Søk

Innhald

6. Presentasjon av utvalgte saker med kritikk

6.1 Betydelige forsinkelser med ny registerplattform i Brønnøysundregistrene og fortsatt svakheter i informasjonssikkerheten

6.1.1 Konklusjoner

Konklusjon

Riksrevisjonen mener det er sterkt kritikkverdig at Nærings- og fiskeridepartementet ikke har sikret at ny registerplattform i Brønnøysundregistrene (BRsys) blir levert i henhold til Stortingets vedtak og forutsetninger. Departementet har heller ikke sørget for at svakheter i styringen av informasjonssikkerheten er utbedret slik Stortinget har forutsatt.

Riksrevisjonen mener dette fordi

  • BRsys leverer mindre, er betydelig forsinket og koster mer enn opprinnelig forutsatt

  • Brønnøysundregistrene ikke forbedrer informasjonssikkerheten i samsvar med Stortingets vedtak og forutsetninger

  • Nærings- og fiskeridepartementet ikke ivaretar kontroll med at Brønnøysundregistrene gjennomfører BRsys-prosjektet og forbedrer informasjonssikkerheten i virksomheten

6.1.2 Utdyping av konklusjoner

Riksrevisjonen har i rapporteringen til Stortinget gjennom flere år pekt på betydelige utfordringer med informasjonssikkerheten i Brønnøysundregistrene. Det pågående prosjektet BRsys skal modernisere registrene, og være det langsiktige tiltaket for å nå akseptabel risiko og ønsket sikkerhetsnivå i etaten.

Målet med revisjonen har vært å undersøke om bevilgningene til en ny registerplattform i Brønnøysundregistrene blir brukt i samsvar med Stortingets vedtak og forutsetninger. I tillegg er det undersøkt om informasjonssikkerheten i Brønnøysundregistrene er forbedret slik at Stortingets vedtak og forutsetninger ivaretas.

Nærings- og fiskeridepartementet har et overordnet ansvar for at Brønnøysundregistrene har etablert systemer og rutiner for å sikre at virksomheten oppnår mål og innfrir resultatkrav i tilfredsstillende grad, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i nødvendig utstrekning.

BRsys er det største utviklingsprosjektet i Brønnøysundregistrenes historie. Brønnøysundregistrene fikk i 2009 oppdraget fra daværende Nærings- og handelsdepartementet med å utrede behovet for et framtidig nytt elektronisk saksbehandlingssystem og nye systemløsninger for registrene. I perioden fram til 2017 ble det utført kvalitetssikring i henhold til statens prosjektmodell og gjennomført et internt forberedelsesprosjekt i Brønnøysundregistrene.

I 2017 ga Stortinget den første bevilgningen til BRsys. Prosjektet skulle gjennomføres i perioden 2017–2022 og hadde en samlet kostnadsramme på 1,2 mrd. kroner og en styringsramme på 1,1 mrd. kroner. Alle registertjenestene skulle overføres til ny plattform.

Kontroll- og konstitusjonskomiteens behandling

Kontroll- og konstitusjonskomiteen har over flere år merket seg Riksrevisjonens kritikk av informasjonssikkerheten i Brønnøysundregistrene:

I Innst. 130 S (2014–2015) merket komiteen seg at Nærings- og fiskeridepartementet ikke hadde forsikret seg om at det var iverksatt tiltak for å styrke informasjonssikkerheten i Brønnøysundregistrene, og mente at det er alvorlig at informasjonssikkerhet og internkontroll ikke var fulgt opp. Komiteen var enig med Riksrevisjonen i at oppfølging er avgjørende for at svakheter blir identifisert og utbedret, og Riksrevisjonens anbefaling om å sikre dette følges opp.

I Innst. 169 (2015–2016) viste komiteen til at Riksrevisjonen igjen anbefalte at Nærings- og fiskeridepartementet skulle påse at informasjonssikkerheten er i samsvar med gjeldende regelverk, blant annet økonomiregelverket, Digitaliseringsrundskrivet og eForvaltningsforskriften. Komiteen merket seg at departementet sier at de jobber for å få nye IKT-systemer og at de i mellomtiden jobber med å forbedre sikkerheten i nåværende systemer. Komiteen uttalte at den imøteser resultatet av dette arbeidet.

I Innst. 144 S (2016–2017) viste kontroll- og konstitusjonskomiteen til sin merknad fra året før og uttalte at den forventer at Nærings- og fiskeridepartementet følger opp Riksrevisjonens anbefalinger.

Revisjonen har tatt utgangspunkt i følgende revisjonskriterier:

  • Departementet skal ifølge økonomireglementet § 15 ivareta kontroll med at Brønnøysundregistrene utøver sine oppgaver på en forsvarlig måte og i henhold til reglene om intern kontroll i § 14.

  • Departementet har ifølge økonomibestemmelsene punkt 1.3 et overordnet ansvar for at Brønnøysundregistrene gjennomfører prosjektet BRsys og informasjonssikkerhetsarbeidet i tråd med Stortingets vedtak og forutsetninger.

  • Departementets styring og oppfølging av Brønnøysundregistrene skal tilpasses virksomhetens egenart, risiko og vesentlighet, jf. økonomibestemmelsene punkt 1.4.

  • Brønnøysundregistrene skal ifølge eForvaltningsforskriften ha styring og kontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem.

Saken er presentert i en egen rapport som følger som vedlegg til Dokument 1 (2021–2022).

6.1.3 BRsys leverer mindre, er betydelig forsinket og koster mer enn opprinnelig forutsatt

Nærings- og fiskeridepartementet har ikke sørget for at bevilgningene til en ny registerplattform i Brønnøysundregistrene (BRsys) blir brukt i samsvar med Stortingets vedtak og forutsetninger.

BRsys er ved utgangen av 2020 om lag fire år forsinket. Registerplattformen er utviklet, men ingen registre er hittil overført til den nye registerplattformen som planlagt.

Nærings- og fiskeridepartementet godkjente en revidert framdriftsplan for prosjektet i juli 2020. Prosjektperioden er utvidet til 2023, og hele kostnadsrammen på 1,2 mrd. kroner kan nå tas i bruk. Likevel skal de levere et mindre omfang enn planlagt. Arbeidet som gjenstår i henhold til den reviderte planen, har et større omfang enn det som er levert i prosjektet fra 2017 til 2021.

BRsys leverer mindre enn forutsatt

Planer for moderniseringen av registrene i Brønnøysund ble påbegynt allerede i 2009. BRsys-prosjektet som startet opp i 2017, skulle modernisere alle registre og saksbehandlingssystemer i virksomheten. BRsys-prosjektet blir ikke levert i det omfanget som opprinnelig var forutsatt.

Innholdet i den reviderte framdriftsplanen ble presentert for Stortinget i Prop. 1 S (2020–2021). 6 av 17 registre skal moderniseres, og disse utgjør to tredjedeler av det opprinnelige prosjektomfanget. Det er ingen planer for hvordan de registrene som er tatt ut av prosjektet, skal moderniseres.

Det resterende moderniseringsarbeidet må gjennomføres på et senere tidspunkt og uten prosjektfinansieringen. I mellomtiden må Brønnøysundregistrene forvalte to parallelle registerplattformer.

BRsys er betydelig forsinket

Det kan ta opp mot 20 år fra planene om moderniseringen av registrene i Brønnøysundregistrene startet og fram til alle registrene er overført til BRsys.

Brønnøysundregistrenes lave gjennomføringsevne, tilgang på ekstern kompetanse i Brønnøysund og prosjektets kompleksitet og omfang er hovedgrunner til forsinkelsene i BRsys. Det har vært nødvendig med vesentlige tiltak for å øke framdriften og effektiviteten i prosjektet siden oppstarten i 2017. Tiltakene har imidlertid ikke bidratt til å sikre framdriften i prosjektet.

Brønnøysundregistrene fikk ansvaret for forvaltningen av to kompensasjonsordninger for næringslivet høsten 2020. Begge ordningene er utviklet og forvaltes på ny registerplattform.

Prioriteringen av kompensasjonsordningene for næringslivet og innreisekarantene har ført til ytterligere forsinkelser i BRsys-prosjektet. Kompensasjonsordningene har lagt beslag på om lag to tredjedeler av prosjektets kompetanse, deriblant nøkkelressurser. Dette har bidratt til at flere utviklingsprosesser har blitt satt på vent.

Framover planlegger Brønnøysundregistrene å gjennomføre tjenesteutvikling for eksterne aktører på den nye registerplattformen, og de planlegger å utarbeide et sentralt styringsdokument for prosjektet «Brukervennlige registertjenester» innen utgangen av 2021. En del av omfanget som er kuttet i BRsys-prosjektet, skal etter hvert følges opp utenfor prosjektet. Disse oppgavene vil ha behov for mye av den samme kompetansen som det hittil har vært begrenset tilgang på.

BRsys koster mer enn opprinnelig forutsatt

Styringsrammen i prosjektet er økt med 140 mill. kroner og er på 1,2 mrd. kroner fra 2021. Dette betyr at hele kostnadsrammen i prosjektet benyttes, samtidig som prosjektet planlegger å levere vesentlig mindre enn opprinnelig forutsatt.

Brønnøysundregistrene rapporterer at prosjektet BRsys har vært mindre kostnadseffektivt enn det som var forutsatt i det sentrale styringsdokumentet fra 2015 og i den reviderte framdriftsplanen fra 2019. Tendensen har vært en fallende kostnadseffektivitet gjennom prosjektets løp.

I den eksterne gjennomgangen som ble gjort av konsulentselskapet A-2 Norge AS i 2020, ble det påpekt at BRsys-prosjektet har brukt uforholdsmessig mye ressurser på administrative oppgaver sammenlignet med utviklingsoppgaver i perioden 2017–2019.

Konsulentselskapet KPMG har gjennomgått Brønnøysundregistrenes økonomiske situasjon og rutiner for økonomistyring i 2020. Gjennomgangen viser at 70 ansatte arbeidet i BRsys-prosjektet i 2019, noe som til sammen utgjorde ca. 48 årsverk. Det tilsvarer ett av ti årsverk i etaten, og 41 mill. kroner i lønnsutgifter.

6.1.4 Brønnøysundregistrene forbedrer ikke informasjonssikkerheten i samsvar med Stortingets vedtak og forutsetninger

Brønnøysundregistrene har hatt oppmerksomhet på å forbedre informasjonssikkerheten etter at Riksrevisjonen rapporterte om vesentlige mangler senest i 2015, men det er fortsatt klare svakheter i styringen.

Brønnøysundregistrene

  • har utarbeidet et styringssystem for informasjonssikkerhet, men kravene i systemet er i liten grad operasjonalisert i virksomhetens drift og utviklingsprosjekter

  • kan ikke dokumentere en oversikt over all informasjon og andre verdier som skal beskyttes

  • har et vesentlig etterslep i gjennomføringen av planlagte sikkerhetstiltak

  • har mangelfulle systemer og rutiner for å oppdage og håndtere dataangrep og andre sikkerhetshendelser

  • har ikke prosesser som gir et tilstrekkelig grunnlag for systematisk å evaluere nivået på informasjonssikkerheten og styringssystemets effekt

Svakhetene gjelder for Brønnøysundregistrene generelt og får konsekvenser for informasjonssikkerheten i både den nye registerplattformen og de eksisterende systemene.

Brønnøysundregistrene har identifisert flere risikoer som virksomheten så langt ikke har klart å håndtere. De har derfor utarbeidet et satsingsforslag for 2021–2023 overfor Nærings- og fiskeridepartementet for å utbedre svakheter i informasjonssikkerheten. Bevilgningen til Brønnøysundregistrene i 2021 er økt noe for å ta hensyn til dette arbeidet.

6.1.5 Nærings- og fiskeridepartementet ivaretar ikke kontroll med at Brønnøysundregistrene gjennomfører BRsys-prosjektet og forbedrer informasjonssikkerheten i virksomheten

Flere alvorlige utfordringer i prosjektgjennomføringen har vært kjent for departementet siden prosjektet startet opp i 2017. Utfordringene har vært et tilbakevendende tema i styringsdialogen med Brønnøysundregistrene. Departementets og Brønnøysundregistrenes tiltak har ikke vært tilstrekkelige til å håndtere utfordringene. Riksrevisjonen ser at departementet:

  • har vært kjent med utfordringene i gjennomføringen av BRsys fra oppstarten av prosjektet, men har ikke tilpasset styringen til risikoen

  • ikke endret styringssignalene for BRsys-prosjektet før i 2020 til tross for vesentlige avvik i framdriften og planlagte leveranser i BRsys-prosjektet

  • ikke har satt frister for når de resterende registrene skal være modernisert

  • tildeler flere nye ressurskrevende oppgaver til Brønnøysundregistrene til tross for vesentlige utfordringer med gjennomføringen av BRsys, noe som medfører ytterligere forsinkelser i BRsys

Nærings- og fiskeridepartementet har ikke stilt mål- og resultatkrav til den faktiske sikkerhetstilstanden i Brønnøysundregistrene før i 2020. Virksomheten har sendt en kopi av ledelsens gjennomgang av sikkerhetstilstanden til departementet hvert år. Departementet har heller ikke fulgt opp at Brønnøysundregistrene har gjennomført korrigerende tiltak for å oppnå en forsvarlig internkontroll for informasjonssikkerheten.

Nærings- og fiskeridepartementet rapporterer til Stortinget om manglende framdrift i BRsys-prosjektet for årene 2017–2019. Revisjonen viser imidlertid at rapporteringen om informasjonssikkerheten er mangelfull.

Departementet har ikke kommunisert hvilken betydning manglende framdrift i BRsys har for informasjonssikkerheten i Brønnøysundregistrene. Forsinkelsene fører til at Brønnøysundregistrene må forvalte to parallelle registerplattformer. Dette vil utfordre virksomhetens informasjonssikkerhet ytterligere.

Nedskaleringen av BRsys medfører at utdaterte systemløsninger ikke blir erstattet. Brønnøysundregistrene prioriterer heller ikke å heve nivået på informasjonssikkerheten i de eksisterende løsningene. Dette er ikke synliggjort i rapporteringen til Stortinget. Stortinget har ved to anledninger bedt om å bli orientert om arbeidet med informasjonssikkerheten i Brønnøysundregistrene.

6.1.6 Anbefalinger

Riksrevisjonen anbefaler at Nærings- og fiskeridepartementet

  • pålegger oppgaver og tilpasser styring og kontroll av Brønnøysundregistrene til virksomhetens gjennomføringsevne

  • sørger for at Brønnøysundregistrene forbedrer styringssystemet for informasjonssikkerhet, slik at det blir i samsvar med eForvaltningsforskriften § 15

6.1.7 Statsrådens svar

Den tidligere statsråden var enig i at det er forbedringspunkter innenfor de områdene av Brønnøysundregistrenes virksomhet som Riksrevisjonen har revidert. Statsråden er også enig i Riksrevisjonens anbefalinger om at oppgaver og oppfølging må tilpasses Brønnøysundregistrenes gjennomføringsevne, og at informasjonssikkerhet er viktig også framover.

Statsråden mente imidlertid at Riksrevisjonens undersøkelse har en for ensidig oppmerksomhet om det Brønnøysundregistrene ikke har fått til. Rapporten ga derfor etter hennes mening ikke et dekkende bilde av den faktiske tilstanden i Brønnøysundregistrene.

Prosjekt for ny registerplattform i Brønnøysundregistrene (BRsys)

Statsråden viste til at hun tidligere har orientert Stortinget om at prosjektet BRsys er forsinket og vil levere mindre enn opprinnelig planlagt. Kompleksiteten i prosjektet ble undervurdert, og det har medført at det opprinnelig estimerte omfanget av prosjektet har vist seg å være langt mindre enn det faktiske omfanget av prosjektet. I Prop. 1 S (2020–2021) for Nærings- og fiskeridepartementet ble Stortinget, ifølge statsråden, orientert om status for prosjektet og at regjeringen la til grunn at prosjektet videreføres i en nedskalert versjon. Hun viste til at prosjektet nå omfatter overføring av Løsøreregisteret, Ektepaktregisteret, Foretaksregisteret, Partiregisteret, Frivillighetsregisteret og Enhetsregisteret til ny registerplattform. Overføring av disse registrene utgjør om lag to tredeler av prosjektets opprinnelig omfang. Ifølge statsråden var det overføringen av disse registrene som vil gi størst gevinst ut fra en vurdering av nytte for samfunnet, kostnad og risiko ved videreføring av eksisterende løsninger.

Ifølge statsråden var det gjennom prosjektet så langt etablert en fungerende grunnplattform, som er et nødvendig utgangspunkt for å kunne overføre selve registrene. Denne grunnplattformen er også et godt utgangspunkt for å utvikle nye registre og løsninger. Hun viste til at plattformen er brukt og kommet til nytte i forbindelse med etablering av kompensasjonsordningen for næringslivet og kompensasjonsordningen for utgifter til innreisekarantene. Ifølge statsråden hadde det ikke vært mulig å utvikle og sette kompensasjonsordningene i produksjon på så kort tid uten at registerplattformen allerede var i drift, og uten den funksjonaliteten som er levert i prosjektet. Statsråden viste til at utviklingen av disse ordningene, med bruk av ressurser fra BRsys-prosjektet, har medført at prosjektet har blitt ytterligere forsinket.

Statsråden var uenig med Riksrevisjonens konklusjon om at departementet ikke fører kontroll med at Brønnøysundregistrene gjennomfører prosjektet om etablering av en ny registerplattform. Departementet har fra oppstarten av prosjektet hatt jevnlige møter med Brønnøysundregistrene om status og behov for korrigerende tiltak. I tillegg har prosjektet vært et fast tema på etatsstyringsmøtene. Statsråden skrev at departementet og Brønnøysundregistrene har hatt et godt samarbeid i prosjektperioden, og at de i fellesskap har søkt etter tiltak for å forbedre og optimalisere gjennomføringsevnen i prosjektet.

Arbeid med informasjonssikkerhet

Når det gjelder informasjonssikkerhet, understrekte statsråden at hovedansvaret først og fremst ligger hos Brønnøysundregistrene selv, men at departementet har et overordnet ansvar.

Statsråden opplyste at Brønnøysundregistrene arbeider med informasjonssikkerhet i hele organisasjonen og ikke bare gjennom BRsys-prosjektet. Særlig de senere årene har Brønnøysundregistrene arbeidet målrettet med informasjonssikkerhet og gjennomført en rekke tiltak for å forbedre sikkerheten. De har et høyt ambisjonsnivå som gjenspeiles i etatens handlingsplan for informasjonssikkerhet. Denne handlingsplanen inkluderer alle typer tiltak, av ulik størrelse og kompleksitet. At etaten ikke har gjennomført alle aktuelle tiltak, medfører ikke, ifølge den tidligere statsråden, nødvendigvis at risikoen øker. Det viktigste er at etaten følger med på trusselbildet og prioriterer tiltak basert på risiko.

Statsråden uttalte at omtalen av informasjonssikkerhet i Brønnøysundregistrene med fordel kunne ha vært utvidet i Nærings- og fiskeridepartementets rapportering til Stortinget. Dette var et område statsråden ville følge opp. Hun understrekte imidlertid at Nærings- og fiskeridepartementet har vært tydelig overfor Brønnøysundregistrene om at informasjonssikkerhet skal prioriteres både i BRsys-prosjektet og i etaten som helhet.

6.1.8 Riksrevisjonens uttalelse til statsrådens svar

Riksrevisjonen merker seg at den tidligere statsråden var enig i at det er forbedringspunkter innenfor de områdene av Brønnøysundregistrenes virksomhet som Riksrevisjonen har revidert. Den tidligere statsråden ville følge opp informasjonssikkerheten og understrekte at det også er vesentlig med tett oppfølging av BRsys-prosjektet framover. Statsråden mente imidlertid at undersøkelsen har en for ensidig oppmerksomhet på det Brønnøysundregistrene ikke har fått til.

Riksrevisjonens utgangspunkt for revisjonen var Stortingets forutsetninger for bevilgningen til en ny registerplattform. Alle registertjenestene skulle overføres til ny plattform. Dette var en forutsetning for å modernisere registrene og forbedre informasjonssikkerheten.

Riksrevisjonen konstaterer at Nærings- og fiskeridepartementet fra oppstarten av BRsys-prosjektet i 2017 har mottatt rapportering fra Brønnøysundregistrene om store utfordringer med framdriften i prosjektet. Til tross for dette, ble ikke Stortinget orientert om behovet for å nedskalere prosjektet før høsten 2020. Styringsdokumentene for prosjektet vil ikke være oppdatert før høsten 2021.

Nærings- og fiskeridepartementet peker på at arbeidet med informasjonssikkerhet er et kontinuerlig arbeid. Riksrevisjonen understreker at det har vært utfordringer med informasjonssikkerheten i Brønnøysundregistrene gjennom mange år, med vesentlige forsinkelser og etterslep i arbeidet med nødvendige tiltak. Departementet har ikke fulgt opp Riksrevisjonens tidligere merknader og sørget for forsvarlig informasjonssikkerhet for å beskytte nasjonale registre og tjenester.

Riksrevisjonen vil understreke at det er sterkt kritikkverdig at Nærings- og fiskeridepartementet ikke sikrer at BRsys-prosjektet leverer moderne nasjonale registertjenester og forbedrer informasjonssikkerheten slik Stortinget har forutsatt.

6.1.9 Komiteens merknader

Komiteen viser til at Stortingets føresetnader for løyvinga til ny registerplattform i Brønnøysundregistera var at alle registera skulle verta overførte til ei ny plattform. Plattforma skulle bidra til sikker og effektiv kommunikasjon mellom forvaltninga og verksemdene. Registerplattforma BRsys er det største utviklingsprosjektet i Brønnøysundregistera si historie.

Komiteen støttar Riksrevisjonens vurdering av at det er sterkt kritikkverdig at Nærings- og fiskeridepartementet ikkje har sikra ei ny registerplattform i Brønnøysundregistera (BRsys) som vert levert i tråd med Stortingets vedtak og føresetnader. BRsys leverer mindre, er betydeleg forseinka og kostar meir enn opprinneleg føresett. Ei plattform med fellesfunksjonalitet for dei nye registertenestene vart i hovudsak ferdigstilt i 2020, men ingen register er leverte ved utgangen av 2020. Gjennomføringsevna til Brønnøysundregistera er lav, og departementet gjev Brønnøysundregistera nye og ressurskrevjande oppgåver som fører til meir forseinking i BRsys-prosjektet.

Komiteen viser vidare til at Riksrevisjonen i rapporteringa til Stortinget gjennom fleire år har peikt på store utfordringar med informasjonstryggleiken i Brønnøysundregistera. Prosjektet BRsys skal modernisere registera og er det langsiktige tiltaket for å nå akseptabel risiko og ynskt tryggleiksnivå i etaten. Sjølv om Brønnøysundregistera har hatt merksemd på å forbetre informasjonstryggleiken, er det klåre svakheiter i styringa.

Komiteen peiker på at Nærings- og fiskeridepartementet ikkje har endra styringssignala før i 2020 på tross av vesentlege avvik i framdrift og planlagte leveransar i BRsys-prosjektet. Departementet har heller ikkje følgt opp at Brønnøysundregistera har gjort korrigerande tiltak for å oppnå forsvarleg internkontroll av informasjonstryggleiken. I departementet si rapportering til Stortinget i perioden 2017–2019 er det ikkje kommunisert godt nok at drift og utvikling av to parallelle registerplattformer vil utfordre Brønnøysundregistera si gjennomføringsevne og informasjonstryggleik ytterlegare.

Komiteen merkar seg at den tidlegare næringsministeren erkjenner at kompleksiteten i prosjektet vart undervurdert. Omfanget av prosjektet slik det opphavleg var estimert, har vist seg å vere langt mindre enn det faktiske omfanget. Den tidlegare ministeren uttaler at omtalen av informasjonstryggleik i Brønnøysundregistera med fordel kunne ha vore utvida i Nærings- og fiskeridepartementets rapportering til Stortinget. Den tidlegare statsråden uttalte at ho ville følgje dette opp.

Komiteen støttar Riksrevisjonens anbefalingar om at Nærings- og fiskeridepartementet skal:

  • påleggje oppgåver og tilpassa styring og kontroll av Brønnøysundregistera til gjennomføringsevna i verksemda

  • syte før at Brønnøysundregistera forbetrar styringssystemet for informasjonstryggleik, slik at det vert i tråd med eForvaltningsforskrifta § 15

Komiteen understrekar at når Nærings- og fiskeridepartementet sidan oppstarten av BRsys-prosjektet i 2017 har motteke rapportering frå Brønnøysundregistera om store utfordringar med framdrifta i prosjektet, må departementet gjera meir aktive grep enn å ta saka opp i møte. Komiteen stiller spørsmål ved kvifor departementet har gjeve Brønnøysundregistera nye og ressurskrevjande oppgåver samstundes som departementet kjende til den lave gjennomføringsevna i verksemda. Når det viser seg at det faktiske omfanget av prosjektet er større enn opphavleg estimert, må departementet vurdere kostnadsramma og planane for prosjektet på nytt.

Komiteen meiner at når informasjonstryggleiken i Brønnøysundregistera over tid ikkje er god nok, er dette eit omsyn departementet må ta med i krav til prosjekta og i styringa av verksemda. Komiteen føreset at departementet framover sørger for rett rapportering til Stortinget om framdrifta og kostnadene i prosjektet og om informasjonstryggleiken i verksemda.

6.2 Finansdepartementet og Skatteetaten sikrer ikke i tilstrekkelig grad at regelverket for merverdiavgiftskompensasjon blir etterlevd og at kompensasjonen blir riktig utbetalt

6.2.1 Konklusjoner

Konklusjon

Riksrevisjonen mener det er kritikkverdig at Finansdepartementets og Skatteetatens samlede virkemiddelbruk ikke i tilstrekkelig grad sikrer at kompensasjon blir riktig utbetalt i tråd med regelverket for merverdiavgiftskompensasjon til kommunesektoren og interkommunale selskaper. Ekstern revisors kontroll bidrar i liten grad til å forebygge feilaktige utbetalinger.

Riksrevisjonen mener at

  • Finansdepartementet og Skatteetaten ikke har avklart og fortolket regelverket for merverdiavgiftskompensasjon i tilstrekkelig grad for å hindre uberettigede utbetalinger til kommunesektoren og interkommunale selskaper

  • Skatteetatens kontroller i liten grad bidrar til å redusere risikoen for feilutbetaling av merverdiavgiftskompensasjon

  • ekstern revisors attestasjon og kontroll av kompensasjonskravene ikke sikrer riktig utbetaling av kompensasjon og ikke avlaster Skatteetatens kontrollbehov

6.2.2 Utdyping av konklusjoner

Merverdiavgiftskompensasjonsloven ble innført 1. januar 2004. Formålet med loven er å motvirke konkurransevridninger som følge av merverdiavgiftssystemet. Kommuner, fylkeskommuner og visse private og ideelle virksomheter kan søke om kompensasjon for merverdiavgift ved kjøp av varer og tjenester fra registrerte næringsdrivende.

Når offentlige virksomheter velger egenproduksjon framfor kjøp for å unngå merverdiavgiften, kan avgiften ha konkurransevridende virkning.

Merverdiavgiftssystemet gir offentlige virksomheter økonomisk motiv til å unngå merverdiavgift ved å produsere avgiftspliktige tjenester med egne ansatte i stedet for å kjøpe dem fra private leverandører. Dette skyldes at store deler av offentlig sektor er utenfor merverdiavgiftssystemet og ikke får trekke fra inngående merverdiavgift på sine innkjøp.

Denne revisjonen er avgrenset til å omfatte merverdiavgiftskompensasjon til kommuner og fylkeskommuner, samt interkommunale og interfylkeskommunale sammenslutninger (offentlige virksomheter). I 2020 utbetalte Skatteetaten i overkant av 27 mrd. kroner i merverdiavgiftkompensasjon til disse offentlige virksomhetene.

Den enkelte skattepliktige fastsetter selv grunnlaget for merverdiavgiftskompensasjon. Før den skattepliktige kan sende inn kravet, skal ekstern revisor kontrollere og attestere at kravet er korrekt. Revisors attestasjonsoppdrag skal sikre korrekt utbetaling av merverdiavgiftskompensasjon, og skal avlaste Skatteetatens kontrollbehov.

Skatteetaten bruker flere virkemidler for å bidra til at utbetaling av kompensasjon er korrekt beregnet og i tråd med regelverket. Kontroll er det sterkeste virkemidlet Skatteetaten har for å bidra til å forebygge og avdekke skatte- og avgiftsunndragelser. Etaten skal også gi veiledning i forbindelse med innlevering av pliktige oppgaver når skattepliktige ber om det. I tillegg holder Skatteetaten informasjonskampanjer og kursvirksomhet og gjennomfører informasjonsbesøk.

Regelverket for merverdiavgiftskompensasjon er komplekst, og i mange tilfeller er det utfordrende for brukerne å vite hvilke krav som omfattes av ordningen. Både Finansdepartementet og Skatteetaten skal avklare og fortolke regelverket for å sikre at merverdiavgiftskompensasjon blir utbetalt riktig.

Skatteetaten legger vekt på de samlede effektene av virkemidlene som etaten bruker, og ønsker å gjøre det enkelt å etterleve skatte- og avgiftsregelverket ved å veilede, informere og sikre avklaring så tidlig som mulig for å unngå feilutbetalinger.

Målet med revisjonen har vært å kontrollere om Finansdepartementet og Skatteetaten følger opp kompensasjonsordningen for merverdiavgift for å sikre at regelverket etterleves, og at Stortingets forventninger om korrekte utbetalinger innfris.

Saken er presentert i en egen rapport som følger som vedlegg til Dokument 1 (2021–2022).

6.2.3 Finansdepartementet og Skatteetaten har ikke avklart og fortolket regelverket for merverdiavgiftskompensasjon i tilstrekkelig grad for å hindre uberettigede utbetalinger til kommunesektoren og interkommunale selskaper

Kommunale offentlige virksomheter oppfatter regelverket for merverdiavgiftskompensasjon som komplisert, noe som gjør det vanskelig å etterleve reglene i tråd med intensjonene. Regelverksavklaringer og -fortolkninger er viktige virkemidler for å sikre at kompensasjon blir riktig utbetalt.

Finansdepartementet og Skatteetaten har flere ganger avklart og fortolket regelverket for kommunesektoren. Finansdepartementet vurderer at regelverket for merverdiavgiftskompensasjon for det offentlige framstår som rimelig klart, men at det på noen områder er uklare grenser for retten til kompensasjon for offentlige virksomheter, og at dette potensielt kan utgjøre vesentlige beløp. På disse områdene kan det være uenigheter i fortolkninger mellom Skatteetaten og kommunesektoren, og dermed utfordrende å anvende de konkrete rettsreglene. Skatteetaten finner gjennom sin kontroll av skattemeldinger fortsatt feil på områder hvor regelverket er avklart og fortolket.

Flere fylkeskommuner og kommuner oppgir at de ikke oppfatter regelverket som forståelig, og at de heller ikke har god nok tilgang til relevante rettsavklaringer.

6.2.4 Skatteetatens kontroll bidrar i liten grad til å redusere risikoen for feil utbetaling av merverdiavgiftskompensasjon

Kommuner, fylkeskommuner og interkommunale sammenslutninger fastsetter selv grunnlaget for merverdiavgiftskompensasjon ved å levere skattemelding til Skatteetaten annenhver måned. Kompensasjonen utbetales innen tre uker etter mottak av meldingen. Skatteetaten kontrollerer disse meldingene før og etter utbetaling for å sikre at riktig kompensasjon blir utbetalt. Uberettiget utbetalt kompensasjon skal tilbakebetales. Dette betyr at kommuner, fylkeskommuner og interkommunale sammenslutninger kan få tilbakebetalingskrav som kan få negativ innvirkning på deres økonomi.

Skatteetaten har selv vurdert at risikoen for feil i kommunal sektor er størst for krav knyttet til kulturhus, infrastruktur, kommunale boliger og flerbruksbygg. Til tross for dette, er Skatteetatens kontroller i liten grad rettet mot disse områdene.

Skatteetaten har i 2019 og 2020 kontrollert mellom én og to pst. av skattemeldingene fra offentlige virksomheter etter at kompensasjonen er utbetalt. Bare deler av kravet i disse meldingene er kontrollert. Skatteetaten har funnet feil i over halvparten av disse kontrollene. I tillegg uttaler flere kommuner og fylkeskommuner at regelverket for merverdiavgiftskompensasjon er komplisert. Det er derfor stor risiko for feilaktige utbetalinger også blant de meldingene som ikke er kontrollert.

6.2.5 Ekstern revisors attestasjon og kontroll av kompensasjonskravene sikrer ikke riktig utbetaling av kompensasjon og avlaster ikke Skatteetatens kontrollbehov

Offentlige virksomheter fastsetter selv grunnlaget for merverdiavgiftskompensasjon. Ekstern revisor attesterer at enheten er omfattet av kompensasjonsordningen, og at beløp skatteyter har oppgitt i skattemeldingen, er kompensasjonsberettiget. På denne måten kan revisors kontroll bidra til å redusere risikoen for feilutbetalinger og avlaste Skatteetatens kontrollbehov.

Skatteetatens kontroller avdekker for mye utbetalt kompensasjon i de fleste skattemeldingene de har kontrollert. Det skjer til tross for at revisor har attestert at kravet er kompensasjonsberettiget i henhold til lov og forskrift om merverdiavgiftskompensasjon. Skatteetaten og Norges Kommunerevisorforbund har ikke hatt god nok dialog for å klargjøre revisors ansvar og oppgaver knyttet til attestasjonsoppdraget.

6.2.6 Anbefalinger

Riksrevisjonen anbefaler Finansdepartementet å følge opp at

  • Skatteetaten går i dialog med Norges Kommunerevisorforbund for å klargjøre revisors ansvar og oppgaver knyttet til attestasjonsoppdraget.

  • Skatteetaten i større grad innretter kontrollen mot områder der de selv vurderer risikoen for feil som størst.

Videre anbefaler Riksrevisjonen at

  • Finansdepartementet og Skatteetaten fortsatt vektlegger arbeidet med å avklare og fortolke regelverket for å sikre riktige utbetalinger.

6.2.7 Statsrådens svar

Den tidligere statsråden merket seg at Riksrevisjonen konkluderer med at Finansdepartementets og Skatteetatens samlede virkemiddelbruk ikke i tilstrekkelig grad sikrer at kompensasjon blir riktig utbetalt i tråd med regelverket for merverdiavgiftskompensasjon til kommunesektoren og interkommunale selskaper.

Statsråden viste i sitt svar til at ordningen med merverdiavgiftskompensasjon ikke er en støtteordning, men et virkemiddel for å nøytralisere virkningen av merverdiavgiften på kommunenes valg mellom å tilby avgiftspliktige tjenester i egenregi og å kjøpe dem eksternt. Likevel vil den enkelte kommune være tjent med å få både sine drifts- og investeringsanskaffelser innenfor ordningen for å unngå kostnaden som følger av merverdiavgiften. Dette utfordrer avgrensningene i ordningen, og det har resultert i til dels betydelig tolkningstvil om kompensasjonsrettens omfang på enkelte områder.

Ifølge den tidligere statsråden prioriterer både Finansdepartementet og Skatteetaten å avklare regelverket for merverdiavgiftskompensasjons høyt. Samtidig har Skatteetaten opplyst at kommunene har behov for mer veiledning og flere rettsavklaringer. Skatteetaten vil derfor framover legge økt vekt på å avgi og publisere prinsipielle uttalelser i dialog med departementet. Etaten vil også ha økt oppmerksomhet på rettsavklaringer gjennom å publisere konkrete rettsavgjørelser, herunder å løpende oppdatere Merverdiavgiftshåndboken mv. I tillegg vil Skatteetaten legge større vekt på å gi veiledning, forbedre og oppdatere informasjon om regelverket på etatens hjemmesider, og gjennomføre informasjonsmøter med berørte aktører.

Statsråden opplyste at Skatteetaten legger vekt på å kontrollere områder med kjent risiko. Kontroller med høy risiko gjelder imidlertid ofte saker med omfattende dokumentasjon, og derav lang saksbehandlingstid. Statsråden viste videre til at kontrollområder med høy risiko ble tatt ut til kontroll i 2020, men at disse kontrollene enten er ferdigstilt i 2021 eller fremdeles pågår. Kontrollene framkommer derfor ikke på Skatteetatens oversikt over gjennomførte kontroller i 2020.

Statsråden var enig med Riksrevisjonen i at det kan være hensiktsmessig at Skatteetaten på ny går i dialog med Norges Kommunerevisorforbund for å klargjøre revisors ansvar og oppgaver knyttet til attestasjonsoppdraget. Statsråden opplyste at Skatteetaten allerede har planlagt mer dialog med revisorer og kommuneøkonomer. Etaten vil invitere Norges Kommunerevisorforbund til dialog for å bidra til en felles forståelse av kontrollhandlingene som skal ligge til grunn for revisors attestasjon. Skatteetaten vil også iverksette informasjonstiltak om revisors ansvar og konsekvenser av mangelfull revisjon og attestasjon overfor relevante aktører.

6.2.8 Riksrevisjonens uttalelse til statsrådens svar

Riksrevisjonen har ingen ytterligere kommentarer.

6.2.9 Komiteens merknader

Komiteen viser til at Riksrevisjonen finner det kritikkverdig at Finansdepartementet og Skatteetatens samlede virkemidler ikke i tilstrekkelig grad sikrer riktig utbetaling av merverdiavgiftskompensasjon til kommunesektoren og interkommunale selskaper. Ordningen er et virkemiddel for å nøytralisere virkningen av merverdiavgiften på kommunenes valg mellom å tilby avgiftspliktige tjenester i egenregi og å kjøpe dem eksternt.

Komiteen merker seg den tidligere statsrådens svar om at den enkelte kommune vil være tjent med å få både drifts- og investeringsanskaffelser innenfor ordningen. Den tidligere statsråden peker på at dette utfordrer avgrensningene i ordningen og har medført tolkningstvil om ordningens omfang på enkelte områder. Komiteen registrerer at det er høyt prioritert både i Finansdepartementet og Skatteetaten å avklare regelverket for merverdiavgiftskompensasjon, og at det fremtidig vil legges økt vekt på rettsavklaringer og veiledende tiltak. Komiteen viser til at Riksrevisjonen anbefaler en fortsatt vektlegging av arbeidet med å avklare og fortolke regelverket, og støtter denne og Riksrevisjonens øvrige anbefalinger i saken.

6.3 Universitets- og høyskolesektoren gjør ikke nok for å sikre at forskning skjer i henhold til forskningsetiske normer og regler

6.3.1 Konklusjoner

Konklusjon

Riksrevisjonen mener det er kritikkverdig at de statlige forskningsinstitusjonene i universitets- og høyskolesektoren ikke gjør nok for å sikre at forskningen skjer i henhold til lov om organisering av forskningsetisk arbeid (forskningsetikkloven) og anerkjente forskningsetiske normer og regler.

Riksrevisjonen mener at

  • forskningsinstitusjonene ikke har etablert systemer som legger til rette for at alle ansatte som arbeider med forskning, får tilstrekkelig opplæring

  • forskningsinstitusjonene ikke har gode nok systemer for å sikre at mulige brudd på anerkjente forskningsetiske normer blir oppdaget, behandlet og rapportert

6.3.2 Utdyping av konklusjoner

Målet med revisjonen har vært å kontrollere om de statlige forskningsinstitusjonene i universitets- og høyskolesektoren (UH-sektoren) har lagt til rette for og sikret at forskningen skjer i henhold til forskningsetikkloven og anerkjente forskningsetiske normer og regler. Forskningsinstitusjonene skal videre legge til rette for at forskerne enkelt kan følge god praksis, og ha et system for å avsløre og behandle eventuelle brudd på gode forskningsetiske normer.

Manglende etterlevelse av normer og krav til forskningsetikk kan ha stor betydning for kvaliteten på og troverdigheten til forskningen. Konsekvensen av at ansatte ikke får god nok opplæring eller ikke er kjent med institusjonens meldesystemer, kan være at det blir vanskelig for den enkelte forsker å oppfylle sin egen aktsomhetsplikt og å vite hva som skal vurderes som mulig brudd, og hvordan det skal meldes/varsles. Uklare retningslinjer kan føre til at saker som blir behandlet og avsluttet på et lavere nivå i institusjonen, ikke blir rapportert til virksomhetens ledelse og/eller videre til Granskingsutvalget. Det kan medføre at mulige alvorlige brudd ikke blir oppdaget, og at nødvendige tiltak og forbedringer ikke blir gjennomført.

De nasjonale forskningsetiske komiteene (FEK) og Granskingsutvalget

De nasjonale forskningsetiske komiteene (FEK) ble oppnevnt av Kunnskapsdepartementet i 1990. FEK skal bidra til at forskning i offentlig og privat regi skjer i henhold til anerkjente etiske normer.

Granskingsutvalget, som er en del av FEK, er en nasjonal ressurs som skal veilede forskningsinstitusjonene i behandling av uredelighetssaker. Forskningsinstitusjonene skal rapportere til utvalget om behandlingen av alle saker som gjelder mulige alvorlige brudd på anerkjente forskningsetiske normer/uredelighet. Utvalget fungerer som klageinstans i saker der institusjonene har konkludert med vitenskapelig uredelighet, og kan også iverksette gransking på eget initiativ. Granskingsutvalgets uttalelser er endelige og kan ikke påklages.

De 21 statlige forskningsinstitusjonene i UH-sektoren omfattes av revisjonen.

Saken er presentert i en egen rapport som følger som vedlegg til Dokument 1 (2021–2022).

6.3.3 Forskningsinstitusjonene har ikke etablert systemer som legger til rette for at alle ansatte som arbeider med forskning, får tilstrekkelig opplæring

Forskningsinstitusjonene har ikke fastsatt og dokumentert hvilken opplæring som er nødvendig for alle ansatte som arbeider med forskning. De fleste har kun dokumentert nødvendig opplæring for doktorgradskandidater og studenter.

Dersom institusjonene skal kunne sikre at alle som utfører eller deltar i forskningen, er kjent med anerkjente forskningsetiske normer, vil det være nødvendig å ha oversikt over opplæringsbehovet. Forskningsinstitusjonene har ikke etablert et system som viser at alle som utfører eller deltar i forskningen, er kjent med anerkjente forskningsetiske normer. Opplæringen er ivaretatt og satt i system for studenter og kandidater gjennom studieplanen, men ikke for alle andre ansatte.

6.3.4 Forskningsinstitusjonene har ikke gode nok systemer for å sikre at mulige brudd på anerkjente forskningsetiske normer blir oppdaget, behandlet og rapportert

For at forskningsinstitusjonene skal kunne saksbehandle mulige brudd og eventuelt rapportere til Granskingsutvalget, er det en forutsetning at mulige brudd blir avdekket.

Institusjonene har et ansvar for å utvikle et system for kvalitetssikring slik at de avdekker og har prosedyrer for å behandle saker om mulige brudd på forskningsetiske normer. Undersøkelsen viser at forskningsinstitusjonene har svakheter når det gjelder

  • kvalitetssikringssystemer for forskning

  • retningslinjene for saksbehandling av mulige brudd

  • rapporteringen av saker til Granskingsutvalget

Arbeidet med å avdekke mulige brudd er varierende. Elleve forskningsinstitusjoner oppgir at de har tatt i bruk et system for kvalitetssikring eller verktøy som er egnet for å avdekke mulige brudd. Det er derimot uklart hvordan ti av institusjonene gjennomfører kvalitetssikring av egen forskning for å avdekke mulige brudd på forskningsetiske normer.

14 av 21 forskningsinstitusjoner har mangelfulle retningslinjer for behandling av saker om mulige brudd, hvorav 3 institusjoner ikke har utarbeidet retningslinjer. Bare sju institusjoner har inkludert alle de pålagte kravene i sine beskrivelser av saksbehandlingen.

Det er mangler ved rapporteringen av mulige alvorlige brudd til Granskingsutvalget. Bare fire institusjoner har tydelige retningslinjer som viser at rapporteringsplikten til Granskingsutvalget gjelder for alle mulige alvorlige brudd, uavhengig av hvem som har behandlet saken. For 14 institusjoner er det i retningslinjene uklart om saker som behandles og avsluttes på et lavere nivå i institusjonen, blir rapportert videre. Én institusjon viser i svarbrevet til at de bare rapporterer saker der det er konkludert med alvorlige brudd. Dette samsvarer med Granskingsutvalgets erfaring at flere av institusjonene tror de skal rapportere først når sakens konklusjon er klar. Det er imidlertid saker om mulige alvorlige brudd og ikke konklusjoner som skal rapporteres.

Institusjonenes plikt til å rapportere om mulige brudd avhenger av alvorlighetsgraden, og Granskingsutvalget viser til at det kan være vanskelig å vurdere bruddenes alvorlighet. Ulik vurdering av likelydende saker mellom og innad i institusjonene kan fører til ulik rapportering til Granskingsutvalget. Dette kan føre til at utvalget ikke får nødvendig kjennskap til uredelighetsaker og praksis hos institusjonene. Dette vil igjen kunne påvirke utvalgets oppgave som etterprøvende instans og utvalgets veiledende rolle overfor institusjonene.

6.3.5 Anbefalinger

Riksrevisjonen anbefaler Kunnskapsdepartementet å

  • påse at institusjonene sikrer at alle ansatte som arbeider med forskning, får tilstrekkelig opplæring

  • påse at institusjonene etablerer systemer som sikrer at mulige brudd på anerkjente forskningsetiske normer blir oppdaget og behandlet

6.3.6 Statsrådens svar

Den tidligere statsråden viste til at forskningsinstitusjoner skal sikre at forskningen ved institusjonen skjer i henhold til anerkjente forskningsetiske normer. Dette omfatter blant annet å sikre at kandidater og ansatte får nødvendig opplæring. Kunnskapsdepartementet vil understreke dette ansvaret i forbindelse med tildelingsbrevene til statlige universiteter og høyskoler for 2022. Departementet vil også be institusjonene om å rapportere om de har etablert systemer for å sikre at mulige brudd på anerkjente forskningsetiske normer blir oppdaget og behandlet. Dette skal omtales i årsrapporten for 2022. Departementet vil følge opp eventuelle avvik og mangler rundt dette i styringsdialogen med den enkelte institusjon.

Kunnskapsdepartement vil også arbeide videre med problemstillinger om tillit til forskningsbasert kunnskap. Dette inkluderer forskningsetiske problemstillinger i revideringen av langtidsplanen for forskning og høyere utdanning.

6.3.7 Riksrevisjonens uttalelse til statsrådens svar

Riksrevisjonen har ingen ytterligere kommentarer.

6.3.8 Komiteens merknader

Komiteen vil understreke viktigheten av at all forskning skjer i tråd med anerkjente forskningsetiske normer. Dette er avgjørende for å sikre tillit til de resultater som presenteres.

Riksrevisjonens undersøkelse avdekker betydelige svakheter i de statlige forskningsinstitusjonenes rutiner for å sikre at normene ligger til grunn for forskningen. Det gjelder manglende systemer for å sikre relevant opplæring av alle ansatte. Videre mangler rutiner for avdekking og registrering av brudd på de forskningsetiske normene. Det er også avdekket mangler ved institusjonenes rapportering av mulige brudd til Granskingsutvalget.

Komiteen støtter Riksrevisjonens anbefaling til Kunnskapsdepartementet om å påse at institusjonene sikrer at alle ansatte som arbeider med forskning, får tilstrekkelig opplæring, og påse at institusjonene etablerer systemer som sikrer at mulige brudd på anerkjente forskningsetiske normer blir oppdaget og behandlet.

6.4 Mangler ved universiteters og høyskolers budsjettering og dokumentasjon av kostnader i bidrags- og oppdragsprosjekter

6.4.1 Konklusjoner

Konklusjon

Riksrevisjonen mener det er kritikkverdig at universiteter og høyskoler i liten grad sikrer at reelle kostnader blir belastet bidrags- og oppdragsprosjektene.

Riksrevisjonen mener at

  • det er vesentlige mangler ved virksomhetenes budsjettering og dokumentasjonen som ligger til grunn for prosjektregnskapene

  • virksomhetene ikke har sikret i tilstrekkelig grad at bidragsprosjekter styrker fagutviklingen i virksomhetene

6.4.2 Utdyping av konklusjoner

Målet med revisjonen har vært å kontrollere om universiteter og høyskoler sikrer at behandling av kostnader i bidrag- og oppdragsprosjekter (BOA-prosjekter) er i tråd med gjeldende regelverk. Dette innebar å kontrollere om universiteter og høyskoler sikrer at det ikke foregår kryssubsidiering.

Kryssubsidiering vil si at inntekter fra én aktivitet benyttes til å finansiere en annen aktivitet. Dette kan medføre at virksomhetene har færre midler å benytte for å løse sine øvrige oppgaver. Videre kan kryssubsidiering skade konkurransen i markedet ved at virksomheter i universitet- og høyskolesektoren tilbyr for eksempel forskning til en lavere pris enn sine konkurrenter. For å unngå kryssubsidiering er det viktig å identifisere og dokumentere alle kostnader i bidrags- og oppdragsprosjekter.

Den største kostnaden i prosjekter er ofte relatert til tidsbruk. Tidsbruk på prosjektene er grunnlag for beregning av lønnsrelaterte kostnader og prosjektenes andel av felleskostnader som for eksempel husleie og kontormateriell. Hvis det mangler dokumentasjon av tidsbruk i prosjektene, kan ikke virksomhetene identifisere og dokumentere at alle kostnadene er korrekt belastet prosjektene. Når det ikke er budsjettert med en rimelig fortjeneste i oppdragsprosjekter, kan dette også skade konkurransen i markedet. Manglende vurdering av faglig interesse gir risiko for at statlig bevilgning benyttes til aktiviteter som ikke er forankret i virksomhetens styre og ledelse.

Det er til sammen 21 statlige universiteter og høyskoler. De ti universitetene og høyskolene med høyest inntekt fra bidrags- og oppdragsprosjekter er omfattet av revisjonen.

Saken er presentert i en egen rapport som følger som vedlegg til Dokument 1 (2021–2022).

6.4.3 Det er vesentlige mangler ved virksomhetenes budsjettering og dokumentasjonen som ligger til grunn for prosjektregnskapene

Ni av ti universiteter og høyskoler har ikke etablert et system for å sikre at alle lønnskostnader og indirekte kostnader blir korrekt belastet det enkelte prosjektet.

Kostnader som følge av tidsbruk er ikke tilstrekkelig dokumentert med timelister eller annen dokumentasjon i 55 av 59 kontrollerte prosjekter. Uten slik dokumentasjon er det uvisst om oppdragsprosjekter er subsidiert med statlig bevilgning, og om egenfinansiering av bidragsprosjekter er som planlagt.

11 av 30 kontrollerte oppdragsprosjekter er ikke budsjettert med en fortjeneste. Budsjettene for de 19 andre oppdragsprosjektene inneholder en fortjeneste. Riksrevisjonen har ikke vurdert om fortjenesten som er beregnet på oppdragsprosjektene, er rimelig. Dersom oppdragsprosjekter ikke budsjetteres med en rimelig fortjeneste, kan det medføre at virksomheter i UH-sektoren kan tilby konkurranseutsatte tjenester til en lavere pris enn markedspris.

For å unngå kryssubsidiering når et oppdragsprosjekt går med underskudd, skal underskuddet regnskapsmessig belastes virksomhetens opptjente virksomhetskapital og ikke bevilgningen. Universitetene og høyskolene har i stor grad avsluttet oppdragsprosjekter med underskudd mot virksomhetskapital slik regelverket krever. 39 av 40 kontrollerte oppdragsprosjekter med underskudd er avsluttet korrekt mot virksomhetskapital.

6.4.4 Virksomhetene har ikke i tilstrekkelig grad sikret at bidragsprosjekter styrker fagutviklingen i virksomhetene

Det foreligger ikke dokumentert vurdering av faglig interesse slik reglementet krever. Det viser 13 av 27 kontrollerte bidragsprosjekter.

Vurdering av faglig interesse og forankring i virksomhetens strategi er vesentlig i tilfeller der virksomhetene delfinansierer prosjekter. Slike vurderinger vil kunne dokumentere at virksomhetens bevilgning ikke benyttes til finansiering av prosjekter som ligger utenfor virksomhetens strategi.

6.4.5 Anbefalinger

Riksrevisjonen anbefaler Kunnskapsdepartementet

  • å påse at universiteter og høyskoler sørger for å budsjettere oppdragsprosjekter med en rimelig fortjeneste

  • å påse at universiteter og høyskoler sikrer at reelle kostnader basert på faktisk tidsbruk legges til grunn i prosjektregnskapene

  • å påse at universiteter og høyskoler sikrer at bidragsprosjekter styrker fagutviklingen i virksomhetene og er forankret i strategien

6.4.6 Statsrådens svar

Den tidligere statsråden hadde en klar forventning om at den enkelte institusjon beregner en rimelig fortjeneste i oppdragsprosjekter, i henhold til kravene i veilederen til reglement om statlige universiteter og høyskolers forpliktende samarbeid og erverv av aksjer. Departementet vil på egnet måte presisere overfor statlige universiteter og høyskoler at det skal beregnes en rimelig fortjeneste på oppdragsprosjekter, og at dette må dokumenteres og være etterprøvbart.

Den tidligere statsråden var enig med Riksrevisjonen i at det er de reelle kostnadene som skal legges til grunn i bidrags- og oppdragsprosjekter. Departementet vil presisere overfor statlige universiteter og høyskoler at direkte og indirekte kostnader i prosjekter må være reelle, dokumenterbare og etterprøvbare. Ifølge statsråden var det etter dagens regelverk ikke noe krav om at vitenskapelig ansatte skal føre fullstendige timelister, eller at påløpte personalkostnader skal dokumenteres ved tidsregistrering, med mindre dette er et krav fra bidrags- eller oppdragsgiver. Etter statsrådens vurdering var det tilstrekkelig å dokumentere personalkostnader på annen egnet måte.

Dersom statlige universiteter og høyskoler skal delfinansiere bidragsfinansiert aktivitet med bevilgning, skal institusjonen vurdere om prosjektet har faglig interesse. Det skal dokumenteres at en slik vurdering er gjennomført for det enkelte bidragsprosjektet. Departementet vil på egnet måte presisere overfor statlige universiteter og høyskoler at de må dokumentere disse vurderingene.

6.4.7 Riksrevisjonens uttalelse til statsrådens svar

Riksrevisjonen har ingen ytterligere kommentarer.

6.4.8 Komiteens merknader

Komiteen viser til at Riksrevisjonens kontroll med at universiteter og høyskoler sikrer at kostnader ved bidrags- og oppdragsprosjekter er i tråd med gjeldende regelverk, har avdekket at virksomhetene bare i liten grad ivaretar dette hensynet. Som eksempler vises det til at bare én av ti høyskoler og universiteter har etablert et system for å sikre at alle lønnskostnader og indirekte kostnader blir korrekt belastet det enkelte prosjekt, og at 11 av 30 kontrollerte oppdragsprosjekter ikke er budsjettert med fortjeneste.

Komiteen understreker at manglende oppfølging av regelverket fører til fare for kryssubsidiering, utfordringer med å dokumentere reelle kostnader og utilstrekkelig dokumentasjon på at bidragsprosjektene er av faglig interesse og i tråd med virksomhetenes strategi. Komiteen peker på at forutsetningen for universiteters og høgskolers frie økonomiske stilling med mulighet for egne inntekter er at skillet mellom bevilgningsfinansiert og oppdragsfinansiert virksomhet ivaretas gjennom oppfølging av regelverket.

Komiteen har merket seg at den tidligere statsråden var enig i Riksrevisjonens vurderinger og vil følge opp saken.

Førre kapittel
Neste kapittel