Søk

Innhold

Merknad

Klikk HER for vedlegg i pdf

1. Innledning

1.1 Omfanget av kontrollen

Riksrevisjonen har gjennom sin kontroll med forvaltningen av statens interesser i selskaper m.m. vurdert om statsråden har utøvet sin oppgave som forvalter av statens interesser i samsvar med Stortingets vedtak og forutsetninger.

Kontrollen er gjennomført i henhold til lov om Riksrevisjonen § 9 andre ledd og instruks om Riksrevisjonens virksomhet § 5 og i samsvar med INTOSAIs standarder for offentlig revisjon.

Riksrevisjonens kontroll for 2019 har omfattet forvaltningen av statens interesser under 12 departementer, og gjelder 52 heleide aksjeselskaper, 29 deleide aksjeselskaper, 1 ansvarlig selskap med delt ansvar, 6 allmennaksjeselskaper (ASA), 9 statsforetak, 4 regionale helseforetak, 15 studentsamskipnader og ytterligere 4 selskaper som er organisert ved særskilt lov.

Riksrevisjonen har gjennomført 6 undersøkelser og funnet grunnlag for merknader under Helse- og omsorgsdepartementet, Nærings- og fiskeridepartementet, Olje- og energidepartementet, Samferdselsdepartementet og Utenriksdepartementet.

1.2 Sentrale funn fra undersøkelsene

Riksrevisjonens undersøkelser av statlige selskaper for 2019 har omfattet seks temaer. To av disse dreier seg om svikt i informasjonssikkerheten. De har til felles at eksterne har kunnet bryte seg inn i interne systemer uten å bli hindret, og det har heller ikke vært etablert gode nok systemer som kunne oppdage det.

  • Riksrevisjonens undersøkelse om helseforetakenes forebygging av angrep mot deres IKT-systemer viser at det er vesentlige sårbarheter i de fire helseregionenes IKT-infrastruktur. Simulerte dataangrep ga høy grad av kontroll over IKT-infrastrukturen i tre av fire helseregioner, og tilgang til store mengder sensitive pasientopplysninger i alle helseregioner. I alle regionene er det vesentlige svakheter i grunnleggende tekniske sikkerhetstiltak som skal forebygge og oppdage dataangrep. Disse svakhetene henger sammen med helseregionenes sikkerhetsorganisering og -styring, og sikkerhetsatferden blant helse- og IKT-personell. De regionale helseforetakene har ikke fulgt opp informasjonssikkerhetsarbeidet godt nok, og departementets oppfølging har i tillegg vært for passiv.

    Et dataangrep kan få store konsekvenser for pasientbehandlingen og dermed true pasientsikkerheten. Riksrevisjonen mener det er svært alvorlig at helseregionenes arbeid med å forebygge og oppdage dataangrep ikke er i henhold til krav i lov og forskrift. Videre mener Riksrevisjonen det er sterkt kritikkverdig at de påviste svakhetene i styringen av området ikke står i samsvar med betydningen IKT har for sykehusdriften.

  • Riksrevisjonens undersøkelse av kvaliteten på informasjon om forventede ventetider i fritt behandlingsvalg viser at ventetidene som er oppgitt på helsenorge.no/velg-behandlingssted, ikke gir et godt bilde av den faktiske ventetiden. Fritt behandlingsvalg har som formål å redusere ventetider, øke valgfriheten for pasientene og utnytte ledig kapasitet. Informasjonstjenesten Velg behandlingssted ble opprettet for å gi pasienter informasjon slik at de kan ivareta sine rettigheter og velge behandlingssted med kort ventetid.

    Etter Riksrevisjonens vurdering er det for stor variasjon mellom forventet ventetid og faktisk ventetid ved det enkelte behandlingssted. Konsekvensen er at formålet med ordningen fritt behandlingsvalg ikke ivaretas fordi mange pasienter ikke får mulighet til å velge sykehus med kortest faktisk ventetid, og at ledig kapasitet ikke blir utnyttet.

  • Riksrevisjonens undersøkelse av styring og oppfølging av drift og måloppnåelse i Space Norway AS viser at selskapet har hatt et større ambisjonsnivå og en større vilje til å gjennomføre store, komplekse og kapitalkrevende aktiviteter enn det selskapets kapital og kapasitet skulle tilsi. Samtidig har Nærings- og fiskeridepartementets styring og oppfølging vært passiv fram til høsten 2018. Etter Riksrevisjonens vurdering er det sterkt kritikkverdig at departementet ikke på eget initiativ har tatt opp Space Norway AS’ handlingsrom innen statens mål med eierskapet og selskapets vedtektsfestede formål knyttet til innovasjons- og utviklingsoppgavene på en tydelig måte tidlig i styringsdialogen.

    I Dokument 3:2 (2017–2018) rapporterte Riksrevisjonen at departementet verken hadde stilt tydelige forventninger til Space Norway AS’ sektorpolitiske måloppnåelse og effektive drift eller krav til rapportering om dette. Etter Riksrevisjonens vurdering er det kritikkverdig at styret i Space Norway AS ennå ikke har sørget for å få på plass et hensiktsmessig system for mål- og resultatstyring, og at departementet ikke har fulgt opp styrets arbeid med dette langt tettere.

  • Riksrevisjonens undersøkelse av Olje- og energidepartementets oppfølging av Equinors utenlandsinvesteringer viser at Equinor over tid har gitt mer regnskapsinformasjon om selskapets virksomhet i utlandet. Det har etter Riksrevisjonens vurdering likevel ikke vært tilstrekkelig for offentligheten eller departementets evne til å vurdere lønnsomheten i selskapets utenlandssatsing. Riksrevisjonen mener det er kritikkverdig at departementet ikke fremmet tydelige forventninger om åpenhet fra selskapet før i 2020.

    Departementet har i dialogen med Equinor tatt opp forhold knyttet til lønnsomhet i utenlandsinvesteringene, og har hentet inn analyser fra eksterne parter. Riksrevisjonen mener samtidig at departementet i sine egne analyser har vært for opptatt av oljeproduksjon og for lite opptatt av lønnsomhet.

    Olje- og energidepartementet ble først klar over omfanget av tapene til Equinor i USA gjennom medienes omtale av saken i 2020, til tross for at beløpene har vært rapportert i Equinors årsrapporter siden 2017. Riksrevisjonen mener det burde kunne forventes at en aktiv og informert eier har bedre oversikt over innholdet i årsrapporten fra et deleid selskap som Equinor, hvor slik offentlig informasjon er spesielt viktig.

  • Riksrevisjonens undersøkelse av Bane NOR viser at driftsstabiliteten i jernbanenettet ikke er forbedret i perioden etter at Bane NOR ble etablert. Bane NOR har fått bedre oversikt over infrastrukturen, men har fortsatt ikke et system som er godt nok til å måle produktiviteten i driften og vedlikeholdet av jernbanenettet. Størrelsen på kostnadsøkningene og andelen investeringsprosjekter med kostnadsøkninger tilsier at Bane NOR så langt ikke har god nok kontroll med kostnadene i store jernbaneprosjekter. Videre har Samferdselsdepartementet fått for lite styringsinformasjon til å følge opp effektiviteten i Bane NORs drift, vedlikehold og investeringer i jernbaneinfrastrukturen.

    Etter Riksrevisjonens vurdering er det kritikkverdig at Bane NOR fortsatt ikke har et godt nok system for å måle produktiviteten, ikke har god nok kontroll med kostnadene i store investeringer og at Samferdselsdepartementet har fått for lite styringsinformasjon til å følge opp effektiviteten. Departementet burde ha forsikret seg om at det forelå bedre styringsinformasjon nå som det har gått nesten fire år siden Bane NOR ble etablert.

  • Riksrevisjonens undersøkelse av informasjonssikkerheten i Norfund har sitt utgangspunkt i at Norfund ble svindlet for 100 mill. kroner våren 2020 etter et målrettet dataangrep. Norfund har vært åpne om svindelhendelsen de har vært utsatt for, og har gjennomført en ekstern granskning av denne.

    Etter Riksrevisjonens vurdering har det vært mulig å gjennomføre svindelen fordi Norfund ikke har hatt tilstrekkelig bevissthet om og forståelse for informasjonssikkerhet. Riksrevisjonen vurderer det som sterkt kritikkverdig at:

    • Norfund har undervurdert informasjonssikkerhet som en risiko

    • Norfund ikke har hatt tilstrekkelig oppfølging av leverandøren av IKT-tjenester

    • innføringen av besluttede tiltak for å styrke informasjonssikkerheten tok for lang tid

1.3 Kontroll av generalforsamlinger og foretaksmøter

Det er et grunnleggende prinsipp i selskapslovgivningen og statens prinsipper for god eierstyring at eierstyringen skal utøves på generalforsamling eller foretaksmøte. For å sikre etterprøvbarhet rundt eierstyringen er det i selskapslovgivningen stilt krav til innkalling, gjennomføring og dokumentering av generalforsamlinger og foretaksmøter.

Riksrevisjonen gjennomfører obligatoriske kontroller som innebærer å vurdere om generalforsamlinger og foretaksmøter er avholdt i samsvar med disse kravene, ut fra den dokumentasjonen den enkelte statsråd er pålagt å sende Riksrevisjonen årlig. Dette er det enkelte selskaps årsregnskap med revisors beretning, styrets årsberetning, innkallinger og protokoller fra generalforsamlinger og foretaksmøter og statsrådens beretning til Riksrevisjonen om forvaltningen av statens interesser i det enkelte selskap.

Det er Riksrevisjonens oppfatning at generalforsamlingene og foretaksmøtene i selskapene som er omfattet av Riksrevisjonens kontroll i regnskapsåret 2019, i all hovedsak har blitt avholdt i samsvar med formalkravene til innkalling, gjennomføring og dokumentasjon i selskapslovgivningen.

1.4 Oppfølging av tidligere rapporterte forhold

Riksrevisjonen har i år ikke fulgt opp noen saker som tidligere er rapportert. Etter oppdatering av Riksrevisjonens faglige retningslinjer ble det besluttet at oppfølgingene av forvaltningsrevisjoner innenfor selskapskontrollen skulle gjennomføres på samme måte som for øvrige forvaltningsrevisjoner. Dette innebærer at oppfølgingene blir utsatt ett år, slik at de gjennomføres tre år etter at sakene ble behandlet i Stortinget.

1.5 Komiteens generelle merknader

Komiteen, medlemmene fra Arbeiderpartiet, lederen Dag Terje Andersen, Eva Kristin Hansen og Magne Rommetveit, fra Høyre, Svein Harberg og Bente Stein Mathisen, fra Fremskrittspartiet, Solveig Horne, fra Senterpartiet, Nils T. Bjørke, fra Sosialistisk Venstreparti, Freddy André Øvstegård, fra Venstre, Terje Breivik, og uavhengig representant Ulf Isak Leirstein, merker seg at Riksrevisjonen for regnskapsåret 2019 har gjennomført årlig kontroll samt seks undersøkelser. Komiteen merker seg at det ikke er funnet grunnlag for merknader fra den årlige kontrollen, men at Riksrevisjonen har funnet grunnlag for merknader i forbindelse med undersøkelsene under Helse- og omsorgsdepartementet, Nærings- og fiskeridepartementet, Olje- og energidepartementet, Samferdselsdepartementet samt Utenriksdepartementet, altså i fem av seks undersøkelser. Komiteen merker seg at to av undersøkelsene dreier seg om svikt i informasjonssikkerheten, hvor begge undersøkelser har vist at eksterne har kunnet bryte seg inn i interne systemer uten å bli hindret, og det ikke har vært etablert gode nok systemer for å kunne oppdage innbruddene.

Komiteen registrerer at kontrollen av generalforsamlinger og foretaksmøter tilsier at generalforsamlingene og foretaksmøtene i selskapene som er omfattet av Riksrevisjonens kontroll, i all hovedsak har blitt avholdt i samsvar med formalkravene til innkalling, gjennomføring og dokumentasjon i selskapslovgivningen.

Komiteen merker seg at Riksrevisjonen i år ikke har fulgt opp noen saker som tidligere er rapportert.

Komiteen viser til merknad fra kontroll- og konstitusjonskomiteen i behandlingen av Dokument 3:2 (2019–2020), selskapskontrollen for regnskapsåret 2018. Der pekte komiteen på nytten av at Riksrevisjonen i selskapskontrollen undersøker og omtaler noen bestemte tema på tvers av selskapene over tid, slik som lederlønninger. Komiteen vil igjen fremheve nytten slike brede omtaler har for Stortingets helhetlige kontroll av statens eierstyring.

Neste kapittel