Indenrigs- og Boligudvalget 2020-21
SB 7 11
Offentligt
2346164_0001.png
Statsrevisorernes Sekretariat
Folketinget
Christiansborg
1240 København K
Den 3. marts 2021
Redegørelse til Statsrevisorerne vedr. beretning 7/2020 om
indsatsen for at undgå statsansattes besvigelser
I brev af 4. januar 2021 har Statsrevisorerne bedt mig om at redegøre for
Statsrevisorernes konklusioner og bemærkninger, som beretning 7/2020 om
indsatsen for at undgå statsansattes besvigelser har givet anledning til.
I kongelig forordning af 19. november 2020 har Miljø- og Fødevareministeriet
skiftet navn til Miljøministeriet og der er blevet oprettet et særskilt Ministeriet for
Fødevarer, Landbrug og Fiskeri. Det følgende svar omfatter alene opfølgning
indenfor Miljøministeriets ressort.
Jeg noterer mig, at Statsrevisorerne finder det utilfredsstillende, at der
forekommer så svage interne kontroller og forretningsgange, at der forekommer
mulighed for statsansatte at begå svig, uden at dette bliver opdaget.
Ligeledes er det noteret, at Statsrevisorerne indskærper, at ministerierne generelt
bør styrke deres ledelsesfokus på tilrettelæggelsen af den interne kontrol og
risikostyring.
Nedenfor redegøres således for de overvejelser, foranstaltninger og igangsatte
initiativer, som beretning 7/2020 har givet anledning til for mit ressort.
Overvejelser og foranstaltninger
Statsrevisorerne finder det meget utilfredsstillende, at ministerierne generelt har
så svage interne kontroller og forretningsgange, at det er muligt for statsansatte
at begå svig på indkøbs-, løn- og tilskudsområdet, uden at det bliver opdaget.
Statsrevisorerne indskærper, at ministerierne generelt bør styrke ledelsesfokus
på tilrettelæggelsen af den interne kontrol og risikostyring.
Statsrevisorerne har bl.a. særligt hæftet sig ved, at den øverste ledelses i
ministerierne ikke i tilstrækkelig grad [har] ført tilsyn med, om kontrollerne
forebygger ansattes muligheder for at begå svig.
Ligeledes konkluderer Rigsrevisionen at
”ministeriernes forretningsgange og
interne kontroller i 2019 samlet set ikke var tilfredsstillende i forhold til at
begrænse risikoen for, at statsansatte kunne begå besvigelser”.
Miljøministeriet • Slotsholmsgade 12 • 1216 København K
Tlf. 38 14 21 42 • Fax 33 14 50 42 • CVR 12854358 • EAN 5798000862005 • [email protected] • www.mfvm.dk
 Statsrevisorerne beretning SB7/2020 - Bilag 11: Miljøministerens redegørelse af 3. marts 2021
Jeg hæfter mig ved, at Rigsrevisionen ikke har fundet konkrete tilfælde af snyd, og
ser i øvrigt med stor alvor på kritikken rejst i forbindelse med beretningen.
Ministeriets departement har oplyst mig om, at ministeriets centrale styring og
opfølgning på interne kontroller og ledelsesfokus på dette vil blive styrket. Dette
betyder bl.a., at departementet vil arbejde med principperne i Økonomistyrelsens
vejledning om intern finansiel kontrol fra sommeren 2020. Arbejdet forventes
tilendebragt ved udgangen af 2021.
I beretningen kritiseres Miljøstyrelsen desuden for, at
”Miljøstyrelsen har
foretaget en risikovurdering, men ikke foretaget sig videre, fx udarbejdet en
handlingsplan.” (jf. beretningens afsnit 102).
Miljøstyrelsen har oplyst mig, at der foretages risikovurderinger af styrelsens
systemer, som forelægges direktionen, og der udarbejdes handlingsplaner, hvor
dette vurderes påkrævet. I forbindelse med seneste risikovurdering af TAS, er der
ikke vurderet et behov for yderligere handlinger.
Systembrugeradministrationen kritiseres endvidere, (jf. beretningens afsnit 105-
109), herunder kritikken fremsat i afsnit 106, hvoraf det lyder, at
”Rigsrevisionen
vurderer dog, at det vil være muligt for en privilegeret bruger med kendskab til
Miljøstyrelsens interne kontroller at omgå funktionsadskillelsen uden at blive
opdaget. Fx har Miljøstyrelsen ikke taget stilling til og udarbejdet procedurer for
logning af brugeraktivitet og gennemgang af loggen. Det betyder, at de
privilegerede brugeres brugeraktivitet i systemet ikke logges, fx opsætning af
regler eller oprettelse af brugere.”
Miljøstyrelsen har oplyst mig, at der, siden udgangen af 2019, foretages kontrol
med privilegerede brugeres adgange og aktivitet i TAS. Disse kontroller varetages
af styrelsens informationssikkerhedsteam, som foretager kontrol og opfølgning på
brugeradgange og de mulige brugerhandlinger. De foretagne kontroller valideres
og dokumenteres, funktionsadskillelsen er systemunderstøttet, og kontrollen er
indarbejdet i teamets årshjul. I tilknytning hertil har styrelsen oplyst mig, at der
siden 2019 har været etableret en dokumenteret praksis for brugeradministration
og opfølgning på brugeraktivitet i TAS. Brugeradministration af TAS varetages i et
særskilt team.
Jf. beretningens afsnit 107; ”Undersøgelsen viser samlet set, at … ikke har
etableret en fuldt ud tilfredsstillende personmæssig funktionsadskillelse på grund
af utilstrækkelig styring af adgange og rettigheder.”
Som opfølgning på kritikken af funktionsadskillelse, har Miljøstyrelsen oplyst, at
privilegerede brugere ikke har adgang til hverken server eller database i TAS.
Styrelsen har adgang til at foretage ændringer på opsætninger i TAS, som dog ikke
omfatter mulighed for adgang til ændringer eller sletning. Denne mulighed er
forbeholdt de brugere, som er opsat med privilegerede rettigheder.
Derudover fremsættes det i afsnit 109, at
”… havde … dog kun en begrænset
logfunktion, som ikke loggede privilegerede brugeres aktiviteter… Desuden har
en gennemgang af loggen foretaget af… Miljøstyrelsen… ikke omfattet ændringer
2
 Statsrevisorerne beretning SB7/2020 - Bilag 11: Miljøministerens redegørelse af 3. marts 2021
2346164_0003.png
i stamdata, som indgår i betalingsgrundlaget. Ingen… har etableret en
tilfredsstillende kontrol af gennemgangen af loggen og opfølgning herpå.”
Miljøstyrelsen har oplyst mig, at styrelsen i 2020 har opgraderet TAS til version
8.2.0.136, som giver adgang til rapportering på/logning af samtlige ændringer på
opsætninger, aktiviteter og brugere. Opgraderingen har givet anledning til en
systemunderstøttet logning af privilegerede brugeres handlinger.
Herudover har styrelsen oplyst, at der arbejdes på en betalingsløsning med
implementering af nemkonto i TAS, som den eneste betalingsløsning, der skal
understøtte sikring mod økonomisk svig.
I tillæg til bemærkningerne i beretning 7/2020, har Miljøstyrelsen oplyst mig, at
der i 2020 er gennemført en omfattende forvaltningsanalyse af Miljøstyrelsens
interne forretningsgange og analyse af den økonomiske forvaltning med særligt
fokus på muligheden for svig. Resultaterne er indarbejdet i en ledelsesgodkendt
handlings- og implementeringsplan, som er under udmøntning.
Miljøstyrelsen har ligeledes oplyst mig, at styrelsen i 2020 har etableret en intern
finansiel kontrolenhed, som er forankret i direktionen med henblik på at styrke
arbejdet med intern finansiel kontrol og compliance på økonomiområdet. På
samme vis har Miljøstyrelsen også forankret risikostyring og compliance på
forvaltningen i øvrigt i direktionen. Begge dele er implementeret i forlængelse af
ministeriets koncept for god forvaltningskultur.
Afslutningsvist skal jeg bemærke, at der er sendt en kopi af nærværende
redegørelse til Rigsrevisionen.
Med venlig hilsen
Lea Wermelin
3