I forbindelse med revisjonen av Brønnøysundregistrenes
regnskap for 2002 har Riksrevisjonen kontrollert oppfølgingen
av en del forhold som ble påpekt under revisjonen utført
i 2001 som gjaldt den generelle IKT-sikkerheten. Det ble konstatert
at en rekke svakheter som ble avdekket i 2001, ennå ikke
var tilfredsstillende rettet opp. I brev til virksomheten ble det
blant annet påpekt
– at det
ikke er utarbeidet en katastrofe-/avbruddsplan som skal
sikre at virksomheten kan opprettholde de mest kritiske delene av
sin virksomhet dersom en langvarig driftsstans, eventuelt katastrofesituasjon,
skulle inntreffe
– at alle systemkonsulenter i
Avdeling for informasjonssystemer har tilgang til Brønnøysund-registrenes
sentrale databaser via felles brukeridentifikasjon og passord til
databasestyrings-systemet. Dette innebærer at samtlige,
uten sporbarhet til den enkelte, kan foreta registrering, sletting
eller endring av registerinformasjon
– at ansvaret for overvåkingen
av IKT-sikkerheten ikke er tilstrekkelig formalisert. Videre var
det ikke etablert retningslinjer for hvordan informasjon om endringer
i regler og retningslinjer som angår IKT-sikkerheten, skal
formidles til de ansatte, eller retningslinjer for hvordan brudd
på IKT-sikkerhetsbestemmelser skulle rapporteres
Departementet har i sitt svarbrev tatt utgangspunkt
i Regjeringens fremlegg av Nasjonal strategi for informasjonssikkerhet.
Ett av de prioriterte tiltakene i strategien er å lage
et felles sett med kriterier som gjør det mulig å identifisere
samfunnskritisk IKT-infrastruktur og systemer. Utviklingen av disse
kriteriene vil legge viktige føringer på IKT-arbeidet
ved Brønnøysundregistrene.
Når det gjelder manglende katastrofe-/avbruddsplan, uttaler
departementet at beredskap mot avbrudd og mot samfunnsmessige konsekvenser
av avbrudd må innarbeides i en generell risiko- og sårbarhetsanalyse.
Virksomheten og departementet samarbeider om et prosjekt for en
bred risiko- og sårbarhetsanalyse ("Sikkerhets- og beredskapsplan
ved Brønnøysundregistrene").
Departementet uttaler at tilgangsrettighetene
til virksomhetens databasestyringssystem må ses som en
integrert del av en IKT-sikkerhetspolicy.
Brønnøysundregistrene er bedt
om å prioritere arbeidet med å utarbeide gode
rutiner og sikkerhetstiltak knyttet til tilgangsrettigheter osv.,
men føringer på det konkrete innholdet i rutinene
er ikke gitt. Arbeidet med en forundersøkelse er startet
opp.
Departementet uttaler at Brønnøysundregistrene
har prioritert arbeidet med overvåking av IKT-sikkerheten og
oppbygging av nødvendig dokumentasjon, men at det på grunn
av andre høyere prioriterte arbeidsoppgaver likevel ikke
vil være ferdigstilt innen utgangen av 2003. Brønnøysundregistrene
er bedt om å prioritere arbeidet. Departementet vil dessuten
ha en tett oppfølging og forventer at arbeidet er gjennomført
innen første halvår 2004.
Riksrevisjonen har merket seg Brønnøysundregistrenes
uttalelse om at arbeidet med sikte på ekstern IKT-sikkerhet
er prioritert fremfor den interne sikkerheten. Informasjonssystemene
for tjenestene ved Brønnøysundregistrene har imidlertid
vært i bruk i en årrekke. Riksrevisjonen ser alvorlig
på den sene fremdriften i forbindelse med de påtalte
forholdene innen generell IKT-sikkerhet. Riksrevisjonen stiller
derfor spørsmål ved departementets oppfølging
av IKT-sikkerheten ved Brønnøysundregistrene.
Riksrevisjonen finner det kritikkverdig at departementet
ikke på et tidligere tidspunkt har påsett at den generelle
IKT-sikkerheten ved Brønnøysundregistrene ble
brakt opp på et tilfredsstillende nivå.
Riksrevisjonen har merket seg at departementet
nå følger opp dette arbeidet ved at departementet
både er prosjekteier og vil lede styringsgruppen for prosjektet, og
at arbeidet vil bli høyt prioritert ved blant annet tilføring
av ressurser og bruk av ekstern ekspertise.
Videre har Riksrevisjonen merket seg at de påtalte svakheter
som gjelder manglende katastrofe-/avbruddsplan, manglende
rutiner og sikkerhetstiltak knyttet til tilgangsrettigheter til
databasestyringssystemet og manglende rutiner for overvåking
av IKT-sikkerheten og oppbygging av nødvendig dokumentasjon,
følges opp gjennom etableringen av sikkerhets- og beredskapsplanen.
Riksrevisjonen forutsetter at Nærings-
og handelsdepartementet sørger for at arbeidet iverksettes
og at de nødvendige tiltak gjennomføres uten ytterligere
forsinkelser i forhold til den tidsplan som er fastsatt, det vil si
innen 1. juni 2004.
Riksrevisjonen foreslår: "Til observasjon."
Komiteen viser til
at Brønnøysundregistrene forvalter enorme mengder
informasjon om norske borgere og foretak. I mange av livets situasjoner
pålegges vi som borgere til å sende melding til
disse registrene. På denne bakgrunn finner komiteen det
kritikkverdig at den interne datasikkerheten ved registrene ikke
har hatt høyeste prioritet. At for eksempel alle systemkonsulenter
i Avdeling for informasjonssystemer har kunnet foreta registrering,
sletting eller endring av registerinformasjon uten at man kan etterspore
hvem som har utført handlingen, er alvorlige brudd på elementære sikkerhetsrutiner.
Komiteen viser til at registrene
har vært i virksomhet i mange år og finner grunn
til å kritisere at det først er kommet fortgang
i arbeidet for å bedre datasikkerheten etter påtrykk
fra Riksrevisjonen.
Komiteen forutsetter at den skisserte
tidsplan for arbeidet overholdes og slutter seg til Riksrevisjonens forslag
til desisjon: "Til observasjon."
Regnskapene til Patentstyret er omtalt i Riksrevisjonens
antegnelser til statsregnskapet for 1997, 1998 og 1999, jf. Stortingets
behandling.
Årsakene til omtalen av regnskapene
var hovedsakelig manglende avstemming, manglende kontroll av bankkonti,
midlertidige konti og reskontrokonti og uoppklarte differanser.
Regnskapet for 1998 hadde så alvorlige svakheter at det
ikke kunne godkjennes. Regnskapet for 1999 ble godkjent, men visse
forhold som gjaldt blant annet mangelfulle avstemminger og kontroller
var fortsatt ikke tilfredsstillende. Revisjonen av regnskapene for
2000 og 2001 viste også svakheter i rutinene ved avleggelse
av årsregnskapet, mangelfulle avstemminger, uforklarte
avvik og gamle poster i kundereskontroen.
Ved revisjonen av Patentstyrets regnskap for
2002 ble det på nytt avdekket en rekke forhold som ikke
var tilfredsstillende. Følgende forhold er tatt opp i brev
til Patentstyret:
– manglende
avstemming av internregnskapet mot eksternregnskapet og uforklarte
differanser
– manglende avstemming av vesentlige
konti
– manglende arbeidsdeling ved
blant annet at enkelte personer var gitt systemtilgang til økonomisystemet
i kombinasjon med anvisningsmyndighet og fullmakt til å autorisere
utbetalinger
– manglende arbeidsdeling i forbindelse
med inntektsrutinen og mulighet både til endring av faste
data i kundereskontro og til bokføring
– svakheter i forbindelse med
behandling av verdipost som utgjør vesentlige beløp
(mottak av ca. 110 mill. kroner i form av sjekker og kontanter i
2002)
– manglende oppfølging
av kundefordringer og poster på andre konti
I brev til departementet beskriver Patentstyret utviklingen
i forbindelse med fakturering av avgifter og elektronisk fakturabehandling
i det nye elektroniske saksbehandlingssystem SANT: Når
systemet er ferdig utviklet vil en vesentlig del av Riksrevisjonens ankepunkter
bli minimalisert, og enkelte av forholdene er det ikke hensiktsmessig å utbedre
før SANT er på plass. Det har vært forventet
at SANT-systemet skulle løse problemet med en del avstemminger.
Imidlertid er SANT betydelig forsinket, og det hersker dessuten
tvil om systemet kan anvendes til avstemming uten spesifisert videreutvikling.
Patentstyret opplyser videre at det er vanskelig å begrense
tilgangsrettigheter til økonomisystemet av hensyn til funksjonalitet.
Revisjonen har vist at det har vært
store svakheter ved Patentstyrets regnskaper og betydelig svikt
i internkontrollen hvert år fra 1997. Riksrevisjonen anser
det meget kritikkverdig at departementet ikke har etablert tilstrekkelige
kontrollordninger som sikrer at underliggende virksomhet har organisert
og utfører sin økonomiforvaltning på en
betryggende måte. Riksrevisjonen har merket seg at departementet
uttaler at oppfølgingen av Patentstyrets økonomiforvaltning
i løpet av 2002 burde vært tettere. Riksrevisjonen
forutsetter at det iverksettes rutiner som sikrer at departementet for
framtiden oppfyller de krav som økonomireglementet stiller
til oppfølging og kontroll av underliggende virksomheter.
Videre har Riksrevisjonen merket seg at departementet
og Patentstyret har satt i gang omfattende tiltak for utbedring
av økonomiforvaltningen både på kort
og lang sikt. Riksrevisjonen har merket seg at departementet ikke
har kommentert ytterligere spørsmålet om langvarig
svikt i økonomiforvaltningen vil få administrative
konsekvenser.
Mottatte oversikter over tiltak som skal gjennomføres
og framdriften i arbeidet viser at det er noen forsinkelser i forhold
til opprinnelig tidsplan. Riksrevisjonen forutsetter at departementet
sørger for at tiltakene blir gjennomført som planlagt.
Riksrevisjonen foreslår: "Kan passere."
Komiteen har merket
seg at mangler ved regnskapene for Patentstyret er påpekt
i alle år fra 1997 og frem til og med 2002 og konstaterer
at manglene pr. i dag er så store at Riksrevisjonen ikke
finner å kunne godkjenne regnskapet. Alvorlige forhold
som manglende avstemming av internregnskaper mot eksternregnskapet,
uforklarte differanser, manglende avstemming av vesentlige konti,
oppfølging av kundefordringer mv. ikke er brakt i orden.
Komiteenhar
merket seg at departementet i sitt svar til Riksrevisjonen beklager
at det ikke er foretatt full opprydding på et tidligere
tidspunkt og at man nå setter ressurser inn på å bedre
forholdene. Patentstyret skal blant annet utarbeide månedlige
rapporter med hensyn til fremdrift og status i arbeidet.
Komiteen slutter seg til Riksrevisjonens
kritikk av at NHD ikke har etablert tilstrekkelige kontrollordninger
som sikrer at underliggende virksomhet har organisert og utfører
sin økonomiforvaltning på en betryggende måte. Komiteen støtter
Riksrevisjonens forslag til desisjon: "Kan passere."
Eieransvaret for Statens Bankinvesteringsfond
ble overført fra Finansdepartementet til Nærings-
og handelsdepartementet 1. januar 2002. Riksrevisjonen er lovpålagt
revisor for fondet, jf. lov om Statens Bankinvesteringsfond.
På grunnlag av gjennomført
revisjon av fondets regnskap for 2002 og korrespondanse med fondet
tok Riksrevisjonen i brev opp enkelte forhold med Nærings- og
handelsdepartementet.
Ifølge bankinvesteringsfondloven skal
fondet følge bestemmelsene i regnskapsloven så langt
det passer. Det innebærer at fondet har en viss frihet
innenfor de rammene regnskapsloven setter. Det ble blant annet tatt opp
at Statens Bankinvesteringsfond ikke har utarbeidet skriftlige retningslinjer
for hvordan regnskapsloven skal praktiseres i virksomheten.
Instruks for Finansdepartementets styrings-
og oppfølgingsoppgaver overfor Statens Bankinvesteringsfond
ble fastsatt av finansministeren 29. september 2000. Riksrevisjonen
ba om å få opplyst om instruksen ble endret som
følge av at Nærings- og handelsdepartementet overtok
eieransvaret for fondet. Riksrevisjonen forutsatte at instruksen
gjaldt inntil en eventuell endring var foretatt. Videre ble det
bedt om redegjørelse for hvordan departementet følger
opp fondet. Ifølge bankinvesteringsfondloven skal fondet ledes
av et styre med fem medlemmer oppnevnt av Kongen. Av protokoll fra
styremøtet i fondet 28. juni 2002 fremgår det
at Nærings- og handelsdepartementet har godkjent at et
styremedlem fratrer styret samme dato. Riksrevisjonen ba om å få opplyst årsaken
til at nytt styremedlem ikke var oppnevnt.
Riksrevisjonen mottok 21. mars 2003 en begjæring om
innsyn i et brev til Statens Bankinvesteringsfond. Etter en vurdering
av brevets innhold ble innsyn gitt i medhold av offentlighetsloven,
og fondet ble orientert om avgjørelsen. Ifølge
brev av 28. mars 2003 til Riksrevisjonen har Statens Bankinvesteringsfond
lagt til grunn at fondet er unntatt loven med bakgrunn i den forretningsmessige
virksomheten fondet driver. Finansdepartementet har tidligere tatt
opp dette forholdet med Justisdepartementet. I svarbrev av 8. september 2000
har Justisdepartementet konkludert med at Statens Bankinvesteringsfond
er et forvaltningsorgan som er underlagt offentlighetsloven. Riksrevisjonen
har lagt dette til grunn for sine vurderinger i forbindelse med spørsmålet
om offentlig innsyn.
I brev av 3. april 2003 til Nærings-
og handelsdepartementet har Riksrevisjonen orientert om saken og
bedt om departementets kommentarer. Nærings- og handelsdepartementet
har etter dette, ved brev av 14. mai 2003 til Finansdepartementet,
bedt om å få opplyst om Finansdepartementet har
behandlet og tatt stilling til om Statens Bankinvesteringsfond er
omfattet av offentlighetslovens virkeområde. I brev av
12. juni 2003 til Nærings- og handelsdepartementet opplyser Finansdepartementet
at det ikke har særskilte merknader til de forholdene Riksrevisjonen
har tatt opp og som gjelder den tiden Finansdepartementet hadde eieransvar.
I brev av 28. juli 2003 til Riksrevisjonen opplyser Nærings-
og handelsdepartementet blant annet at det følger samme
linje i eierforvaltningen av Statens Bankinvesteringsfond som i
de øvrige eierinteressene departementet forvalter, men
med enkelte formelle særtrekk fordi fondet er organisert
i henhold til særlov. I dette ligger blant annet at forvaltningen
av fondet er underlagt styret som skal sørge for en forsvarlig
organisering av fondet. Styret plikter å påse
at virksomhet, regnskap og formuesforvaltning er gjenstand for betryggende
kontroll. Etter departementets syn er det nærliggende å se
aksjelovens bestemmelser om ledelsesoppgaver og revisjon som retningsgivende supplement
i forhold til bankinvesteringsfondloven og fondets vedtekter.
Når det gjelder praktisering av regnskapsloven, forutsetter
Nærings- og handelsdepartementet at Statens Bankinvesteringsfonds
styre sørger for at det blir utarbeidet retningslinjer
for hvordan regnskapsloven skal praktiseres, og at Riksrevisjonens
synspunkter i denne sammenheng bør tillegges betydelig
vekt.
På spørsmål om hvilken
styrings- og oppfølgingsinstruks som gjelder i forhold
til Statens Bankinvesteringsfond, opplyser departementet at det
er Instruks for forvaltning av statlige eierinteresser i aksjeselskaper under
Nærings- og handelsdepartementet, fastsatt 1. november
2000.
Departementet har lagt til grunn at denne instruksen også omfatter
statsforetak og statlige fond. Det er ikke gitt ytterligere svar
på spørsmålet om hvordan departementets
oppfølging av fondet skjer. Når det gjelder styret,
opplyser departementet at det har vært noe usikkert hvor
lenge det vil være aktuelt å opprettholde Statens Bankinvesteringsfond
som eget organ. Derfor er det foreløpig ikke aktuelt å oppnevne
nytt styremedlem. I brev til Riksrevisjonen gir Nærings-
og handelsdepartementet en omfattende redegjørelse om bankinvesteringsfondets
forhold til offentlighetsloven. Departementet opplyser at Finansdepartementet
ikke tok endelig stilling til spørsmålet før
forvaltingen av Statens Bankinvesteringsfond ble overført
til Nærings- og handelsdepartementet. For sin del vil departementet peke
på at selv om fondets virksomhet fra opprettelsen var av
en slik karakter at fondet kunne antas å være omfattet
av offentlighetsloven, vil dette være en vurdering som
kan endre seg i tråd med utviklingen av fondets virksomhet.
Statens Bankinvesteringsfond har siden begynnelsen av 1990-årene
forandret seg fra å være et viktig redskap for
statlig intervensjon i norsk banknæring i krise, til hovedsakelig å bli
et organ for forretningsmessig forvaltning av statens gjenværende eierinteresser
i bankene. Statens eierinteresser i DnB Holding ASA er fondets eneste
gjenværende engasjement.
Felles for de av statens eierinteresser som
Nærings- og handelsdepartementet forvalter, er blant annet
at virksomheten skal drives best mulig vurdert etter bedriftsøkonomiske
kriterier. Det er etter departementets oppfatning ikke naturlig å karakterisere
noen av disse foretakene som forvaltningsorgan i relasjon til offentlighetsloven.
Ut fra en konkret vurdering i forhold til Statens Bankinvesteringsfond
slik virksomheten drives i dag, vil det heller ikke være
riktig å karakterisere fondet som et forvaltningsorgan
som omfattes av offentlighetsloven.
Riksrevisjonen har merket seg at Nærings-
og handelsdepartementet forutsetter at Statens Bankinvesteringsfonds
styre sørger for at det blir utarbeidet retningslinjer
for hvordan regnskapsloven skal praktiseres.
Etter Riksrevisjonens oppfatning kan departementets eierrolle
overfor Statens Bankinvesteringsfond ikke sammenliknes direkte med
eierrollen i forhold til et aksjeselskap. Riksrevisjonen kan derfor
ikke uten videre se at en instruks for forvaltning av statens eierinteresser
i aksjeselskaper er dekkende for departementets styring og oppfølging
av fondet. I den generelle instruksen er det vist til aksjeloven
og ikke til særloven som gjelder for fondet. Videre er
Riksrevisjonen ikke kjent med at instruksen for fondet er opphevet.
Riksrevisjonen konstaterer at det er usikkert
hvor lenge det er aktuelt å opprettholde fondet som eget organ.
Riksrevisjonen ser likevel ingen grunn til at bankinvesteringslovens
bestemmelser om styresammensetning fravikes.
Riksrevisjonen har merket seg departementets synspunkter
på Bankinvesteringsfondets forhold til offentlighetsloven,
men stiller spørsmål om ikke offentlighetslovens
anvendelse på fondet burde avklares med Justisdepartementet
som regelverksforvalter.
Nærings- og handelsdepartementet har
ingen merknader til Riksrevisjonens antegnelser vedr. Statens Bankinvesteringsfond
og tar antegnelsene til etterretning.
Riksrevisjonen har merket seg at Nærings-
og handelsdepartementet tar antegnelsen til etterretning. Riksrevisjonen
forutsetter at det blir utarbeidet instruks for departementets styrings-
og oppfølgingsoppgaver overfor fondet og at bankinvesteringslovens
bestemmelser om styresammensetning blir oppfylt.
Videre er Riksrevisjonen kjent med at Justisdepartementet
i brev av 27. august 2003 til Nærings- og handelsdepartementet
har uttalt at det finnes en rekke momenter som sterkt taler for
at Statens Bankinvesteringsfond er å regne som forvaltningsorgan
etter offentlighetsloven. Riksrevisjonen forutsetter at det blir
tatt hensyn til Justisdepartementets uttalelse.
Riksrevisjonen foreslår: "Passerer."
Komiteen har merket
seg diskusjonen mellom departementet og Riksrevisjonen om hvorvidt
Statens Bankinvesteringsfond skal anses som et forvaltningsorgan
eller ikke. Komiteen viser
til at Justisdepartementet anser fondet som et forvaltningsorgan
og følgelig er pålagt å følge
offentlighetsloven. Komiteen forutsetter
at denne forståelse legges til grunn. Komiteen støtter
Riksrevisjonens forslag til desisjon: "Passerer".