Få indsigt i den temperaturmåling, som Rigsrevisionen for nylig tog på den interne kontrol i ministerierne – samt hvad Forsvarsministeriet har gjort sig af erfaringer i forhold til at styrke kontrolmiljøet.
”Vi står over for en sektor midt i en digital omstilling. Samtidig er der corona, og så skal vi også lige sørge for nationens sikkerhed samt holde ’forretningen Danmark’ kørende.”
Sådan indledte Morten Egelund, Partner og Public-leder i Deloittes Risk Advisory, da Deloitte for nylig holdt webinar om interne kontroller. Rigsrevisionen og Forsvarsministeriet delte ud af deres viden og erfaringer, og Deloittes eksperter krydrede dagen med perspektiver på trends og håndtering af interne kontroller i praksis.
I sommeren 2020 kom Økonomistyrelsen med en udfoldelse af, hvordan man skal fortolke gældende love og regler vedrørende interne kontroller i det offentlige, og hvordan man kan gribe nogle af de praktiske problemstillinger an.
I slutningen af 2020 fulgte Rigsrevisionen op med en beretning om, hvordan ministerierne arbejder med at minimere risikoen for, at medarbejdere kan svindle med offentlige midler. Beretningen var foranlediget af sager i Socialstyrelsen og Ejendomsstyrelsen samt svindlen med udbytteskat.
Se Deloittes webinar ‘Svig og kontroller i den offentlige sektor’
Rigsrevisionen: Det kunne se bedre ud
Alle ministerierne er med i Rigsrevisionens beretning. Det er sjældent, at det er tilfældet, og siger noget om prioriteringen af området.
”Langt størsteparten af de ting, vi har fundet, viser, at svindel overhovedet ikke fylder. Selvfølgelig kan der være enkelte brodne kar rundt omkring, men langt størstedelen af vores medarbejdere er heldigvis ordentlige og redelige medarbejdere, som ikke kan finde på at bruge de muligheder, som vores beretning viser, at der er,” siger Rigsrevisor Lone Strøm. Hun fortsætter: ”Beretningen viser, at det godt kunne se bedre ud mange steder.”
Beretningen har særligt fokus på funktionsadskillelse. Funktionsadskillelse betyder blandt andet, at det ikke må være den samme medarbejder, der varetager et indkøb og godkender betalingen for indkøbet. Denne del volder stadig en del problemer for ministerierne.
Ministerierne giver i undersøgelsen selv udtryk for, at de langt hen ad vejen har sikret funktionsadskillelse. Men undersøgelsen viser, at ministerierne kun delvist eller slet ikke har efterprøvet, om funktionsadskillelsen virker efter hensigten.
”I 13 ud af 15 ministerier har man foretaget tilpasninger, uden at man har gennemført de kompenserende kontroller, som man er forpligtet til, hvis man går på kompromis med den systemmæssige funktionsadskillelse,” siger Lone Strøm.
Men hvorfor står vi, hvor vi gør i dag med interne kontroller i det offentlige?
”Jeg tror, at det handler om, at vi som ledere skal have fokus på det. Når man sætter det på dagsordenen fra ledelsens side og tager det på sig, så sker der noget i organisationen,” siger Lone Strøm.
Forsvarsministeriet: Topledelsen sender signal
I december 2019 fik Forsvarsministeriet væsentlig kritik fra Rigsrevisionen i forhold til indkøb i Ejendomsstyrelsen samt i forhold til en række grundlæggende forhold i ministeriet – herunder netop funktionsadskillelse.
”Rigsrevisionens kritik har givet nogle ridser i vores omdømme, men også i den interne selvforståelse. Det er afgørende, at vi forvalter de penge, som vi får af samfundet, på en god måde,” siger Anders Tuxen, kontorchef i Forsvarsministeriet.
I foråret 2020 igangsatte Forsvarsministeriet et program, der skal give kontrolmiljøet et væsentligt løft på tværs af departement og styrelser. Programmet er ét af kun to programmer i ministeriet, som er forankret i topledelsen, og det har sin egen bestyrelse.
Programmet skal kortlægge og risikovurdere alle Forsvarsministeriets væsentligste indkøbs- og betalingsprocesser og afdække, hvordan de kan styrkes gennem bedre systemunderstøttelse af kontroller i arbejdsgangen. Der er blandt andet fokus på at opbygge fuldt systemunderstøttet funktionsadskillelse, og til dette formål har ministeriet anskaffet SAP Access Control.
”Ude i den operative ende kan der være tilfælde, hvor der er meget få personer til at gennemføre et indkøb, så en meget hård adskillelse kan give nogle problemer for vores forretning. Det vil formentlig betyde nogle store omorganiseringer i vores indkøbsstyrelser, men der har ikke været tvivl i bestyrelsen om, at det vil man prioritere,” siger Anders Tuxen.
Omstilling midt i orkanens øje
”Det har været vores erkendelse, at programmet handler om meget mere end at stoppe nogle huller,” fortæller Anders Tuxen.
Programmet kommer til at betyde ændringer for et meget stort antal medarbejdere og chefer i Forsvarsministeriet, og det er vigtigt at være opmærksom på, hvordan man får hele organisationen med.
”Man kommer hurtigt til at tale ind i en mistillidsdagsorden. Det skal kommunikeres ud på en god måde,” siger Anders Tuxen.
Han påpeger, at det er vigtigt at danne sig et overblik, før man begynder arbejdet med at styrke det interne kontrolmiljø.
”Vi stod midt i orkanens øje og skulle i gang. Hvis vi kunne gøre det anderledes, ville vi have risikovurderet lidt mere på tværs først og fundet ud af, hvor vi ville prioritere at sætte ind først,” siger Anders Tuxen.
”Vi har nok været for optimistiske i forhold til, hvad vi kunne nå. Det er et meget komplekst og tidskrævende område. De forhåbninger, som vi havde om at komme hurtigt i mål med det, har vi måttet justere. Andre store virksomheder er adskillige år om at lave disse transformationer,” siger Anders Tuxen.
Udfordringen lige nu er båndbredden på it-ressourcer, fortæller han. Der er ikke kapacitet til at komme i gang med det hele.
Drejebog til arbejdet med interne kontroller
På Deloittes webinar om interne kontroller pegede Deloittes eksperter på fem trends, der vil tegne billedet i 2021, og som er vigtige i forhold til organisationens styringsramme og årsplan.
- Kultur, adfærd og ’bløde’ kontroller.
- Svindel og udnyttelse af ændret arbejdsmiljø.
- It-sikkerhed og databeskyttelse i det bredere og virtuelle arbejdsmiljø.
- Dataanalyse og data management.
- Digitalisering og intelligent automatisering.
”Vi ser et ændret risikolandskab og deraf nye krav og behov for interne kontroller. Det er blandt andet forårsaget af en teknologiske udvikling, der går enormt stærkt. Det er det, vi kalder ’the new normal’, og det kræver, at man står stærkt på kontrolagendaen,” siger Kristina Wiese Tranberg, der er Director i Deloitte og ansvarlig for interne kontrol-transformationer.
Deloitte har udviklet en drejebog for arbejdet med at styrke de interne kontroller. Hovedformålet med drejebogen er, at man som organisation får en praktisk styringsramme og et modenhedsoverblik og dermed får stillet skarpt på, hvad man skal arbejde med. Drejebogen tager form af et årshjul, som man arbejder efter, og indeholder meget konkrete tiltag for hver fase.
Hvordan kommer man så bedst i gang med arbejdet med at styrke interne kontroller? Ét af de råd, der blev givet på webinaret, er at gøre det ud fra et risikoperspektiv – ligesom Anders Tuxen påpeger: Find ud af, hvor de største risici ligger i organisationen, og fokusér så der.
”Dataanalyse og andre teknikker kan hjælpe med at give et risikobillede, som indsatsområderne kan udvælges på baggrund af,” siger Daniel Jørgensen, Partner i Deloitte og ansvarlig for Data Analytics.
Konklusionen på webinaret er, at uanset hvor stor en organisation, man sidder i, og hvor langt man er på sin interne kontrol-rejse, skal man hele vejen rundt – og det er ledelsens ambition, der styrer slagets gang.
Se brochuren for Deloittes ’Drejebog for interne kontroller’