsen. Vi har derfor undersøgt, om ministeriernes departementer

fastsætter og beskriver hovedelementerne i den interne kontrol og risikostyring i mini-

sterieinstruksen, herunder tilsynet med kontrolsystemerne hos de enheder/virksom-

heder, der aflægger regnskab. Herudover har vi undersøgt, om ministeriernes interne

kontrol og risikostyring tager afsæt i anerkendte standarder eller principper for intern

finansiel kontrol til at sikre velfungerende kontrolsystemer, som i praksis kan yde en

betydelig beskyttelse mod svig. Endelig har vi undersøgt de af departementernes til-

synsaktiviteter, som i 2019 var målrettet kontroller på ministerområdet, der begræn-

ser risikoen for svig.

2.1. Ministerieinstrukser

27. Vi har gennemgået de senest opdaterede ministerieinstrukser for 2019 og 2020

og konstaterer, at størstedelen af ministerierne har ajourført ministerieinstruksen, ef-

ter regnskabsbekendtgørelsen trådte i kraft den 19. februar 2018, men at der kun i 4 af

disse ministerieinstrukser fremgår eksplicitte beskrivelser af, hvad ministeriet anser

som hovedelementerne i ministeriets tilrettelæggelse af den interne kontrol og risiko-

styring, herunder tilsynet med udførende enheder. Dette på trods af, at det var et krav

i regnskabsbekendtgørelsen. Figur 3 viser, hvilke ministerier der har ajourført ministe-

rieinstruksen, og hvilke ministerier der ikke har ajourført instruksen med afsnit om in-

tern kontrol og risikostyring. Af parentesen fremgår ajourføringsdatoen.

Figur 3

Ministerieinstrukser i 2019 og 2020 med eller uden afsnit om intern kontrol og risikostyring

Har ajourført ministerieinstruksen

med afsnit om intern kontrol og risikostyring

Har ajourført ministerieinstruksen

uden afsnit om intern kontrol og risikostyring

•

Skatteministeriet

(januar 2019)

Beskæftigelsesministeriet

(marts 2019)

Udenrigsministeriet

(september 2019)

Finansministeriet

(januar 2020)

•

Forsvarsministeriet

(januar 2019)

Kulturministeriet

(januar 2019)

Udlændinge- og Integrationsministeriet

(august 2019)

Miljø- og Fødevareministeriet

(oktober 2019)

Uddannelses- og Forskningsministeriet

(oktober 2019)

Kirkeministeriet

(december 2019)

Klima-, Energi- og Forsyningsministeriet

(december 2019)

Børne- og Undervisningsministeriet

(marts 2020)

Social- og Indenrigsministeriet

(marts 2020)

Statsministeriet

(april 2020)

Sundheds- og Ældreministeriet

(april 2020)

Transport- og Boligministeriet

(maj 2020)

Justitsministeriet

(juni 2020)

Erhvervsministeriet

(juli 2020)

Note: Ministerieinstrukserne er indhentet af Rigsrevisionen frem til medio 2020.

Kilde:

Rigsrevisionen.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes styringsrammer i forhold til at forebygge besvigelser |

Det fremgår af figur 3, at 4 ministerier har ajourført deres ministerieinstruks med af-

snit om, hvordan ministeriet har tilrettelagt den interne kontrol og risikostyring efter

regnskabsbekendtgørelsen fra 2018. Figuren viser også, at 14 ministerier har ajour-

ført deres ministerieinstrukser i 2019 eller 2020, men ikke med beskrivelserne af ho-

vedelementerne i den interne kontrol og risikostyring.

2.2. Ministeriers anvendelse af standarder for intern

kontrol og risikostyring

28. Vi har undersøgt, om ministerierne – selv om det ikke fremgår af ministerieinstruk-

serne – arbejdede med finansiel risikostyring og intern kontrol i 2019 med afsæt i fag-

ligt anerkendte standarder eller begrebsrammer for intern finansiel kontrol, fx COSO’s

begrebsramme. Tilsvarende systematik og hovedelementer afspejles også i Økonomi-

styrelsens vejledning om intern finansiel kontrol fra 2020.

29. Ministeriernes besvarelser af Rigsrevisionens spørgeskema om intern kontrol i for-

bindelse med undersøgelsen viser generelt, at ministeriernes styringsrammer i 2019

ikke omfattede formaliserede procedurer for finansiel risikostyring og evaluering af

kontroller. Ministerierne havde dermed ikke procedurer, som sikrede, at alle virksom-

heder på ministerområdet systematisk foretog vurderinger af specifikke besvigelses-

risici i alle finansielle processer og evalueringer af, om væsentlige kontroller i proces-

serne fungerer. Hovedparten af ministerierne havde i 2019 endvidere ikke dokumen-

terede procedurer for, hvordan ministerierne skulle følge op og rapportere til ledelsen

og departementet ved mistanke om svig. Ministerierne har oplyst, at den type infor-

mation fulgte de almindelige procedurer i det ministerielle hierarki.

30. 4 ministerier (Social- og Indenrigsministeriet, Børne- og Undervisningsministeriet,

Kulturministeriet og Klima-, Energi- og Forsyningsministeriet) gør opmærksom på, at

de har efterspurgt vejledning fra Økonomistyrelsen for at kunne implementere regn-

skabsbekendtgørelsens krav om beskrivelser af tilrettelæggelsen af intern kontrol og

risikostyring i deres ministerieinstruks og interne procedurer. Økonomistyrelsen op-

lyste ved ikrafttræden af den seneste regnskabsbekendtgørelse i 2018, at en vejled-

ning ville foreligge i løbet af sommeren 2019. Økonomistyrelsen udgav dog først en

vejledning om intern finansiel kontrol i juni 2020. Økonomistyrelsens vejledninger til

ministeriernes udarbejdelse af ministerie-, virksomheds- og regnskabsinstrukser var

desuden fra 2010 og 2013 og dermed ikke opdaterede i forhold til den gældende regn-

skabsbekendtgørelse.

Vores gennemgang indikerer således, at der har manglet viden hos flere af ministeri-

erne om, hvordan de skulle fortolke regnskabsbekendtgørelsens præcisering om, at

ministeriets tilrettelæggelse af intern kontrol og risikostyring skal fremgå af ministe-

rieinstruksen. Rigsrevisionen bemærker samtidig, at virksomhederne ud over at opda-

tere instruksen også bør være opmærksomme på, at instruksen skal være kendt af

medarbejderne.

COSO

COSO står for Committee of

Sponsoring Organizations of

the Treadway Commission og

dækker over en begrebsram-

me for interne kontroller til

svigforebyggelse.

Begrebsrammen består af

5 hovedkomponenter:

•

kontrolmiljø

risikovurdering

kontrolaktiviteter

information

kommunikation og over-

vågning.

Begrebsrammen er et værk-

tøj, som på struktureret vis

hjælper virksomheder med at

komme hele vejen rundt, af-

dækker skjulte risici og bidra-

ger til styrkelse og oprethol-

delse af et sundt kontrolmiljø.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes styringsrammer i forhold til at forebygge besvigelser

31. Status i 2020 er, at 5 ministerier (Finansministeriet, Skatteministeriet, Social- og

Indenrigsministeriet, Beskæftigelsesministeriet og Børne- og Undervisningsministe-

riet) har iværksat tiltag til at styrke ministeriets arbejde med intern kontrol og risiko-

styring. Finansministeriet er i den forbindelse det første ministerium, der i 2018 gen-

nemførte et større ”risikoafdækningsprojekt”, som omfattede kortlægning og vurde-

ring af risici og interne kontroller for alle processer på styrelsesniveau. Projektet blev

drevet af departementets interne tilsynsfunktion, der har til opgave at understøtte mi-

nisteriets risikostyring og overvågning af kontroller. Tilsynsfunktionen foretager også

selv tests af kontrolmiljøet og sikrer opfølgning på observationer og anbefalinger, her-

under tilsyns- og revisionsbemærkninger. De øvrige 4 ministerier har oplyst, at arbej-

det stadig pågår i 2020.

32. Rigsrevisionen kan konstatere, at flere departementer i 2019 iværksatte konkrete

relevante tiltag for at revurdere risikoen for besvigelser som reaktion på bl.a. svigsa-

gen i Socialstyrelsen. Fx indhentede de information fra virksomhederne for at vurdere,

om virksomhederne havde etableret funktionsadskillelse og kontroller, der begrænser

risikoen for svig i udbetalinger af tilskud.

Situationsbestemt tilsyn

•

Tilsyn med risikovurderin-

ger på udvalgte områder og

udvalgte interne kontroller,

der imødegår risikoen for

svig.

•

Reaktion på svigsager i sta-

ten og på revisionsbemærk-

ninger.

Tilsyn ud fra begrebs-

ramme for risikostyring

og intern kontrol

•

Kontrolsetup med 3 for-

Departementernes tilsyn i forhold til at begrænse risikoen for svig i 2019 var således

situationsbestemt og tog udgangspunkt i konstaterede problemområder, bl.a. som

følge af de konstaterede svigsager andre steder i staten, revisionsbemærkninger, op-

ståede sager mv. Dette tilsyn blev gennemført som led i departementernes løbende

tilsyn med virksomhederne ud fra væsentlighed og risiko.

33. Rigsrevisionen anbefaler, at alle ministerier implementerer en systematisk sty-

ringsramme for intern kontrol og risikostyring ud fra de anerkendte principper til at

understøtte, at ministeriets forretningsgange og interne kontroller imødegår væsent-

lige risici, herunder besvigelsesrisici. Rigsrevisionen anbefaler i den forbindelse, at mi-

nisterierne også revurderer, hvordan ministeriets tilrettelæggelse af tilsynet med den

interne kontrol sikrer ledelsens overblik og stillingtagen til risici og kontroller på mini-

sterområdet.

svarslinjer, formaliseret risi-

kostyring og rapporterings-

procedurer.

•

Overblik over væsentlige ri-

sici inkl. besvigelsesrisici.

•

Efterprøvning og vurderin-

ger af, om kontrolmiljøet

fungerer effektivt.

•

Forebyggende, risikorette-

de tiltag.

2.3. Ministeriernes revurdering af kontrolmiljø og funk-

tionsadskillelse i 2019

34. Vi har i forbindelse med undersøgelsen bedt alle departementer om at udfylde en

selvangivelse for deres ministerområde. Her har de oplyst, om ministeriet har foreta-

get en samlet revurdering af kontrolmiljøet i ministeriet i 2019 i forlængelse af arbejdet

med interne kontroller.

Departementerne har derudover afgivet en samlet vurdering af, om der var etableret

en betryggende funktionsadskillelse mellem regnskabsmæssige registreringer og be-

talinger på ministerområdet i 2019, jf. regnskabsbekendtgørelsens specifikke krav til

funktionsadskillelse. Endelig har departementerne oplyst, om funktionsadskillelse og

logning af brugeraktiviteter er særskilt efterprøvet for ministeriet i 2019. Ministeriernes

svar fremgår af tabel 2. Vi skal understrege, at tabellen kun viser ministeriernes selv-

angivne svar, og at svaret ikke er efterprøvet af Rigsrevisionen, selvom vi må konsta-

tere, at selvangivelserne fra ministerierne ikke i alle tilfælde svarer overens med Rigs-

revisionens konklusioner i beretningen om revisionen af statsregnskabet for 2019.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes styringsrammer i forhold til at forebygge besvigelser |

Tabel 2

Ministeriernes besvarelse af selvangivelsen

§ 29. Klima-, Energi- og Forsyningsministeriet

§ 14. Udlændinge- og Integrationsministeriet

§ 19. Uddannelses- og Forskningsministeriet

§ 20. Børne- og Undervisningsministeriet

§ 16. Sundheds- og Ældreministeriet

§ 15. Social- og Indenrigsministeriet

§ 17. Beskæftigelsesministeriet

Har ministeriet i 2019 sikret, at der er

etableret funktionsadskillelse mellem

regnskabsmæssige registreringer og

betalinger på ministerområdet?

Har ministeriet i 2019 sikret, at der er

etableret funktionsadskillelse i beta-

lingsforretninger på ministerieområ-

det?

Har ministeriet i 2019 foretaget sær-

skilt efterprøvning af, at funktionsad-

skillelsen fungerer?

Har ministeriet i 2019 foretaget sær-

skilt efterprøvning af, at der er opsat

logning af brugernes handlinger i til-

skuds-, indkøbs- og lønsystemer i det

omfang, det er relevant for ministeri-

ets aktiviteter?

Har ministeriet i forlængelse af arbej-

det med interne kontroller og tilsyn i

løbet af 2019 eventuelt foretaget en

revurdering af kontrolmiljøet for at sik-

re en korrekt regnskabsaflæggelse på

ministerområdet i forhold til underlig-

gende virksomheder?

Tilskud: Vurderes forretningsgange

betryggende på området?

Indkøb: Vurderes forretningsgange

betryggende på området?

Løn: Vurderes forretningsgange

betryggende på området?



§ 24. Miljø- og Fødevareministeriet

§ 8. Erhvervsministeriet

§ 6. Udenrigsministeriet

§ 11. Justitsministeriet

§ 21. Kulturministeriet

§ 22. Kirkeministeriet

§ 9. Skatteministeriet

§ 5. Statsministeriet



§ 28. Transport- og Boligministeriet

§ 12. Forsvarsministeriet

§ 7. Finansministeriet



Nej



Delvist



Ikke relevant

Note: For Skatteministeriet er selvangivelsen afgrænset til § 9. Skatteministeriet og omfatter derfor ikke § 38. Skatter og afgifter.

Kilde:

Rigsrevisionen på baggrund af ministeriernes selvangivelse besvaret i foråret 2020.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes styringsrammer i forhold til at forebygge besvigelser

Det fremgår af tabel 2, at hovedparten af ministerierne har oplyst, at der er etableret

den fornødne funktionsadskillelse mellem regnskabsmæssige registreringer og beta-

linger på ministerområdet (16 ud af 18) samt i betalingsforretninger på ministerområ-

det (17 ud af 18). Kun Skatteministeriets departement og Beskæftigelsesministeriets

departement har oplyst, at funktionsadskillelse delvist er sikret på deres ministerom-

råder.

Logning

Logning nævnes ikke som et

specifikt krav i regnskabs-

bekendtgørelsen, men er et

grundlæggende tiltag til at

forebygge besvigelser.

Hovedparten af departementerne (16 ud af 18) har desuden oplyst, at ministeriet har

revurderet kontrolmiljøet i forlængelse af arbejdet med interne kontroller og tilsyn i lø-

bet af 2019. 9 departementer har oplyst, at der i 2019 er foretaget særskilt efterprøv-

ning af, om funktionsadskillelsen på ministerområdet fungerer, og 5 departementer

har oplyst, at ministeriet delvist har efterprøvet funktionsadskillelsen. Endvidere har

8 af de 18 departementer oplyst, at det i 2019 blev særskilt efterprøvet, om der er op-

sat logning af brugernes handlinger i tilskuds-, indkøbs- og lønsystemer, og 7 ministe-

rier har delvist efterprøvet, at der er opsat logning.

Rigsrevisionen konstaterer, at langt hovedparten af ministerierne har selvangivet, at

de vurderer, at der er betryggende funktionsadskillelse på ministerområdet, og at mi-

nisteriet har foretaget en revurdering af kontrolmiljøet i 2019 på baggrund af ministe-

riets arbejde med interne kontroller.

3 departementer (Social- og Indenrigsministeriet, Beskæftigelsesministeriet og Trans-

port- og Boligministeriet) har gjort opmærksom på, at deres organisering af ministe-

riets interne kontrol indebærer, at konkrete efterprøvninger af interne kontroller skal

foretages af virksomhederne, der også har ansvaret for at etablere de nærmere ret-

ningslinjer for funktionsadskillelse i virksomhedernes regnskabsinstruks og interne

retningslinjer. Der er ikke krav i regnskabsbekendtgørelsen om, at departementerne

skal godkende virksomhedernes retningslinjer for funktionsadskillelse i regnskabsin-

struksen, eller at departementerne som led i deres tilsyn selv skal efterprøve virksom-

hedernes interne kontroller, herunder om der er etableret funktionsadskillelse, der

fungerer effektivt i praksis i virksomhederne.

Rigsrevisionen er opmærksom på, at ministerierne har indrettet kontrolsystemerne

på ministerområdet og i den enkelte virksomhed forskelligt, og at det i den forbindel-

se er forskelligt, hvordan departementerne søger relevant information til at vurdere,

om kontrolsystemerne fungerer hensigtsmæssigt. Rigsrevisionen er enig i, at de un-

derliggende virksomheder selv er ansvarlige for at etablere og overvåge implemente-

rede interne kontroller. Departementerne har dog, jf. regnskabsbekendtgørelsen, et

ansvar for at føre et tilsyn, der er tilstrækkeligt til at overvåge og sikre en viden, der

gør, at departementet løbende kan vurdere, om der inden for ministerområdet er til-

strækkelige og velfungerende interne finansielle kontroller, herunder i forhold til at fo-

rebygge, at der sker såvel tilsigtede som utilsigtede fejl. I sidste ende er det respekti-

ve ministerium ansvarlig for den samlede forvaltning af ministeriets bevilling og der-

med for eventuelle besvigelser, der fx kan skyldes, at de underliggende virksomheder

ikke har sikret effektiv funktionsadskillelse og interne kontroller.

I beretningen om revisionen af statsregnskabet for 2019 vurderede Rigsrevisionen, at

der i et stort antal virksomheder fordelt på 10 ministerier var mangler i funktionsad-

skillelsen og ikke tilstrækkelig kontrol med betalinger, hvilket har givet en stor unødig

risiko for svig og fejl i regnskaberne.

De 10 ministerier, som

Rigsrevisionen omtalte

i beretningen om revisio-

nen af statsregnskabet

for 2019

•

Skatteministeriet

Justitsministeriet

Forsvarsministeriet

Social- og Indenrigsmini-

steriet

Beskæftigelsesministeriet

Uddannelses- og Forsk-

ningsministeriet

Børne- og Undervisnings-

ministeriet

Kulturministeriet

Transport- og Boligmini-

steriet

Klima-, Energi- og Forsy-

ningsministeriet.

Sagerne vedrører manglende

funktionsadskillelse, mangler i

forhold til styring af brugerret-

tigheder og andre utilstrække-

lige kontroller.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes styringsrammer i forhold til at forebygge besvigelser |

Resultater

Undersøgelsen viser, at de fleste ministeriers styringsrammer i forhold til at forebyg-

ge, at statsansatte kan begå besvigelser, ikke er tilfredsstillende. Hovedparten af mi-

nisterierne havde hverken i 2019 eller 2020 opdateret ministerieinstruksen med kla-

re beskrivelser af ministeriets interne kontrol og risikostyring, på trods af at dette har

været et krav i regnskabsbekendtgørelsen siden 2018. Generelt er der indikationer

på, at der har manglet viden i ministerierne om, hvad ændringen i regnskabsbekendt-

gørelsen indebar, og hvordan den kunne implementeres i ministerieinstrukser og in-

terne procedurer.

Det var samtidig et fåtal blandt ministerierne, der i 2019 havde baseret deres styrings-

ramme for intern finansiel kontrol på anerkendte standarder og principper.

Ministerierne har efter svigsagen i Socialstyrelsen i 2018 øget det departementale til-

syn med, at virksomhederne sikrer, at der er implementeret grundlæggende funktions-

adskillelse og kontrol af grundlaget for udbetalinger i bl.a. forvaltningen af tilskud. Alle

departementerne har oplyst, at ministerierne har etableret basale kontroller såsom

funktionsadskillelse på ministerområdet, men halvdelen af ministerierne har ikke ef-

terprøvet, om kontrollerne virkede efter hensigten.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| It-understøttede kontroller i de fællesstatslige it-systemer

3. It-understøttede kon-

troller i de fællesstatslige

it-systemer

Delkonklusion

Den systemunderstøttede funktionsadskillelse kunne omgås via lokale til-

pasninger og tildeling af brugerrettigheder i virksomhederne

Undersøgelsen viser, at de fællesstatslige it-systemer IndFak, RejsUd og SLS som stan-

dard er sat op med henblik på at understøtte funktionsadskillelse. Men undersøgelsen

viser også, at systemerne IndFak og RejsUd lokalt kan sættes op og bruges på en måde,

der gør, at medarbejdere kan gennemføre transaktioner uden tilstrækkelig funktions-

adskillelse. SLS er generelt karakteriseret ved, at der altid skal foretages manuelle kon-

troller i sagsbehandlingen, fordi ikke-godkendte lønudbetalinger ikke automatisk stand-

ses af lønsystemet.

Kompenserende kontrol-

ler

Regnskabsbekendtgørelsen

giver mulighed for at omgå

funktionsadskillelse i forbin-

delse med udbetalinger, hvis

der sker en kompenserende

kontrol, jf. § 24.

Finansministeriet har sikret, at standardopsætningen i de fællesstatslige it-systemer til

forvaltning af betalinger knyttet til indkøb (IndFak) og rejser og udlæg (RejsUd) under-

støtter en betryggende systemunderstøttet funktionsadskillelse. I ministeriernes opsæt-

ninger og anvendelse af disse systemer kan de automatiske kontroller til funktionsad-

skillelse imidlertid tilsidesættes ud fra lokale hensyn. I sådanne tilfælde skal ministeri-

erne have kompenserende kontroller for at forebygge og kunne opdage eventuelt svig.

35. Dette kapitel handler om, hvorvidt de 4 udvalgte fællesstatslige it-systemer Navi-

sion Stat, IndFak, RejsUd og SLS understøtter en tilfredsstillende funktionsadskillelse

ved hjælp af størst mulig it-understøttelse.

Virksomhederne er som udgangspunkt forpligtede til at anvende de fællesstatslige it-

systemer, som Økonomistyrelsen stiller til rådighed. Størstedelen af de virksomheder,

der anvender de fællesstatslige systemer, er kunder hos Statens Administration, der

som fællesstatsligt servicecenter varetager udvalgte løn- og regnskabsopgaver.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

It-understøttede kontroller i de fællesstatslige it-systemer |

3.1. Systemunderstøttet funktionsadskillelse i de fælles-

statslige it-systemer

36. Vi har undersøgt de systemunderstøttede kontroller af funktionsadskillelse i de 4

udvalgte fællesstatslige it-systemer, der anvendes af virksomhederne og Statens Ad-

ministration. Figur 4 viser principperne for den systemunderstøttede funktionsadskil-

lelse (dvs. hvor der ikke må være sammenfald mellem brugere) i de nævnte systemer.

Figur 4

Principper for systemunderstøttet funktionsadskillelse i de fællesstatslige it-systemer

VIRKSOMHEDERNE

IndFak

STATENS ADMINISTRATION

Opretter

Varemodtager

Første øjne

Godkender

Sidste øjne

Navision

Stat

RejsUd

1. Godkender

Første øjne

2. Godkender

Sidste øjne

Rejsende

Kontrollant

Første øjne

Godkender

Sidste øjne

SLS

Indtaster

Første øjne

Godkender

Sidste øjne

Note: I forhold til SLS viser figuren forløbet ved engangsudbetalinger. For hovedparten af de statslige virksomheder er Statens Administration ikke

involveret i forløbet med engangsudbetalinger i henhold til opgavesplit.

Kilde:

Rigsrevisionen.

Det fremgår af figur 4, at der er etableret en systemunderstøttet funktionsadskillelse

i IndFak og RejsUd i virksomhederne i forhold til at varemodtage, kontrollere og god-

kende grundlaget for de enkelte udbetalinger. Samtidig er der også systemunderstøt-

tet funktionsadskillelse hos Statens Administration, som har til opgave at kontrollere,

at de tilsendte oplysninger fra virksomhederne ikke ændres, efter de er registreret i

Navision Stat. Da Statens Administration ikke kontrollerer og ikke har til opgave at

kontrollere, om de oplysninger, der modtages fra virksomhederne, er korrekte og i

overensstemmelse med fx originalbilag i form af fakturaer, er det centralt, at virksom-

hederne sikrer funktionsadskillelse i godkendelsen af de oprindelige transaktioner.

For SLS er Statens Administration for hovedparten af virksomhederne ikke involve-

ret i processen ved engangsudbetalinger.

Statens Administration

Den regnskabsmæssige regi-

strering varetages som ud-

gangspunkt af virksomhedens

egne medarbejdere, men regi-

streringen kan aftalemæssigt

henlægges til et eksternt servi-

cecenter, hvis dette af økono-

miske eller andre årsager er

hensigtsmæssigt. Med etable-

ringen af et statsligt service-

center (Statens Administra-

tion) er en stadig større del af

virksomhedernes regnskabs-

mæssige registrering over-

gået hertil.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| It-understøttede kontroller i de fællesstatslige it-systemer

Hvert af de 4 fællesstatslige it-systemer har ved standardopsætning indbyggede

kontroller, som begrænser risikoen for tilsigtede og utilsigtede fejl. Det er Økonomi-

styrelsens ansvar som leverandør af systemerne at sikre, at sådanne kontroller er

indbygget i systemerne. Samtidig er det virksomhedernes ansvar at sikre, at syste-

merne bliver anvendt hensigtsmæssigt, når de skal tilrettelægge et tilfredsstillende

kontrolmiljø. Figur 4 viser den systemunderstøttede funktionsadskillelse, som efter

Rigsrevisionens vurdering ikke altid er tilstrækkelig, jf. boks 1 i kapitel 1.

Funktionsadskillelse i Navision Stat

37. Der blev i 2019 afviklet godt 830.000 udbetalingsposteringer via Navision Stat for

de virksomheder, hvor Navision Stat driftsafvikles hos Statens It (dvs. for den andel af

statslige virksomheder, der regnskabsmæssigt serviceres af Statens Administra-

tion). Vi har gennemgået data om gennemførte transaktioner i Navision Stat i 2019 og

kan konstatere, at systemopsætningen forhindrer, at én og samme person både kan

registrere og godkende en transaktion i systemet.

Ændringslog

Økonomistyrelsen har oplyst,

at alle ændringer i Navision

Stat-data kan spores tilbage i

tid ved hjælp af en ændrings-

log. Ændringsloggen har væ-

ret obligatorisk ved udvalgte

tabeller siden 2019.

Vi har set mange tilfælde af transaktioner, hvor den første og anden godkendelse i Na-

vision Stat udføres af de samme 2 brugere, som skifter status fra den ene til den an-

den rolle, inden transaktionen sendes til udbetaling. Der sker således en overskrivning

af godkendelserne. Vi har udtrukket en stikprøve af denne type transaktioner hos Sta-

tens Administration, som har undersøgt årsagen og oplyst, at der hovedsageligt er ta-

le om fejl i posteringer, som skal rettes og derefter igennem nye godkendelser. Disse

ændringer er dokumenteret i en ændringslog, som Statens Administration har frem-

sendt. Vores undersøgelse har derfor ikke påvist mangler, for så vidt angår funktions-

adskillelse i Navision Stat.

Som beskrevet under figur 4 er formålet med kontrollerne af funktionsadskillelse i Na-

vision Stat dog ikke at sikre, at registreringerne er foretaget på det korrekte grundlag,

men alene at sikre, at de modtagne posteringer registreres i overensstemmelse med

de givne ordrer fra virksomhederne. Derfor er det virksomhedernes opgave at sikre,

at registreringerne sker på rette grundlag, og at der eksisterer et intakt transaktions-

og kontrolspor, som er nødvendigt for at dokumentere transaktionernes rigtighed, in-

den posteringsordren – fx betaling – sendes til Statens Administration.

Funktionsadskillelse i RejsUd

Ikke alle rejseafregninger

foretages via RejsUd

Der er også rejseafregninger,

der håndteres uden for Rejs-

Ud, fx i Forsvarsministeriet.

Disse indgår ikke i undersø-

gelsen.

38. I 2019 var der over 184.000 unikke afregningsdokumenter i RejsUd (svarende til

513.310 dokumentlinjer). Vores gennemgang af data fra RejsUd viser, at standardop-

sætningen i systemet understøtter funktionsadskillelse i processen mellem personer,

der varetager henholdsvis kontrol og godkendelse af en rejseafregning. Systemet kan

dog anvendes lokalt på en måde, hvorpå en rejsende kan godkende egne rejser og ud-

læg.

Når en rejsende skal afregne udlæg via RejsUd, skal afregningen oprettes, kontrolle-

res (underskrives) og godkendes. En tilstrækkelig funktionsadskillelse er til stede, når

den rejsende ikke godkender sin egen rejse. Standardopsætningen i RejsUd forhin-

drer ikke, at samme person kan oprette og godkende en rejse og dermed godkende

sin egen rejseafregning. Dette forløb er vist i figur 5.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

It-understøttede kontroller i de fællesstatslige it-systemer |

Figur 5

Funktionsadskillelse i standardopsætningen i RejsUd

OPRETTER

KONTROLLANT/

UNDERSKRIVER

GODKENDER

indtaster sin rejse- eller

udlægsafregning i RejsUd

kontrollerer i forhold til regler

og underskriver afregningen

(Første 2 øjne)

godkender beløb i henhold

til budget, aftale m.m.

(Sidste 2 øjne)

Kilde:

Rigsrevisionen.

Det fremgår af figur 5, at standardopsætningen i RejsUd ikke forhindrer, at oprette-

ren (A), som typisk også er den rejsende, kan godkende sin egen rejseafregning. Så-

ledes er der ikke tilstrækkelig funktionsadskillelse, da der ikke er andre, som godken-

der rejsen i henhold til budget eller aftale.

RejsUd er sat op således, at systemet automatisk videresender en rejse- eller udlægs-

afregning til godkendelse hos en anden person end den, der har oprettet afregningen.

Dog er det muligt efterfølgende for fx en regnskabsmedarbejder manuelt at omdirige-

re denne videresendelse, så en afregning alligevel ender til godkendelse hos den sam-

me person, som har oprettet den (som kan være den, der har afviklet en rejse eller har

haft et udlæg). Systemet forhindrer således ikke, at en rejsende kan godkende sin

egen rejse- eller udlægsafregning.

I RejsUd er det endvidere muligt at anvende en sekretærfunktion (hvor en person op-

retter en afregning på vegne af den rejsende) og en stedfortræderfunktion (hvor en

person kontrollerer/underskriver eller godkender på vegne af en anden person). Dis-

se funktioner kræver, at virksomheder, der anvender dem, har tilrettelagt arbejdspro-

cesser (også kaldet), som tager højde for, at en rejsende fx ikke kommer til at godken-

de sin egen rejse på vegne af en anden, dvs. ved brug af stedfortræderfunktionen. En

sådan lokal anvendelse af RejsUd bør altid følges af kompenserende kontroller i virk-

somhederne.

39. Da den systemunderstøttede funktionsadskillelse i RejsUd kan omgås ved lokal

tildeling af særlige roller og brugerrettigheder i de virksomheder, som bruger syste-

met, har vi i kapitel 4 undersøgt en stikprøve af virksomheder for at vurdere, om funk-

tionsadskillelsen er omgået, og om virksomhederne i givet fald havde implementeret

passende kompenserende kontroller. Dette kunne fx være en regelmæssig eller stik-

prøvevis gennemgang af aktiviteterne hos medarbejdere med særlige rettigheder

(privilegerede brugere) for at undersøge, om disse har medført, at funktionsadskillel-

sen er tilsidesat.

Systemadministratorer

kan oprette og godkende

rejseafregninger, men

kan ikke få dem udbetalt

Rigsrevisionen har i 2019 kon-

stateret, at lokale systemad-

ministratorer kan oprette og

godkende rejseafregninger i

RejsUd og dermed omgå

funktionsadskillelsen, dog

uden at kunne sende rejseaf-

regningen videre til udbetaling

i Navision Stat, medmindre en

anden bruger har godkendt

rejseafregningen.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| It-understøttede kontroller i de fællesstatslige it-systemer

40. Flere af virksomhederne har oplyst, at de har været i kontakt med Statens Admini-

stration om problemstillingen med manglende systemunderstøttet funktionsadskillel-

se ved brug af sekretærfunktionen i RejsUd, og at de på baggrund af Rigsrevisionens

orientering om risikoen nu iværksætter kompenserende kontroller.

Funktionsadskillelse i IndFak

IndFak anvendes ikke

af alle statslige virksom-

heder

IndFak anvendes ikke af de 5

store SAP-brugere, som er

Forsvarsministeriet, Skatte-

ministeriet, Vejdirektoratet,

Banedanmark og Statens

Serum Institut.

Det er samtidig ikke alle virk-

somheder, der anvender Ind-

Fak, som får Navision Stat

driftsafviklet hos Statens It.

Moduler i IndFak

41. Der kom over 1,5 mio. fakturaer fra både statslige og selvejende institutioner igen-

nem IndFak i 2019. Vi har analyseret data for de virksomheder, som dækkes af denne

undersøgelse, og vores gennemgang viser, at standardopsætningen understøtter, at

hverken faktura eller indkøbsordre kan godkendes af en enkelt person alene.

Systemet giver dog virksomhederne mulighed for at fravælge standardopsætningen

og derved tilsidesætte funktionsadskillelsen. Virksomhederne kunne i 2019 fx tildele

den samme medarbejder flere, indbyrdes modstridende roller i IndFak, fx indkøber,

varemodtager og godkender. I den situation giver systemet den samme person mulig-

hed for at gennemføre hele indkøbsprocessen fra bestilling, registrering af varemod-

tagelse til godkendelse uden inddragelse af andre. Økonomistyrelsen har oplyst, at

denne mulighed nu er lukket fra og med august 2020.

Det var i 2019 også muligt for virksomhederne at tilrettelægge deres lokale indkøbs-

proces således, at enkelte medarbejdere kunne udarbejde og godkende indkøbsord-

rer inden afsendelse til leverandøren uden yderligere kontrol efter modtagelse af fak-

tura og dermed uden behov for at involvere andre personer i indkøbet. Denne mulig-

hed kan være velbegrundet og er beskrevet i Økonomistyrelsens vejledninger fra

2015 og 2016 om rettigheder og roller i IndFak. Det kræver imidlertid, at virksomheder-

ne konkret definerer, hvilken dokumentation der skal være til stede, inden den endeli-

ge udbetaling sker i Navision Stat. Dette kan fx være dokumentation, der understøtter,

at der rent faktisk er leveret en ydelse (fx dokumentation af, at en konsulent har leve-

ret den rapport, der er specificeret i kontrakten). Økonomistyrelsen har oplyst, at den-

ne mulighed blev lukket i december 2019.

42. Undersøgelsen viser herudover, at den systemunderstøttede funktionsadskillelse

i IndFak ikke automatisk garanterer en tilstrækkelig funktionsadskillelse. Dette skyl-

des, at systemet automatisk tjekker, om der mindst er 2 personer inde over henholds-

vis varemodtagelsen og godkendelsen af en faktura, men ikke tjekker, om begge per-

soner har foretaget de nødvendige kontrolfunktioner undervejs. Undersøgelsen viser

fx, at det er muligt for samme person både at varemodtage og godkende en faktura,

hvis en person uden bemyndigelse, såsom utilstrækkelig prokura eller manglende ret-

tigheder, har foretaget en delvis godkendelse undervejs i processen. I dette tilfælde vil

en faktura kun være kontrolleret af en enkelt person med bemyndigelse til at udføre

sin kontrolfunktion. Der vil således være en systemunderstøttet funktionsadskillelse,

men funktionsadskillelsen vil ikke være tilstrækkelig, da realiteten er, at det er den

samme person, der både varemodtager og endeligt godkender.

Det er derfor nødvendigt, at virksomhederne sikrer, at den lokale anvendelse af Ind-

Fak medfører, at der har været en tilstrækkelig funktionsadskillelse ved godkendelse

af fakturaer.

Både IndFaks indkøbsmodul

og fakturamodul indgår i den-

ne undersøgelse.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

It-understøttede kontroller i de fællesstatslige it-systemer |

Funktionsadskillelse i SLS

43. En af de største udgifter i statsregnskabet er løn til ansatte i staten, og i 2019 blev

der udbetalt 77,2 mia. kr. i løn via Statens Lønsystem (SLS). Vores gennemgang af SLS

har vist, at der i SLS er systemmæssig funktionsadskillelse ved indtastning og godken-

delse af lønudbetalinger. Systemet er dog karakteriseret ved, at der skal foretages ma-

nuelle kontroller i sagsbehandlingen, fordi der ikke er opsat en systemmæssig spær-

ring til at sikre, at ikke-godkendte lønudbetalinger standses. Virksomhederne skal der-

for gennemføre manuelle kontroller af, at der er sket en forudgående godkendelse in-

den lønberegningen, jf. Finansministeriets vejledning ”Lønkontrol – Koncept og ram-

mer”.

Lønområdet er kendetegnet ved, at der er flere aktører involveret – både den enkelte

virksomhed, som har det bevillingsmæssige ansvar, og Statens Administration, som

varetager den centraliserede lønudbetaling. Størstedelen af virksomhederne i staten

anvender SLS og er kunder hos Statens Administration. Figur 6 viser arbejdsgangene

ved løbende lønudbetalinger (fast løn) for de virksomheder, der er kunder hos Statens

Administration.

Figur 6

Inddatakontrol

Inddatakontrol foretages, før

lønnen beregnes i SLS. Ved

inddatakontrol sker en funk-

tionsadskilt godkendelse af,

at indtastningen er korrekt.

Ved godkendelsen foretages

bl.a. en test af, at lønnen er

indtastet i overensstemmelse

med lønbilaget, og at satser

mv. vil blive beregnet korrekt.

Den overvejende kontrol vil

derfor være foretaget før en

lønkørsel.

Arbejdsgange ved løbende lønudbetalinger (fast løn)

INSTITUTION

STATENS ADMINISTRATION

Indtaster og sender

oplysninger (blanket og

grunddokumentation)

Printer blanket

og grund-

dokumentation

Indtaster

oplysninger

i HR-Løn

Kontrollerer

inddata

Kontrollerer

uddata

Udbetaler

løn

Kilde:

Rigsrevisionen.

Det fremgår af figur 6, at virksomhederne skal indtaste og sende oplysninger til Sta-

tens Administration, der behandler oplysningerne og indtaster lønnen i SLS. Herefter

kontrollerer Statens Administration indtastningen af lønnen (inddatakontrol), og når

systemet har bearbejdet de indtastede oplysninger, kontrollerer Statens Administra-

tion resultatet (uddatakontrol), før lønnen bliver udbetalt. Det er dog fortsat den enkel-

te virksomhed, der har det bevillingsmæssige ansvar for, at medarbejderne får den

korrekte løn, og at eventuelle risici for svig minimeres.

Finansministeriet har oplyst, at der i 2020 er igangsat en udvikling af en funktionalitet

i SLS, som vil standse lønnen til en person, hvis der ikke foreligger godkendte indtast-

ninger. Denne nye funktionalitet vil afskaffe en del af behovet for manuel kontrol og

planlægges sat i drift i 2021.

Uddatakontrol

Uddatakontrol foretages, ef-

ter lønnen er beregnet i SLS,

men før den udbetales, så det

er muligt at standse lønnen i

tilfælde af fx svig. Denne kon-

trol kan foretages stikprøvevis

ud fra virksomhedens vurde-

ring af væsentlighed og risiko

på lønområdet.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| It-understøttede kontroller i de fællesstatslige it-systemer

Funktionsadskillelse i de fællesstatslige it-systemer i 2020

44. Undersøgelsen viser, at Økonomistyrelsen i 2020 har spærret for adgangen til at

fravælge systemunderstøttet funktionsadskillelse i flere af de fællesstatslige it-syste-

mer, og at det fra sommeren 2020 kræver dispensation fra Økonomistyrelsen, hvis en

virksomhed ønsker at fravige standardopsætningen i IndFaks indkøbsmodul. Økono-

mistyrelsen har oplyst, at denne ændring medfører, at der fra medio 2020 i IndFak er

tvungen funktionsadskillelse på fakturaer, men der kan gives dispensation til, at der ik-

ke er funktionsadskillelse på indkøbsordren, så længe der er 4 øjne på fakturaen. Øko-

nomistyrelsen har endvidere medio 2020 publiceret en ny kontrolvejledning for rettig-

heder i IndFak og RejsUd.

Vi skal bemærke, at vi ikke har undersøgt, om de ændringer, som Økonomistyrelsen

har gennemført i de fællesstatslige it-systemer i 2020, medfører, at funktionsadskil-

lelse ikke kan omgås lokalt, som det var tilfældet i 2019.

Resultater

Undersøgelsen viser, at Finansministeriet (Økonomistyrelsen) har sikret systemun-

derstøttet funktionsadskillelse i standardopsætningen i de fællesstatslige it-systemer

Navision Stat, IndFak og RejsUd i 2019. Undersøgelsen viser dog samtidig, at den sy-

stemunderstøttede funktionsadskillelse kan omgås via lokale tilpasninger og tildeling

af brugerrettigheder i virksomhederne. Dette er bl.a. tilfældet, når medarbejdere får

rettigheder til at godkende egne rejseafregninger eller udlæg eller til både at varemod-

tage og godkende en faktura. Her er der ikke en tilstrækkelig funktionsadskillelse.

For SLS viser undersøgelsen, at der er systemmæssig funktionsadskillelse ved ind-

tastning og godkendelse af lønudbetalinger, men at der i systemet foretages bereg-

ning og udbetaling af løn, selv om en indtastning ikke er godkendt.

Samtidig oplyser flere virksomheder i forbindelse med Rigsrevisionens undersøgelse,

at de har været i kontakt med Statens Administration om problemstillingen med man-

glende funktionsadskillelse ved brug af sekretærfunktionen i RejsUd, og at de på bag-

grund af Rigsrevisionens orientering om risikoen nu iværksætter kompenserende kon-

troller.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

4. Ministeriernes interne

kontroller i praksis – kon-

krete eksempler fra for-

valtning af indkøb og løn

Delkonklusion

De fleste ministerier havde i praksis ikke tilfredsstillende interne kontrol-

ler til at begrænse risikoen for besvigelser begået af statsansatte vedrøren-

de indkøb og/eller løn.

Undersøgelsen viser, at flere virksomheder under forskellige ministerier i 2019 har haft

en utilstrækkelig funktionsadskillelse i forbindelse med afregninger og indkøb i RejsUd

og IndFak. Medarbejdere ansat i flere virksomheder under forskellige ministerier har

i 2019 godkendt egne udlæg i RejsUd samt både varemodtaget og godkendt samme ind-

køb i IndFak. Der har i disse tilfælde ikke været tilstrækkelig funktionsadskillelse i for-

bindelse med indkøb i RejsUd og IndFak. Rigsrevisionen kan herudover konstatere, at

ministerierne ikke i tilstrækkelig grad har implementeret kompenserende kontroller.

Dermed har ministerierne ikke i tilstrækkelig grad imødegået risikoen for svig begået

af ansatte.

Indkøb til en værdi af mere end 220 mio. kr. blev varemodtaget og godkendt i IndFak

i 2019 uden tilstrækkelig funktionsadskillelse. Dette skyldes dels, at medarbejderne

har fået tildelt rettigheder/roller til at gennemføre indkøb op til en given beløbsgræn-

se alene, dels at virksomhedernes lokale anvendelse af systemerne medfører, at selv

om funktionsadskillelsen rent systemmæssigt har fundet sted, har indkøbene i praksis

ikke været underlagt en tilstrækkelig kontrol.

Undersøgelsen viser desuden, at det er muligt for brugere med rollen som lokaladmini-

strator at ændre password og/eller tilknytte e-mailadresser på vegne af en hvilken som

helst anden bruger af RejsUd og IndFak og derefter få adgang til denne brugers bruger-

flade. Rigsrevisionen finder, at det er vigtigt, at Finansministeriet informerer brugerne

af de fællesstatslige it-systemer om mulige kompenserende kontroller for at imødegå ri-

sici fra bl.a. rollen som lokaladministrator. Det er dog i sidste ende de enkelte ministe-

riers/virksomheders ansvar, at der er tilrettelagt tilstrækkelige interne kontroller ud

fra en konkret risikovurdering hos den enkelte virksomhed.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Ministerierne har ikke i tilstrækkelig grad overvåget ansattes brug af betalings- og tank-

kort, der i flere tilfælde er anvendt i strid med reglerne. Dette indikerer, at der kan væ-

re en øget risiko for svig ved brugen af betalings- og tankkort. Rigsrevisionen finder, at

virksomhederne bør være opmærksomme på at inddrage udleverede betalingskort, når

en medarbejder fratræder. Samtidig bør virksomhederne forbedre kontroller og tilsyn

ved fx i højere grad at monitorere, hvordan medarbejdere anvender betalings- og tank-

kort. Dette kunne fx være i form af en stikprøvevis kontrol.

Undersøgelsen viser også, at der er behov for, at virksomhederne målretter og effektivi-

serer kontrollerne på indkøbsområdet for at undgå fejl og for at minimere risikoen for

svig. Samlet set viser undersøgelsen, at den lokale anvendelse af IndFak og RejsUd ofte

følges af manglende styring af brugernes rettigheder i systemerne, og at ministerierne

ikke udfører kompenserende kontroller.

Endelig viser undersøgelsen mangler i flere ministeriers lønkontroller og styring af bru-

gerrettigheder i SLS. Selv om undersøgelsen ikke har påvist tilfælde af svig, kan der ha-

ve fundet uretmæssige transaktioner sted, og flere ministerier har i kølvandet på un-

dersøgelsen igangsat initiativer med henblik på at stramme op og imødegå risikoen for

besvigelser på løn- og indkøbsområdet.

45. Dette kapitel handler om, hvorvidt ministerierne i 2019 i praksis havde tilfredsstil-

lende interne kontroller for at begrænse risikoen for besvigelser begået af ansatte

vedrørende indkøb og løn. Vi har undersøgt ministeriernes kontroller på indkøbsområ-

det i forhold til rejse- og udlægsafregninger i RejsUd, indkøb via IndFak og indkøb fo-

retaget med betalings- og tankkort. Herudover har vi undersøgt brugerrettigheder i

RejsUd og IndFak. På lønområdet har vi undersøgt ministeriernes lønkontroller og sty-

ring af brugerrettigheder i SLS. De undersøgte områder er bl.a. udvalgt på baggrund af

en vurdering af væsentlighed og risiko på områderne og på baggrund af vores whistle-

blowerordning.

Som udgangspunkt er automatiske og forebyggende kontroller stærkere end kompen-

serende og opdagende kontroller. Derfor har vi i dette kapitel undersøgt, om der har

været en tilstrækkelig it-understøttet kontrol hos de enkelte ministerier i RejsUd og

IndFak.

4.1. Ministeriernes rejseafregninger i RejsUd

46. Som omtalt i kapitel 3 har Rigsrevisionen konstateret, at der til trods for system-

mæssig funktionsadskillelse i opsætningen i RejsUd ikke altid finder en tilstrækkelig

funktionsadskillelse sted. Vi har derfor analyseret registreringer knyttet til alle rejse-

afregninger i RejsUd for 2019 for at vurdere, i hvilket omfang der har været utilstræk-

kelig funktionsadskillelse i rejseafregninger på tværs af staten.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Figur 7 viser et eksempel på et workflow for en rejseafregning i RejsUd. Her ses det,

at der har været 4 øjne inde over rejseafregningen, og at der dermed er sikret system-

understøttet funktionsadskillelse mellem kontrollant (B) og godkender (A). Det ses og-

så, at den rejsende (A) og godkenderen (A) er den samme i flowet. Dermed har med-

arbejder A godkendt sin egen rejse.

Figur 7

Eksempel på et workflow for en rejseafregning i RejsUd

Rejsende

Kontrollant

Godkender

Handling

Samler bilag for

rejsen og sender til

opretteren

Kontrollerer, at rejse-

regler er overholdt,

og underskriver

Godkender afregnin-

gen i henhold til aftaler

og budget

4-øjne-

princip

(system)

Den rejsende er ikke en

del af 4-øjneprincippet

Kontrollanten udfører

den sidste handling

inden godkendelse

(Første 2 øjne)

Brugeren, som endeligt

godkender afregningen

(Sidste 2 øjne)

Tilstrækkelig

funktions-

adskillelse

Rigsrevisionen lægger til grund for en tilstrækkelig funktionsadskillelse i RejsUd,

at det ud over adskillelse mellem kontrollant og godkender også bør være en

anden medarbejder end den rejsende, som godkender afregningen

Rejsende

Godkender

Kilde:

Rigsrevisionen.

I overensstemmelse med 4-øjneprincippet i RejsUd har der i situationen, som illustre-

res i figur 7, systemmæssigt fundet funktionsadskillelse sted, idet kontrollanten og

godkenderen ikke er den samme person. For at denne funktionsadskillelse er tilstræk-

kelig, må godkenderen ikke være den samme som den rejsende. Derfor har der i ek-

semplet ikke fundet en tilstrækkelig funktionsadskillelse sted. Dette er muligt, når af-

regningen oprettes af en rejsende med godkenderrettigheder – hvilket typisk er den

budgetansvarlige eller en bemyndiget medarbejder.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Konkrete eksempler på manglende funktionsadskillelse i RejsUd

47. Vores gennemgang af alle rejse- og udlægsafregninger afsluttet i RejsUd i perio-

den 1. januar-31. december 2019 viser næsten 490 afregninger, hvor der ikke har væ-

ret tilstrækkelig funktionsadskillelse (og dermed sammenfald) mellem den rejsende

og godkenderen i RejsUd. Dermed har ministerierne tilbagebetalt afregninger til den

rejsende, selv om disse ikke er godkendt af andre i henhold til aftaler og budget (jf.

handlingen under godkenderfunktionen i figur 7). Afregningerne svarer til en samlet

udgift på over 390.000 kr. og fordeler sig på 21 forskellige virksomheder i 9 ministe-

rier.

I redegørelserne fra de 21 virksomheder gør hovedparten af virksomhederne opmærk-

som på, at de ikke har været vidende om risikoen for utilstrækkelig funktionsadskillel-

se i RejsUd, da dette ikke kunne ske i en tidligere version af systemet. Flere virksomhe-

der har efter Rigsrevisionens henvendelse endvidere kontaktet Statens Administra-

tion for at få afklaret, hvornår en funktionsadskillelse er sikret i RejsUd.

Da hovedparten af virksomhederne ikke har været klar over, at det var muligt for den

rejsende at godkende sine egne rejseafregninger i RejsUd, kan Rigsrevisionen konsta-

tere, at de kompenserende kontroller til at forebygge, at den rejsende og godkenderen

er den samme i virksomhederne, generelt er utilstrækkelige eller slet ikke etableret.

I dette afsnit gennemgår vi konkrete eksempler på, hvorfor der hos nogle virksomhe-

der har været utilstrækkelig funktionsadskillelse på én eller flere af deres rejseafreg-

ninger. Det skal bemærkes, at der hos de udvalgte virksomheder har været systemun-

derstøttet funktionsadskillelse i godkendelsen af rejseafregningerne i RejsUd, dvs. der

har været mindst 4 øjne involveret i processen. Dog er det Rigsrevisionens vurdering,

at der ikke har været tilstrækkelig funktionsadskillelse, idet de involverede ikke er be-

myndigede til at varetage deres funktioner i processen, jf. beskrivelsen af tilstrækkelig

funktionsadskillelse i boks 1 i kapitel 1 og regnskabsbekendtgørelsens bestemmelse

om, at godkender skal være bemyndiget til at godkende.

De 5 virksomheder, fra hvilke vi præsenterer konkrete eksempler, er de virksomheder,

der ifølge data fra RejsUd for 2019 havde den største andel af rejseafregninger uden

tilstrækkelig funktionsadskillelse (dvs. over gennemsnittet). Virksomhederne hører

under Sundheds- og Ældreministeriet, Udenrigsministeriet, Transport- og Boligmini-

steriet og Miljø- og Fødevareministeriet.

Trafik-, Bygge- og Boligstyrelsen

48. Trafik-, Bygge- og Boligstyrelsen er en af de få virksomheder, der har oplyst, at

de har indført kompenserende kontroller, i forbindelse med at medarbejdere har god-

kendt deres egen rejse eller deres eget udlæg i RejsUd. Styrelsen har oplyst, at den lo-

kale anvendelse af RejsUd tillader, at en disponeringsberettiget medarbejder kan god-

kende sine egne rejseafregninger, hvis de er kontrolleret af en anden person i styrel-

sens økonomikontor. Rigsrevisionen kan i den forbindelse konstatere, at denne sup-

plerende kontrol ikke er tilstrækkelig, da den ikke forhindrer en medarbejder i at god-

kende sin egen rejseafregning. Departementet har efterfølgende været i dialog med

styrelsen og anmodet om, at forholdet bringes i orden, og henstillet til, at fx chefer al-

drig bør godkende for sig selv.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Landbrugsstyrelsen

49. Hos Landbrugsstyrelsen er der ligeledes eksempler på, at medarbejdere har god-

kendt deres egne rejseafregninger. Styrelsen har oplyst, at der er tale om ledere med

prokura (dvs. fuldmagt), men at alle afregninger forinden godkendelsen har været for-

bi en central kontrol i styrelsen, hvor der er foretaget en rejse- og udgiftspolitisk kon-

trol og derfor er kontrolleret for overholdelse af styrelsens retningslinjer.

Selv om der er foretaget kontrol af rejseafregningerne, er funktionsadskillelsen ikke

tilstrækkelig, da kontrollanten i opgavevaretagelsen ikke tager hensyn til budget eller

aftaler om pris i henhold til rejsen (herunder rejsens formål). Hensynet til budget og

pris er placeret ved godkendelsen af rejseudlægget og udføres i dette tilfælde af den

rejsende selv.

Landbrugsstyrelsen har oplyst, at der i 2019 ikke har været kompenserende kontrol-

ler, da RejsUd efter styrelsens opfattelse skulle spærre for, at ledere med prokura kun-

ne godkende deres egen afregning. Styrelsen har samtidig oplyst, at nu hvor de er ble-

vet opmærksomme på, at dette er muligt, vil de fremadrettet regelmæssigt foretage

samme opfølgning, som er foretaget af Rigsrevisionen, for at sikre regeloverholdelse,

så længe dette er en mulighed (risiko) i RejsUd. Desuden vil styrelsen gennemgå de

specifikke afregninger og indskærpe reglerne over for de specifikke ledere på listen –

og styrelsens ledere generelt.

Fødevarestyrelsen

50. Fødevarestyrelsen har oplyst, at styrelsen benytter en opsætning, hvor rejseafreg-

ningen i workflowet i RejsUd går gennem en kontrollantgruppe og herefter en godken-

delsesgruppe i stedet for de specifikke medarbejdere. Der er dermed ikke en system-

mæssig spærring, som forhindrer, at der er sammenfald mellem medarbejdernavne.

Derfor kan afregningen blive godkendt af den rejsende. Styrelsen understreger, at op-

retter (den rejsende eller sekretæren for den rejsende), kontrollant og godkender ik-

ke må være samme person på en rejseafregning i styrelsen, men at der opstår en ud-

fordring, når det er chefen (som har budgetansvaret), der figurerer som godkender i

godkendergruppen.

Fødevarestyrelsen har i sin seneste regnskabsinstruks vedtaget, at rejseafregninger

fra chefer, vicedirektører og direktører skal godkendes af kontorchefen for kundeser-

vice og forretningskommunikation. Dette er desuden meldt ud i organisationen.

Kontrol og godkendelse

af en rejseafregning

I Økonomistyrelsens vejled-

ning ”Best Practice for rejse-

administration i staten” be-

skrives følgende:

”Når den rejsende har udarbej-

det en samlet rejseafregning i

rejseafregningssystemet, skal

afregningen kontrolleres, før

den kan endelig godkendes af

den budgetansvarlige”.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Sundheds- og Ældreministeriets departement

51. Eksempler på manglende funktionsadskillelse i Sundheds- og Ældreministeriets

departement viser, at en kollega har oprettet rejseafregningen på vegne af den rejsen-

de (ved brug af sekretærfunktionen i RejsUd). Denne proces er vist i figur 8.

Figur 8

Eksempel på et workflow for en afregning i RejsUd

REJSENDE

OPRETTER

(SEKRETÆR)

KONTROLLANT/

UNDERSKRIVER

(Første 2 øjne)

GODKENDER

(Sidste 2 øjne)

Kilde:

Rigsrevisionen.

Det fremgår af figur 8, at det er den rejsende, som godkender sin egen rejseafregning,

og derved er der ikke en tilstrækkelig funktionsadskillelse. Dette beror på, at oprettel-

sen af rejsen sker på den rejsendes vegne, og at den mellemliggende kontrol, som of-

te omhandler kontrol med fx korrekt indtastning af grunddata og beløbsmæssige for-

hold mv., ikke tager hensyn til budget eller aftaler om pris i henhold til rejsen (herunder

rejsens formål). Denne kontrol er placeret ved godkendelsen af rejseafregningen og

udføres i dette tilfælde af den rejsende selv.

Funktionsadskillelsen er efter Sundheds- og Ældreministeriets opfattelse til stede, da

der ud over den rejsende er 4 øjne (sekretæren og kontrollanten) involveret i workflo-

wet, inden rejseafregningen kommer til den endelige godkender. Ifølge ministeriet sik-

rer sekretæren sig, at alle transaktioner er dokumenteret ved en kvittering, og at alle

regler og retningslinjer er overholdt i henhold til de interne retningslinjer.

Selv om der er indlagt en kontrol i sekretærfunktionen eller i en anden afdeling, fx Kon-

cernregnskab, konstaterer Rigsrevisionen, at det i sidste ende vil være den rejsende

selv, der godkender sin egen rejseafregning i henhold til indgåede aftaler for rejsen og

budgettet.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Udenrigsministeriet

52. En gennemgang af rejseafregninger fra Udenrigsministeriet viser ligeledes, at ud-

valgte medarbejdere med bestemte rettigheder både kunne oprette og godkende de-

res egne rejseafregninger i 2019. Derved var der ikke en tilstrækkelig funktionsadskil-

lelse i lighed med ovenstående eksempler.

Udenrigsministeriet havde i 2019 ikke etableret kompenserende kontroller for de rej-

seafregninger, hvor der var sammenfald mellem den rejsende og godkenderen, men

har oplyst, at der nu er etableret en kompenserende kontrolproces, hvor alle egen-

godkendte afregninger kontrolleres for tegn på svig, og at chefer i de pågældende en-

heder fremover kontaktes med henblik på at undgå, at der er personsammenfald. Mi-

nisteriet har endvidere oplyst, at der ikke er fundet tegn på besvigelser.

Lokaladministratorer i RejsUd

53. Vi har også undersøgt rettighederne tilknyttet lokaladministratorer i RejsUd, idet

rollen som administrator giver adgang til at tildele andre brugere rettigheder og pro-

kura. Undersøgelsen viser, at det er muligt for brugere med rollen som lokaladmini-

strator at ændre password og/eller tilknytte e-mailkonti på vegne af en hvilken som

helst anden bruger af RejsUd og derefter få adgang til denne brugers brugerflade.

Det betyder, at lokaladministratorer teknisk set har kunnet anvende andre brugeres

adgange til fx at godkende egne rejseafregninger og udlæg.

Risikoen er, at en ansat med lokaladministratorrettigheder kan oprette fiktive rejser

eller udlæg og derefter fx anvende sin egen chefs adgang til at godkende dette og få

udbetalt de udgifter, der fremgik af rejseafregningen. Dette vil kun kunne opdages,

hvis virksomheden sender rejseafregningen til en separat kontrollant inden godken-

delse, eller hvis der er indført kompenserende kontroller, der tager højde for dette.

54. Økonomistyrelsen har i marts 2020 oplyst, at rettighederne tilknyttet lokaladmi-

nistratorer er en tilsigtet funktionalitet i systemerne, idet det er nødvendigt for den ka-

tegori af medarbejdere at have adgang til at ændre e-mailadresser og/eller passwords

for de lokale brugere, for at de kan udføre deres rolle som lokaladministrator. Rigsrevi-

sionen er enig i, at lokaladministratorer har dette behov, men vurderer dog, at funktio-

naliteten forudsætter en monitorering/kontrol af, at personer med administratorret-

tigheder ikke tilsidesætter funktionsadskillelsen, som beskrevet ovenfor.

Økonomistyrelsen har desuden oplyst, at styrelsen gennemfører kontrol af de globale

administratorer på halvårlig basis, mens kontrollen af lokaladministratorer påhviler

virksomhederne selv, og at virksomhederne kan trække en kontrolrapport herom.

Økonomistyrelsen har herudover oplyst, at styrelsen ikke kan se, om virksomhederne

trækker kontrolrapporterne, der kan anvendes til at kontrollere lokaladministratorer-

ne. Endelig understreger Økonomistyrelsen, at det ikke er styrelsens ansvar at moni-

torere statslige virksomheders udførelse af kontroller. Rigsrevisionen finder, at det er

vigtigt, at Finansministeriet informerer brugerne af de fællesstatslige it-systemer om

mulige kompenserende kontroller for at imødegå risici fra bl.a. rollen som lokaladmini-

strator. Det er dog de enkelte ministeriers/virksomheders ansvar, at der er tilrettelagt

tilstrækkelige interne kontroller ud fra en konkret risikovurdering hos den enkelte virk-

somhed.

Lokale og globale system-

administratorer

Lokal systemadministrator

(kaldet lokaladministrator) er

en administratorrolle i IndFak,

som tildeles administratorer

lokalt i virksomhederne. Rol-

len giver bl.a. adgang til at til-

dele rettigheder og prokura til

brugere og til at administrere

lokale konfigurationer på or-

ganisations- og bogførings-

kredsniveau.

Global systemadministrator

(kaldet globaladministrator)

er en administratorrolle i Ind-

Fak, som tildeles administra-

torer hos Økonomistyrelsen

og konsulenter. Rollen giver

bl.a. rettighed til at oprette,

vedligeholde og administrere

virksomheder, oprette lokal-

administratorer og at oprette,

vedligeholde og administrere

roller og konfigurationer i Ind-

Fak.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Resultater

Undersøgelsen viser, at flere virksomheder ikke havde en tilstrækkelig funktionsad-

skillelse ved afregninger i RejsUd i 2019, da der var personsammenfald mellem den

rejsende og godkenderen af den samme rejseafregning. Selv om der mellem opret-

telsen og godkendelsen er en mellemliggende kontrol, som omhandler fx korrekt ind-

tastning af grunddata og beløbsmæssige forhold mv., er den endelige godkendelse af

budget og aftaler om pris i henhold til rejsen placeret hos den rejsende selv. Årsagen

til dette sammenfald er i flere tilfælde, at afregningen er oprettet af en rejsende med

godkenderrettigheder/budgetansvar. Herudover har virksomhederne bl.a. ikke været

bekendt med risikoen for utilstrækkelig funktionsadskillelse ved benyttelse af en an-

den opretter end den rejsende (ved brug af sekretærfunktionen). Flere virksomheder

tilkendegiver, at det var deres opfattelse, at standardopsætningen i RejsUd sikrede,

at en medarbejder ikke kunne godkende sine egne rejseafregninger. Virksomheder-

ne har derfor ikke implementeret kompenserende kontroller eller skabt et workflow,

der sikrer, at den rejsende ikke kan godkende sin egen rejseafregning.

Undersøgelsen viser desuden, at det er muligt for brugere med rollen som lokaladmi-

nistrator at ændre password og/eller tilknytte e-mailkonti på vegne af en hvilken som

helst anden bruger af RejsUd og derefter få adgang til denne brugers brugerflade. Det

betyder, at lokaladministratorer teknisk set har kunnet anvende andre brugeres ad-

gange til fx at godkende egne rejseafregninger og få udbetalt de udgifter, der fremgik

af den fiktive rejseafregning.

Rigsrevisionen finder, at det er vigtigt, at Finansministeriet informerer brugerne af de

fællesstatslige it-systemer om mulige kompenserende kontroller for at imødegå risici

fra bl.a. rollen som lokaladministrator. Det er dog de enkelte ministeriers/virksomhe-

ders ansvar, at der er tilrettelagt tilstrækkelige interne kontroller ud fra en konkret ri-

sikovurdering hos den enkelte virksomhed.

4.2. Ministeriernes indkøb i IndFak

55. Som omtalt i kapitel 3 er det muligt for virksomheder at anvende lokale tilpasnin-

ger (konfigurationer) af IndFak, som betyder, at den systemunderstøttede funktions-

adskillelse mellem varemodtager og godkender ikke er tilstrækkelig, men skal sup-

pleres af kompenserende kontroller. Mange systemregistreringer i forhold til samme

handling, fx varemodtagelse eller godkendelse, gør det vanskeligt at gennemskue,

hvor den reelle kontrol har fundet sted. Et eksempel herpå er, når en faktura bliver del-

vist godkendt eller opdelt i flere konteringslinjer. Vi har undersøgt alle indkøb i IndFak

for 2019 for at vurdere, i hvilket omfang ministerierne har foretaget indkøb, hvor en

medarbejder både har varemodtaget og godkendt det samme indkøb, dvs. uden til-

strækkelig funktionsadskillelse.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Figur 9 viser et eksempel på, hvordan et workflow i IndFak kan se ud i en virksomhed.

Af eksemplet fremgår det, at medarbejder A først varemodtager og kontrollerer ind-

købet, hvorefter indkøbet sendes til godkendelse hos medarbejder B, som kun delvist

kan godkende indkøbet, da vedkommende ikke har bemyndigelse, fx ikke har prokura

(dvs. fuldmagt) eller organisationskode til endeligt at godkende fakturaen. Dette kan i

systemet ses ved, at medarbejder B registreres med handlingen ”Godkendt (kræver

yderligere)”. Da medarbejder B ikke endeligt kan godkende indkøbet, sendes indkøbet

retur til medarbejder A, som godkender endeligt og dermed både er sidste person på

varemodtagelsen og godkendelsen af indkøbet.

Prokura

Prokura er en fuldmagt, som

legitimerer, at medarbejderen

kan handle (herunder købe

ind) for virksomheden i alle

forhold, der hører til den nor-

male drift.

Når en medarbejder er opsat

med en given prokuragrænse,

burde det ikke være muligt at

gennemføre køb for beløb

over denne grænse.

Figur 9

Eksempel på et workflow for en faktura for et indkøb i IndFaks faktura-

del

Varemodtager

Godkender

(kræver yderligere)

Godkender

Handling

Varemodtager og

kontrollerer indkøbet,

som er foretaget

Godkender delvist

og videresender til

endelig godkendelse

Godkender endeligt

indkøbets beløb i hen-

hold til aftaler og budget

4-øjne-

princip

(system)

Varetager den

praktiske bestilling

og anskaffelse i hen-

hold til indkøbspolitik

(Første 2 øjne)

Kan ikke endeligt

godkende, da der

mangler prokura,

kode eller andet

(Sidste 2 øjne)

Sikrer, at indkøbet er

sket inden for

rammerne, og at

konteringen er korrekt

Tilstrækkelig

funktions-

adskillelse

Rigsrevisionen lægger til grund for en tilstrækkelig funktionsadskillelse

i IndFak, at varemodtageren og den sidste godkender

er 2 forskellige medarbejdere

Varemodtager

Godkender

Kilde:

Rigsrevisionen.

Systemmæssigt er medarbejder B i figur 9 de sidste 2 øjne på fakturaen, selv om ved-

kommende ikke endeligt kan godkende beløbet og derfor må sende den til yderligere

godkendelse.

Da 4-øjneprincippet i IndFak er sat op til, at der skal være systemmæssig funktionsad-

skillelse mellem varemodtager og godkender, vil systemet i eksemplet i figur 9 tillade,

at medarbejder B registreres som godkender af indkøbet.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

På trods af at der i eksemplet i figur 9 er 4 øjne involveret i indkøbsprocessen, er funk-

tionsadskillelsen ikke tilstrækkelig, fordi de 2 centrale kontrolfunktioner for fakturaen

(varemodtagelse og endelig godkendelse) i praksis er varetaget af den samme person.

Rigsrevisionen finder det uhensigtsmæssigt, at funktionsadskillelsen ikke (også) er sat

op til at gælde for sidste godkender, så medarbejder A ikke både kan være varemod-

tager og endelig godkender på samme indkøb.

Det er Rigsrevisionens vurdering, at medarbejder B ikke kan fungere som godkender,

da vedkommende mangler prokura og dermed ikke er bemyndiget og/eller har kom-

petencen til at varetage godkenderfunktionen i processen, jf. beskrivelsen af tilstræk-

kelig funktionsadskillelse i boks 1 i kapitel 1 og § 27 i regnskabsbekendtgørelsen, som

siger, at godkender skal være bemyndiget til at godkende.

IndFak er opsat således, at hvis medarbejder B blev fjernet fra eksemplet i figur 9, vil-

le indkøbet ikke kunne gennemføres, medmindre medarbejder A specifikt havde fået

tildelt en rolle med prokura, som gav vedkommende rettighed til både at modtage va-

rer og godkende indkøbet op til en vis beløbsgrænse. Dette var muligt i 2019. Ved til-

deling af en sådan rolle til én eller flere medarbejdere tillader virksomhederne, at der

kun er 2 øjne på indkøb, og Rigsrevisionen vurderer, at der i disse tilfælde bør være en

kompenserende kontrol.

Konkrete eksempler på manglende funktionsadskillelse i IndFak

Forsvarsministeriet og

Skatteministeriet bruger

ikke IndFak

Forsvarsministeriet indgår ik-

ke i vores gennemgang af ind-

køb fra IndFak, idet ministeriet

benytter it-systemet DeMars

og ikke IndFak. Rigsrevisionen

har dog flere gange tidligere

påpeget, at Forsvarsministe-

riet ikke har en systemunder-

støttet funktionsadskillelse i

DeMars – senest i beretningen

om revisionen af statsregn-

skabet for 2019. Her konstate-

rede Rigsrevisionen desuden,

at Forsvarsministeriet ikke

havde overblik over, hvor der

manglede funktionsadskillel-

se, og ikke havde sørget for

tilstrækkelige kontroller til at

kompensere for manglerne.

Medarbejder- og Kompeten-

cestyrelsen under Skattemini-

steriet bruger IndFak, men her

har alle transaktioner funkti-

onsadskillelse.

56. Vi har analyseret data for alle indkøb i 2019, som er blevet varemodtaget og god-

kendt i IndFak, for at afdække, om der har været tilstrækkelig funktionsadskillelse. Da-

ta indeholder fakturalinjer (der kan være flere fakturalinjer på en faktura) og indehol-

der både køb, som er foretaget i IndFak, og køb, som er foretaget uden for IndFak. An-

tallet af indkøb, der beskrives i dette afsnit, er dermed ikke kun indkøb foretaget i sel-

ve indkøbsmodulet, men omfatter fx også indkøb foretaget med statslige betalings-

kort, som virksomheden efterfølgende afregner med banken i IndFak. Når vi omtaler

antal køb uden funktionsadskillelse, dvs. hvor varemodtager og godkender har været

den samme, er der tale om antal fakturalinjer og ikke antal fakturaer.

57. Vores gennemgang af alle indkøb i IndFak i perioden 1. januar-31. december 2019

viser, at der i virksomheder under 12 ministerier blev gennemført over 27.000 transak-

tioner i IndFak uden funktionsadskillelse mellem varemodtagelse og den sidste god-

kendelse. Indkøbene havde en samlet værdi på over 220 mio. kr. De 12 ministerier kan

ses i tabel 2 i afsnit 2.3.

De virksomheder, som havde gennemført indkøb uden tilstrækkelig funktionsadskil-

lelse mellem varemodtagelse og sidste godkendelse, havde i flere tilfælde tildelt med-

arbejdere roller og prokura (dvs. fuldmagt), som gav de enkelte brugere af IndFak mu-

lighed for både at modtage varer og godkende indkøbet op til en bestemt beløbsgræn-

se. Herudover er det i flere tilfælde systemmæssigt blevet registreret som godkendt

(de sidste 2 øjne), selv om medarbejderen ikke havde bemyndigelse til endeligt at god-

kende indkøbet. Indkøbene uden tilstrækkelig funktionsadskillelse var i 2019 fordelt

på i alt 592 medarbejdere på tværs af staten.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Undersøgelsen viser, at 8 ministerier i 2019 havde meget få transaktioner i IndFak

uden tilstrækkelig funktionsadskillelse mellem varemodtager og godkender (under

0,5

af ministeriets samlede udgifter i IndFak), mens 4 ministerier havde en større

andel af transaktioner (fakturalinjer) uden tilstrækkelig funktionsadskillelse. Disse er

Sundheds- og Ældreministeriet, Uddannelses- og Forskningsministeriet, Børne- og

Undervisningsministeriet og Kulturministeriet.

Udvalgte virksomheders styring af brugerrettigheder i IndFak

58. Vi har udvalgt 6 virksomheder under de 4 ministerier med høj andel af transaktio-

ner uden tilstrækkelig funktionsadskillelse mellem varemodtager og endelig godken-

der i IndFak til en stikprøve. 4 af de 6 virksomheder i stikprøven – Det Kongelige Tea-

ter og Kapel, Danmarks Evalueringsinstitut, Dansk Dekommissionering og Sundheds-

og Ældreministeriets departement – er kendetegnet ved at have flere medarbejdere,

som i kraft af bl.a. en tildeling af udvidede rettigheder (roller med prokura) har kunnet

modtage og godkende et indkøb alene. Denne mulighed for at gennemføre indkøbet

med kun 2 øjne er beskrevet i Økonomistyrelsens vejledninger, men bør ifølge disse

følges op med begrundelse herfor beskrevet i virksomhedens instruks samt kompen-

serende kontroller. Nedenfor gennemgår vi konkrete eksempler fra de 6 virksomhe-

der.

Det Kongelige Teater og Kapel

59. Det Kongelige Teater og Kapel har oplyst, at der er tildelt udvidede rettigheder

med forskellige prokuraer til 62 af de 136 medarbejdere, hvilket næsten er halvdelen

af alle virksomhedens brugere i IndFak (og RejsUd). Af disse medarbejdere havde 19

fuldmagt til at foretage indkøb op til 49.999 kr., 3 op til 100.000 kr., 38 op til 150.000

kr. og 2 op til 14.999.999 kr. i IndFak. Medarbejderne har således kunnet gennemføre

meget store indkøb uden funktionsadskillelse i 2019.

Det Kongelige Teater og Kapel vurderer, at teatret har foretaget en kompenserende

kontrol, herunder tæt økonomiopfølgning og kontogennemgang. Det Kongelige Tea-

ter og Kapel bemærker desuden, at teatret medio 2020 har afskaffet brugen af ene-

prokura i IndFak.

Rigsrevisionen har i forbindelse med den løbende revision tidligere gjort Det Kongeli-

ge Teater og Kapel opmærksom på problemet med anvendelsen af roller med udvide-

de rettigheder. Teatret oplyste i den forbindelse, at teatret fulgte Økonomistyrelsens

vejledninger og best practice for IndFak om eneprokura, herunder at de havde indført

kompenserende kontroller. Teatret oplyste samtidig, at et 4-øjneprincip ville være ad-

ministrativt tungt.

Da Det Kongelige Teater og Kapel ikke målrettet i de kompenserende kontroller (fx

stikprøvevis) gennemgår specifikke indkøb eller undersøger de køb i IndFak, hvor log-

gen viser, at en medarbejder har gennemført et helt indkøb alene, finder Rigsrevisio-

nen, at de etablerede kontroller ikke i tilstrækkelig grad kompenserer for den mang-

lende funktionsadskillelse.

Fakturalinjer

Rigsrevisionen har analyseret

indkøb fordelt på fakturalinjer,

da flere virksomheder hver

måned behandler mange ind-

køb på en samlet faktura, fx

fra SEB Kort Bank.

En enkelt faktura indeholder

således alle indkøb foretaget

med firmaets betalingskort

(det kan også være alle afreg-

ninger af en rejsekonto) i løbet

af den pågældende måned.

Dermed dækker en faktura

flere indkøb, som bør vare-

modtages og godkendes indi-

viduelt.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Den Danske Filmskole

60. Den Danske Filmskole har oplyst, at ikke alle medarbejderne bruger IndFak kor-

rekt. Derfor har varemodtageren i mange tilfælde videresendt fakturaen i stedet for

at bekræfte varemodtagelsen, som medarbejderen ellers burde. Derfor opfattes den

medarbejder, der skal godkende indkøbet, som både varemodtager og godkender i

IndFak. Den Danske Filmskole har desuden oplyst, at der i alle tilfælde har været funk-

tionsadskillelse i de udvalgte indkøb i Rigsrevisionens stikprøve. Den ansvarlige har

ifølge Den Danske Filmskole forud for indtastningen i IndFak typisk skriftligt dokumen-

teret sin varemodtagelse på bilaget, hvorefter dette efterfølgende både er indtastet af

bogholder (ved at skrive handlingen i kommentarfeltet eller scanne ind fra hardcopy)

og godkendt af en anden medarbejder. I systemet kommer det derfor til at fremstå

som et indkøb uden tilstrækkelig funktionsadskillelse. Rigsrevisionen er desuden ble-

vet oplyst om, at godkendelsen i få tilfælde har været mundtlig, og at der derfor ikke

har været noget at scanne ind, som efterfølgende kan understøtte og dokumentere

handlingen.

Rigsrevisionen finder det uhensigtsmæssigt, at Den Danske Filmskole har tilrettelagt

en praksis, der ikke understøttes af systemmæssig funktionsadskillelse.

Statens Værksteder for Kunst

61. Statens Værksteder for Kunst har oplyst, at der altid er 4 øjne involveret i en fak-

turabehandling, og at det er virksomhedens opfattelse, at der derfor har været funk-

tionsadskillelse ved de udvalgte indkøb. Vores gennemgang af bilag viser dog, at den

første person i en indkøbsproces videresender til varemodtagelse (A), mens den an-

den person (B) både modtager og bekræfter varen samt godkender indkøbet. Dette

er vist i figur 10.

Figur 10

Eksempel på et workflow for et indkøb i IndFak

SENDER TIL

VAREMODTAGELSE

BEKRÆFTER

VAREMODTAGELSE

GODKENDER

opretter dokumentet, som

sendes til varemodtagelse

hos relevant medarbejder

varemodtager og

kontrollerer det indkøb,

som er foretaget

(Første 2 øjne)

godkender endeligt

indkøbets beløb i henhold

til budget, aftaler m.m.

(Sidste 2 øjne)

Kilde:

Rigsrevisionen.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Rigsrevisionen kan konstatere, at der i forbindelse med et indkøb som illustreret i fi-

gur 10 ikke har været en tilstrækkelig funktionsadskillelse mellem varemodtager og

godkender af indkøbet. For både at kunne varemodtage og godkende købet har med-

arbejderen fået tildelt en rolle med prokura, som gav vedkommende rettighed til det.

I disse tilfælde er der derfor kun 2 øjne på indkøbet.

Rigsrevisionen har i forbindelse med en tidligere revision gjort Statens Værksteder for

Kunst opmærksom på problemstillingen, men Statens Værksteder for Kunst har op-

lyst, at det på grund af virksomhedens størrelse er udfordrende at have tilstrækkelig

funktionsadskillelse på alle transaktioner.

Danmarks Evalueringsinstitut

62. Danmarks Evalueringsinstitut har oplyst, at årsagen til, at der ikke har været til-

strækkelig funktionsadskillelse i alle instituttets indkøb i 2019, er, at alle medarbejde-

re med titlen projektleder er tildelt roller, som medfører, at de kan foretage indkøb op

til en værdi af 49.999 kr. i IndFak. Vores gennemgang viser desuden, at der i 2019 var

66 medarbejdere, som havde gennemført indkøb uden funktionsadskillelse, svarende

til ca. 85

af instituttets ansatte (målt i årsværk).

Danmarks Evalueringsinstitut har oplyst, at instituttets fakturamanager har et godt

kendskab til alle medarbejdere og altid kan kontakte den ansvarlige projektleder eller

chef ved spørgsmål. Instituttet har videre oplyst, at den løbende budgetopfølgning

samtidig har sikret fokus på afvigelser fra projektets budget. Rigsrevisionen vurderer

dog, at muligheden for at tage kontakt til de pågældende medarbejdere ikke i sig selv

udgør en tilstrækkelig kompenserende kontrol, da det hverken er systematisk eller do-

kumenteret. Endvidere beskriver instituttet ikke, at instituttet fx systematisk gennem-

går de indkøb i IndFak, hvor loggen viser utilstrækkelig funktionsadskillelse. Rigsrevi-

sionen vurderer desuden, at den løbende budgetopfølgning ikke kompenserer for den

manglende funktionsadskillelse.

Danmarks Evalueringsinstitut har på forespørgsel ikke kunnet fremskaffe dokumen-

tation for alle de udvalgte indkøb uden funktionsadskillelse i 2019, men har oplyst, at

de pågældende indkøb (og kreditorer) ikke afviger fra tilsvarende indkøb, hvad angår

beløb.

Sundheds- og Ældreministeriets departement

63. Data fra IndFak viser, at der hos Sundheds- og Ældreministeriets departement i

perioden før 5. april 2019 ikke har været tilfredsstillende funktionsadskillelse. Depar-

tementet har oplyst, at det indtil 5. april var muligt for enkelte medarbejdere både at

varemodtage og godkende indkøb, men at departementet pr. 5. april 2019 havde fuldt

implementeret funktionsadskillelse på indkøbsområdet og således fra og med denne

dato har sørget for, at der i den systemmæssige opsætning i IndFak er funktionsad-

skillelse mellem varemodtager og godkender.

Rigsrevisionen konstaterer, at data fra IndFak viser, at Sundheds- og Ældreministe-

riets departement ikke havde transaktioner i IndFak uden tilstrækkelig funktionsad-

skillelse efter den 5. april 2019.

Dokumentation for ind-

køb i IndFak

Regnskabsbekendtgørelsens

§ 44 tilsiger, at data og regn-

skabsmateriale skal registre-

res og gemmes i 5 år efter af-

sluttet transaktion.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Dansk Dekommissionering

64. Dansk Dekommissionering har oplyst, at virksomheden i 2019 havde tildelt roller

og prokura til medarbejderne, som gjorde, at den enkelte medarbejder både kunne

varemodtage og godkende et indkøb op til en bestemt beløbsgrænse. Beløbsgrænsen

var på 2.000 kr. for almindelige medarbejdere, mens den for særlige medarbejdere

var fastsat til 50.000 kr., for funktionsledere til 100.000 kr., for sektionschefer til

200.000 kr. og for souschefer til 500.000 kr. Direktøren havde ubegrænset prokura.

Var indkøbet også foretaget af godkenderen, var prokuragrænsen dog sat til 25.000

kr. Vores undersøgelse viser, at prokuragrænsen ikke var systemunderstøttet, og der-

for er der enkelte eksempler i stikprøven på, at dette beløb blev overskredet.

Dansk Dekommissionering har oplyst, at den budgetansvarlige leder hver måned gen-

nemgår alle bogførte transaktioner på de enkelte finanskontokort. Desuden har Dansk

Dekommissionering oplyst, at en varemodtagelse forinden den systemmæssige mod-

tagelse kan være modtaget fysisk, hvor der er kvitteret for varen eller ydelsen.

Rigsrevisionen kan konstatere, at Dansk Dekommissionering ikke selv har været op-

mærksom på, at flere medarbejdere havde varemodtaget og godkendt deres egne

indkøb.

Kompenserende kontroller og dokumentation

65. Generelt gælder det for 2019, at en virksomhed i særlige tilfælde kan vælge at til-

dele en medarbejder udvidede rettigheder/roller, som gør, at vedkommende kan fore-

tage indkøb i IndFak, uden at andre medarbejdere skal ind over. Virksomheden skal i

givet fald dokumentere overvejelserne herom og gennemføre kompenserende kon-

troller for at sikre, at der for de indkøb, der gennemføres uden funktionsadskillelse, er

dokumentation for, at der er leveret den rigtige vare eller ydelse til virksomheden.

Flere af virksomhederne i stikprøven har i forbindelse med vores undersøgelse oplyst,

at medarbejdere har fået tildelt udvidede rettigheder i IndFak ud fra et arbejdsbetin-

get behov, idet de skal kunne foretage indkøb uden andres godkendelse, og at valget

om at tildele medarbejdere udvidede rettigheder er truffet ud fra en risikovurdering

sammenholdt med de ekstra resurser og den ekstra tid, som en funktionsadskilt god-

kendelse ville kræve.

Rigsrevisionen kan samlet konstatere, at de undersøgte virksomheder kun i meget be-

grænset omfang har beskrevet de særlige tilfælde i deres regnskabsinstruks, som det

ellers burde være sket. Rigsrevisionen finder, at der netop i indkøbssituationer uden

funktionsadskillelse bør være ekstra ledelsesmæssigt fokus på, at der er implemente-

ret kompenserende kontroller, som kan reducere risikoen for svig, eller at virksomhe-

derne i regnskabsinstruksen angiver, hvordan de forholder sig hertil.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

De 6 virksomheder har oplyst, at de bl.a. løbende afholder møder mellem fagkontorer,

økonomi og regnskab for at sikre en kontrol af, at der ikke sker misbrug og utilsigtede

hændelser som led i indkøb og betalingsforretning. Ligeledes kontrollerer nogle af virk-

somhederne indkøbene uden funktionsadskillelse ved den månedlige budgetopfølg-

ning, hvor de enkelte afdelinger og økonomiafdelingen følger op på afdelingernes øko-

nomi. Nogle virksomheder har endvidere oplyst, at de minimum én gang i kvartalet

trækker en rapport, der viser balancen mellem indtægter og omkostninger for alle ind-

køb/projekter, som efterfølgende gennemgås af virksomhedens direktør/chefer. Ingen

af virksomhederne beskriver dog kontroller målrettet specifikke indkøb, eller at de fx

systematisk gennemgår de køb i IndFak, hvor loggen viser, at en medarbejder har gen-

nemført indkøb alene. Rigsrevisionen vurderer på den baggrund, at de etablerede kon-

troller ikke i tilstrækkeligt omfang kompenserer for den manglende funktionsadskil-

lelse.

Lokaladministratorer i IndFak

66. Rigsrevisionen har ligesom for RejsUd undersøgt rettighederne tilknyttet lokalad-

ministratorer i IndFak. Vi har her konstateret, at de samme risici med, at lokaladmini-

stratorer kan oprette fiktive indkøb og derefter fx anvende deres egen chefs adgang

til at godkende dette og få udbetalt de udgifter, der fremgik af indkøbet, også er til ste-

de i IndFak.

Der var i 2019 brugere i flere virksomheder, der med rollen som lokaladministrator i

IndFak havde mulighed for at ændre password og e-mail for andre brugere, der i for-

vejen var oprettet i systemet. På denne måde havde disse brugere muligheden for at

bruge andre brugeres rollesæt og dermed varetage flere roller ved samme transaktion

og potentielt omgå den systemopsatte funktionsadskillelse i IndFak.

Økonomistyrelsen har ligesom til RejsUd oplyst, at dette er en tilsigtet funktionalitet

i systemerne, og at styrelsen gennemfører kontrollen af de globale administratorer

på halvårlig basis, mens kontrollen af lokale administratorer påhviler virksomhederne

selv. Rigsrevisionen finder, at det er vigtigt, at Finansministeriet informerer brugerne

af de fællesstatslige it-systemer om mulige kompenserende kontroller for at imødegå

risici fra bl.a. rollen som lokaladministrator. Det er dog de enkelte ministeriers/virk-

somheders ansvar, at der er tilrettelagt tilstrækkelige interne kontroller ud fra en kon-

kret risikovurdering hos den enkelte virksomhed.

67. Som det fremgår ovenfor, kan de systemunderstøttede kontroller i IndFak (og i

RejsUd) omgås, hvis virksomhederne ikke i tilstrækkelig grad er opmærksomme på,

om brugernes rettigheder til systemerne styres hensigtsmæssigt. Ud over rollekom-

binationer, som gør det muligt at omgå funktionsadskillelse, udgør særligt privilegere-

de brugeres (fx lokaladministratorer) handlinger i it-systemerne en potentiel risiko for

svig, hvis de ikke følges af kompenserende kontroller. Den kompenserende kontrol

kan fx være, at en uvildig ansat kontrollerer logningen for at undersøge, om den privi-

legerede bruger fx har anvendt sin adgang til at få et password fra en anden bruger.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Resultater

Undersøgelsen viser, at der i flere virksomheder på tværs af forskellige ministerier har

været gennemført indkøb, som er blevet varemodtaget og godkendt i IndFak uden til-

strækkelig funktionsadskillelse og uden tilstrækkelige kompenserende kontroller i

2019. IndFak skelner ikke i den systemopsatte kontrol af 4-øjneprincippet, om de sid-

ste 2 øjne er en godkendelse, som kræver yderligere øjne (dvs. kun er en delvis god-

kendelse), eller om det er den endelige godkendelse. Samme medarbejder kan derfor

både varemodtage og endeligt godkende samme indkøb. Endvidere viser undersøgel-

sen, at virksomhederne kun i begrænset omfang i deres regnskabsinstruks har be-

grundet, hvorfor medarbejdere tildeles rettigheder/roller til at gennemføre indkøb ale-

ne op til en given beløbsgrænse. Selv om der i 2019 blev gennemført indkøb uden til-

strækkelig funktionsadskillelse i IndFak for over 220 mio. kr., har ingen af virksomhe-

derne nærmere beskrevet, at de har målrettet kontrollen mod specifikke indkøb, eller

at de systematisk monitorerer brugeraktivitet i IndFak. Rigsrevisionen vurderer sam-

let, at der i 2019 (og tidligere) i flere virksomheder har eksisteret en mulighed for, at

medarbejderne ville have kunnet gennemføre uretmæssige indkøb via IndFak, uden

at det umiddelbart ville blive opdaget.

Undersøgelsen viser desuden, at medarbejdere med rollen som lokaladministrator i

IndFak i 2019 havde mulighed for at ændre password og e-mail for andre brugere, der

i forvejen var oprettet i systemet. På denne måde havde disse brugere muligheden for

at bruge andre brugeres rollesæt og dermed varetage flere roller ved samme transak-

tion og potentielt omgå den systemopsatte funktionsadskillelse i IndFak. Dette blev

ikke imødegået af kompenserende kontroller.

Rigsrevisionen finder, at det er vigtigt, at Finansministeriet informerer brugerne af de

fællesstatslige it-systemer om mulige kompenserende kontroller for at imødegå risici

fra bl.a. rollen som lokaladministrator. Det er dog de enkelte ministeriers/virksomhe-

ders ansvar, at der er tilrettelagt tilstrækkelige interne kontroller ud fra en konkret ri-

sikovurdering hos den enkelte virksomhed.

4.3. Tankkort

Tankkort

Kortene kan anvendes til for-

skellige typer af brændstof,

fx benzin og diesel.

68. Vi har undersøgt, om Forsvarsministeriet har tilfredsstillende kontroller med bru-

gen af tankkort til betaling/forbrug af brændstof. Vi har gennemført undersøgelsen i

forlængelse af en henvendelse via vores whistleblowerordning om, at ansatte i For-

svarsministeriet uretmæssigt kunne tanke Forsvarsministeriets brændstof til private

formål. Da indkøb af brændstof blandt ansatte sker med brug af tankkort på både ci-

vile tankstationer og militære tankanlæg på alle tidspunkter af døgnet og uden at in-

volvere flere personer ved selve tankningen, er der umiddelbart risiko for, at Forsvars-

ministeriets tankkort kan blive anvendt til privat forbrug.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Vi har undersøgt, om der er indikationer på uretmæssig anvendelse af Forsvarsmini-

steriets tankkort, og om ledelsen i 2019 havde truffet passende foranstaltninger for at

minimere risikoen forbundet med kortene. Disse foranstaltninger omfattede fx ned-

skrevne procedurer for anvendelsen af tankkort, og at de ansattes anvendelse af

tankkort i et vist omfang blev monitoreret for at kunne opdage og sanktionere even-

tuelt uretmæssigt brug.

Forsvarets retningslinjer

Forsvarets køretøjer må kun

anvendes til tjenstlige formål,

som skal godkendes af nær-

meste chef. Køretøjerne må

aldrig bruges til private formål

og må ikke medtages til privat

bopælsadresse undtagen i

særlige chefgodkendte tilfæl-

de.

Retningslinjerne tilsiger samti-

dig, at der kun må tankes på

civile tankstationer, hvis det

ikke er muligt eller hensigts-

mæssigt at tanke på Forsva-

rets egne anlæg.

Forsvarsministeriet havde i 2019 et budget til forskellige typer af brændstof på ca. 421

mio. kr. Heraf blev ca. 92

brugt på skibe og fly, mens ca. 8 % blev anvendt til Forsvarets

køretøjer. Forsvarets køretøjer bruger hovedsageligt diesel, og Forsvaret havde i 2019 et

forbrug på ca. 32 mio. kr. hertil. I 2019 brugte Forsvaret 7.460 unikke tankkort på civile

tankstationer og militære tankanlæg.

Data om forbrug på tankkort

69. Det er Forsvarets Materiel- og Indkøbsstyrelse, som har ansvaret for indkøb, kon-

trol og tilsyn med brændstof i Forsvarsministeriet, mens det er de enkelte myndighe-

der, som har ansvaret for selve forvaltningen. Forsvarets Materiel- og Indkøbsstyrelse

indhenter som led i den månedlige kontrol automatisk registrerede transaktionsoplys-

ninger fra de civile tankstationer og militære tankanlæg, som omfatter data om hver

tankning og dækker alle transaktioner foretaget med tankkortene på både civile tank-

stationer og militære tankanlæg. Herudover skal medarbejderne manuelt indtaste

nogle informationer ved hver tankning. De oplysninger, der indgår om transaktionerne,

og som lagres i NetFuel-databasen, fremgår af figur 11.

Transaktionsoplysninger

De automatisk lagrede trans-

aktionsdata fra tankanlæg in-

deholder bl.a. registrerings-

nummer på køretøjet, køre-

tøjstype, sted for tankning, for-

brugskategori, tanket mæng-

de og pris.

NetFuel-databasen

Figur 11

NetFuel-databasen opsamler

oplysninger om forbruget på

Forsvarets tankkort og inde-

holder data 2 år tilbage i tid.

Dataregistrering i forbindelse med tankning

BRUG AF TANKKORT

DATA

Tankning af køretøj

på enten en civil

tankstation eller på

et militært tankanlæg

Indtastning af:

• Pinkode

• Kilometertal

• Medarbejdernummer

• Liter

• Kroner

• Kortnummer

• Tankstation

Kilde:

Rigsrevisionen.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Det fremgår af figur 11, at data består af både automatisk dannede og manuelt indta-

stede data, og at medarbejderne selv skal taste bl.a. medarbejdernummer, som skal

bruges til at identificere personen, som har tanket. Transaktionsdata anvendes i For-

svarets Materiel- og Indkøbsstyrelses tilsyn med Forsvarsministeriets brug af brænd-

stof.

Vores gennemgang viser, at kvaliteten af datagrundlaget gør det vanskeligt for For-

svarets Materiel- og Indkøbsstyrelse at basere kontroller på disse data og at lave ana-

lyser af enkeltpersoners handlinger over tid, fordi det i mange tilfælde ikke indeholder

unikke medarbejdernumre for de enkelte tankninger. For knap 21.000 transaktioner,

svarende til 59

af alle Forsvarsministeriets køb af brændstof i 2019 på civile tank-

stationer, indeholder datagrundlaget således ikke det unikke medarbejdernummer.

Det samme gør sig gældende for knap 3.000 tankninger på militære tankanlæg, sva-

rende til knap 3 % af transaktionerne på disse tankanlæg, på trods af at Forsvarsmi-

nisteriets retningslinjer stiller krav om, at der skal indtastes et unikt medarbejdernum-

mer, kilometertal for køretøjet på tankningstidspunktet og en pinkode til kortet på

tankanlægget, hver gang et køretøj tankes med et tankkort.

Andre datakilder hos For-

svarsministeriet

Forsvarsministeriet har oplyst,

at puljekøretøjer (som er ho-

vedparten af ministerområ-

dets personbiler) udelukken-

de registreres centralt i dele-

bilsdatabasen, hvorimod kø-

retøjer, der forvaltes af den

enkelte myndighed, fx kamp-

vogne, pansrede køretøjer og

andre specialkøretøjer, regi-

streres og autoriseres lokalt

ved den enkelte myndighed

og ikke i delebilsdatabasen.

70. Vi har endvidere ved stedlig revision på et militært tankanlæg konstateret, at ind-

tastning af medarbejdernummer og kilometertal ikke var nødvendigt for at tanke. Rigs-

revisionen kunne anvende et af Forsvarsministeriets tankkort, selv om vi indtastede

tilfældige cifre som medarbejdernummer. Det er efterfølgende kontrolleret, at cifrene

ikke var enslydende med et eksisterende medarbejdernummer. Rigsrevisionen kon-

staterer, at når Forsvarsministeriets tankkort tillader tankninger uden indtastning af

identifikationsoplysninger, er det vanskeligt efterfølgende at følge op på transaktioner

for det enkelte tankkort.

Forsvarsministeriet har oplyst, at det er muligt at kontrollere, hvem der er registreret

som bruger af et givent køretøj uden at bruge NetFuel-databasen, da Forsvarsmini-

steriet råder over andre datakilder, fx andre databaser eller rapporter hos de enkelte

myndigheder, hvor information om brugerne fremgår. Forsvarsministeriet har oplyst,

at kontroller hermed, bl.a. for at finde afvigelser, kræver samkøring af de forskellige

datakilder. Denne mulighed er ikke systemunderstøttet, men Forsvarsministeriet har

oplyst, at ministeriet arbejder på en it-understøttelse af kontrollen.

Rigsrevisionen bemærker, at selv om det er muligt at kontrollere forbruget ud fra for-

skellige datakilder, kan Rigsrevisionen konstatere, at en sådan kontrol ikke er foreta-

get af Forsvarsministeriet i 2019.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Tankninger i weekender og om aftenen

71. Vi har undersøgt, hvordan betalingerne med tankkort i 2019 fordeler sig på hver-

dage og weekender samt på forskellige tidspunkter af døgnet, og dermed om der er

tegn på, at anvendelsen af tankkort uden for normal arbejdstid på civile tankstationer

og militære tankanlæg viser et specielt mønster. Resultaterne af vores analyse viser,

at medarbejderne oftere tanker uden for normal arbejdstid på civile tankstationer end

på militære anlæg, jf. figur 12.

Brændstofforbrug i 2019

Det totale brændstofforbrug

registreret i Forsvarets trans-

aktionsdatabase var i 2019:

•

Civile tankstationer: 14, 3

mio. kr.

•

Militære tankanlæg: 39,9

mio. kr.

Figur 12

Andelen af tankninger foretaget i weekender eller om aftenen/natten

i 2019

25 %

20 %

15 %

10 %

Weekender

Mellem kl. 22.00-04.00

Civile tankstationer

Militære tankanlæg

Kilde:

Rigsrevisionen på baggrund af Forsvarsministeriets NetFuel-database.

Det fremgår af figur 12, at 20 % af alle tankninger på civile tankstationer (svarende til

7.119 tankninger til en samlet værdi af 2,8 mio. kr.) fandt sted på weekenddage i 2019.

Det samme gør sig kun gældende for 8 % af tankningerne på militære tankanlæg til

en samlet værdi af 50.000 kr. Hyppigheden af tankninger, som finder sted mellem

kl. 22.00-04.00, er også højere på civile tankstationer, hvor knap 8 % af alle tanknin-

ger fandt sted i dette tidsrum (til en værdi af 955.000 kr.), mens det samme kun var

tilfældet for 3 % af tankningerne på militære tankanlæg.

Rigsrevisionen konstaterer, at der er et højt antal tankninger i weekender og om nat-

ten på civile tankstationer.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Forsvarsministeriet har oplyst, at tankninger uden for normal arbejdstid ikke er usæd-

vanligt, da ministeriet har aktiviteter hele døgnet rundt, og at der ud over nationale op-

gaver er kursus- og øvelsesvirksomhed uden for normal arbejdstid, hvor der er et

transportbehov på grund af den geografiske spredning af ministerområdets aktivite-

ter. Forsvarsministeriet finder det derfor ikke påfaldende, at tankninger under løsning

af nationale opgaver og øvelsesaktiviteter i hele Danmark foretages i weekender og

om natten.

Rigsrevisionen har ikke sammenholdt oplysninger om tankninger med Forsvarsmini-

steriets opgaveløsning, og hvornår på døgnet denne finder sted.

Forbrugsmønstre i 2019

Analyser af forbrugsmønstre

er foretaget på baggrund af

stikprøver (risikobaserede og

tilfældige), som ikke er repræ-

sentative.

72. Vores analyser af udvalgte forbrugsmønstre viser også, at der i 2019 blev gennem-

ført en del overtankninger, dvs. at der blev tanket mere brændstof, end køretøjets

tank kan rumme. Dette gør sig gældende for tankninger på både civile tankstationer

og militære tankanlæg, men oftest på civile tankstationer. Tabel 3 viser eksempler på

overtankning.

Tabel 3

Eksempler på overtankning i 2019

Tankanlæg

Civil

Militær

Biltype

Toyota Landcruiser

Mercedes Atego

Nissan Navara

Toyota Hilux

Toyota Landcruiser

Mercedes Atego

Nissan Navara

Toyota Hilux

Tank-

kapacitet

96 L

125 L

80 L

96 L

125 L

80 L

Antal tankninger

i alt

126

214

117

683

593

Antal tankninger

over tankkapacitet

Andelen af tankninger

over kapacitet

13 %

Note: Tankkapaciteten er fastsat ud fra den offentligt tilgængelige standard for biltypen fundet ved internetsøgning. Forsvarsministeriet har oplyst, at

hovedparten af ministeriets køretøjer har standardtanke, men at Toyota Landcruiser har en tank, som er større end standarden. Vores beregnin-

ger tager udgangspunkt i, at køretøjerne er kørt helt tomme for brændstof, før der tankes, hvilket må formodes at høre til undtagelserne. Bereg-

ningerne undervurderer derfor omfanget af overtankninger.

Kilde:

Rigsrevisionen på baggrund af Forsvarsministeriets NetFuel-database.

Eksemplerne i tabel 3 indikerer, at der i flere tilfælde ikke kun bliver fyldt brændstof på

det køretøj, der hører til tankkortet. Vores undersøgelse viser herudover, at der ikke

kun bliver overtanket med små mængder. Der er fx tilfælde, hvor der på civile tanksta-

tioner er tanket 176 %, 258 %, 449 % og 508 % af køretøjets tankkapacitet. Der er lig-

nende eksempler på de militære tankanlæg, hvor der i nogle tilfælde er tanket 292 %,

495 % og 843 % af tankkapaciteten. Undersøgelsen viser således, at Forsvarsministe-

riets tankkort er anvendt til overtankning af køretøjer, hvilket er i strid med retnings-

linjerne.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Forsvarsministeriet har oplyst, at Forsvarets Materiel- og Indkøbsstyrelse ikke tidli-

gere har analyseret de data, som modtages fra tankanlæggene, for at kunne identifi-

cere eventuel overtankning. Dog har Forsvarets Materiel- og Indkøbsstyrelse i forlæn-

gelse af Rigsrevisionens undersøgelse foretaget lignende analyser af data for 2019 og

har fået tilsvarende resultater. Forsvarets Materiel- og Indkøbsstyrelse har stikprøve-

vis indhentet forklaringer fra medarbejderne på overtankninger og har oplyst, at det

vedrører situationer, hvor tankkortene er anvendt til flere køretøjer ud fra en pragma-

tisk løsning på et problem og vel vidende, at det er i strid med reglerne. Forsvarsmini-

steriet har endvidere oplyst, at der ikke findes skriftlig dokumentation for, at disse

tankninger i sin tid blev ledelsesgodkendt, da autorisation til at anvende et køretøj au-

tomatisk medfører tilladelse til at tanke bilen. Tankninger skal derfor ikke godkendes

separat.

I øvrigt kan Rigsrevisionen konstatere ud fra tankdata for august 2020, at disse data i

modsætning til tankdata for august 2019 nu i langt større grad indeholder medarbej-

dernummer.

Nye tiltag i 2020

Forsvarets Materiel- og Ind-

købsstyrelse har i efteråret

2020 oplyst, at der er igang-

sat en række tiltag for at for-

bedre kontrollen på området,

herunder udarbejdelse af et it-

program, som automatisk vil

analysere data fra bl.a. Net-

Fuel-databasen for at identifi-

cere tilfælde af overtankning.

Implementeringen forventes

medio 2021.

Resultater

Undersøgelsen viser, at Forsvarsministeriet har nedskrevne retningslinjer for, hvornår

tankkort må bruges, og hvad de må bruges til, men at ministeriet ikke har en tilfreds-

stillende kontrol med, at reglerne overholdes.

Undersøgelsen viser, at Forsvarets tankkort er anvendt til overtankning af køretøjer,

hvilket er i strid med retningslinjerne. Overtankningerne gælder i særlig grad tanknin-

ger på civile tankstationer.

Desuden viser Rigsrevisionens gennemgang, at de data, som ligger til grund for For-

svarets Materiel- og Indkøbsstyrelses tilsyn med medarbejdernes anvendelse af tank-

kort, ikke har en tilstrækkelig kvalitet og ikke hidtil er blevet anvendt til fx stikprøvevis

at kontrollere medarbejderes anvendelse af tankkort til Forsvarsministeriets køretø-

jer. Rigsrevisionen finder samlet, at Forsvarsministeriet ikke har haft en tilfredsstillen-

de kontrol med anvendelsen af tankkort, og at dette har medført en øget risiko for en

uretmæssig anvendelse af kortene. Rigsrevisionen finder, at Forsvarsministeriet har

adgang til data, som potentielt vil kunne anvendes i en mere effektiv kontrol, hvis dis-

se blev samkørt. Forsvarets Materiel- og Indkøbsstyrelse har i efteråret 2020 oplyst,

at der er igangsat en række tiltag for at forbedre kontrollen på området.

4.4. Betalingskort

73. Statsrevisorerne bad specifikt Rigsrevisionen om at undersøge anvendelsen af

statens betalingskort. Vi har derfor undersøgt, om 3 udvalgte virksomheder (Forsvars-

ministeriet, politiet og anklagemyndigheden og Danmarks Meteorologiske Institut) har

tilfredsstillende kontroller i forhold til ansattes brug af betalingskort i forbindelse med

tjenesterejser og tjenstlige indkøb af varer og ydelser. Virksomhederne er udvalgt på

baggrund af en analyse af alle transaktioner på betalingskort foretaget af alle ministe-

riers ansatte i 2019, hvor vi har taget højde for henholdsvis antal transaktioner og en

risikoanalyse af transaktionerne.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Vi har undersøgt, om virksomhederne i 2019 har truffet passende foranstaltninger for

at minimere risikoen for svig med betalingskort. Det kan fx være ved at sikre retnings-

linjer, der beskriver, hvordan medarbejderne skal anvende betalingskort, og at virk-

somhederne i et vist omfang monitorerer de ansattes anvendelse af betalingskort for

at opdage og korrigere eventuelle fejludbetalinger.

Ny vejledning om statens

betalingskort i 2020

Økonomistyrelsen har i april

2020 udsendt en ny vejled-

ning om anvendelsen af beta-

lingskort i staten, hvor bl.a. de-

finitionen på firmahæftende

og privathæftende betalings-

kort er præciseret.

74. Det er de enkelte ministeriers og virksomheders opgave at monitorere medarbej-

deres anvendelse af betalingskort og at inddrage kort, når det er nødvendigt. Statens

betalingskort må kun anvendes til arbejdsrelaterede formål, hvilket følger af regn-

skabsbekendtgørelsens regler og Økonomistyrelsens vejledninger på området. Korte-

ne kan både være firmahæftende, hvor virksomheden hæfter for betalingerne, og pri-

vathæftende, hvor medarbejderen hæfter for betalingerne, men ingen af kortene må

benyttes til private formål. Betalingskort skal dog som hovedregel være firmahæften-

de og kun undtagelsesvist med privathæftende. Hvis en virksomhed anvender privat-

hæftende kort, skal anvendelsen og kriterierne herfor fremgå af virksomhedens regn-

skabsinstruks (jf. cirkulære nr. 24 af 20. april 2020 om anvendelse af betalingskort og

regnskabsbekendtgørelsens § 30).

Virksomhederne har mulighed for at trække en kortindehaverliste, som bl.a. kan an-

vendes til at kontrollere grundlaget for de udstedte kort, herunder kontrollere det må-

nedlige maksimum knyttet til det enkelte tildelte kort. SEB Kort Bank, som administre-

rer alle statens betalingskort, sender dagligt datafiler med oplysninger om virksomhe-

dernes enkelte transaktioner, som kan afstemmes med de fakturaer, som SEB Kort

Bank månedligt sender til virksomhederne. Herudover kan virksomhederne få adgang

til et statistikværktøj, som kan anvendes til at se virksomhedens forbrugsmønstre for-

delt på fx branche og indkøbssted.

75. Vi har analyseret data om virksomhedernes indkøb og har på den baggrund ud-

trukket virksomheder med mønstre for transaktioner, der kunne indikere, at betalings-

kort er blevet anvendt til privat forbrug. Vi har udtrukket en risikobaseret stikprøve af

transaktioner inden for følgende kategorier:

•

SEB Kort Bank

SEB Kort Bank står for Skan-

dinaviska Enskilda Banken,

som opererer i Danmark.

barer og diskoteker

sundhed og beauty spa

bøder samt told og skat

datingtjenester

tips og gambling

kontanthævninger

MobilePay-betalinger

tv-pakker og musiktjenester

tøj.

Figur 13 viser alle indkøb foretaget inden for de 9 kategorier med statens betalingskort

i 2019. Kategorierne bygger på koder defineret af SEB Kort Bank, som knytter sig til

indkøbsstedet (både fysiske og internetbaserede). Det er således ikke den enkelte va-

re, der identificeres, men selve forretningen, hvor der indkøbes. I bilag 2 beskrives, hvi-

lke kategorier fra SEB Kort Bank der indgår i hver af de 9 indkøbskategorier.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Figur 13

Antal indkøb og samlet indkøbssum inden for 9 udvalgte kategorier i

staten i 2019

2.500

2.000

1.500

1.116

2.383

2.113

1.856

1.569 1.543

1.000

648

668

186

39 20

500

33 48

125 104

MobilePay-betalinger

Bøder samt told og skat

Datingtjenester

Tips og gambling

Antal transaktioner

Beløb i alt (i 1.000 kr.)

Note: Vi har frasorteret kontanthævninger i udlandet og i Kastrup, da disse må antages at være knyttet til

rejseaktivitet.

Kilde:

Rigsrevisionen på baggrund af data fra SEB Kort Bank.

Forbruget på betalingskort var i 2019 på godt 586 mio. kr. fordelt på over 533.400

transaktioner på over 18.000 statslige betalingskort udstedt af SEB Kort Bank. Heraf

udgjorde ca. 1 % af beløbet, svarende til knap 5,3 mio. kr., indkøb inden for de 9 ind-

købskategorier.

Vi lægger til grund, at der er en øget iboende risiko for, at medarbejdere kan anvende

betalingskort til privat forbrug i forbindelse med pengeoverførsler og kontanthævnin-

ger i Danmark og i udlandet, og at virksomhederne derfor i 2019 har truffet passende

foranstaltninger for at minimere risikoen ved fx at sikre, at der var fastsat retningslin-

jer for anvendelse af betalingskort, og at medarbejdernes anvendelse af betalingskort

i et vist omfang blev monitoreret for at opdage og korrigere fejludbetalinger.

Tv-pakker og musiktjenester

Barer og diskoteker

Sundhed og beauty spa

Kontanthævninger

Tøj

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

76. Bestemmelsen om anvendelsen af betalingskort er som nævnt beskrevet i regn-

skabsbekendtgørelsens § 30 og uddybet i Finansministeriets cirkulære om anvendel-

se af betalingskort i staten. Det er de enkelte ministeriers og virksomheders opgave at

bestille, administrere og monitorere medarbejderes anvendelse af betalingskort og at

inddrage kort, når det er nødvendigt. Statens betalingskort anvendes til afholdelse af

tjenstlige udgifter i forbindelse med tjenesterejser eller ved tjenstlige indkøb på vegne

af arbejdsgiveren. Uanset om kortet er firmahæftende eller privathæftende, må kor-

tet kun anvendes til tjenstlige formål med undtagelse af mindre private udgifter under

tjenesterejser, som medarbejderen selv betaler i forbindelse med rejseafregningen.

Anvendes et firmahæftende kort til ikke-tjenstlige forhold, vil der være tale om under-

slæb.

Vi har til vores undersøgelse udtaget risikobaserede stikprøver af betalingskorttrans-

aktioner fra Forsvarsministeriet (herunder Forsvarskommandoen og Forsvarsstaben),

Justitsministeriet (herunder politiet og anklagemyndigheden) og Klima-, Energi- og

Forsyningsministeriet (herunder Danmarks Meteorologiske Institut). Der blev i 2019 i

alt gennemført over 142.000 betalinger med betalingskort fra de 2 virksomheder un-

der Forsvarsministeriet (svarende til indkøb for over 238,5 mio. kr.), mens politiet og

anklagemyndighedens betalingskort blev brugt til over 55.500 betalinger (svarende

til godt 63 mio. kr.). Betalingskort fra Danmarks Meteorologiske Institut blev anvendt

næsten 4.000 gange i 2019 (svarende til 4,4 mio. kr.). Forsvarsministeriet rådede iføl-

ge oplysninger fra Økonomistyrelsen over flere end 10.600 betalingskort ved udgan-

gen af 2019, mens Justitsministeriet havde godt 1.500 kort, og Klima-, Energi- og For-

syningsministeriet godt 1.100 kort.

Forsvarsministeriets kontrol med betalingskort

Småfornødenheder

Forsvarsministeriet accepte-

rer, at 25 % af time- og dag-

pengene må anvendes til ind-

køb af småfornødenheder.

Forsvarsministeriet har oplyst,

at 75 % af time- og dagpenge-

ne skal dække merudgifter til

måltider, mens de resterende

25 % er til afholdelse af udgif-

ter til småfornødenheder.

Forsvarsministeriet har oplyst,

at der ikke skal foreligge doku-

mentation for afholdte udgifter

i forbindelse med udbetaling

af time- og dagpenge baseret

på Økonomistyrelsens Perso-

nale Administrative Vejled-

ning, afsnit 21.4.2.1.

77. Forsvarsministeriets retningslinjer for anvendelse af betalingskort er beskrevet i

regnskabsinstruksen for 2019. Retningslinjerne tilsiger, at betalingskort kun må anven-

des i forbindelse med betaling af tjenstlige udgifter vedrørende rejser og under rejser.

Betalingskort må dog også anvendes til mindre private udgifter under tjenesterejsen,

som har direkte sammenhæng med tjenesterejsen eller ophold herunder, og som med-

arbejderen selv skal betale i forbindelse med rejseafregningen (såkaldte småfornø-

denheder). Samtidig fremgår det, at betalingskortet aldrig må anvendes til rent privat

forbrug, da dette ikke har sammenhæng med tjenesterejsen eller er tjenstligt begrun-

det. Forsvarsministeriet har endvidere oplyst, at bestemmelsesgrundlaget og admini-

strationen henhører under Forsvarsministeriets Regnskabsstyrelse, og at medarbej-

derne fremsender bilag til dækning af det hævede beløb på kortene til afregning cen-

tralt, hvorefter eventuelt overskud (det hævede beløb minus summen af alle bilag) fra

den enkelte medarbejder indbetales ved at indeholde det i nettolønnen.

Vores undersøgelse af de udvalgte indkøbskategorier, jf. pkt. 75, viser, at det særligt

er på kategorierne indkøb af tøj, betaling på barer og diskoteker, kontanthævninger

og MobilePay-betalinger, at Forsvarsministeriets betalingskort anvendes. Figur 14 vi-

ser forbruget i de 9 udvalgte kategorier i Forsvarsministeriet i 2019.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Figur 14

Indkøb inden for 9 kategorier i Forsvarsministeriet i 2019

1.000

829

800

600

400

735

599

328

235

174

232

200

MobilePay-betalinger

Datingtjenester

Bøder samt told og skat

Tips og gambling

Antal transaktioner

Beløb i alt (i 1.000 kr.)

Note: Indkøb dækker over transaktioner foretaget med betalingskort fra Forsvarskommandoen, Hjemmevær-

net, Forsvarsministeriets Personalestyrelse og Forsvarsministeriets Materiel- og Indkøbsstyrelse samt

nogle få transaktioner fra Forsvarsministeriets departement. Transaktioner fra departementet indgik

ikke i den risikobaserede stikprøve, som Rigsrevisionen har indhentet redegørelse for fra Forsvarsmini-

steriet.

Kilde:

Rigsrevisionen på baggrund af data fra SEB Kort Bank.

Det fremgår af figur 14, at medarbejderne i Forsvaret i 2019 har foretaget knap 600

kontanthævninger, som beløber sig til ca. 830.000 kr., dvs. gennemsnitligt ca. 1.400

kr. pr. gang. Herudover har medarbejderne overført penge til tilsyneladende private

brugere af MobilePay 174 gange, svarende til overførsler på godt 92.000 kr., dvs. gen-

nemsnitligt ca. 500 kr. pr. gang. Ifølge Forsvarsministeriets retningslinjer må betalings-

kort ikke anvendes til MobilePay eller til at hæve kontanter, med visse undtagelser i

forbindelse med hævning i danske lufthavne.

Kreditmaksimum på alle firmahæftende betalingskort i Forsvarsministeriet er som ud-

gangspunkt fastsat til 50.000 kr. pr. løbende 30 dage ved udstedelse. Der kan ansø-

ges om en midlertidig forhøjelse heraf, hvis dette er begrundet og chefgodkendt.

Tv-pakker og musiktjenester

Barer og diskoteker

Sundhed og beauty spa

Kontanthævninger

Tøj

Hævning af udenlandsk

valuta i danske lufthavne

Kontanthævninger i uden-

landsk valuta i danske lufthav-

ne i forbindelse med udrejse er

tilladt med Forsvarsministe-

riets betalingskort, jf. Økono-

mistyrelsens vejledning om

betalingskort i staten. Trans-

aktioner foretaget i danske

lufthavne er derfor på forhånd

frasorteret i Rigsrevisionens

datagrundlag.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Forsvarets Regnskabsstyrelses kontrol med betalingskorttransaktioner

78. Forsvarets Regnskabsstyrelse screener ugentligt alle betalingskorttransaktioner

foretaget med Forsvarsministeriets firmahæftende betalingskort for at sikre, at korte-

ne benyttes efter reglerne til tjenstlige udgifter. Under screeningen undersøges poster,

som kan have karakter af rent privatforbrug, kontanthævninger i Danmark og transak-

tioner foretaget via apps, fx MobilePay, og der ses efter afvigende poster eller tenden-

ser. Forsvarsministeriet har oplyst, at transaktioner undersøges ved bl.a. at se på be-

skrivelsen af kreditkorttransaktionen (dvs. forretningsstedet), beløbets størrelse, om

forretningsstedet ligger i umiddelbar nærhed af den ansattes bopæl, og hvordan po-

sten er placeret på rejsen. Der foreligger en vejledning, der beskriver, hvilke parametre

gennemgangen kan tage udgangspunkt i, men ikke en detaljeret beskrivelse af, hvilke

parametre de enkelte transaktioner udtrækkes efter, og hvordan det fastslås, om der

er tale om et privat indkøb eller ej.

Ifølge Forsvarsministeriet er der tale om en kontrol, der screener for uhensigtsmæs-

sig adfærd med udgangspunkt i tendenser, mistænksomme forbrugsmønstre osv., og

derfor skal kontrollen/screeningen ifølge ministeriet ikke begrænses af fuldstændigt

fastlagte parametre og udtræksmetoder. Ministeriet har endvidere oplyst, at formå-

let med screeningen ikke er at tilsikre korrekt registrering af forbrug, men i stedet at

screene for, at anvendelse af betalingskortet overholder cirkulære nr. 24 af 20. april

2010. Desuden har Forsvarsministeriet oplyst, at screeningen ikke står alene, idet der

også foretages kontrol i forbindelse med fordeling af indlæste poster fra SEB Kort

Bank til videre behandling, ligesom der ligger en kontrol i processen for rejse- og ud-

lægssystemet. Samtidig må firmakortene ifølge Forsvarsministeriets retningslinjer an-

vendes til dækning af mindre private udgifter, der har direkte sammenhæng med tje-

nesterejsen, og de skal i givet fald ikke vedlægges dokumentation, hvis udgiften mod-

regnes i time-og dagpengene. Dog har Forsvarets Regnskabsstyrelse oplyst, at hvis

det på baggrund af screeningen skønnes, at der er tale om en transaktion eller et for-

brug, der har karakter af privatforbrug, kontaktes den pågældende medarbejder med

henblik på videre udredning og fremsendelse af eventuel dokumentation for det tjenst-

lige formål med købet.

Kun firmahæftende betalingskort screenes, idet forbrug på privathæftende kort – der

kun anvendes af frivillige i Hjemmeværnet – ikke skal dokumenteres med bilag ved

træk på medarbejderens egen bankkonto, men først i forbindelse med, at der ansøges

om udlæg, hvorved forbruget bliver en udgift for Forsvarsministeriet. Mens firmahæf-

tende kort afregnes via lønnen, gælder det for privathæftende kort, at faktura for an-

vendelsen fremsendes til den frivillige, og at Forsvarsministeriet først hæfter over for

SEB Kort Bank, hvis den frivillige ikke betaler fakturaen til SEB Kort Bank, og Gælds-

styrelsen derefter ikke kan inddrive fordringen.

79. Vores undersøgelse viser, at der er foretaget kontanthævninger, betalinger i butik-

ker, der kategoriseres med indkøbstyperne ”tips og gambling” og ”sundhed og beauty

spa”, betalinger i tøjbutikker i udlandet og betalinger for forskellige abonnementer med

Forsvarsministeriets firmahæftende kort i 2019. Der er også hævet kontanter og gen-

nemført betalinger inden for kategorien ”datingtjenester” med privathæftende kort ud-

stedt af Forsvarsministeriet. Rigsrevisionen har derfor udtrukket en risikobaseret stik-

prøve inden for disse kategorier og bedt Forsvarsministeriet redegøre for, om knap

200 transaktioner, som ikke umiddelbart virker som arbejdsrelaterede udgifter, dæk-

ker over køb til privat forbrug eller har en arbejdsmæssig forbindelse.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

80. Forsvarets Regnskabsstyrelse har i en redegørelse oplyst, at der ikke foreligger

underliggende bilag for 105 (svarende til 55 %) af transaktionerne i stikprøven. For-

svarsministeriet har oplyst, at dette skyldes, at der er tale om forbrug med privathæf-

tende eller firmahæftende betalingskort, hvor udgiften trækkes direkte på medarbej-

derens bankkonto og derfor ikke er en udgift for Forsvarsministeriet. Ministeriet har

endvidere oplyst, at i de tilfælde, hvor medarbejderen ønsker et forbrug på et privat-

hæftende betalingskort dækket af Forsvarsministeriet, opretter medarbejderen et

udlæg i ministeriets rejse- og udlægssystem. I forbindelse med oprettelsen af udlæg-

get vedlægges bilag, hvorefter udlægget fremsendes til chefgodkendelse. Bilag fore-

findes i disse tilfælde i rejse- og udlægssystemet. Ministeriet har derudover oplyst, at

der er tale om forbrug på firmahæftende kort i forbindelse med køb af småfornøden-

heder (også betegnet privatforbrug på rejsen), hvor der ifølge cirkulære nr. 12212 af

30. juni 2000 ikke er krav om dokumentation, og hvor udgiften modregnes direkte i

time- og dagpengene. Desuden har ministeriet oplyst, at der for 9 poster vedrørende

indkøbskort er dokumentation og chefgodkendelse i workflowet (fakturabehandlings-

processen) i SAP.

For 49 af de 105 bilag har Forsvarsministeriet endvidere ikke mulighed for at foretage

kontrol eller fremfinde dokumentation. Dette skyldes ifølge Forsvarsministeriet, at der

er brugt privathæftende betalingskort, som fremover vil blive udfaset. For 41 af de 105

bilag har Forsvarsministeriet oplyst, at udgifterne er modregnet i time- og dagpenge-

satserne, men ministeriet har ikke fremsendt dokumentation herfor. Dog har ministe-

riet oplyst, at der ikke er krav om dokumentation for udgifter til småfornødenheder

modregnet i time- og dagpengene med henvisning til cirkulære nr. 12212 af 30. juni

2000.

Vi har fra Forsvarsministeriet modtaget bilag for de resterende indkøb i vores stikprø-

ve, som for langt hovedparten dækker indkøb af streamingtjenester og opkobling til

internettet, besøg hos udenlandske lægeklinikker (transaktioner med indkøbskatego-

rien ”sundhed og beauty spa” dækker, jf. de tilsendte bilag, over lægebesøg i udlandet)

og et enkelt tilfælde betaling for et midlertidigt kørekort i udlandet. Rigsrevisionen har

ikke modtaget en detaljeret redegørelse med oplysninger om, af hvem og hvornår dis-

se transaktioner er blevet godkendt. Forsvarsministeriet har dog oplyst, at der forelig-

ger en chefgodkendelse for alle transaktionerne, og at Forsvarets Regnskabsstyrelse

har kontrolleret alle transaktioner i den tilsendte stikprøve, herunder bl.a. betalinger i

butikker med indkøbskategorien ”tips og gambling”, og vurderet, at alle ligger inden for

gældende retningslinjer. Forsvarsministeriet fremhæver desuden i sin redegørelse, at

det er de enkelte lokale enheder (kommandoer og myndigheder), der har ansvaret for

at godkende medarbejdernes brug af betalingskort i forhold til de regler, som Forsva-

rets Regnskabsstyrelse har udarbejdet på området. Herunder henviser Forsvarsmini-

steriet til chefansvar i forbindelse med firmahæftende betalingskort og oplyser, at der

ikke findes lokale beskrivelser af, hvilken kontrol der skal være med ansattes anven-

delse af betalingskort.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Rigsrevisionen vurderer, at den screening, der er foretaget i Forsvarets Regnskabs-

styrelse, ikke er helt tilstrækkelig til at mindske risikoen for, at medarbejdere anven-

der betalingskort til ikke-arbejdsrelaterede udgifter. Dette gælder alle typer betalings-

kort (hvad enten det er privathæftende kort eller ej), idet det under alle omstændighe-

der i sidste ende er staten, der hæfter for eventuel manglende betaling af forbrug. For-

svarsministeriet har i den forbindelse oplyst, at alle betalingskortposter, som den en-

kelte medarbejder ikke enten selv knytter til en udgift med tilhørende dokumentation

eller anmoder om at blive modregnet i time- og dagpengene eller i lønnen, bliver gen-

nemgået af Forsvarsministeriets Regnskabsstyrelse. Forsvarsministeriets Regnskabs-

styrelse tager kontakt til de enkelte medarbejdere med anmodning om at fremsende

bilag – idet der ellers foretages en modregning af betalingskortposten i medarbejde-

rens løn. Dermed sikres, at alle betalingskortposter håndteres og afsluttes. Forsvars-

ministeriet har oplyst, at håndteringen af dokumentation sker i regi af rejse- og ud-

lægssystemet, som ikke indgår i vores undersøgelse.

Rigsrevisionen konstaterer, at når Forsvarsministeriet ikke har dokumentation for al-

le indkøb, der gennemføres med ministeriets betalingskort, kan ministeriet ikke kon-

trollere, at betalingskortene anvendes inden for reglerne. Når Forsvarsministeriet ikke

kræver, at der vedlægges dokumentation for betalinger for småfornødenheder, som

modregnes i time- og dagpengene, kan ministeriet ikke kontrollere, om betalingskor-

tene eventuelt anvendes til private formål, hvilket er i strid med de gældende regler.

Rigsrevisionen understreger herudover, at anvendelse af betalingskort i forbindelse

med tjenesterejser ikke kun skal følge de statslige regler for rejseudgifter, men også

reglerne for anvendelse af betalingskort. Reglerne for betalingskort stiller særlige krav

til de udgifter, som kortene må anvendes til, og dermed også til den dokumentation,

der skal foreligge, og til virksomhedernes kontrol hermed.

Forsvarsministeriet har videre oplyst, at der i 2019 var 272 sager vedrørende uautori-

seret forbrug på firmahæftende betalingskort. I disse sager havde Forsvarsministeriet

registreret uautoriseret forbrug for i alt godt 320.000 kr. I de nævnte sager har med-

arbejderne selv hæftet for udgiften, så Forsvarsministeriet ikke har lidt tab.

Forsvarsministeriets interne revision har analyseret brugen af betalingskort i 2018, og

ministeriet har på den baggrund planlagt og iværksat initiativer såsom indskærpelse

af regelsættet om brug af betalingskort.

Den interne revision har først afrapporteret sin revision af betalingskort i februar 2020,

og Forsvarsministeriet har oplyst at have et skærpet fokus på området.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Politiet og anklagemyndighedens kontrol med betalingskort

81. Reglerne for brug af betalingskort i politiet og anklagemyndigheden fremgår af

regnskabsinstruksen for politiet og anklagemyndigheden. Politiet og anklagemyndig-

heden har fået dispensation fra Økonomistyrelsen fra reglen om kontanthævninger i

Danmark, så det i konkrete tilfælde – særligt på asylområdet – er tilladt at hæve kon-

tanter i Danmark. Dog må kortene ikke anvendes til at købe abonnementer.

82. Vores undersøgelse af betalingstransaktioner foretaget med politiet og anklage-

myndighedens kort viser bl.a., at medarbejdere i politiet og anklagemyndigheden har

brugt deres betalingskort til private formål, fx betaling af afgifter, køb af ydelser i ka-

tegorien ”sundhed og beauty spa” (herunder massage), datingtjenester og tøj. Under-

søgelsen viser også, at der i 2019 blev hævet kontanter svarende til 202.000 kroner

med politiet og anklagemyndighedens betalingskort i Danmark. Undersøgelsen viser,

at det særligt er indkøb af tøj, kontanthævninger, MobilePay-betalinger og betaling

på barer og diskoteker, hvor politiet og anklagemyndighedens betalingskort anven-

des blandt de udvalgte indkøbstyper. Figur 15 viser forbruget i de udvalgte kategorier

i 2019.

Private kort i politiet og

anklagemyndigheden

Justitsministeriet har oplyst,

at hovedparten af de udstedte

betalingskort er tilknyttet kort-

indehaverens private bank-

konto, hvor kortindehaverens

udlæg efterfølgende udeluk-

kende kan refunderes i forbin-

delse med udarbejdelse og

godkendelse af en rejseafreg-

ning eller anden afregning.

Figur 15

Antal indkøb og samlet indkøbssum inden for 4 udvalgte kategorier i

Rigspolitiet i 2019

600

527 532

400

200

202

160

151

141

118

Barer og diskoteker

Antal transaktioner

Kontanthævninger

MobilePay-betalinger

Tøj

Beløb i alt (i 1.000 kr.)

Note: Vi har frasorteret kontanthævninger i udlandet og i Kastrup, da disse må antages at være knyttet til

rejseaktivitet.

Kilde:

Rigsrevisionen på baggrund af data fra SEB Kort Bank.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Tøjindkøb med politiet

og anklagemyndighedens

betalingskort

Tøjindkøb kan i visse tilfælde

være en refusionsberettiget

tjenstlig udgift. Fx har livvag-

ter i PET mulighed for at købe

beklædning for et vist beløb

årligt, som refunderes af PET.

83. Rigspolitiet har undersøgt dokumentationen for de transaktioner i 2019, hvor Rigs-

revisionens analyse har indikeret, at betalingskortet kan være blevet anvendt i strid

med retningslinjerne. Rigspolitiet har oplyst, at 217 af de 233 transaktioner, som er ud-

taget til gennemgang, vedrører privat forbrug. Det svarer til 93 % af den samlede risi-

kobaserede stikprøve.

Rigspolitiet har oplyst, at i de tilfælde, hvor der er tale om private køb, er disse foreta-

get med de privathæftende betalingskort, hvor forbruget trækkes direkte på medar-

bejderens private bankkonto uden om politiet og anklagemyndighedens økonomi. De

pågældende medarbejdere har således ikke fået refunderet de private udgifter.

Politiet og anklagemyndigheden hæfter imidlertid subsidiært for forbruget på de pri-

vathæftende betalingskort, hvilket – som en sag fra 2017 viser – kan føre til, at staten

i sidste ende risikerer at betale for privatforbruget.

Sagen fra 2017 resulterede i, at Rigspolitiet hæftede for en restance over for betalings-

kortudsteder, inden en medarbejders kort blev lukket. Rigspolitiet har efterfølgende

sendt gælden til opkrævning hos skattemyndighederne, og Gældsstyrelsen har ind-

drevet gælden hos den tidligere medarbejder i 2020. Der er ikke sket en besvigelse,

men det har taget 3 år, før gælden blev indfriet.

84. Rigspolitiet har desuden oplyst, at gennemgangen har vist, at nogle medarbejdere

gentagne gange – ud over de transaktioner, der er omfattet af Rigsrevisionens stikprø-

ve fra 2019 – har anvendt betalingskortet til privat forbrug – dog også uden at få pri-

vatforbruget refunderet af politiet. Rigspolitiet har som konsekvens heraf spærret de

udstedte betalingskort, og indehaverne har fået indskærpet, at de har handlet i strid

med politiet og anklagemyndighedens retningslinjer for anvendelse af betalingskort.

85. Rigspolitiet har oplyst, at de fremover vil ændre retningslinjerne for udstedelse af

betalingskort til medarbejdere, så betalingskort kun udstedes til medarbejdere, der

vurderes at have et særligt tjenstligt behov, fx betydelig rejseaktivitet, ligesom beta-

lingskort fremadrettet ændres, så de udstedes som firmahæftende kort, hvor kredit-

korttransaktionerne vil blive afregnet direkte med politiets bankkonti. Dette vurderes

samlet set at ville medføre en reduktion i antallet af betalingskort. Dermed vil det ikke

længere være muligt at anvende betalingskortet til private formål, uden at det vil frem-

gå af politiets bankkontoudtog og i RejsUd. Rigspolitiet vil også undersøge, hvordan

kontrolmiljøet mv. for udstedelse og brug af betalingskort kan styrkes, så risikoen for

politiets hæftelse og muligheden for brug af kortet til ikke-tjenstlige formål minimeres.

Rigspolitiet oplyser supplerende, at de er i gang med at gennemgå et samlet udtræk af

transaktioner fra perioden 1. januar 2019 - juni 2020 for at undersøge, om der er yder-

ligere tilfælde, hvor betalingskort i modstrid med retningslinjerne er anvendt til priva-

te formål. Rigspolitiet gennemgår herudover alle kortholdere, hvor der primo august

2020 var restancer, for at undersøge, om betalingsfristerne overholdes.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Danmarks Meteorologiske Instituts spærring af betalingskort

86. Danmarks Meteorologiske Institut (DMI) har beskrevet procedurer for udstedelse

af betalingskort, og reglerne for anvendelse af betalingskort fremgår af regnskabsin-

struksen. Vores analyse af DMI’s brug af betalingskort i 2019 viser, at der blev foreta-

get uretmæssige transaktioner med MobilePay og kontanthævninger i januar 2019,

og at transaktionerne blev foretaget af en på daværende tidspunkt opsagt medarbej-

der (pr. september 2018).

DMI har oplyst, at medarbejderen på grund af længere tids sygemelding ikke havde af-

leveret sit betalingskort til DMI, som heller ikke havde spærret kortet. DMI opdagede

selv de uretmæssige transaktioner i RejsUd, hvorefter bogholderiet lukkede betalings-

kortet og fulgte op på sagen, hvilket resulterede i, at medarbejderen betalte alle pen-

gene tilbage. DMI har på baggrund af sagen ændret proceduren for, hvordan fratrådte

medarbejderes kreditkort bliver lukket, så betalingskort fremover lukkes på fratræ-

delsesdatoen.

Resultater

Rigsrevisionens gennemgang af forbruget på statslige betalingskort i 3 udvalgte virk-

somheder viser, at der ifølge regnskabsbekendtgørelsen findes retningslinjer, der be-

skriver brug af betalingskort, men at medarbejdere i et vist omfang har anvendt beta-

lingskort til privat forbrug hos politiet og anklagemyndigheden i strid med retningslin-

jerne på området, og at hverken Forsvarsministeriets eller politiet og anklagemyndig-

hedens kontrol på området har været tilstrækkelig i 2019. Det skal bemærkes, at den

uretmæssige anvendelse af betalingskort ikke har medført uretmæssige udgifter for

de 2 virksomheder.

Herudover viser en sag fra DMI, at der er risiko for, at medarbejdere, der ikke længere

er ansat, kan anvende betalingskort i strid med reglerne. Efter sagen i 2019 skærpede

DMI proceduren for at sikre rettidig lukning af fratrådte medarbejderes betalingskort.

4.5. Kontroller på lønområdet

87. Ministeriernes lønkontroller og deres styring af brugerrettigheder i SLS er væsent-

lige elementer i ministeriernes arbejde med at sikre, at der udbetales korrekt løn, og at

risikoen for svig på lønområdet minimeres. Vi har derfor undersøgt, om ministerierne

har fastlagt betryggende forretningsgange vedrørende lønkontroller og styring af bru-

gerrettigheder i SLS.

Samlet vurderes lønområdet mindre risikofyldt i forhold til de statsansattes mulighed

for at begå besvigelser, idet den faste løn udbetales automatisk hver måned, når først

lønoplysningerne er indtastet korrekt i lønsystemet.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

Ministeriernes lønkontroller

Lønkontrol – Koncept og

rammer

I Finansministeriets vejledning

”Lønkontrol – Koncept og ram-

mer” beskrives, hvilke kontrol-

foranstaltninger (fx kernekon-

troller og stikprøvekontroller)

der som minimum skal være

til stede for at afdække even-

tuelle besvigelsesrisici.

Virksomheder med væ-

sentlige fejl og mangler

88. Vi har undersøgt, om virksomhederne har udarbejdet en lønkontrolplan, der lever

op til Finansministeriets vejledning om lønkontroller. Videre har vi undersøgt, om virk-

somhederne samler op på de fejl, der eventuelt konstateres ved udbetaling af løn. En-

delig har vi undersøgt, om der er væsentlige mangler i virksomhedernes lønkontroller.

89. Rigsrevisionen foretog i 2019 revision af lønkontroller i 26 udvalgte virksomheder

baseret på væsentlighed og risiko, jf. bilag 3. Undersøgelsen viser, at der i 8 virksomhe-

der var væsentlige fejl og mangler i lønkontrollerne. De 8 virksomheder var fordelt på

5 ministerier (Uddannelses- og Forskningsministeriet, Klima-, Energi- og Forsynings-

ministeriet, Kulturministeriet, Transport- og Boligministeriet og Social- og Indenrigsmi-

nisteriet). I alle 8 virksomheder var der mangler i beskrivelsen af lønkontroller i lønkon-

trolplanen, og de levede derfor ikke op til Finansministeriets vejledning om lønkontrol-

ler. Fx var lønkontrollerne ikke baseret på en konkret vurdering af væsentlighed og ri-

siko, eller håndteringen af svig var ikke dækkende beskrevet i forretningsgangene.

Manglende fokus på væsentlighed og risiko samt manglende fokus på svig kan fx re-

sultere i, at lønkontrollerne ikke afdækker fejludbetalinger eller eventuelt svig.

90. Rigsrevisionen har desuden konstateret, at 6 ud af de 8 virksomheder i 5 ministe-

rier enten ikke havde foretaget en systematisk og dokumenteret fejlopsamling eller

ikke anvendte fejlopsamlingen til at sikre, at processer forbedres, fejl ikke gentages

over tid, og at risikoen for svig minimeres. Konsekvensen ved manglende systematisk

og dokumenteret fejlopsamling er, at virksomhederne ikke har overblik over antal og

typer af fejl. Dermed kan virksomhederne ikke målrette og effektivisere lønkontrol-

lerne fremadrettet for at undgå fejl og minimere risikoen for svig. Rigsrevisionen har

endelig konstateret, at der i 2 ud af de 8 virksomheder i 2 ministerier var svage eller

manglende lønkontroller. Manglende kontrol af lønnen kan både medføre øget risiko

for fejl og øget risiko for svig.

91. Rigsrevisionen vurderede i beretningen om lønforvaltningen i staten, at Finansmi-

nisteriet (Økonomistyrelsen) ikke havde understøttet lønforvaltningen i staten tilfreds-

stillende. Rigsrevisionen påpegede ligeledes, at Finansministeriet (Økonomistyrelsen)

ikke havde fulgt op på, om konceptet for lønkontrol er implementeret efter hensigten.

Finansministeriet har oplyst, at Statens Administration har præciseret opgavesplittet

i forhold til sine kunder, så det tydeligere fremgår, hvilken kontrol der skal udføres hos

kunderne. Ligeledes har Finansministeriet (Økonomistyrelsen) oplyst, at der er udar-

bejdet et koncept for fejlopsamling, som har fokus på væsentlighed og risiko.

Ministeriernes styring af brugerrettigheder i SLS

De 8 virksomheder, som hav-

de væsentlige fejl og mangler i

deres lønkontroller i 2019, er:

•

Danmarks Akkrediterings-

•

institution

Dansk Dekommissionering

Arkitektskolen Aarhus

Energistyrelsen

Den Danske Scenekunst-

skole

Det Kongelige Teater

Banedanmark

Økonomi- og Indenrigsmini-

steriets departement.

Virksomheder, lønfælles-

skaber og løngrupper

virksomhed

er én enhed, fx

Kriminalforsorgen, der vareta-

ger egen brugerstyring.

lønfællesskab

anvendes om

de virksomheder, der vareta-

ger administration af bruger-

styring for flere virksomheder

på et ministerområde, fx i et

fælleskontor for HR og løn.

løngruppe

er en enhed, der

udbetaler løn til egen løngrup-

pe. Det vil typisk også være en

selvstændig virksomhed, men

en virksomhed kan dog også

råde over flere løngrupper.

92. Vi har undersøgt ministeriernes styring af brugernes rettigheder i SLS. For at sikre

funktionsadskillelsen i lønprocessen i SLS er det centralt, at ministerierne styrer bru-

gernes rettigheder, og at de handlinger, som medarbejderne kan gennemføre i SLS,

er afgrænset ud fra et arbejdsbetinget behov. I hver virksomhed eller i hvert lønfæl-

lesskab bør der ifølge Finansministeriets vejledning om brugerstyring være oprettet

én eller flere lokale brugeradministratorer, der kan give andre brugere rettigheder til

SLS.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Figur 16 viser, at styring af brugerrettigheder til SLS sker via systemet Brugerstyring

Løn (BSL), og styringen af brugerrettigheder varetages med udgangspunkt i 4 primæ-

re roller hos virksomheden. Brugeradministratoren tildeler rettigheder til lønsystemet

på baggrund af oplysninger fra en bestiller, og de tildelte rettigheder bliver løbende

kontrolleret af en anden medarbejder (kontrollant).

Figur 16

Styring af brugerrettigheder i Statens Lønsystem

Kontrollant

Foretager en løbende kontrol

på baggrund af kontrolmail fra

BSL ved ændringer i BSL.

Foretager en supplerende

kontrol af, om alle brugere har

et arbejdsbetinget behov for

rettigheder til lønsystemet.

Brugerstyring Løn

BSL

Bestiller

Bestiller oprettelse,

ændring eller sletning

hos brugeradministrator.

Brugeradministrator

Tildeler brugeradgange og bru-

gerrettigheder i BSL og foretager

ændringer og sletninger. Bruger-

administrator har fuld adgang til

at tildele rettigheder, uanset om

der foreligger en bestilling eller ej,

og må derfor ikke være bestiller

eller kontrollant.

Trækker kontrollister til kontrol-

lant med aktuelle brugere i løn-

systemet.

Bruger

Bruger i lønsystemet, som

indtaster og godkender

lønudbetalinger.

Kilde:

Rigsrevisionen på baggrund af Finansministeriets ”Guide til brugeradministration – Løn”.

Det fremgår af figur 16, at virksomhederne skal udføre kontrol, når der sker ændringer

i de rettigheder, som brugeradministratoren tildeler medarbejdere i SLS. Kontrollen

foretages på baggrund af en kontrolmail, der sendes automatisk fra BSL til kontrollan-

ten ved enhver oprettelse, ændring mv. Hvis kontrollen ikke udføres, kan brugeradmi-

nistratoren i princippet tildele uautoriserede rettigheder samt oprette og lukke fiktive

brugere, uden at det opdages.

Kontrolmail

En automatisk systemmail til

kontrollanten, når der er fore-

taget oprettelser, ændringer

eller er lukket brugere, hvilket

begrænser muligheden for

uopdaget svig.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn

93. Vi har undersøgt, om væsentlige løbende kontroller udføres, og om der er medar-

bejdere, som har konfliktende rettigheder (medarbejdere, som både kan tildele rettig-

heder og indrapportere og godkende løn i SLS).

94. I 2019 har vi undersøgt styringen af brugerrettigheder i SLS i 37 virksomheder og

lønfællesskaber på tværs af 5 ministerier (Kulturministeriet, Social- og Indenrigsmini-

steriet, Klima-, Energi- og Forsyningsministeriet, Børne- og Undervisningsministeriet

og Justitsministeriet), jf. bilag 4. Undersøgelsen er afrapporteret i beretningen om re-

visionen af statsregnskabet for 2019. Rigsrevisionen konstaterede mangler i styringen

af brugerrettigheder i SLS i 4 af de 5 ministerier, idet ministerierne ikke har sikret, at

Finansministeriets vejledning ”Guide til brugeradministration – Løn” efterleves. Rigs-

revisionen konstaterede bl.a., at de 4 ministerier i deres styring af brugerrettigheder

ikke havde dokumentation for, at væsentlige løbende kontroller blev udført. Videre

var der konfliktende rettigheder i alle 5 ministerier, da den fungerende brugeradmini-

strator både kunne tildele rettigheder og samtidig indrapportere eller godkende løn.

Det fremgår af Finansministeriets vejledning, at brugeradministratoren også kan væ-

re bruger af lønsystemet. Rigsrevisionen vurderer dog, at virksomhederne i så fald bør

sikre, at der er etableret kompenserende kontroller, der mindsker risikoen for svig ved

de konfliktende rettigheder. Hvis virksomhederne ikke har kompenserende kontroller,

eller kontrollerne ikke fungerer, har brugeradministratoren mulighed for at oprette en

bruger og udbetale løn til sig selv.

Børne- og undervisningsministeren og justitsministeren har i redegørelserne til beret-

ningen om revisionen af statsregnskabet for 2019 tilkendegivet, at de vil adskille ret-

tighederne, så opgaven som brugeradministrator bliver videregivet til medarbejdere

uden adgang til lønsystemet.

95. Rigsrevisionen konstaterede ligeledes i beretningen om revisionen af statsregn-

skabet for 2019, at manglerne i tildelingen af brugerrettigheder indikerer, at Finans-

ministeriet bør styrke vejlednings- og overvågningsindsatsen på området. Dette kan

understøtte ministeriernes sikring af, at underliggende virksomheder har en sikker

styring af brugerrettigheder.

Finansministeren har i redegørelsen til beretningen om revisionen af statsregnskabet

for 2019 oplyst, at Finansministeriet vil se på muligheden for at styrke kontrollen med

brugere og brugerrettigheder gennem en bedre understøttelse af ministerierne.

96. Rigsrevisionen har i forlængelse af undersøgelsen i 2019 undersøgt styringen af

brugerrettigheder i SLS i yderligere 4 lønfællesskaber på tværs af 4 ministerier (Uden-

rigsministeriet, Skatteministeriet, Erhvervsministeriet og Sundheds- og Ældreministe-

riet) for 2019 og 2020, jf. bilag 5. Rigsrevisionen konstaterede de samme fejl og mang-

ler i styringen af brugerrettigheder, som blev rapporteret i beretningen om revisionen

af statsregnskabet for 2019. Undersøgelsen viste bl.a., at 3 ministerier (Udenrigsmini-

steriet, Skatteministeriet og Sundheds- og Ældreministeriet) i deres styring af bruger-

rettigheder ikke havde dokumentation for, at væsentlige løbende kontroller blev ud-

ført. Videre var der konfliktende rettigheder i alle 4 ministerier, da den fungerende bru-

geradministrator både kunne tildele rettigheder og samtidig indrapportere eller god-

kende løn.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes interne kontroller i praksis – konkrete eksempler fra forvaltning af indkøb og løn |

Rigsrevisionen kunne endvidere konstatere, at Udenrigsministeriet havde særligt væ-

sentlige udfordringer sammenlignet med de øvrige undersøgte ministerområder, idet

ministeriet havde oprettet en brugeradministrator, uden at denne havde kendskab

hertil. Desuden videregav brugeradministratoren en mail med en personlig første-

gangskode til BSL til en anden medarbejder, som herefter varetog funktionen som

brugeradministrator. Endelig blev der i Udenrigsministeriet ikke udført væsentlig kon-

trol med brugeradministratorens arbejde i 8 måneder (fra oktober 2019 til juni 2020),

idet kontrollanten, som skulle varetage kontrollen, var fratrådt.

Udenrigsministeriet har oplyst, at ministeriet efter Rigsrevisionens gennemgang af mi-

nisteriets brug af BSL har opdateret rollerne i forhold til BSL, så der nu er fuld klarhed

over, hvem der gør hvad, så alle roller er bemandet. Udenrigsministeriet har endvi-

dere udarbejdet og iværksat nye kompenserende kontrolprocedurer i forhold til BSL.

Statens Administrations styring af brugerrettigheder i SLS

97. Vi har undersøgt, om Statens Administration har sikret kontrol med brugerrettig-

hederne for egne medarbejdere og påset, at brugerrettighederne svarer til det ar-

bejdsbetingede behov, hvilket mindsker risikoen for uautoriseret adgang til SLS.

98. Undersøgelsen viser, at Statens Administration månedligt kontrollerer egne med-

arbejderes brugerrettigheder. Kontrollen er dog mangelfuld, idet der fx ikke i alle de

gennemgåede sager var foretaget en dokumenteret gennemgang af brugerrettighe-

derne, ligesom det ikke var alle teamledere i Statens Administration, som udførte den

påkrævede kontrol hver måned i overensstemmelse med Finansministeriets forret-

ningsgange. Finansministeriet har oplyst, at Statens Administration er i gang med at

implementere et nyt brugerstyringskoncept, der bl.a. indeholder løbende kontrol af

brugerrettigheder for egne medarbejdere. Konceptet forventes fuldt implementeret

i 2020.

Statens Administration

kontrollerer fra 2020

medarbejdernes bruger-

rettigheder automatisk

Statens Administration har i

2020 udviklet en ”robot”, der

løbende scanner medarbej-

dernes brugerrettigheder og

disses eventuelle konflikter.

Resultater

Rigsrevisionen konstaterer, at 8 virksomheder i 5 ministerier ikke levede op til Finans-

ministeriets vejledning om lønkontroller, og at 6 ud af 8 virksomheder i 5 ministerier

enten ikke havde foretaget en systematisk og dokumenteret fejlopsamling eller ikke

anvendte fejlopsamlingen til at sikre, at processer forbedres, at fejl ikke gentages over

tid, og at risikoen for svig minimeres. Rigsrevisionen har endelig konstateret, at der i

2 ud af 8 virksomheder i 2 ministerier var svage eller manglende lønkontroller. Mang-

lende kontrol af lønnen kan både medføre øget risiko for fejl og øget risiko for svig.

Rigsrevisionen konstaterer ligeledes mangler i styringen af brugerrettigheder i SLS i

både 2019 og 2020. Således har ministerierne ikke sikret, at Finansministeriets vejled-

ning ”Guide til brugeradministration – Løn” efterleves. Rigsrevisionen konstaterede

bl.a., at 7 af de undersøgte ministerier i deres styring af brugerrettigheder ikke havde

dokumentation for, at væsentlige løbende kontroller blev udført. Videre var der kon-

fliktende rettigheder i alle 9 undersøgte ministerier, da den fungerende brugeradmini-

strator både kunne tildele rettigheder og samtidig indrapportere eller godkende løn.

Endelig kan Rigsrevisionen konstatere, at Statens Administration ikke i tilstrækkelig

grad foretog kontrol af brugerrettigheder for egne medarbejdere.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes administration af tilskud i udvalgte tilskudssystemer

5. Ministeriernes admini-

stration af tilskud i ud-

valgte tilskudssystemer

Delkonklusion

4 ud af 5 udvalgte ministerier anvendte it-systemer til at håndtere tilskud

på en måde, som ikke i tilstrækkelig grad sikrede kontrol med styring af

brugerrettigheder og overvågning af brugeres aktiviteter i tilskudssystemet

til at understøtte betryggende funktionsadskillelse.

De 5 ministerier anvender systemet TAS til at håndtere tilskud. Der er fundet eksem-

pler på utilfredsstillende styring af brugernes rettigheder i systemet. De 5 ministerier

havde derudover ikke etableret en tilstrækkelig proces for logning og kontrol af privi-

legerede brugeres handlinger i systemet.

Rigsrevisionen konstaterer dog, at ministerierne i 2019 har arbejdet med at styrke kon-

trollerne i tilskudsprocessen for at reducere risikoen for fejl og svig. Socialstyrelsen har

i den forbindelse foretaget en større omlægning af kontrolmiljøet, så registrering af fx

tilskudsmodtager og bankkonto, der ligger til grund for udbetalinger, ikke længere sker

via tilskudssystemet. Herved er besvigelsesrisikoen, som tidligere var til stede ved sty-

relsens brug af TAS, væsentligt reduceret.

Undersøgelsen viser også et eksempel på en mindre tilskudsordning, hvor Kulturmini-

steriet anvender et lokalt it-system til at administrere tilskud, og hvor manglende funk-

tionsadskillelse og utilstrækkelig styring af brugerrettigheder har givet en øget risiko

for, at ansatte kunne begå svig. De kompenserende kontroller var heller ikke tilstræk-

kelige til at begrænse risikoen for svig.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes administration af tilskud i udvalgte tilskudssystemer |

99. Dette kapitel handler om, hvorvidt ministerierne i 2019 anvendte it-systemer til at

håndtere tilskud på en måde, som i tilstrækkelig grad sikrede funktionsadskillelse og

en tilfredsstillende kontrol med styring af brugerrettigheder. Vi har for det første un-

dersøgt, om de 5 virksomheder har vurderet risici ved administrationen af tilskud i

TAS, og om virksomhederne har sikret funktionsadskillelse samt styring og logning af

brugernes rettigheder i systemet. Herudover har vi undersøgt, om Kulturministeriet an-

vender et specialudviklet system til at håndtere tilskud med tilfredsstillende funktions-

adskillelse.

Tilskudssystemet TAS

TAS anvendes af i alt 9 stats-

lige virksomheder, hvoraf 3

anvender specialudviklede sy-

stemløsninger (B-TAS, MJV-

TAS mv.). De udvalgte virk-

somheder i denne undersøgel-

se anvendte følgende versio-

ner af TAS i 2019:

•

Socialstyrelsen

•

5.1. Administration af tilskud i TAS

100. De 5 udvalgte virksomheder, der benytter TAS, udbetalte tilsammen ca. 15,1 mia.

kr. i tilskudsmidler i 2019. Virksomhederne fordelt på de 5 ministerområder fremgår

af tabel 4.

•

TAS 6.1.0.774

Styrelsen for Arbejdsmar-

ked og Rekruttering

TAS 7.1 og 8.1.0.160

Miljøstyrelsen

TAS 7.1.0.499 og 7.1.0.627

Energistyrelsen

TAS 7.1 og 8.2

Slots- og Kulturstyrelsen

TAS 5.1.2.231.

Tabel 4

De 5 virksomheders udbetalinger af tilskud i 2019

Klima-, Energi- og Forsyningsministeriet

Miljø- og Fødevareministeriet

Beskæftigelsesministeriet

Kulturministeriet

Social- og Indenrigsministeriet

I alt

Energistyrelsen

Miljøstyrelsen

Styrelsen for Arbejdsmarked og Rekruttering

Slots- og Kulturstyrelsen

Socialstyrelsen

7�½839 mio. kr.

196 mio. kr.

813 mio. kr.

5�½334 mio. kr.

942 mio. kr.

15�½123 mio. kr.

Note: For Miljøstyrelsen dækker oplysningerne i tabellen tilsagn på ansøgningspuljerne og således ikke udbetaling af alle tilskud foretaget i TAS i 2019.

For Slots- og Kulturstyrelsen dækker oplysningerne udgifter til alle tilskud, jf. årsrapporten for 2019, og vedrører ikke kun TAS. For Socialstyrel-

sen dækker beløbet over udgifter bogført på standardkonto 46 i 2019.

Kilde:

Rigsrevisionen på baggrund af oplysninger fra virksomhederne.

Risikovurdering vedrørende administration af tilskud i TAS

101. Vi har undersøgt, om de 5 virksomheder har vurderet risici i administrationen af

tilskud og arbejdet på at afhjælpe eventuelle kontrolsvagheder i 2019.

102. Styrelsen for Arbejdsmarked og Rekruttering og Socialstyrelsen har udarbejdet

systematiske, ledelsesgodkendte vurderinger af risici og planer til at håndtere risici

i 2019. De 2 virksomheder har også beskrevet og iværksat initiativer til, hvordan de

identificerede kontrolsvagheder kan udbedres.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes administration af tilskud i udvalgte tilskudssystemer

Der er også blevet arbejdet med at vurdere risici og kontroller i tilskudsadministratio-

nen hos de øvrige 3 virksomheder. Energistyrelsen har dog ikke systematisk (tilbage-

vendende og ensartet) udarbejdet ledelsesgodkendte risikovurderinger af tilskudsad-

ministrationen i 2019 og har således ikke sikret, at alle relevante og væsentlige risici i

de interne kontroller er identificeret, analyseret og evalueret, herunder risikoen for, at

en medarbejder kan omgå eksisterende kontroller eller udnytte viden om eventuelle

kontrolmangler. Slots- og Kulturstyrelsen har udarbejdet ledelsesgodkendte risikovur-

deringer af tilskudsadministrationen på aggregeret niveau, så risikovurderingerne har

en mere generel karakter og ikke forholder sig til specifikke risici. Fx har Slots- og Kul-

turstyrelsen i sin risikovurdering af TAS ikke forholdt sig til relevante risici for mangler

i funktionsadskillelse, til logning og til risikoen for besvigelser ved omgåelse af syste-

mets opsætning. Miljøstyrelsen har foretaget en risikovurdering, men ikke foretaget

sig videre, fx udarbejdet en handlingsplan.

103. Vores gennemgang viser derudover, at alle 5 virksomheder i perioden september

2018 - ultimo 2019 har styrket eksisterende funktionsadskilte kontroller og implemen-

teret nye kontroller, der begrænser risikoen for svig i processerne for registrering og

udbetaling af tilskud. Socialstyrelsen har efter svigsagen foretaget en egentlig omlæg-

ning af kontrolmiljøet i tilskudsprocessen, hvor stamdata- og udbetalingshåndtering

er blevet flyttet ud af TAS og over i Navision Stat. I den forbindelse har Socialstyrelsen

bl.a. implementeret en ny database, som sikrer, at der sker en automatisk validering af

stamoplysninger og posteringer før indlæsning i udbetalingskladder. I Energistyrelsen

foregår stamdata- og udbetalingshåndteringen i TAS, men styrelsen har oplyst, at der

er en manuel kompenserende kontrol, hvor regnskabsafdelingen kontrollerer, at bank-

kontonummeret og beløbet stemmer overens med tilskudsmodtagerens udbetalings-

anmodning forud for fremsendelse af udbetalingsbilag til Navision Stat.

Funktionsadskillelse og styring af adgange og rettigheder i TAS

104. Vi har undersøgt, om de 5 virksomheder har sikret funktionsadskillelse mellem

brugerroller i TAS, herunder at brugere med privilegerede rettigheder til at drifte og

vedligeholde systemet ikke kan deltage i administrationen af tilskud.

105. Vores undersøgelse viser, at 4 ud af de 5 virksomheder (Energistyrelsen, Styrel-

sen for Arbejdsmarked og Rekruttering, Slots- og Kulturstyrelsen og Socialstyrelsen)

ikke havde fastlagt retningslinjer og procedurer for funktionsadskillelse mellem bru-

gerroller i TAS, hvilket ellers kunne sikre overblik over, om en tilfredsstillende person-

mæssig funktionsadskillelse var sikret.

Energistyrelsen har dog oplyst, at der i styrelsens regnskabsafdeling er en kompen-

serende kontrol, som sikrer funktionsadskillelse, idet tilsagn om tilskud og udbetalin-

ger kontrolleres forud for fremsendelse til bogføring i Navision Stat uden for TAS.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes administration af tilskud i udvalgte tilskudssystemer |

Gennemgangen viser endvidere, at 4 ud af 5 virksomheder (Energistyrelsen, Miljøsty-

relsen, Styrelsen for Arbejdsmarked og Rekruttering og Socialstyrelsen) ikke udførte

løbende kontroller af, om der var et arbejdsbetinget behov for egne brugeres adgange

og rettigheder i TAS, herunder sagsbehandlere og brugere med privilegerede rettig-

heder som sikkerhedsbrugere eller superbrugere. Særligt brugere med privilegerede

rettigheder kan udgøre en øget risiko i forhold til svig, da disse brugere har udvidet ad-

gang til kontroller og data. Brugere med privilegerede rettigheder vil fx kunne ændre

i systemopsætningen, oprette brugere og tildele rettigheder og dermed omgå funk-

tionsadskillelse, uden at det opdages.

For Socialstyrelsen gør det sig dog som nævnt gældende, at brugere i TAS ikke har

muligheden for at gennemføre betalinger alene, idet alle betalinger og stamdata kon-

trolleres af 2 uafhængige godkendere fra styrelsen i Navision Stat. Dermed er besvi-

gelsesrisikoen forbundet med de privilegerede brugeres handlinger i TAS imødegået

af kontroller hos Socialstyrelsen.

106. Undersøgelsen viser også, at Energistyrelsen og Styrelsen for Arbejdsmarked og

Rekruttering ikke havde sikret funktionsadskillelse i forhold til deres privilegerede bru-

gere. Energistyrelsen har fx i 2019 haft en privilegeret bruger, som arbejdede i den af-

deling, der varetog tilskudsadministration. Energistyrelsen har efter Rigsrevisionens

henvendelse oplyst, at den pågældende medarbejders privilegerede rettigheder nu er

blevet lukket. Styrelsen for Arbejdsmarked og Rekruttering havde 2 brugere med pri-

vilegerede rettigheder i 2019. Dvs. at de 2 brugere med privilegerede rettigheder som

sikkerhedsbruger eller superbruger har haft teknisk mulighed for fx at oprette brugere

og tildele rettigheder, godkende tilsagn og udbetalinger samt ændre i systemopsæt-

ningen og i budgetrammen. Disse brugere havde derfor mulighed for at omgå system-

understøttede kontroller i TAS.

Miljøstyrelsen etablerede i 3. kvartal 2019 dokumenterede gennemgange af brugere

og brugerhandlinger foretaget af privilegerede TAS-brugere. Miljøstyrelsen har op-

lyst, at styrelsen har vurderet, at hvis en privilegeret bruger forsøger at omgå den sy-

stemunderstøttede funktionsadskillelse (1. og 2. godkendelse), vil dette blive fanget i fx

budgetopfølgningen. Rigsrevisionen vurderer dog, at det vil være muligt for en privile-

geret bruger med kendskab til Miljøstyrelsens interne kontroller at omgå funktions-

adskillelsen uden at blive opdaget. Fx har Miljøstyrelsen ikke taget stilling til og udar-

bejdet procedurer for logning af brugeraktivitet og gennemgang af loggen. Det bety-

der, at de privilegerede brugeres brugeraktivitet i systemet ikke logges, fx opsætning

af regler eller oprettelse af brugere.

Styrelsen for Arbejdsmarked og Rekruttering har oplyst, at styrelsen på baggrund af

Rigsrevisionens revision af tilskudsområdet i 2018 har etableret en række kompense-

rende kontroller, som sikrer, at et eventuelt misbrug vil blive opdaget. Styrelsen vil

endvidere indføre et tilsyn med ændringer i opsætningen, som forventes fuldt imple-

menteret i efteråret 2020, og vil desuden fremadrettet føre kontrol med ændringer i

stamdata. Energistyrelsen har ligeledes oplyst, at styrelsen i forlængelse af revisionen

i 2019 har igangsat tiltag til at styrke opsætningen af roller i TAS og kontrollen med, at

brugere har et arbejdsbetinget behov.

Brugere med privilegere-

de rettigheder

En privilegeret bruger af et it-

system kan have det højeste

niveau af rettigheder, adgang

og kontrol over systemer og

data og kan i de tilfælde bl.a.

overskrive loggen eller fore-

tage handlinger uden om log-

gen, medmindre der specifikt

er indsat logfunktioner til over-

vågning af dette.

Nogle privilegerede brugeres

rettigheder er dog begrænse-

de, så de ikke har server- og

databaseadgang.

Eksempler på privilegerede

brugere er sikkerhedsbrugere

eller superbrugere, som har

udvidede rettigheder.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes administration af tilskud i udvalgte tilskudssystemer

Nyere versioner af TAS

har ikke samme kontrol-

svaghed i systemet

Systemleverandøren af TAS

har lukket kontrolsvagheden i

systemet i en opdateret ver-

sion af TAS, som blev udgivet i

januar 2020.

Dog er det aktuelt kun Energi-

styrelsen, som har implemen-

teret den pågældende version

af TAS, dvs. at 4 ud af 5 virk-

somheder fortsat mangler at

opgradere til en nyere version

af TAS, hvor kontrolsvaghe-

den er udbedret af systemle-

verandøren.

107. I slutningen af 2019 blev Rigsrevisionen orienteret om, at der var en kontrolsvag-

hed i TAS, som betød, at det i de eksisterende versioner af TAS i 2019 har været mu-

ligt at ændre i stamdata, herunder kreditorstamdata, dvs. til hvem og til hvilken bank-

konto tilskud udbetales. Denne ændring af stamdata var mulig, efter 1. godkender hav-

de oprettet grundlaget for udbetaling, og 2. godkender havde godkendt grundlaget for

udbetaling. Det betød i praksis, at en medarbejder med det rette kendskab og rettig-

heder kunne udbetale tilskud til uretmæssige modtagere efter 2. godkendelse, så ud-

betalingen i systemet var godkendt efter reglerne, men pengene alligevel blev udbe-

talt til en forkert modtager.

3 ud af 5 virksomheder (Slots- og Kulturstyrelsen, Styrelsen for Arbejdsmarked og Re-

kruttering og Miljøstyrelsen) har ikke været bekendt med denne kontrolsvaghed i TAS,

men alle 3 virksomheder vurderer på baggrund af vores henvendelse, at de i 2019 hav-

de etableret kontroller vedrørende ændring af stamdata, som ville fange kontrolsvag-

heden. Slots- og Kulturstyrelsen har desuden oplyst, at styrelsen på baggrund af ori-

enteringen fra Rigsrevisionen har spærret for muligheden for at ændre stamdata i sy-

stemet med hjælp fra systemleverandøren i juni 2020.

Undersøgelsen viser samlet set, at de 5 virksomheder ikke har etableret en fuldt ud til-

fredsstillende personmæssig funktionsadskillelse på grund af utilstrækkelig styring af

adgange og rettigheder.

Logning og overvågning af brugernes handlinger i TAS

Aktiviteter, som bør log-

ges og kontrolleres

Aktiviteter, som bør logges og

kontrolleres, er fx stamdata-

ændringer, ændringer i sy-

stemopsætningen, ændringer

i adgange og rettigheder og

privilegerede brugeres aktivi-

teter i systemet.

Desuden forudsætter en ef-

fektiv logning, at loggen er be-

skyttet mod ændringer, at den

kontrolleres, og at kontrollen

af loggen er personmæssigt

funktionsadskilt fra de perso-

ner, hvis handlinger kontrolle-

res i loggen.

108. Logning og overvågning af brugernes handlinger i TAS er en kompenserende

kontrol i forhold til muligheden for at omgå funktionsadskillelsen, særligt i forhold til de

privilegerede brugeres handlinger og stamdataændringer. Vi har derfor undersøgt,

om de 5 udvalgte virksomheder har begrænset risikoen for svig ved at sikre en til-

strækkelig logning og kontrol af brugernes aktiviteter i systemet, dvs. hvad brugerne

har foretaget sig i systemet.

109. Alle 5 virksomheder har i 2019 anvendt versioner af TAS med en logfunktion. Her-

af havde 4 virksomheder (Miljøstyrelsen, Styrelsen for Arbejdsmarked og Rekrutte-

ring, Slots- og Kulturstyrelsen og Socialstyrelsen) dog kun en begrænset logfunktion,

som ikke loggede privilegerede brugeres aktiviteter (fx oprettelse af brugere og tilde-

ling af rettigheder). Desuden har en gennemgang af loggen foretaget af henholdsvis

Miljøstyrelsen og Slots- og Kulturstyrelsen ikke omfattet ændringer i stamdata, som

indgår i betalingsgrundlaget. Ingen af de 5 virksomheder har etableret en tilfredsstil-

lende kontrol af gennemgangen af loggen og opfølgning herpå. Dog ville gennemgan-

gen af loggen i TAS ikke være relevant for at begrænse risikoen for svig i Socialstyrel-

sen, idet Navision Stat – og ikke TAS – anvendes til at styre stamdata og betalinger.

110. Vores gennemgang viser, at Energistyrelsen i september 2019 opgraderede til en

nyere version af TAS med en central log og logning af privilegerede brugeres aktivite-

ter. Frem til opgraderingen har Energistyrelsen anvendt en TAS-version, som har haft

en begrænset logfunktion. Efter opgraderingen har Energistyrelsen af egen drift fore-

taget en bagudrettet kontrol tilbage til 2011, som på grund af ovennævnte konstate-

rede kontrolsvaghed i systemet omfattede en gennemgang af alle udbetalinger, også

for 2019, for at sikre, at der var blevet udbetalt til rette tilskudsmodtager og bank-

konto. Energistyrelsen havde imidlertid ikke i løbet af 2019 etableret en kontrol for

gennemgang af loggen og opfølgning på de privilegerede brugeraktiviteter i TAS.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes administration af tilskud i udvalgte tilskudssystemer |

Undersøgelsen viser således, at de 5 virksomheder ikke har etableret en fuldt ud til-

fredsstillende kontrol for gennemgang af loggen og opfølgning på særligt privilegere-

de brugeres handlinger. Det kan i kombination med manglende personmæssig funk-

tionsadskillelse og utilstrækkelig styring af adgange og rettigheder hos nogle af virk-

somhederne i 2019 have medført en risiko for, at uautoriserede brugeraktiviteter ikke

kunne afdækkes, og at eventuelle fejl eller svig dermed ikke kunne opdages.

5.2. Administration af tilskud i et lokalt system i Kultur-

ministeriet

111. Slots- og Kulturstyrelsen under Kulturministeriet forvalter en tilskudsordning kal-

det biblioteksafgiften. Ordningen administreres sammen med 2 andre ordninger i

Slots- og Kulturstyrelsen i et specialudviklet sagsbehandlingssystem. Vi har undersøgt,

om Slots- og Kulturstyrelsen har vurderet risici i administrationen af tilskuddet og sik-

ret funktionsadskillelse og kompenserende kontroller (herunder tilstrækkelig styring

af brugerrettigheder), der begrænser risikoen for svig.

Risikovurdering vedrørende administration af biblioteksafgiften

Biblioteksafgiften

Biblioteksafgiften er en kultur-

støtteordning til dansk sprog

og kultur, der har til formål at

støtte forfattere, oversættere,

illustratorer mfl., hvis bøger

benyttes på bl.a. Danmarks

folkebiblioteker.

I 2019 var der afsat 188,7 mio.

kr. til biblioteksafgiften på fi-

nansloven, og der blev udbe-

talt støttekroner til 10.521 per-

soner.

Fordelingen af biblioteksafgif-

ten finder sted på grundlag af

indberetninger fra folkebiblio-

tekerne, folkebibliotekernes

digitale udlånstjenester, folke-

skolens pædagogiske lærings-

centre og Nota, i det omfang

disse biblioteker har deres

bogbestand registreret i ma-

skinlæsbar form, og indberet-

ningerne indeholder de nød-

vendige data til beregning af

afgiften.

112. Slots- og Kulturstyrelsens risikovurdering af it-systemet er meget kortfattet, og

styrelsen forholder sig ikke til relevante it-risikoområder som fx adgangsstyring, æn-

dringsstyring og it-risici i forbindelse med manglende sikkerhedskontroller, herunder

fx funktionsadskillelse, logning og godkendelsesprocedurer. Vi kan desuden konstate-

re, at risikovurderinger er foretaget af den person fra it-afdelingen, som også er sy-

stemejer, og som dermed har privilegerede rettigheder til systemet. Der er ikke ind-

draget andre relevante sagsbehandlere fra Slots- og Kulturstyrelsen. Slots- og Kultur-

styrelsen har dog i december 2018 og september 2019 taget stilling til og rapporteret

sin vurdering af risikoen for besvigelse forbundet med manglende funktionsadskillel-

se i administrationen af biblioteksafgiften til departementet.

Funktionsadskillelse

113. Vores undersøgelse viser, at der i mange år – inkl. i 2019 – ikke har været funk-

tionsadskillelse i forvaltningen af biblioteksafgiften, da én it-medarbejder i Slots- og

Kulturstyrelsen har kunnet registrere, beregne og udbetale biblioteksafgiften. Figur 17

viser de opgaver, som denne ene medarbejder har løst.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes administration af tilskud i udvalgte tilskudssystemer

Figur 17

Én medarbejders opgaver knyttet til forvaltning af biblioteksafgiften

OPGAVER I

TILSKUDS-

PROCESSEN

Indlæser data om

tilmeldte modtagere

af biblioteksafgiften,

herunder bl.a. oplysninger

om forfattere og

bogbestand

Programmerer

algoritme og udfører

pointberetning til brug

for fastsættelse af

tilskud til den enkelte

modtager

Registrerer tilsagn og

udsender tilsagnsbreve

Danner udbetalingsliste

fra systemet og

uploader denne til

NemKonto-systemet

ANDRE OPGAVER

KNYTTET TIL

DETTE SYSTEM

Udarbejder risikovurdering af systemet

Varetager brugeradministration af roller og brugerrettigheder

Kilde:

Rigsrevisionen.

Det fremgår af figur 17, at én it-medarbejder har haft flere konfliktende roller. Ud over

at være systemadministrator har medarbejderen udarbejdet it-risikovurdering, vare-

taget brugeradministration af roller og brugerrettigheder og har haft privilegerede ret-

tigheder, som giver adgang til fx at programmere i systemet, herunder mulighed for at

rette og slette data i loggen.

114. Slots- og Kulturstyrelsen har oplyst, at sagsbehandlere ikke har adgang til at rette

beløb i systemet, ligesom de ikke kan ændre den automatisk beregnede pointværdi,

der ligger til grund for det beløb, som udbetales. Vores undersøgelse viser dog, som

vist i figur 17, at den førnævnte it-medarbejder løser opgaver, som skal danne grund-

laget for den regnskabsmæssige registrering og udbetalingerne, samtidig med at med-

arbejderen også har privilegerede rettigheder i systemet. I praksis betyder det, at

medarbejderen har ubegrænsede adgange og rettigheder i systemet. Slots- og Kultur-

styrelsen har oplyst, at medarbejderen har et arbejdsbetinget behov for at kunne va-

retage centrale funktioner i de arbejdsprocesser, der foregår i systemet. Samtidig har

vi dog konstateret, at Slots- og Kulturstyrelsen ikke har overvågning af administrator-

profiler i form af fx opfølgning i logs. Én person har således mulighed for at fuldføre al-

le handlinger i systemet uden at involvere andre medarbejdere i processen. Dette be-

tyder fx, at it-medarbejderen har mulighed for at ændre i de data, som bl.a. danner

grundlag for efterfølgende kontroller, udbetaling og bogføring. Det medfører en risiko

for, at utilsigtede fejl og svig ikke kan opdages af andre sikkerhedskontroller (fx en log-

funktion eller manuelle kompenserede kontroller). På baggrund af Rigsrevisionens un-

dersøgelse vil Slots- og Kulturstyrelsen gennemgå systemet og processerne omkring

dette og vurdere, om der skal foretages yderligere tiltag, som kan forbedre sikkerhe-

den, fx ved brug af logning og funktionsadskillelse.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministeriernes administration af tilskud i udvalgte tilskudssystemer |

115. Der eksisterer systemunderstøttede funktioner i systemet, som automatisk kan

sikre funktionsadskillelse. Disse funktioner har dog ikke været taget i brug hos Slots-

og Kulturstyrelsen. Ved manglende funktionsadskillelse skal der etableres kompen-

serende kontroller såsom overvågning af brugernes aktiviteter i systemet ved hjælp

af logdata. Slots- og Kulturstyrelsen har oplyst, at styrelsen endnu ikke har fundet en

metode til at bruge loggen fra systemet til kontrol.

Slots- og Kulturstyrelsen har videre oplyst, at det er styrelsens opfattelse, at håndte-

ringen af biblioteksafgiften – og risiko for svig – skal ses i lyset af, at biblioteksafgiften

er et ”lukket kredsløb”, og at styrelsen dels anvender stikprøver som kompenserende

kontrol, dels vurderer, at risikoen for svig er relativt lille. Slots- og Kulturstyrelsen har

også oplyst, at styrelsen har vurderet, at muligheden og sandsynligheden for at begå

svig i forbindelse med udbetaling af midler fra den undersøgte tildelingspulje er bety-

deligt mindre i forhold til mere ”klassiske” tilskudsordninger.

Kompenserende kontroller

Loganalyser som kom-

penserende kontrol

Da en log typisk stiller en stor

datamængde til rådighed for

videre analyse, kan det være

svært at afdække uregelmæs-

sige mønstre og adfærd. Der-

for er der udviklet værktøjer til

formålet (fx Log Analytics).

116. Vi har undersøgt, om Slots- og Kulturstyrelsen har kontroller, der kompenserer

for systemets svagheder. Slots- og Kulturstyrelsen har oplyst, at modtagerne af biblio-

teksafgiften må formodes at forvente udbetaling af en bestemt størrelse, hvorved de

udgør en ”resurse” i forhold til at afdække utilsigtede fejl og svig. Rigsrevisionen finder,

at dette ikke er en tilstrækkelig kompenserende kontrol til at imødegå risikoen for, at

der fx fejlagtigt udbetales mindre beløb over en periode til en uretmæssig modtager.

Da hele biblioteksafgiften fordeles på berettigede tilskudsmodtagere, vil en større æn-

dring ét sted i systemet påvirke alle øvrige udbetalinger. Slots- og Kulturstyrelsen har

på den baggrund valgt at anvende stikprøvekontroller på 10 sager i 2019 og 25 sager i

2020 og har oplyst, at styrelsen fremadrettet vil styrke kontrollen af dokumentation

for nye tilmeldte til ordningen. Slots- og Kulturstyrelsen har videre oplyst, at styrelsen

siden januar 2020 har været i dialog med Økonomistyrelsen om i fremtiden at etable-

re en bankkontokontrol, hvor udbetalinger fra Slots- og Kulturstyrelsen vil blive kon-

trolleret op imod udbetalinger fra banken.

Resultater

4 ud af 5 udvalgte ministerier anvender it-systemer, som ikke har tilfredsstillende it-

understøttede kontroller. Samtidig sikrer ministerierne ikke i tilstrækkelig grad kon-

trol med styring af brugerrettigheder og overvågning af brugeres aktiviteter i tilskuds-

systemet til at understøtte tilfredsstillende funktionsadskillelse.

De 5 ministerier anvender systemet TAS, der også blev anvendt i svigsagen fra Social-

styrelsen, til at håndtere tilskud. Der er fundet eksempler på, at brugernes rettigheder

til systemet ikke bliver styret i tilstrækkelig grad. Ingen af de 5 ministerier havde etab-

leret en tilstrækkelig proces for logning og kontrol af privilegerede brugeres handlin-

ger i systemet. Rigsrevisionen konstaterer dog, at Social- og Indenrigsministeriet ad-

ministrerer betalinger af tilskud uden for TAS, hvorved risikoen for besvigelser begået

ved brug af TAS reduceres.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministeriernes administration af tilskud i udvalgte tilskudssystemer

Undersøgelsen viser også et eksempel fra et mindre system, som Kulturministeriet an-

vender til at administrere en tildelingspulje, hvor manglende funktionsadskillelse og

utilstrækkelig styring af brugerrettigheder gav risiko for, at ansatte kunne begå svig.

De kompenserende kontroller var heller ikke tilstrækkelige til at imødegå risikoen for

svig. Desuden betød det faktum, at én nøglemedarbejder med privilegerede rettighe-

der har varetaget flere centrale funktioner i systemet i 2019, at der har været risiko for

fejl og svig.

Rigsrevisionen konstaterer, at ministerierne har arbejdet med at reducere besvigel-

sesrisici i TAS.

Rigsrevisionen, den 10. december 2020

Lone Strøm

/Peder Juhl Madsen

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Statsrevisorernes anmodning |

Bilag 1. Statsrevisorernes anmodning

Statsrevisorernes spørgsmål

Kan ministeriers og styrelsers interne kontroller og forretningsgange så vidt muligt sikre en tilfredsstillende

og sikker økonomiforvaltning i staten, så besvigelser udført af ansatte i staten kan undgås?

Der ønskes særligt en gennemgang af, om statens virksomheder har beskrevet tilfredsstillende forretnings-

gange og interne kontroller på indkøbs-, tilskuds- og lønområderne, som er statens store udgiftsområder,

herunder en klar funktionsadskillelse.

Understøtter den it-mæssige opsætning i væsentlige tilskuds-, løn- og økonomisystemer funktionsadskilte

kontroller og logning af atypisk adfærd?

Efterleves forretningsgange, it-kontroller og øvrige interne kontroller i praksis på de områder, hvor der iden-

tificeres en særlig risiko fx atypiske indkøbs-, forbrugs- og bogføringsmønstre?

(Spørgsmålet er i undersøgelsen omformuleret til:

Havde ministerierne i 2019 i praksis tilfredsstillende in-

terne kontroller til at begrænse risikoen for besvigelser begået af statsansatte vedrørende indkøb og løn?)

Statsrevisorerne lagde i anmodningen vægt på, at undersøgelsen både skulle indeholde dataanalyser og

stikprøvevis efterprøvelse af, om de interne kontroller og forretningsgange efterleves.

Her besvares

spørgsmålet

Kapitel 2 og 3.

Kapitel 3 og 4.

Kapitel 5.

Statsrevisorerne anmodede den 12. december 2019 Rigsrevisionen om at undersøge

statens forretningsgange og interne kontroller med henblik på at undgå statsansattes

besvigelser, jf. rigsrevisorlovens § 8, stk. 1.

I anmodningen omtalte Statsrevisorerne, at Rigsrevisionen i en lang årrække i beret-

ningerne om revisionen af statsregnskabet har rapporteret, at der overordnet set er

en god og sikker regnskabsforvaltning i staten. Revisionen har dog også afdækket en

række fejl, usikkerheder og svagheder i ministeriernes interne kontroller og sager,

hvor der er risiko for fejl eller svig, fordi virksomhederne ikke i tilstrækkelig grad har

etableret funktionsadskilte kontroller i forbindelse med tilskudsforvaltning, indkøb,

betaling og bogføring. Statsrevisorerne henviste bl.a. til svig i forvaltningen af indkøb

på vedligeholdelsesområdet i Forsvarsministeriets Ejendomsstyrelse, svindel med

tilskudsmidler på socialområdet og svindel med refusion af udbytteskat.

Da Statsrevisorerne behandlede Rigsrevisionens forslag til tilrettelæggelse af under-

søgelsen, ønskede de, at undersøgelsen også omfattede statslige ansattes brug af

betalingskort.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Metodisk tilgang

Bilag 2. Metodisk tilgang

Formålet med undersøgelsen er at vurdere, om der i ministerierne er tilfredsstillende

forretningsgange og interne kontroller til at begrænse risikoen for besvigelser. Derfor

har vi undersøgt følgende:

Havde ministerierne i 2019 en tilfredsstillende styringsramme i forhold til at fore-

bygge risikoen for besvigelser begået af statsansatte vedrørende tilskud, indkøb

og løn?

•

Havde ministerierne i 2019 en tilfredsstillende systemunderstøttelse af funktions-

adskillelse i de fællesstatslige it-systemer?

•

Havde ministerierne i 2019 i praksis tilfredsstillende interne kontroller til at begræn-

se risikoen for besvigelser begået af statsansatte vedrørende indkøb og løn?

•

Havde ministerierne i 2019 tilfredsstillende it-understøttede kontroller i de anvend-

te tilskudssystemer?

Andre it-systemer

•

Skatteministeriet anvender

SAP og ikke IndFak til indkøb.

Dog er Medarbejder- og Kom-

petencestyrelsen under Skat-

teministeriet bruger af IndFak,

så godt 1.000 fakturaer fra

Skatteministeriets område

indgår i vores analyser af Ind-

Fak-data. Disse dækker dog

ikke hele regnskabsåret 2019,

da opsplitningen fra Økonomi-

styrelsen er sket løbende.

I undersøgelsen indgår alle ministerier og deres underliggende virksomheder, der

fremgår af tabel C i afsnittet om afgrænsning. Erhvervsministeriet har ikke besvaret

Rigsrevisionens materialeanmodning om ministeriernes interne kontrolmiljøer, hvor-

for resultater herfra ikke indgår. Hertil kommer, at Skatteministeriet hverken anven-

der Navision Stat, IndFak eller RejsUd (bortset fra Medarbejder- og Kompetencesty-

relsen under Skatteministeriet, som anvender IndFak), ligesom Forsvarsministeriet

heller ikke anvender Navision Stat, SLS, IndFak og RejsUd. Det betyder, at dataud-

træk fra de fællesstatslige it-systemer ikke indeholder data fra disse ministerier på

de respektive områder.

Undersøgelsen omhandler regnskabsåret 2019. Da det i sagens natur ikke er muligt at

foretage en fysisk gennemgang af fx it-systemer, som er blevet underlagt en ændring

efter den 31. december 2019, inddrager vi i dele af undersøgelsen resultater gælden-

de for 2020. Vi har dog så vidt muligt taget udgangspunkt i interne kontroller og for-

retningsgange i statslige virksomheder, som de så ud efter ressortændringen efter

folketingsvalget i 2019. Det samme gælder interne instrukser og procesbeskrivelser.

Undersøgelsen bygger på gennemgang af dokumenter, cases, stikprøver af bilag, en

selvangivelse og en spørgeskemaundersøgelse samt forskellige analyser af register-

data fra de fællesstatslige it-systemer samt det tilskudsadministrative system TAS

og et lokalt Oracle-baseret system. Hertil kommer, at vi har foretaget analyser af be-

talingskorttransaktioner i 2019. Vi har desuden holdt onlinemøder med udvalgte virk-

somheder for at drøfte de cases, der beskrives i kapitel 4 og 5. Som udgangspunkt for

undersøgelsen har vi – bl.a. ud fra en afdækning af ministeriernes kontrolmiljø, som

bygger på deres egen vurdering i henholdsvis selvangivelsen og spørgeskemaet – fo-

retaget en tværgående analyse af statslige virksomheders forretningsgange og inter-

ne kontroller samt håndteringen af risikoen i virksomhederne på et overordnet niveau.

Ud over gennemgangen af dokumenter og afholdelse af møder valgte vi at åbne en

whistleblowerordning, hvor ansatte i staten mfl. kunne tippe os om eventuelle uregel-

mæssigheder. Ordningen var åben for henvendelser i 2�½ måned i foråret 2020. Den-

ne afdækning (selvangivelse, analyse af data fra fællesstatslige it-systemer og whist-

leblowerordning) resulterede i et billede af risici, som vi efterfølgende anvendte til at

udtage virksomheder og stikprøver til yderligere revisionshandlinger.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Metodisk tilgang |

Undersøgelsens opbygning med en bred tværgående analyse først og senere ind-

snævring af undersøgelsesfeltet til en smallere substansrevision og test af kontroller

er skitseret i figur A.

Figur A

Undersøgelsens opbygning og kilder hertil

Trin 1: Tværgående dataindsamling

Selvangivelse og

spørgeskema

Fællesstatslige

it-systemer

Trin 2: Risikobaseret caseudvælgelse

Risikomodel (analyse og vægtning af resultater fra trin 1)

Trin 3: Substansrevision og test af kontroller

Tilskud

Indkøb

Løn

Whistleblower-

ordning

Forretningsgange

Kontroller

It-systemer

Kilde:

Rigsrevisionen.

Nedenfor gennemgås figurens trin.

Trin 1: Tværgående dataindsamling med henblik på at danne et risiko-

billede

Undersøgelsen tager for det første udgangspunkt i revisionsbemærkningerne fra den

finansielle revision, den juridisk-kritiske revision og forvaltningsrevisionen af stats-

regnskabet og den erklæring, som Rigsrevisionen afgiver herom.

Til brug for undersøgelsen har vi endvidere anmodet ministerierne om at selvangive

i relation til regnskabsbekendtgørelsens specifikke krav til ministeriernes interne til-

syn, kontroller, funktionsadskillelse mv. og at besvare et spørgeskema, hvor hvert mi-

nisterium blev bedt om at redegøre for ledelsens fokus på risikoen for svig og ministe-

riets arbejde med at afdække og forebygge besvigelser inden for områderne tilskud,

indkøb og løn.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Metodisk tilgang

Undersøgelsen bygger på en trinvis afdækning, og nogle departementer og underlig-

gende virksomheder er derfor blevet kontaktet flere gange, bl.a. for at afdække kon-

trolmiljøer og indhente oplysninger om centrale (på ministerieniveau) og lokale (på

virksomhedsniveau) politikker, retningslinjer og ansvarsfordeling, og hvordan der for-

skellige steder arbejdes med risikovurderinger, for så vidt angår svig.

Ved hjælp af data fra de fællesstatslige it-systemer har vi udtrukket risikobaserede

stikprøver for at identificere forretningsgange, hvor der er en mulig øget risiko for be-

svigelser, som virksomhederne skal være opmærksomme på i deres risikostyring. Vi

har undersøgt data fra Finansministeriets fælles indkøbs- og fakturahåndteringssy-

stem (IndFak), Finansministeriets fælles rejseafregningssystem (RejsUd) og Statens

Lønsystem (SLS). Herudover har vi også gennemgået data fra økonomistyringssyste-

met Navision Stat.

Desuden har vi gennemgået data om betalingskorttransaktioner foretaget med sta-

tens betalingskort fra SEB Kort Bank og på den baggrund udtrukket risikobaserede

stikprøver.

Vores dataindsamling inkluderer også viden fra henvendelser til Rigsrevisionens

whistleblowerordning. Ordningen var oprettet særskilt til denne undersøgelse og gav

mulighed for at indmelde tilfælde af formodet svig og/eller forretningsgange og kon-

troller, som muliggør statsansattes svig inden for områderne tilskud, indkøb og løn i

én eller flere statslige institutioner og virksomheder.

Relevante oplysninger fra whistleblowerordningen er blevet efterprøvet og inkluderet

i undersøgelsen, hvor det har været muligt. Rigsrevisionen kan i forhold til whistleblo-

werordningen konstatere, at det kan være særdeles svært at ”komme til bunds” i så-

danne tip om formodet svig og/eller forretningsgange og kontroller, som muliggør svig,

af den simple årsag, at oplysningerne vedrørte forældede sager eller ikke var konkre-

te nok til, at vi kunne undersøge dem nærmere. I øvrigt modtog Rigsrevisionen en hel

del – for denne undersøgelse – mindre relevante henvendelser.

Trin 2: Risikobaseret caseudvælgelse

På baggrund af revisionsbemærkninger og andre informationer fra Rigsrevisionens år-

lige revision for 2019, data fra selvangivelsen og spørgeskemaet, udtræk fra de fælles-

statslige it-systemer og informationer fra whistleblowerordningen har vi identificeret,

hvor der inden for én eller flere af de statslige virksomheder var indikationer på øget

risiko for svig på områderne tilskud, indkøb og løn. Det har således været en kombina-

tion af informationer fra forskellige kilder, der tilsammen har været udgangspunkt for

den risikovurdering, som vi brugte til at udpege virksomheder, der indgår som cases i

beretningens kapitel 4 og 5. Ved udvælgelsen har vi foretaget en samlet vurdering af

relevante risikofaktorer for virksomhederne, og på den baggrund mener vi at have

dækket et bredt spektrum af risici.

Virksomhederne er blevet risikovurderet for hvert af områderne tilskud, indkøb og løn

(selvfølgelig kun i det omfang, det er relevant for de enkelte virksomheders aktivite-

ter).

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Metodisk tilgang |

Trin 3: Substansrevision og test af kontroller

Den dybdegående substansrevision og test af kontroller har som nævnt taget ud-

gangspunkt i en samlet risikovurdering ud fra de risikofaktorer, som undersøgelsen

i trin 1 pegede på. Derfor har vi for hver af de udvalgte casevirksomheder undersøgt

netop de parametre, som vurderedes risikofyldte hos virksomheden, fx anvendelsen

af et særskilt it-system, tilstedeværelsen af særlige forretnings- og arbejdsgange og

særlig opbygning af organisationens økonomistyring.

I vores substansrevision har vi yderligere undersøgt kontroller ved at efterprøve de

systemunderstøttede og eventuelle manuelle processer, der sikrer funktionsadskil-

lelse i godkendelses- og kontrolprocesser, og ved at indsamle dokumentation af sa-

ger og forvaltning af brugeradgange knyttet til pengeoverførsler. Denne del af under-

søgelsen har derfor bl.a. omfattet dokument- og bilagsgennemgang, dataanalyser, it-

revision og kontrol ved hjælp af fx screendumps fra den enkelte virksomheds appli-

kationer.

Stikprøveudtræk – betalinger i Navision Stat

Økonomistyrelsen har leveret et udtræk af alle transaktioner i Navision Stat foretaget

af virksomheder, som indgår i undersøgelsen, og som anvendte Navision Stat i 2019.

Vi har ved hjælp af data om betalingshistorik for transaktionerne foretaget analyser

af processerne med henblik på at afdække, om der finder funktionsadskillelse sted,

og om der findes transaktioner med et uregelmæssigt mønster. Vi har testet for bl.a.

dubletter, gamle transaktioner (der strækker sig over lang tid fra start til afslutning af

transaktion/betaling), funktionsadskillelse, mistænkelige posteringer efter nøgleord

og transaktioner på helligdage.

På baggrund af analyserne har vi udtrukket en risikobaseret stikprøve af transaktio-

ner gennemført i Statens Administration. Statens Administration har redegjort for al-

le transaktionerne i stikprøven med bilag og/eller udtræk fra ændringsloggen.

Stikprøveudtræk – rejser i RejsUd

Økonomistyrelsen har leveret et udtræk af alle afregninger, som enten er oprettet el-

ler afsluttet i RejsUd i 2019 og foretaget af virksomheder, som indgår i undersøgelsen.

Vi har analyseret data om henholdsvis alle afregninger og rejser afsluttet i perioden

1. januar-31. december 2019 for manglende funktionsadskillelse. Vi har kun medtaget

rejser, hvor der er angivet en slutdato for rejsen. Alle sidstnævnte afregninger, hvor

der har været sammenfald mellem den rejsende og den, der har godkendt afregnin-

gen, er efterfølgende sendt til gennemgang hos de virksomheder, hos hvem rejseaf-

regningen er blevet registreret. I gennemgangen er virksomhederne blevet præsen-

teret for et udtræk i Excel med bilagsnumre og bedt om at redegøre for, hvorfor sam-

me person i stikprøven både har været disponent og godkender.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Metodisk tilgang

Stikprøveudtræk – indkøb i IndFak

Økonomistyrelsen har leveret et udtræk af alle indkøb i IndFak, som er foretaget af

virksomheder, som indgår i undersøgelsen. Vi har analyseret, om der har været til-

strækkelig funktionsadskillelse mellem varemodtagelse og godkendelse i data om

indkøb foretaget i perioden 1. januar-31. december 2019. Virksomheder, som har haft

en stor andel af indkøb uden tilstrækkelig funktionsadskillelse, har efterfølgende mod-

taget en stikprøve til gennemgang. Ligesom for RejsUd har virksomhederne modta-

get et udtræk i Excel med tilkoblet fakturanummer, så de har kunnet gennemgå og

redegøre for, hvorfor samme person både har varemodtaget og godkendt indkøbet.

Vi har analyseret indkøb fordelt på fakturalinjer, da flere virksomheder hver måned

behandler mange indkøb på en samlet faktura, fx fra SEB Kort Bank. En enkelt faktu-

ra indeholder således alle indkøb foretaget med firmaets betalingskort (det kan også

være alle afregninger af en rejsekonto) i løbet af den pågældende måned. Dermed

dækker en faktura flere indkøb, som bør varemodtages og godkendes individuelt. Vi

har fjernet fakturalinjer, som er opdelte, fakturalinjer, som er blevet bekræftet vare-

modtaget flere gange, dubletter og fakturalinjer, som er godkendt via automatch. Au-

tomatch kan ske, når en indkøbsordre er varemodtaget i indkøbsmodulet. Når en fak-

tura automatches, bliver den automatisk godkendt og overført til Navision Stat, dvs.

den skal ikke gennem yderligere godkendelse, og fakturaen får herefter konterings-

linjer påført fra ordren, så de matcher.

Det er Økonomistyrelsen, som har påhæftet data fra IndFak en markering for, om fak-

turalinjer er opdelte eller ej. Økonomistyrelsen har oplyst, at fakturalinjer kan opdeles,

hvis der er foretaget en opdeling/sammenlægning før varemodtagelse, men også hvis

der er foretaget en opdeling/sammenlægning efter varemodtagelse, og at der også

kan finde 2 eller flere opdelinger/sammenlægning sted pr. fakturalinje.

Stikprøveudtræk – indkøb med statslige betalingskort

SEB Kort Bank har leveret et udtræk af alle transaktioner foretaget med betalingskort

i 2019 i de statslige virksomheder, der indgår i undersøgelsen. Vi har gennemgået data

for indkøbskategorier (såkaldte MCC-koder defineret af SEB Kort Bank) og udtrukket

en risikobaseret stikprøve af transaktioner inden for følgende indkøbskategorier:

•

MobilePay-betalinger til private (en delmængde af transaktionerne fra kategorien

”Financial transactions”)

kontanthævninger (kategorien ”Cash Advance/Automated Cash Disbursements”)

datingtjenester (en delmængde af transaktionerne fra kategorien ”Services/Dating

Services”)

tv-pakker og musiktjenester (kategorierne ”Cable, Satellite, Other Pay Television,

Radio SVCS” og ”Digital Goods – Audiovisual Media Including Books”)

tøj (kategorierne ”Family Clothing Stores”, ”Men’s and Boy’s Clothing and Acces-

sories Stores”, “Sports Apparel, Riding Apparel Stores” og “Children’s and Infants’

Wear Stores”)

sundhed og beauty spa (kategorierne ”Health and Beauty Spas” og ”Massage Par-

lors”)

tips og gambling (kategorien ”Gambling Transactions”)

barer og diskoteker (en delmængde af transaktionerne fra kategorien ”Restau-

rants”)

bøder samt told og skat (kategorien ”Fines”).

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Metodisk tilgang |

Stikprøven er blevet afgrænset til 3 ministerier ud fra en vurdering af antal transaktio-

ner i ovennævnte kategorier, antal transaktioner i alt og mønstre i transaktioner. Op-

lysninger om stikprøven fremgår af tabel A.

Tabel A

Oplysninger om stikprøve af transaktioner foretaget med statslige betalingskort i 2019

Forsvars-

kommandoen

(Forsvars-

ministeriet)

Forsvarsstaben

(Forsvars-

ministeriet)

Forsvars-

ministeriet

i alt

Rigspolitiet

(Justits-

ministeriet)

Danmarks

Meteorologiske

Institut

(Klima-, Energi-

og Forsynings-

ministeriet)

Betalingskorttransaktioner

i 2019

Transaktioner i alt

Beløb i alt

Gennemsnitligt beløb pr.

transaktion

Betalingskorttransaktioner

i stikprøven

Transaktioner i stikprøven

Beløb i alt i stikprøven

Gennemsnitligt beløb pr.

transaktion i stikprøven

Stikprøveantal i procent af

populationen

Stikprøvebeløb i procent af

populationen

190

150�½299 kr.

791 kr.

0�½20

0�½10

22�½209 kr.

2�½468 kr.

0�½10

199

172�½509 kr.

867 kr.

0�½10

233

197�½073 kr.

846 kr.

0�½40

0�½30

16�½531 kr.

1�½837 kr.

0�½20

0�½40

126�½408

213�½012�½816 kr.

1�½685 kr.

15�½903

25�½438�½129 kr.

1�½600 kr.

142�½311

238�½450�½945 kr.

1�½676 kr.

55�½528

63�½070�½753 kr.

1�½136 kr.

3�½915

4�½391�½172 kr.

1�½122 kr.

Note: I data for Forsvarsministeriets stikprøve indgår 9 transaktioner fra Forsvarets Efterretningstjeneste. Da Forsvarets Regnskabsstyrelse ikke har

adgang til at kontrollere disse, er de efterfølgende fjernet fra stikprøven, som derfor består af i alt 190 betalingskorttransaktioner.

Kilde:

Rigsrevisionen på baggrund af data fra SEB Kort Bank.

Som det fremgår af tabellen, viser data fra SEB Kort Bank, at der i 2019 blev gennem-

ført over 142.000 betalinger med betalingskort fra de 2 virksomheder under Forsvars-

ministeriet (svarende til indkøb for ca. 238,5 mio. kr.). Forsvarets Regnskabsstyrelse

har oplyst, at styrelsen ikke kender tallene, og at der i forhold til de 2 virksomheder har

været et forbrug på 102 mio. kr. fordelt på 134.000 transaktioner i 2019. Rigsrevisio-

nens analyser bygger på alle data fra SEB Kort Bank, og afvigelsen skyldes formentlig,

at der også indgår private transaktioner betalt direkte af brugeren af kortet til SEB

Kort Bank, som Forsvarets Regnskabsstyrelse ikke har været involveret i.

Afgrænsning

Trin 1 af undersøgelsen dækkede som beskrevet et bredt udsnit af statslige virksom-

heder, mens trin 3 med cases kun dækkede et smallere udsnit af populationen. Denne

fremgangsmåde er valgt, da det ikke er muligt at teste kontroller og udføre substans-

revision hos alle statslige virksomheder i én undersøgelse.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Metodisk tilgang

Den endelige afgrænsning af virksomheder til undersøgelsens trin 3 er blevet foreta-

get på baggrund af den ovenfor beskrevne dataindsamling (trin 1) og den derpå føl-

gende risikobaserede caseudvælgelse (trin 2). Undersøgelsens trin 3 omfatter såle-

des de ministerier for områderne tilskud, indkøb og løn, som fremgår af tabel B.

Tabel B

Ministerier, der indgår i udvalgte cases

Kapitel 4

Indkøb

IndFak

§ 5. Statsministeriet

§ 6. Udenrigsministeriet

§ 7. Finansministeriet

§ 8. Erhvervsministeriet

§ 9. Skatteministeriet

§ 11. Justitsministeriet

§ 12. Forsvarsministeriet

§ 14. Udlændinge- og

Integrationsministeriet

§ 15. Social- og Indenrigs-

ministeriet

§ 16. Sundheds- og Ældre-

ministeriet

§ 17. Beskæftigelsesministeriet

§ 19. Uddannelses- og

Forskningsministeriet

§ 20. Børne- og Undervisnings-

ministeriet

§ 21. Kulturministeriet

§ 22. Kirkeministeriet

§ 24. Miljø- og Fødevare-

ministeriet

§ 28. Transport- og Bolig-

ministeriet

§ 29. Klima-, Energi- og

Forsyningsministeriet



Dataanalyser



Whistleblowerordning



Tidligere revisioner

Note: Den sorte firkant angiver, hvor dataanalyserne peger på, at der kan være udfordringer med funktionsadskillelsen, men hvor vi ikke har udtaget

ministeriet til videre undersøgelse/stikprøve. De farvede cirkler angiver, hvilke ministerier der er udtaget som cases til videre undersøgelse.

I 2019 anvendte Statsministeriet ikke RejsUd, mens Skatteministeriet hverken anvendte IndFak eller RejsUd (med undtagelse af Medarbejder-

og Kompetencestyrelsen, som brugte IndFak). Forsvarsministeriet anvendte hverken IndFak, RejsUd eller SLS. Betalingskort som emne er in-

kluderet i undersøgelsen på foranledning af Statsrevisorerne.

Kilde:

Rigsrevisionen.

Kapitel 4

Løn

Betalings-

kort

Bruger-

styring



Løn-

kontroller

Kapitel 5

Tilskud

TAS

Lokalt

system

RejsUd

Tank-

kort





















Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Metodisk tilgang |

En stor del af virksomhederne i den valgte gruppe (ministerier og underliggende virk-

somheder) anvender fællesstatslige it-systemer, hvilket gør det muligt at gennemføre

bredt dækkende dataanalyser. Resultaterne fra disse dataanalyser indgik i den sam-

lede risikovurdering som grundlag for udtagelse af cases til substansrevision og test

af kontroller. For netop at sikre, at også oplysninger om den gruppe af virksomheder,

som ikke anvender de fællesstatslige it-systemer, indgik i vores risikovurdering, ind-

drog vi viden fra den årlige revision og fra den whistleblowerordning, som vi har opret-

tet til denne undersøgelse.

Undersøgelsen er afgrænset til at omfatte ministerier og underliggende virksomheder,

som har en virksomhedsbærende hovedkonto på finansloven. Med ministerier mener

vi i denne undersøgelse departementer og underliggende virksomheder, som indgår

i statsregnskabet. Det betyder, at fx selvejende institutioner, selvstændige offentlige

virksomheder mv., hvor ansvaret for driften ligger hos en bestyrelse, ikke indgår i un-

dersøgelsen. Tabel C viser en oversigt over, hvilke virksomheder der hører til under de

enkelte ministerier.

Tabel C

Ministerier og underliggende virksomheder, som indgår i undersøgelsen

§ 5. Statsministeriet

Statsministeriets departement

Rigsombudsmanden i Grønland

Rigsombudsmanden på Færøerne

§ 6. Udenrigsministeriet

Udenrigstjenesten

Fiskeristyrelsen (hørte under Udenrigsministeriet indtil juni 2019 – herefter en styrelse under

Miljø- og Fødevareministeriet)

§ 7. Finansministeriet

Finansministeriets departement

Digitaliseringsstyrelsen

Kompetencesekretariatet (under Finansministeriet indtil den 30. september 2019 – herefter en

del af Medarbejder- og Kompetencestyrelsen under Skatteministeriet)

Økonomistyrelsen (tidligere Moderniseringsstyrelsen)

Statens Administration

Statens It

De Økonomiske Råd

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Metodisk tilgang

Tabel C – fortsat

Ministerier og underliggende virksomheder, som indgår i undersøgelsen

§ 8. Erhvervsministeriet

Erhvervsministeriets departement

Nævnenes Hus

Sikkerhedsstyrelsen

Patent- og Varemærkestyrelsen

Konkurrence- og Forbrugerstyrelsen

Erhvervsstyrelsen

Søfartsstyrelsen

Finanstilsynet

§ 9. Skatteministeriets departement

Skatteministeriets departement

Skattestyrelsen

Gældsstyrelsen

Vurderingsstyrelsen

Toldstyrelsen

Motorstyrelsen

Administrations- og Servicestyrelsen

Udviklings- og Forenklingsstyrelsen

Spillemyndigheden

Skatteankestyrelsen

Medarbejder- og Kompetencestyrelsen (oprettet pr. 1. oktober 2019)

§ 11. Justitsministeriet

Justitsministeriets departement

Politiet og anklagemyndigheden

Kriminalforsorgen i anstalter og frihed

Civilstyrelsen

Politiklagemyndigheden

Domstolsstyrelsen

Datatilsynet

Tilsynet med efterretningstjenesten

§ 12. Forsvarsministeriet

Forsvarsministeriets departement

Forsvarsministeriets Personalestyrelse

Forsvarets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Ejendomsstyrelse

Forsvarsministeriets Regnskabsstyrelse

Forsvarskommandoen

Hjemmeværnet

Forsvarsministeriets Efterretningstjeneste

Beredskabsstyrelsen

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Metodisk tilgang |

Tabel C – fortsat

Ministerier og underliggende virksomheder, som indgår i undersøgelsen

§ 14. Udlændinge- og Integrationsministeriet

Udlændinge- og Integrationsministeriets departement

Styrelsen for International Rekruttering og Integration

Udlændingestyrelsen

§ 15. Social- og Indenrigsministeriet

Social- og Indenrigsministeriets departement

Statsforvaltningen/Familieretshuset (pr. 1. april Familieretshuset)

Socialstyrelsen

Børnerådet

Frivilligrådet

Det Centrale Handicapråd

Rådet for Socialt Udsatte

Kofoeds Skole

VIVE – Det Nationale Forsknings- og Analysecenter for Velfærd

Ankestyrelsen

Danmarks Statistik

§ 16. Sundheds- og Ældreministeriet

Sundheds- og Ældreministeriets departement

Sundhedsstyrelsen

Lægemiddelstyrelsen

Sundhedsdatastyrelsen

Statens Serum Institut

Fællessekretariat for Det Etiske Råd og National Videnskabsetisk Komité

Styrelsen for Patientklager

Nationalt Genom Center

§ 17. Beskæftigelsesministeriet

Beskæftigelsesministeriets departement

Styrelsen for Arbejdsmarked og Rekruttering

Arbejdstilsynet

Det Nationale Forskningscenter for Arbejdsmiljø

Tværgående it-understøtning i beskæftigelsesindsatsen

Videncenter for arbejdsmiljø (VFA)

(VFA nedlagt pr. 1. januar 2020. Det Nationale Forskningscenter for Arbejdsmiljø har ansvaret

for VFA’s regnskaber mv.)

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Metodisk tilgang

Tabel C – fortsat

Ministerier og underliggende virksomheder, som indgår i undersøgelsen

§ 19. Uddannelses- og Forskningsministeriet

Uddannelses- og Forskningsministeriets departement

Styrelsen for Forskning og Uddannelse

Styrelsen for Institutioner og Uddannelsesstøtte

Det Kongelige Danske Kunstakademis Skoler for Arkitektur, Design og Konservering

Studenterrådgivningen, Administrationen

Danmarks Akkrediteringsinstitution

Studievalg Danmark

Dansk Dekommissionering

Arkitektskolen Aarhus

§ 20. Børne- og Undervisningsministeriet

Børne- og Undervisningsministeriets departement

Styrelsen for Undervisning og Kvalitet

Styrelsen for It og Læring

Danmarks Evalueringsinstitut

Sorø Akademis Skole

Dansk Center for Undervisningsmiljø

§ 21. Kulturministeriet

Kulturministeriets departement

Dansk Sprognævn

Den Danske Filmskole

Den Danske Scenekunstskole

Den Hirschsprungske Samling

Det Danske Filminstitut

Det Jyske Musikkonservatorium

Det Kongelige Akademi for de Skønne Kunster

Det Kongelige Bibliotek, Nationalbibliotek og Københavns Universitetsbibliotek

Kunstakademiets Billedkunstskoler

Det Kongelige Danske Musikkonservatorium

Det Kongelige Teater og Kapel

Nationalmuseet

Nota – Nationalbibliotek for mennesker med læsevanskeligheder

Ordrupgaard

Rytmisk Musikkonservatorium

Slots- og Kulturstyrelsen

Statens Museum for Kunst

Statens Værksteder for Kunst

Syddansk Musikkonservatorium & Skuespillerskole

Det Grønne Museum

Statens Arkiver

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Metodisk tilgang |

Tabel C – fortsat

Ministerier og underliggende virksomheder, som indgår i undersøgelsen

§ 22. Kirkeministeriet

Kirkeministeriets departement

§ 24. Miljø- og Fødevareministeriet

Miljø- og Fødevareministeriets departement

Landbrugsstyrelsen

Fødevarestyrelsen

Naturstyrelsen

Miljøstyrelsen

Danmarks Miljøportal – Digital miljøforvaltning

Fiskeristyrelsen (fra juni 2019)

§ 28. Transport- og Boligministeriet

Transport- og Boligministeriets departement

Banedanmark

Bygningsstyrelsen

Havarikommissionen for Vejtrafik

Havarikommissionen for Civil Luftfart og Jernbane

Kommissarius ved Statens Ekspropriationer på Øerne

Kommissarius ved Statens Ekspropriationer i Jylland

Trafik-, Bygge- og Boligstyrelsen

Vejdirektoratet

§ 29. Klima-, Energi- og Forsyningsministeriet

Klima,- Energi- og Forsyningsministeriets departement

Energistyrelsen

Forsyningstilsynet

Danmarks Meteorologiske Institut

De Nationale Geologiske Undersøgelser for Danmark og Grønland (GEUS)

Styrelsen for Dataforsyning og Effektivisering

Geodatastyrelsen

Klimarådet

Kvalitetssikring

Denne undersøgelse er kvalitetssikret via vores interne procedurer for kvalitetssik-

ring, som omfatter høring hos de reviderede samt ledelsesbehandling og sparring på

forskellige tidspunkter i undersøgelsesforløbet med chefer og medarbejdere i Rigs-

revisionen med relevante kompetencer. Herudover har vi løbende kvalitetssikret de

datasæt, som indgår i vores tværgående analyser, i samarbejde med Økonomistyrel-

sen og SEB Kort Bank.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Metodisk tilgang

Væsentlige dokumenter

•

bekendtgørelse om statens regnskabsvæsen (bekendtgørelse nr. 116 af 19. fe-

bruar 2018)

ministerieinstrukser

virksomhedsinstrukser og dokumenter, der beskriver virksomhedernes forret-

ningsgange og dokumenterer virksomhedernes egne kontroller, analyser og stik-

prøver, der kan afdække, om virksomhederne i praksis har hensigtsmæssige for-

retningsgange og kontroller

regnskabsinstrukser

vejledninger

udtræk fra de fællesstatslige it-systemer og betalingskorttransaktioner leveret

af henholdsvis Økonomistyrelsen og SEB Kort Bank

udtræk fra Forsvarsministeriets NetFuel-database

spørgeskemabesvarelser fra ministerierne

selvangivelser fra ministerierne.

Selvangivelse og spørgeskemaundersøgelse

Indledningsvis udsendte vi – med udgangspunkt i regnskabsbekendtgørelsens krav

– en selvangivelse til alle ministerier, hvor vi bl.a. bad ministerierne selvangive, om de

har sikret sig, at hovedelementerne i ministeriets tilrettelæggelse af den interne kon-

trol og risikostyring, herunder tilsynet med udførende enheder, er ajourført. Herudover

bad vi dem svare på, om der er sikret funktionsadskillelse, og om denne og logning er

efterprøvet. Herefter udsendte vi et spørgeskema, hvor vi bad ministerierne oplyse,

hvilken kontrol og risikostyring de udførte i 2019 i forhold til ministeriet selv og i forhold

til underliggende virksomheder på områderne tilskud, indkøb og løn. Disse oplysninger

er sammenholdt med den viden, som Rigsrevisionen allerede havde fra den finansielle

revision.

Rigsrevisionen er opmærksom på, at en selvangivelse og et spørgeskema, hvor mini-

sterierne svarer ud fra deres egen opfattelse, ikke har helt samme validitet som en

stedlig gennemgang og kontrol. Rigsrevisionen har under høringen af beretningen er-

faret, at flere ministerier har ændret de svar, som de oprindeligt opgav i selvangivel-

sen. Når ministerierne besvarer selvangivelsen, har de – i lighed med, hvad der er til-

fældet i andre sammenhænge, hvor Rigsrevisionen anmoder om og indhenter redegø-

relser, oplysninger, revisionsmateriale mv. – pligt til at give korrekte oplysninger, og

Rigsrevisionen har derfor ikke efterprøvet ministeriernes svar. Hertil kommer, at mini-

sterierne hvert år i forbindelse med regnskabsaflæggelsen erklærer sig om regnska-

bets rigtighed, herunder overholdelsen af reglerne om statens regnskabsvæsen.

Desuden har udefrakommende hensyn betydet, at stedlige besøg i forhold til denne

undersøgelse har måttet begrænses. Vi har gennemført en del virtuelle møder med

ministerier og udvalgte casevirksomheder.

Rigsrevisionen konstaterer, at nogle ministerier således undervejs i forløbet har æn-

dret svar på selvangivelsen til et mere positivt svar end oprindeligt angivet. Vi konsta-

terer samtidig, at flere ministerier, som vurderer, at de har et tilfredsstillende kontrol-

miljø, fremgår af beretningen om revisionen af statsregnskabet for 2019 som ministe-

rier, der ifølge Rigsrevisionens vurdering havde udfordringer med fx funktionsadskil-

lelse.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Metodisk tilgang |

Registerdata

Vi har i undersøgelsen som nævnt indhentet full scale-data vedrørende de fælles-

statslige it-systemer Navision Stat, SLS, IndFak og RejsUd samt betalingskorttrans-

aktioner for 2019. Økonomistyrelsen har leveret disse data til os ad flere omgange.

Betalingskorttransaktioner er leveret af SEB Kort Bank. Derudover har vi indhentet

data for hele 2019 og august 2020 fra Forsvarsministeriets databaser omhandlende

brændstof.

Standarderne for offentlig revision

Revisionen er udført i overensstemmelse med standarderne for offentlig revision.

Standarderne fastlægger, hvad brugerne og offentligheden kan forvente af revisio-

nen, for at der er tale om en god faglig ydelse. Standarderne er baseret på de grund-

læggende revisionsprincipper i rigsrevisionernes internationale standarder (ISSAI

100-999).

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministerier og virksomheder, som indgik i revisionen af lønkontrol i 2019, og som indgår i denne undersøgelse

Bilag 3. Ministerier og virksomheder, som indgik i revisio-

nen af lønkontrol i 2019, og som indgår i denne undersø-

gelse

Finansministeriet

Finansministeriets departement

Digitaliseringsstyrelsen

Statens Administration

Statens It

Økonomistyrelsen (tidligere Moderniseringsstyrelsen)

Skatteministeriet

Administrations- og Servicestyrelsen

Justitsministeriet

Kriminalforsorgen

Politiet og anklagemyndigheden

Social- og Indenrigsministeriet

(tidligere Økonomi- og Indenrigsministeriet)

Social- og Indenrigsministeriets departement

Uddannelses- og Forskningsministeriet

Uddannelses- og Forskningsministeriets departement

Arkitektskolen Aarhus

Danmarks Akkrediteringsinstitution

Dansk Dekommissionering

Styrelsen for Forskning og Uddannelse

Styrelsen for Institutioner og Uddannelsesstøtte

Børne- og Undervisningsministeriet

(tidligere Børne- og Socialministeriet)

Børne- og Undervisningsministeriets departement

Kulturministeriet

Kulturministeriets departement

Den Danske Scenekunstskole

Det Kongelige Teater og Kapel

Slots- og Kulturstyrelsen

Kirkeministeriet

Kirkeministeriets departement

Folkekirkens Fællesfond

Miljø- og Fødevareministeriet

Landbrugsstyrelsen

Transport- og Boligministeriet

Transport- og Boligministeriets departement

Banedanmark

Klima-, Energi- og Forsyningsministeriet

Energistyrelsen

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministerier og virksomheder, som indgik i revisionen af brugerstyring i staten i 2019, og som indgår i denne undersøgelse |

Bilag 4. Ministerier og virksomheder, som indgik i revisio-

nen af brugerstyring i staten i 2019, og som indgår i den-

ne undersøgelse

I 2019 var der en række ressortændringer, så flere ministerier ændrede navn. Det er

virksomhedernes og lønfællesskabernes navne fra brugerstyringssystemet BSL, der

er anført i oversigten.

Justitsministeriet

Justitsministeriets Lønfællesskab

Domstolsstyrelsens Lønfællesskab

Kriminalforsorgen

Rigspolitiets Lønfællesskab

Klima-, Energi- og Forsyningsministeriet

GEUS

Lønfællesskab ENS

Børne- og Undervisningsministeriet

US puljer lønfællesskab + GRL

Kulturministeriet

Kulturministeriets Lønfællesskab

Den Danske Filmskole

Nationalmuseet

Det Kgl. Bibliotek

Dansk Sprognævn (hører pr. 1. januar 2019 sammen med Syddansk Musikkonservatorium)

Den Danske Scenekunstskole

Det Danske Filminstitut

Det Grønne Museum

Det Jyske musikkonservatorium

Det Kgl. Teater

Det Kongelige Danske Musikkonservatorium

Kunstakademiets Billedkunstskoler

Nota

Ordrupgaard Samling

Rigsarkivet

Rytmisk Musikkonservatorium

Statens Museum for Kunst

Syddansk Musikkonservatorium (hører pr. 1. januar 2019 sammen med Dansk Sprognævn)

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ministerier og virksomheder, som indgik i revisionen af brugerstyring i staten i 2019, og som indgår i denne undersøgelse

Social- og Indenrigsministeriet

Økonomi- og Indenrigsministeriet

Socialstyrelsen

Døvefilm Video

Statsforvaltninger Fællesskab

Kofoeds Skoles Lønfællesskab

Ankestyrelsen

Center for Frivilligt Socialt Arbejde

Center for selvmordsforskning

Danmarks Statistik

Den Uvildige Konsulentordning

VIVE

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ministerier og virksomheder, som indgik i revisionen af brugerstyring i staten i 2020, og som indgår i denne undersøgelse |

Bilag 5. Ministerier og virksomheder, som indgik i revisio-

nen af brugerstyring i staten i 2020, og som indgår i den-

ne undersøgelse

I 2019 var der en række ressortændringer, så flere ministerier ændrede navn. Det er

virksomhedernes og lønfællesskabernes navne fra brugerstyringssystemet BSL, der

er anført i oversigten.

Udenrigsministeriet

Udenrigsministeriet – GRL

Skatteministeriet

Skattestyrelsens lønfællesskab

Erhvervsministeriet

Erhvervs- og vækstmin. Fællesskab

Sundheds- og Ældreministeriet

Statens Serum Institut Koncern HR

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Dataanalyse af Forsvarsministeriets brug af tankkort

Bilag 6. Dataanalyse af Forsvarsministeriets brug af tank-

kort

Vi har testet data fra NetFuel-databasen for bl.a. dubletter, størrelse samt datoer og

tidspunkter, dvs. posteringer på helligdage og forskellige tidsintervaller på døgnet.

Tabel A

Krav til indtastninger af medarbejdernummer følges sjældent på civile tankstationer

Tankanlæg

Antal transaktioner

i alt

35�½173

97�½709

Antal transaktioner

med 6-cifret

medarbejdernummer

14�½313

94�½831

Antal transaktioner

uden 6-cifret

medarbejdernummer

20�½860

2�½878

Andelen af transaktioner

uden 6-cifret

medarbejdernummer

Civil

Militær

Kilde:

Rigsrevisionen på baggrund af oplysninger fra Forsvarsministeriet.

Tabel B

Der tankes mere i bilerne, end der kan være i tanken (tilfældigt udvalgte eksempler)

Tankanlæg

Civil

Militær

Biltype

Toyota Landcruiser

Mercedes Atego

Nissan Navara

Toyota Hilux

Toyota Landcruiser

Mercedes Atego

Nissan Navara

Toyota Hilux

Tank-

kapacitet

96 L

125 L

80 L

96 L

125 L

80 L

Antal tankninger

i alt

126

214

117

683

593

Antal tankninger

over tankkapacitet

Andelen af tankninger

over kapacitet

13 %

Kilde:

Rigsrevisionen på baggrund af oplysninger fra Forsvarsministeriet.

Tabel C

Tankninger mellem kl. 22.00-04.00 på civile tankstationer og militære tankanlæg

Civile tankstationer

Samlet beløb, diesel og benzin

Samlet antal tankninger, diesel og benzin

Antal tankninger mellem kl. 22�½00-04�½00

Tankninger mellem kl. 22�½00-04�½00, andelen af samlet antal

Tankninger mellem kl. 22�½00-04�½00, beløb

Tankninger mellem kl. 22�½00-04�½00, andelen af samlet beløb

Kilde:

Rigsrevisionen på baggrund af oplysninger fra Forsvarsministeriet.

Militære tankanlæg

39�½848�½825 kr.

97�½709

2�½496

2�½55

901�½710 kr.

2�½26

14�½315�½222 kr.

35�½180

2�½785

7�½92

955�½628 kr.

6�½68

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Dataanalyse af Forsvarsministeriets brug af tankkort |

Tabel D

Tankninger i weekenden på civile tankstationer og militære tankanlæg

Tankanlæg

Beløb tanket i alt

i weekender

2�½798�½080 kr.

50�½494 kr.

Tankninger i

weekender,

andelen af samlet beløb

19�½55

0�½13

Antal tankninger

i weekender

7�½119

7�½676

Tankninger i

weekender,

andelen af samlet antal

20�½24

7�½86

Civil

Militær

Kilde:

Rigsrevisionen på baggrund af oplysninger fra Forsvarsministeriet.

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ordliste

Bilag 7. Ordliste

Automatiske kontroller

Automatiske kontroller er programmerede kontroller. Automatiske kontroller kan gavne en virk-

somheds interne kontroller ved at sætte virksomheden i stand til fx at bruge foruddefinerede regler

og udføre komplekse beregninger ved behandlingen af store mængder af transaktioner, forbedre

muligheden for at overvåge virksomhedens aktiviteter og dens politikker og procedurer, reducere

risikoen for, at kontroller bliver omgået og forbedre muligheden for effektiv funktionsadskillelse ved

at implementere sikkerhedskontroller i applikationer, databaser og operativsystemer. Automatiske

kontroller er generelt mere pålidelige end manuelle kontroller, jf. den internationale revisionsstan-

dard 315 ISA 315.

Biblioteksafgiften er en er en tildelingspulje og en kulturstøtteordning til dansk sprog og kultur, der

har til formål at støtte forfattere, oversættere, illustratorer mfl., hvis bøger benyttes på bl.a. Dan-

marks folkebiblioteker.

COSO står for Committee of Sponsoring Organizations of the Treadway Commission og dækker

over en begrebsramme for interne kontroller til svigforebyggelse. Begrebsrammen består af 5 ho-

vedkomponenter: kontrolmiljø, risikovurdering, kontrolaktiviteter, information og kommunikation

samt overvågning. Begrebsrammen er et værktøj, som på struktureret vis hjælper virksomheder

med at komme hele vejen rundt, afdækker skjulte risici og bidrager til styrkelse og opretholdelse af

et sundt kontrolmiljø.

Forretningsgange dækker processer og retningslinjer, der beskriver administrationens tilrettelæg-

gelse, og hvordan interne kontroller og tilsyn med kontrollerne skal udføres.

Økonomistyrelsen driver et sammenhængende sæt af digitale datadrevne services, der understøt-

ter ledelse og styring af økonomi, HR og løn i staten. Hovedparten af de statslige virksomheder an-

vender ét eller flere af de fællesstatslige it-systemer.

En globaladministrator er en administratorrolle i IndFak, som tildeles administratorer hos Økonomi-

styrelsen og konsulenter. Rollen giver bl.a. rettigheder til at oprette, vedligeholde og administrere

virksomheder, oprette lokaladministratorer samt oprette, vedligeholde og administrere roller og

konfigurationer i IndFak.

HR-Løn er et indberetningssystem til brug for Statens Administrations lønkunder. Med HR-Løn vil

kunderne skulle indberette fx engangsløndele og oprettelser af timelønnede i HR-Løn frem for på

en blanket via Lønportalen som for øvrige medarbejdere.

Inddatakontrol foretages, før lønnen beregnes i lønsystemet. Ved inddatakontrol sker en funktions-

adskilt godkendelse af, at indtastningen er korrekt. Ved godkendelsen foretages bl.a. en test af, at

lønnen er indtastet i overensstemmelse med lønbilaget, og at satser mv. vil blive beregnet korrekt.

Den overvejende kontrol vil derfor være foretaget før en lønkørsel.

IndFak er et fælles system for statslige og selvejende institutioner, som understøtter indkøbs- og

fakturahåndteringsprocessen. Økonomistyrelsen stiller et fælles system til rådighed for statslige

og selvejende institutioner. IndFak bruges bl.a. til at bestille varer.

Interne kontroller dækker de handlinger, der implementeres af ledelsen for at undgå fejl og svig.

Kompenserende kontroller foretages, hvor det ikke er muligt at foretage intern kontrol, eller hvor

man har tilsidesat intern kontrol, i dagligdagens risikofyldte procedurer og processer. En kompen-

serende kontrol kan fx være en stikprøvevis kontrol af fakturaer og indkøbsordrer, opfølgning på

logning af ændringer i væsentlige data eller monitorering af brugernes aktiviteter og hændelser i de

anvendte it-systemer.

Biblioteksafgiften

COSO

Forretningsgange

Fællesstatslige it-systemer

Globaladministrator

HR-Løn

Inddatakontrol

IndFak

Interne kontroller

Kompenserende kontrol

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

Ordliste |

Kontrolmail

En kontrolmail er en automatisk systemmail, som sendes til kontrollanten, når der er foretaget op-

rettelser, ændringer eller lukket brugere, hvilket begrænser muligheden for svig.

En logning er registreringer af aktiviteter i virksomhedens it-systemer. Det er et vigtigt redskab til at

opdage, hvis noget går galt. Samtidig er det vigtigt for at kunne sikre beviser. Da en log typisk stiller

en stor datamængde til rådighed for videre analyse, kan det være svært at afdække uregelmæssige

mønstre og adfærd. Derfor er der udviklet værktøjer til formålet (fx Log Analytics).

En lokaladministrator er en administratorrolle i IndFak, som tildeles administratorer lokalt i virksom-

hederne. Rollen giver bl.a. adgang til at tildele rettigheder og prokura til brugere og at administrere

lokale konfigurationer på organisations- og bogføringskredsniveau.

Et lønfællesskab anvendes om de virksomheder, der varetager administration af brugerstyring for

flere virksomheder på et ministerområde, fx i et fælleskontor for HR og løn.

En løngruppe er en enhed, der udbetaler løn til egen løngruppe. Det vil typisk også være en selvstæn-

dig virksomhed, men en virksomhed kan dog også råde over flere løngrupper.

Manuelle kontroller udføres manuelt (af personer) og kan være mindre pålidelige end automatiske

kontroller, fordi de lettere kan omgås, ignoreres eller tilsidesættes. Samtidig er de mere udsat for

simple fejl. Det kan derfor ikke forudsættes, at et manuelt kontrolelement anvendes ensartet.

NetFuel er et system til styring og administration af brændstofanlæg i Forsvarsministeriet. I NetFuel-

databasen opsamles oplysninger om forbruget på tankkortene. Databasen indeholder data 2 år til-

bage i tid.

En privilegeret bruger af et it-system kan have det højeste niveau af rettigheder, adgang og kontrol

over systemer og data og kan i de tilfælde bl.a. overskrive loggen eller foretage handlinger uden om

loggen, medmindre der specifikt er indsat logfunktioner til overvågning af dette. Nogle privilegerede

brugeres rettigheder er dog begrænsede, så de ikke har server- og databaseadgang.

Prokura er en fuldmagt, som legitimerer, at en medarbejder (der har fået denne) kan handle for virk-

somheden i alle forhold, der hører til den normale drift, og i øvrigt forpligte virksomheden med visse

begrænsninger. Når en person har beføjelser til at gennemføre hele transaktioner fra start til slut, fx

en indkøbstransaktion fra rekvirering/bestilling til varemodtagelse/godkendelse af faktura, har per-

sonen eneprokura.

RejsUd samler den rejsendes afregninger og udlæg i ét system og standardiserer opgavevaretagel-

sen for de statslige og selvejende institutioner.

SAP er et it-system, der overordnet set anvendes til at strømline, forbedre og systematisere virk-

somheders interne processer inden for et væld af områder. De 5 store SAP-brugere er Forsvarsmi-

nisteriet, Skatteministeriet (undtagen Medarbejder- og Kompetencestyrelsen, der bruger IndFak),

Vejdirektoratet, Banedanmark og Statens Serum Institut.

SEB Kort Bank udsteder betalingskort til statsansatte i Danmark, og det er muligt at se alle indkøb

foretaget med virksomhedens kreditkort via bankens data. SEB Kort Bank har leveret et udtræk af

alle transaktioner foretaget med betalingskort i 2019 i de statslige virksomheder, der indgår i under-

søgelsen.

En sikkerhedsbruger har udvidede rettigheder ligesom en privilegeret bruger.

Stamdata er grundinformation, som tastes ind i systemet én gang for derefter at blive anvendt som

grundlag for fx udbetaling, fakturering eller lønkørsel. Eksempler på stamdata er fx stilling, navn,

adresse, cpr-nr. og betalingsoplysninger på modtageren af en udbetaling.

Logning (loganalyse)

Lokaladministrator

Lønfællesskab

Løngruppe

Manuelle kontroller

NetFuel databasen

Privilegerede brugere

Prokura (eneprokura)

RejsUd

SAP

SEB Kort Bank

Sikkerhedsbruger

Stamdata

Statsrevisorerne beretning SB7/2020 - Bilag 1: Beretning om indsatsen for at undgå statsansattes besvigelser

| Ordliste

Statens Lønsystem (SLS)

Økonomistyrelsen administrerer Statens Lønsystem (SLS), der anvendes til beregning og anvisning

af løn samt til udarbejdelse af løn og personalestatistik. Statsinstitutioner er forpligtede til at anven-

de SLS.

Statsansatte kan være medarbejdere ansat i forskellige typer af statslige virksomheder, herunder

bl.a. departementer og underliggende virksomheder.

En systematik og struktur, der understøtter, at ministeriet får tilstrækkeligt overblik over risici og

kontroller, og at der i forhold til de finansielle processer i et ministerium og underliggende virksom-

heder er tilstrækkelige og relevante interne kontroller til at begrænse risikoen for såvel tilsigtede

som utilsigtede fejl.

Ved en tilfredsstillende styringsramme forstås, at der er fastsat rammer og procedurer, som gør, at

det for den enkelte medarbejder er svært at omgå reglerne. Dette kan fx være ved opsætninger, som

gør, at én person ikke både kan godkende og betale en faktura. Regler og procedurer kan være for-

muleret lokalt i ministerie-, virksomheds- og regnskabsinstrukserne eller overordnet i regnskabsbe-

kendtgørelsen.

Ved substansrevision foretager revisor analyser af sammenhænge, nøgletal, trends og sammenlig-

ninger samt detailrevision af afstemninger, bilag mv. Disse sammenholdes med underliggende do-

kumentation, der kan bekræfte regnskabsposterne eller andre oplysninger i regnskabet.

Svig er i denne undersøgelse defineret som i den internationale revisionsstandard ISSAI 1240:

”En

bevidst handling udført af én eller flere personer blandt den daglige ledelse, den øverste ledelse,

medarbejdere eller tredjeparter, der benytter vildledning til at opnå en uberettiget eller ulovlig for-

del”.

Statsansatte

Styringsramme

Styringsramme (tilfreds-

stillende)

Substansrevision

Svig

TAS

TAS er et tilskudsadministrativt system, som anvendes af 9 statslige virksomheder, hvoraf 3 anven-

der specialudviklede systemløsninger.

En funktionsadskillelse er ikke tilstrækkelig i IndFak hvis de 2 centrale kontroller – varemodtagelse

og endelig godkendelse (forud for bogføring og betaling af fakturaen) – er varetaget af den samme

person. Der kan godt være systemunderstøttet funktionsadskillelse i godkendelsen af en faktura i

IndFak, uden at der er tale om en tilstrækkelig funktionsadskillelse.

En funktionsadskillelse er ikke tilstrækkelig i RejsUd, hvis en medarbejder godkender sin egen rejse-

afregning. Medarbejderen har i dette tilfælde ikke bemyndigelse til at udføre den kontrol, som er in-

deholdt i godkenderrollen. Der kan tilsvarende godt være systemunderstøttet personmæssig funk-

tionsadskillelse i godkendelsen af en rejseafregning i RejsUd, uden at der er en tilstrækkelig funk-

tionsadskillelse.

Når et tilsyn er situationsbestemt, vil det typisk være et tilsyn med risikovurderinger på udvalgte om-

råder og udvalgte interne kontroller, der imødegår risikoen for svig. Det kan også være en reaktion

på svigsager i staten og på revisionsbemærkninger.

Når et tilsyn foretages ud fra en begrebsramme, så vil det forventes, at der et kontrolsetup med 3

forsvarslinjer, formaliseret risikostyring og rapporteringsprocedurer. Virksomheden vil have over-

blik over væsentlige risici inkl. besvigelsesrisici og har efterprøvet og foretaget vurderinger af, om

kontrolmiljøet fungerer effektivt.

Uddatakontrol foretages, efter lønnen er beregnet i lønsystemet, men før den udbetales, så det er

muligt at standse lønnen i tilfælde af fx svig. Kontrollen kan foretages stikprøvevis ud fra virksom-

hedens vurdering af væsentlighed og risiko på lønområdet.

En ordning, hvor ansatte eller en anden specifik målgruppe kan oplyse om kritisable eller ulovlige

forhold eller begrundet mistanke om sådanne forhold.

Tilstrækkelig funktions-

adskillelse – IndFak

Tilstrækkelig funktions-

adskillelse – RejsUd

Tilsyn – situationsbestemt

Tilsyn – ud fra begrebsramme

Uddatakontrol

Whistleblowerordning