Supplerende retningslinjer om forebygging og avdekking av misligheter

Supplerende retningslinjer om forebygging og avdekking av misligheter Vedtatt av Riksrevisjonens leder 21.06.2007.

Innhold 1 FORMÅLET MED SUPPLERENDE RETNINGSLINJER OM FOREBYGGING OG AVDEKKING AV MISLIGHETER 3 2 BEGREPET MISLIGHETER 4 3 HVORDAN SKAL VI BEHANDLE TIPS SOM KOMMER TIL RIKSREVISJONEN? 6 3.1 Mottak, registrering og journalføring av tips 6 3.2 Innledende saksbehandling 6 4 RISIKO OG VESENTLIGHET I MISLIGHETSVURDERINGER 8 5 HVORDAN KAN RIKSREVISJONEN BIDRA TIL Å FOREBYGGE OG AVDEKKE MISLIGHETER? 8 5.1 Hvordan kan Riksrevisjonen bidra til å forebygge misligheter? 8 5.1.1 Hva er virksomhetsledelsens ansvar? 8 5.1.2 Hva er Riksrevisjonens rolle? 9 5.2 Hvordan kan Riksrevisjonen avdekke misligheter? 10 5.2.1 Kort om valgt metodikk 11 5.2.2 Trinn 1: Hvordan identifisere og vurdere mislighetsrisiko-områder? 12 5.2.3 Trinn 2: Hvordan identifisere hendelser/signaler som indikerer høy mislighetsrisiko? 14 "Røde flagg" knyttet til personer og virksomhet 15 "Røde flagg" knyttet til systemer 17 "Røde flagg" knyttet til transaksjoner 18 "Røde flagg" i forbindelse med anskaffelser 19 5.2.4 Trinn 3: Hvordan definere og gjennomføre revisjonshandlinger og undersøkelser med sikte på å avdekke mulige misligheter? 21 Spørring/matching/kobling av opplysninger mot ulike registre 22 Bruk av dataanalyseverktøy 24 Samarbeid med andre offentlige kontrollorganer og andre for innhenting av informasjon 28 5.2.5 Trinn 4: Vurdere funn, konkludere og rapportere 29 Avkreftet mistanke saken avsluttes 30 Bekreftet mistanke misligheter er avdekket 30 Videre oppfølging/kommunikasjon av mislige forhold 31 VEDLEGG 1 KOBLING MELLOM "RØDE FLAGG" OG MULIGE UNDERSØKELSER/REVISJONSHANDLINGER 33 VEDLEGG 2 STANDARDNOTAT FOR BEHANDLING AV TIPS 44 VEDLEGG 3 TYPETILFELLER AV MISLIGHETER OG RELEVANT REGELVERK 45 VEDLEGG 4 UTDRAG FRA RELEVANT REGELVERK 55 VEDLEGG 5 KILDER 59 Vedtatt av Riksrevisjonens leder 21.06.2007 Side 2 av 59

1 Formålet med supplerende retningslinjer om forebygging og avdekking av misligheter I lov om Riksrevisjonen 9 fjerde ledd heter det: "Riksrevisjonen skal gjennom revisjonen bidra til å forebygge og avdekke misligheter og feil." Det er tidligere utledet tre egne standarder for revisjon rettet mot misligheter: 5 Riksrevisjonen skal gjennom revisjonen bidra til å forebygge og avdekke misligheter. 6 Når revisor planlegger og gjennomfører revisjonshandlinger og vurderer og rapporterer resultatet av disse, skal revisor vurdere risikoen for at det kan foreligge misligheter. 7 Revisor skal vurdere å innhente informasjon i virksomheten om avdekkede tilfeller av misligheter og hvilke konsekvenser dette eventuelt har medført. Oppgaven rettet mot å forebygge og avdekke misligheter er også kort omtalt på overordnet nivå i de ulike retningslinjene for revisjonsarbeidet i Riksrevisjonen. Disse supplerende retningslinjer skal hjelpe revisor i det praktiske arbeidet for å løse denne oppgaven. Retningslinjene bygger på revisjonsstandard RS 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper (RS 240), med enkelte tilpasninger. Vi har også brukt materiale fra andre kilder til utforming av retningslinjene, se vedlegg 5 Kildeliste. Retningslinjene gjelder generelt for alle de tre revisjonstypene i Riksrevisjonen. Det innebærer at metoden som presenteres kan brukes til undersøkelser av misligheter i revisjonen rettet mot statlige forvaltningsområder, departementer, virksomheter, selskaper mv. I retningslinjene er begrepet "virksomheter mv." benyttet, og det er ment å dekke alle områder som omfattes av Riksrevisjonens kontroll. Vedtatt av Riksrevisjonens leder 21.06.2007 Side 3 av 59

2 Begrepet misligheter Definisjon: Begrepet misligheter benyttes som en fellesbetegnelse om handlinger som innebærer uredelighet for å oppnå en urettmessig fordel for seg selv, virksomheten mv. eller andre. Misligheter skilles fra feil ved at den underliggende handlingen er tilsiktet. Begrepet misligheter er ikke et rettslig begrep, men benyttes i revisjonen som en fellesbetegnelse for tilsiktede handlinger som er utført for å oppnå en fordel for seg selv eller andre. Definisjonen over er utledet fra definisjonen i RS 240. Mislighetsbegrepet i Riksrevisjonen omfatter både straffbare forhold og ikkestraffbare forhold som brudd på etiske normer og regler. Dette fordi slike brudd kan bidra til å svekke allmennhetens tillit til forvaltningen og fordi slike brudd kan være et signal på at det også kan foreligge et straffbart forhold. For å oppnå allmennhetens tillit forutsettes det bl.a. at forvaltningen viser åpenhet og høy etisk standard i utøvelsen av sine oppgaver. Uredelig er synonymt med begrepene uærlig og uhederlig, og omfatter handlinger som tilslører, fordreier eller skjuler de virkelige forhold. Urettmessig benyttes som synonym for urimelig og uberettiget. Begrepet urettmessig omfatter brudd på lover, forskrifter, retningslinjer mv. som gjelder på vedkommende område. En fordel som oppnås i strid med en regel vil være urettmessig. Figur 1: Misligheter Det er et bredt spekter av handlinger som kan oppfattes å grense mot eller være misligheter. Figuren over er ment å illustrere grensedragningen fra hendelige feil, som ikke er å betrakte som misligheter, til de klart straffbare forhold. I den røde sonen ligger de straffbare handlingene som for eksempel korrupsjon og underslag. I gråsonen rundt den røde sonen finner vi handlinger som oppfattes som uetiske og/eller er brudd på statlige regler, normer og standarder. Vedtatt av Riksrevisjonens leder 21.06.2007 Side 4 av 59

Det er ikke alltid like enkelt å se at man er i ferd med å bevege seg inn i gråsonen da det ikke finnes absolutte grenser for hva som er å betrakte som misligheter. Når man befinner seg på den "hvite vei", vil handlinger og oppgaver som utføres ligge godt innenfor gjeldende lover og regler. Figuren illustrerer at personer kan komme i situasjoner der en velger om en vil fortsette å handle langs den hvite veien eller bevege seg inn mot en gråsone, kanskje så langt at handlingen er straffbar i den røde sonen. Mislighetsbegrepet kan videre deles opp i eksterne misligheter og interne misligheter avhengig av hvem som begår mislighetene. Misligheter kan være utført av en eller flere personer innen ledelsen, personer som har overordnet ansvar for styring og kontroll, av andre ansatte eller av eksterne. Med eksterne misligheter menes handlinger begått av utenforstående (tredjepart) rettet mot virksomheten. Eksempler på slike eksterne misligheter er trygdejuks, skatte- og avgiftsunndragelse eller leverandører som overfakturerer. Med interne misligheter menes handlinger begått av ansatte eller ledelsen i virksomheten rettet mot virksomheten og/eller tredjepart. Eksempler på interne misligheter rettet mot virksomheten er underslag av penger og andre eiendeler. Ledelsens over- eller undervurderinger av virksomhetens eiendeler/gjeld og inntekter/kostnader eller tyveri av pasienters eiendom er eksempler på misligheter mot tredjepart. Misligheter kan også være en kombinasjon av eksterne og interne misligheter, for eksempel der ansatt i innkjøpsavdeling i samarbeid med en leverandør tildeler oppdrag direkte til leverandøren mot gjenytelser. Det gis eksempler på ulike typetilfeller av misligheter og relevant regelverk i vedlegg 3. Vedtatt av Riksrevisjonens leder 21.06.2007 Side 5 av 59

3 Hvordan skal vi behandle tips som kommer til Riksrevisjonen? Riksrevisjonen mottar en god del tips om mulige misligheter i forvaltningen og statlige selskaper mv. Tipsene kan komme fra privatpersoner, ansatte, leverandører, media mv. 3.1 Mottak, registrering og journalføring av tips Tipsene mottas via tipskanalen, brev, e-post, telefon mv. Revisor kan også oppdage uregelmessigheter gjennom den ordinære revisjonen, og på den måten være kilden til tipset. Tipseren kan, dersom han ønsker det, være anonym. Det bør uansett opplyses om at konfidensialitet sikres i den videre behandlingen av tipset. Tipsene registreres på følgende måte: Tips som Riksrevisjonen mottar via tipskanalen registreres og påføres et saksnummer av sentralarkivet før tipset sendes videre til fordeling. Mottar revisor tips per e-post, skal e-posten videresendes sentralarkivet for registrering og påføring av saksnummer. Muntlige tips (telefon, samtale mv.) skal nedtegnes så raskt som mulig og sendes sentralarkivet for registrering og påføring av saksnummer. Momenter som er vesentlige i nedtegningen av tipset er: Når ble tipset mottatt, hvem mottok tipset, hvordan ble tipset mottatt (telefon, samtale, under revisjonsbesøk mv.), hvem er tipseren (dersom mulig å identifisere), hvilken statlig virksomhet eller selskap mv. gjelder tipset og sakskategori (korrupsjon, underslag, brudd på anskaffelsesregelverket). Ved nedtegningen anbefales det at revisor benytter standardnotatet utarbeidet for førstegangsbehandling av tips, se vedlegg 2. Dersom revisor mottar tips direkte, skal seksjonsleder informeres om tipset så raskt som mulig. Revisor må i slike situasjoner opptre varsomt og ikke trekke forhastede slutninger. 3.2 Innledende saksbehandling Alle tips Riksrevisjonen mottar skal vurderes. Seksjonsleder har ansvar for at tipset blir undergitt en hensiktsmessig saksbehandling. Konfidensialitet er en grunnleggende forutsetning for all behandling av tips i Riksrevisjonen, og revisor er underlagt taushetsplikt om det man får kjennskap til i tjenesten. Blant annet skal tipserens identitet og tipsets innhold aldri gis til utenforstående eller på annen måte offentliggjøres. Vedtatt av Riksrevisjonens leder 21.06.2007 Side 6 av 59

Den innledende saksbehandlingen består i å samle fakta, vurdere tipsets innhold og gi forslag til videre oppfølging. Saksbehandlingen skal dokumenteres i standardnotat, og minimum omfatte følgende: Når og hvordan tipset ble mottatt, og eventuelt fra hvem Hva tipset gjelder, eventuell dokumentasjon/bevis legges ved (f.eks. utskrift av e-post) Hvilken virksomhet, og hvilken funksjon/avdeling/rolle som er involvert Hvem er informert, hvem bør informeres (eksternt, internt). Hvem som bør informeres eksternt vil avhenge av på hvilket nivå i organisasjonen en eventuell mislighet har skjedd. Er det en mulig ledelsesmislighet revisor står ovenfor, må det vurderes om overordnet departement skal informeres. I virksomheter med styrer må revisor vurdere om styret også skal informeres, jf. Riksrevisjonens Veileder Revisjon og kommunikasjon Virksomheter med styrer Forslag til videre oppfølging/saksbehandling (for eksempel oppfølging av tipset som egen sak, evt. om det skal tas kontakt med tipseren for mer informasjon, tipset tas med i neste risiko- og vesentlighetsvurdering, tipset henlegges) Tips som mottas via tipskanalen der avsender er mulig å identifisere mottar automatisk et standardsvar per e-post. Av dette standardsvaret går det frem at Riksrevisjonen takker for tipset, at tipset tas med i arbeidet med å avdekke og forebygge misligheter og at Riksrevisjonen vil ta kontakt dersom det er behov for ytterligere informasjon. Revisor bør også benytte standardsvaret på tips mottatt gjennom andre kanaler. Dersom tipset er av en slik karakter at det ikke ligger til Riksrevisjonens oppgaver å følge det opp, skal dette opplyses tipseren. Revisor skal vurdere og eventuelt foreslå om det er hensiktsmessig å sende tipset til annet offentlig kontrollorgan til orientering. Seksjonsleder skal alltid informere avdelingsledelsen om tips som synes å kreve revisjonsmessig oppfølging. Tips som krever revisjonsmessig oppfølging vil ofte måtte gis en ressursdiskusjon i et større perspektiv enn i den enkelte seksjon. Dersom tipset følges opp som egen sak brukes "firetrinnsmetoden" som er beskrevet i punkt 5.2. Behovet for å orientere øverste ledelse i Riksrevisjonen skal vurderes. Riksrevisor og revisjonsråd skal alltid orienteres dersom et tips gjelder mistanke om misligheter knyttet til leder av en virksomhet eller på annen måte er av alvorlig karakter. Er tipset av en slik art at det kan vekke offentlighetens og medias interesse, skal Riksrevisor og revisjonsråd orienteres om saken. Beslutningen om å informere Riksrevisjonens øverste ledelse tas i linjen. Vedtatt av Riksrevisjonens leder 21.06.2007 Side 7 av 59

4 Risiko og vesentlighet i mislighetsvurderinger Alt revisjonsarbeid i Riksrevisjonen skal være basert på risiko og vesentlighet. Det må derfor også foretas en vurdering av mislighetsrisiko og vesentlighet i planleggingen av revisjonen. Når det gjelder vurdering av vesentlighet knyttet til misligheter, tar man utgangspunkt i kvalitative betraktninger. Kvantitative (beløpsmessige) vurderinger er mindre relevant. Vurderingene skal inngå i de generelle risiko- og vesentlighetsvurderingene eller dokumenteres i separate dokumenter. 5 Hvordan kan Riksrevisjonen bidra til å forebygge og avdekke misligheter? Riksrevisjonen skal bidra til både å forebygge og avdekke misligheter. Gjennomføringen av disse oppgavene vil på grunn av oppgavenes natur ha forskjellig angrepsvinkel og fremgangsmåte. 5.1 Hvordan kan Riksrevisjonen bidra til å forebygge misligheter? Forebygging kan deles i to hovedkategorier; forebygging og hindring. Forebygging i denne sammenheng vil si at ledelsen og øvrige ansatte skal forstå hvilke holdninger som kreves og hvilket personlig ansvar den enkelte har for å hindre misligheter og herunder melde fra ved mistanke om misligheter. Hindring innebærer at virksomheten etablerer systemer, rutiner og kontroller som skal forhindre at misligheter kan bli begått. Sammen er disse ansett som viktige elementer og effektive forebyggingstiltak i bekjempelsen av misligheter. 5.1.1 Hva er virksomhetsledelsens ansvar? Virksomhetens ledelse har ansvar for å forebygge og hindre at virksomheten utsettes for misligheter, både fra eksterne og interne. Dette ansvaret er sentralt og fremgår blant annet av økonomiregelverket i staten. Virksomheten forebygger misligheter ved å sikre at virksomheten følger høy etisk standard. Etiske retningslinjer og rutiner for håndtering av brudd på disse skal tydelig Vedtatt av Riksrevisjonens leder 21.06.2007 Side 8 av 59

formidles ansatte og andre. Dette for å bevisstgjøre og skape gode holdninger hos ledelsen, ansatte, brukere, kunder og leverandører. Virksomheten hindrer misligheter gjennom god virksomhetsstyring som også omfatter intern kontroll. Det innebærer at virksomheten skal etablere systemer og rutiner som har innebygd intern kontroll for å forhindre at misligheter får innpass, samt identifisere og håndtere risiko for misligheter. Videre skal virksomheten påse at de etablerte intern kontrolltiltakene etterleves. Systemene skal ideelt sett være bygget opp slik at de hindrer at misligheter kan gjennomføres. Virksomheten må ha en systemforsvarlig organisering som innebærer at ansvar og myndighet i virksomheten klart definert og fordelt og det er klare rapporteringslinjer. Dette skal være dokumentert. Tildeling av ansvar og myndighet handler om i hvilken grad enkeltpersoner og grupper blir bemyndiget og oppmuntret til å ta opp og løse problemstillinger så vel som begrensning av deres myndighet. Bedriftskulturen avgjør hva som faktisk skjer og hvilke regler som blir fulgt, tøyd eller ignorert. Virksomhetsledelsen har en nøkkelrolle i å påvirke bedriftskulturen slik at de ansatte holder seg innenfor de etiske grensene. Ledelsens integritet og forpliktelse overfor etiske verdier påvirker etiske preferanser og vurderinger i en virksomhet og dette påvirker igjen de ansattes atferdsnormer. Virksomhetens belønningssystem har også betydning for hvordan de ansatte forholder seg til etikk. Virksomheten må unngå belønningssystemer som innebærer en risiko for misligheter. Dette kan for eksempel være overdrevent fokus på resultater og inntjening eller tvilsom rapporteringspraksis. For å oppnå høy etisk standard, er det også viktig å ha effektive sanksjoner for dem som bryter normene og å motivere de ansatte til å melde fra ved mistanke om overtredelser og evt. også å iverksette disiplinære reaksjoner mot ansatte som bevisst unnlater å melde fra om overtredelser. Åpenhet, gjennomsiktighet og innsyn er viktig i en virksomhet som tar etiske utfordringer på alvor. En virksomhets personalpolitikk er også et viktig virkemiddel for å synliggjøre virksomhetens etiske nivå. For statlige selskaper må det også vurderes om styrene har etablert kontrollkomité, og om selskapene har "compliance officer". Punkt 10.19 i de administrative bestemmelsene i Statens personalhåndbok angir retningslinjer for behandling av saker om underslag, korrupsjon, tyveri, bedrageri og utroskap i tjenesten. Av disse bestemmelsene framgår det blant annet at den virksomhet som oppdager mislighetene plikter å underrette Riksrevisjonen omgående og virksomheten kan be Riksrevisjonen om bistand til regnskapsmessige undersøkelser. Normalt bør virksomheten sørge for at den tjenestemann som mistanken rettes mot, får uttale seg og den mistenkte bør også gis mulighet til å gjøre opp for seg økonomisk. Riksrevisjonen og Fornyings- og administrasjonsdepartementet skal underrettes om den avgjørelse som er fattet i saken. 5.1.2 Hva er Riksrevisjonens rolle? Vedtatt av Riksrevisjonens leder 21.06.2007 Side 9 av 59

Riksrevisjonen skal aktivt bidra til å forebygge misligheter. Vi skal bevisstgjøre ledelsen sitt ansvar ved å påse at revidert virksomhet har etablert intern kontroll, og at denne etterleves og fungerer tilfredsstillende. Manglende eller mangelfull intern kontroll øker risikoen for at misligheter kan begås. Revisjonsfunn som indikerer svak intern kontroll skal derfor kommuniseres tilbake til virksomhetsledelsen slik at den kan treffe nødvendige forbedringstiltak. Riksrevisjonen skal videre påse at virksomhetene selv gjennomfører risikovurderinger for å kartlegge sine egne systemer. Hensikten er å identifisere svakheter som indikerer høy mislighetsrisiko. Riksrevisjonen skal kontrollere at virksomhetene har tilstrekkelig fokus på etikk, har utarbeidet interne etiske retningslinjer og har implementert disse internt i virksomheten. Nedenfor følger spørsmål som kan være relevante for revisor å få svar på: 1. Er statens etiske normer og regler kjent i virksomheten? 2. Hvordan er etiske retningslinjer og statens normer og regler gjort kjent i virksomheten (opplæring, allmøte, etatssamling, info via intranett osv.)? 3. Har ledelsen utarbeidet etiske retningslinjer for egen virksomhet? 4. Har ledelsen utarbeidet rutiner som skal bidra til at etiske retningslinjer faktisk etterleves, og foretas eventuelt kontroll av etterlevelsen? 5. Har det vært rapportert/avdekket brudd på de etiske retningslinjene, og eventuelt hvilke? 6. Er aktuelle sanksjoner gjort kjent for de ansatte, og er sanksjonene benyttet? 7. Er det etablert varslingskanaler/meldesystemer for varsling av kritikkverdige forhold i virksomheten? 8. Er det etablert egne rutiner for håndtering av avdekkede misligheter, og er disse gjort kjent i/overfor departementet? (Jf også punkt 10.19 i de administrative bestemmelsene i Statens personalhåndbok) 9. Er det avdekket misligheter i siste regnskapsår, og er Riksrevisjonen blitt informert om forholdene, jf punkt 10.19 i de administrative bestemmelsene i Statens personalhåndbok? 10. Dersom det er avdekket misligheter i den senere tid: hvordan vurderer virksomheten/departementet risikoen for at samme type mislighet kan gjentas? Og har virksomheten/departementet gjort noe for å redusere denne risikoen? 11. Har ledelsen vurdert risikoen for misligheter i forbindelse med den strategiske risikoanalysen? 12. Er det i så fall etablert risikoreduserende tiltak tilpasset de deler av virksomheten som eventuelt kan være utsatt for utilbørlig påvirkning? Er det for eksempel etablert særskilte kontroller med tanke på eksterne misligheter i forbindelse med stønader og tilskudd? 13. Har virksomheten skriftlig nedfelt ansvarslinjer og fullmaktsstruktur og etablert rutiner for å påse at disse følges i praksis? 5.2 Hvordan kan Riksrevisjonen avdekke misligheter? Vedtatt av Riksrevisjonens leder 21.06.2007 Side 10 av 59

Revisor må gjennom hele revisjonen være åpen for at misligheter kan forekomme. Selv om man gjennom systematiske vurderinger har kommet fram til at risikoen for misligheter er lav, kan det underveis i revisjonen likevel dukke opp forhold som framstår som underlige. Når noe ser underlig/mistenkelig ut, skal revisor være klar over at det kan være indikasjon på misligheter. Slike forhold må følges opp og avklares. For å kunne avdekke misligheter, må revisor bygge opp nødvendig innsikt og kompetanse om virksomhetens risiko for misligheter. Revisor må under hele revisjonsløpet utvise en profesjonell skeptisk holdning og ikke redusere sin skepsis på grunnlag av tidligere eventuelle positive erfaringer med virksomhetsledelsens holdninger og integritet. 5.2.1 Kort om valgt metodikk For å kunne avdekke misligheter gjennom revisjonen må revisor gjennomføre systematiske undersøkelser. Metoden som beskrives i disse retningslinjene kan benyttes der revisor vil foreta en kontroll for å spore mulige misligheter i en virksomhet mv. uten på forhånd å ha konkrete mistanker. Den kan også benyttes der man på bakgrunn av innkomne tips eller egne revisjonsfunn har mistanke om at misligheter kan ha funnet sted. Metoden er tenkt anvendt på alle de tre revisjonstypene. Metoden kan illustreres med følgende figur: 1 Identifiser mulige mislighetsrisikoområder STOPP dersom identifiserte mislighetsrisikoområder har lav risiko og vesentlighet. Husk dokumentasjon! 2 Se etter signaler på misligheter STOPP dersom det ikke finnes signaler på misligheter. Dokumenter vurderingene! 3 Let etter bevis og dokumenter funn 4 Vurdere funn, konkludere og rapporter Saken avsluttes når undersøkelsene ikke avdekket misligheter. Beslutningen tas på ledernivå. Vurderinger og konklusjon skal dokumenteres. Dersom undersøkelsene avdekker mislige forhold, må dette kommuniseres videre både internt og eksternt. Alvorlige saker der det antas å foreligge straffbare forhold, overlates til Økokrim/politi for videre oppfølging. Vedtatt av Riksrevisjonens leder 21.06.2007 Side 11 av 59

Figur 2: Trinnene i en mislighetsundersøkelse Metoden inneholder følgende fire trinn: 1. Identifisere og vurdere mislighetsrisikoområder 2. Identifisere hendelser/signaler som indikerer høy mislighetsrisiko 3. Definere og gjennomføre kontrollhandlinger med sikte på å avdekke mulige misligheter på risikofylte områder 4. Utarbeide konklusjoner, rapportere arbeidet og foreslå videre oppfølging av saken På slutten av hvert trinn skal revisor vurdere hvorvidt det foreligger informasjon som tilsier at undersøkelsen skal videreføres. Dokumentasjon av undersøkelsen skal utarbeides fortløpende, oppbevares systematisk og hensiktsmessig og være tilgjengelig for dem som deltar i undersøkelsen. Omfanget og innholdet av dokumentasjonen skal være tilstrekkelig og detaljert slik at den gir et helhetlig bilde av den utførte undersøkelsen med konklusjonen. Det må fortløpende vurderes om det er avdekket forhold som bør kommuniseres videre både internt og eksternt, se også kapittel 3.2. Det er flere måter å følge opp en mislighetsrisiko på. Metodikken kan tenkes anvendt i den årlige regnskapsrevisjonen/selskapskontrollen, som en del av en forvaltningsrevisjon eller som en egen undersøkelse. En mislighetsundersøkelse kan også gjennomføres som et samarbeid på tvers av revisjonstypene. 5.2.2 Trinn 1: Hvordan identifisere og vurdere mislighetsrisikoområder? Formålet med dette punktet er å identifisere hvilke områder og prosesser som kan være utsatt for misligheter i den konkrete virksomheten eller på et bestemt forvaltningsområde. Gjennom risiko- og vesentlighetsbetraktninger skal revisor vurdere om det er områder/prosesser som indikerer høy mislighetsrisiko, og som derfor skal følges opp med ytterligere undersøkelser. "Mislighetsrisikoområder" vil si de deler av virksomheten eller forvaltningsområdet hvor det ut fra revisors vurdering er fare for misligheter. For å kunne identifisere de viktigste mislighetsrisikoområdene må revisor ha tilstrekkelig kunnskap om virksomheten. Mislighetsrisikoområder kan relateres til alle former for forvaltning av ressurser, verdier, rettigheter og goder. Revisor skal foreta en systematisk risiko- og vesentlighetsvurdering av den enkelte virksomhet og konkretisere hvilke mulige misligheter den kan være utsatt for. Målet er å identifisere områder hvor det er høy risiko for misligheter. Disse skal revisor Vedtatt av Riksrevisjonens leder 21.06.2007 Side 12 av 59

følge opp med ytterligere undersøkelser. Mislighetsrisikovurderingene inngår i planleggingen av regnskapsrevisjonen og skal foretas av revisjonsteamet som en del av den strategiske analysen. Dersom revisor finner flere risikoområder, skal han rangere dem etter vesentlighet. Ved revisjon av store, komplekse og spesielt mislighetsutsatte virksomheter kan det være behov for å bruke mer avanserte metoder for å identifisere og vurdere mislighetsrisiko. Vurderingene skal bygge på en profesjonelt skeptisk holdning uten hensyn til eventuelle tidligere erfaringer med virksomhetens ledelse og intern kontroll. Revisor skal fremskaffe opplysninger om det tidligere har vært avdekket misligheter i virksomheten da dette eventuelt vil være å anse som et mislighetsrisikoområde. Revisor må innhente ev. risikoanalyser som virksomheten mv. selv har foretatt, herunder hvordan virksomheten har valgt å håndtere risikoen for misligheter. Selv om revisor skal gjennomføre egne risikovurderinger, bør disse sammenholdes mot virksomhetens egne risikoanalyser. Regnskapsrevisor skal i henhold til sine retningslinjer foreta en slik avstemming. I utformingen av prosjektideer i forvaltningsrevisjon, er det viktig å tilstrebe at det på departementsområder som er særlig risikoutsatte, foreligger noen prosjektideer der en eller flere problemstillinger omhandler misligheter. Eksempler på mislighetsrisikoområder kan være: Innkjøps- og anskaffelsesvirksomhet Avhending og salg Forholdet mellom kunde og leverandør Lønn, herunder bonus/opsjoner Sikring av verdier Omstillinger/omorganiseringer Myndighetsutøvelse som omfatter skjønnsmessige vurderinger i forhold til for eksempel tilskudd, stønader, konsesjoner og andre tillatelser som utstedelse av id-papirer som pass og sertifikater, fastsettelse av skatter og avgifter mv. Bistandsmidler Svak intern kontroll Virksomheter med kompleks styringsform og selskapsstruktur Systemavhengighet/komplekse IT-områder Refusjoner/stykkprisfinansiering OPS-avtaler (avtaler om offentlig-privat samarbeid) Listen er en oversikt over områder der det erfaringsmessig er stor risiko for misligheter, men alle reviderte virksomheter kan ha egne risikoområder i tillegg til eller istedenfor disse. Listen er derfor ikke å anse som uttømmende. I planleggingen av revisjonen skal revisor tilegne seg kunnskap og forståelse om virksomheten, herunder hva denne virksomheten forvalter som er av verdi for andre. Har revisor mottatt tips om misligheter som er vurdert dit hen at de skal følges opp, kan man si at mislighetsrisikoområdet for tipset allerede er identifisert. Dette gjelder enten kilden er i eller utenfor virksomheten. Vedtatt av Riksrevisjonens leder 21.06.2007 Side 13 av 59

Dersom revisor gjennom risikovurderingene ikke finner områder med høy mislighetsrisiko, avsluttes undersøkelsen. Vurderingene kvalitetssikres i linjen. Mislighetsrisikovurderingene skal dokumenteres, og revisor må i samråd med linjen vurdere om andre over- og sideordnede nivåer i Riksrevisjonen skal orienteres om resultatene av mislighetsrisikovurderingene. 5.2.3 Trinn 2: Hvordan identifisere hendelser/signaler som indikerer høy mislighetsrisiko? Revisor skal lete etter hendelser/signaler som indikerer at det foreligger høy risiko for misligheter innenfor det valgte mislighetsrisikoområdet i virksomheten mv. Slike hendelser/signaler kalles ofte "røde flagg". Når revisor har identifisert hvilke mislighetsrisikoområder i den aktuelle virksomheten mv. som skal følges opp, skal revisor foreta en konkret vurdering av om det er hendelser og signaler som indikerer høy mislighetsrisiko på området. Det er nyttig å ha god kunnskap om virksomheten mv. når man skal identifisere hendelser og signaler som indikerer høy mislighetsrisiko. Dette fordi mange av de "røde flaggene" kan knyttes direkte til virksomhetens mv. oppgaver, organisering, systemer osv. Misligheter kan begås både i utøvelse av virksomhetens primæroppgaver og sekundæroppgaver. Primæroppgavene er ofte virksomhetsspesifikke (tilsyn, tilskudd, skatte- og avgiftsinnkreving, undervisning osv) mens sekundæroppgaver som anskaffelser og lønn vil vi finne i de fleste virksomheter mv. Det er viktig å identifisere om det er hendelser og signaler som indikerer misligheter både innenfor primæroppgaver (myndighetsutøvelse) og sekundæroppgaver (administrasjon). Regnskapsrevisor foretar disse vurderingene bl.a. i strategisk analyse og i prosessanalyser. Det skal framgå av risikovurderingene at man skal følge opp områder med høy mislighetsrisiko gjennom systematiske mislighetsundersøkelser. I selskapskontrollen vil disse vurderingene først og fremst bli foretatt på selskapsnivå. Vurderingene inngår som en del av den årlige planleggingen av kontrollen. I forvaltningsrevisjonen vil risikovurderingene og prosjektideer som følger av disse, legge føringer for hvilke røde flagg det kan være aktuelt å forfølge. I en forvaltningsrevisjon kan det være relevant å benytte foranalysen til å forfølge de røde flaggene for å undersøke om det er indikasjoner på misligheter. Dersom foranalysen indikerer at det foreligger vesentlige avvik og svakheter, må disse følges opp i en hovedanalyse. Vedtatt av Riksrevisjonens leder 21.06.2007 Side 14 av 59

Hvilke typer hendelser/signaler/"røde flagg" revisor skal se etter, vil bero på hvilket mislighetsrisikoområde som er identifisert. For eksempel vil store anskaffelser uten forutgående anbudskonkurranse være et "rødt flagg" på anskaffelsesområdet. Når revisor skal vurdere risiko for misligheter i en virksomhet mv., må han ikke la seg blende av at virksomhetsledelsen tilsynelatende har vedtatt retningslinjer. Erfaring viser at det ikke er manglende retningslinjer, men manglende etterlevelse og oppfølging og kontroll, som gir ansatte og andre mulighet til å begå misligheter. Det er derfor viktig av revisor foretar systemtester, samt kontrollerer at ledelsen i virksomheten også kan dokumentere at de foretar regelmessig oppfølging av at etablerte rutiner etterleves. Dette gjelder særlig oppfølging av internkontrolltiltak og etiske retningslinjer. Ikke minst bør svakheter i ledelsens egen etterlevelse av rutiner og holdninger følges opp av revisor. Nedenfor vil du finne noen eksempler på ulike hendelser og signaler som kan indikere høy mislighetsrisiko. Disse er delt inn i fire grupper: personer og virksomhet systemer transaksjoner anskaffelser "Røde flagg" knyttet til personer og virksomhet Ansatte/ konsulenter som favoriserer leverandører Innkjøpsfunksjonen og personer som har leverandørkontakt er tradisjonelt særlig utsatt for misligheter som følge av stor kontakt med utenforstående og stor makt og innflytelse i forbindelse med avgjørelser av økonomisk betydning. Innkjøpere er i posisjon til å kunne kreve eller motta bestikkelser for å bidra til at spesielle leverandører blir tildelt kontrakter. Høyt prisede varer eller tjenester med lav kvalitet som blir akseptert over tid kan være en indikasjon på at noen mottar returprovisjon. Ansatte og eller innleide konsulenter som slutter og begynner hos leverandør kan bety at personen har hatt et nært forhold til den aktuelle leverandøren. Med nærstående i denne sammenheng tenker vi både på slekt og venner. Før en ansatt slutter i jobben for å begynne hos en leverandør, kan man ofte observere at det har vært tett og hyppig kontakt dem imellom, ofte også på det private plan. Nyansatte, og for så vidt andre ansatte, som setter anskaffelsesregelverket til side og introduserer nye leverandører kan være et "rødt flagg". Dette kan være et signal på at den ansatte får en ulovlig fordel dersom en slik leverandør velges. Før virksomheten velger leverandøren, bør habilitetsspørsmål avklares. Ansatte/konsulenter eller nærstående som driver næringsvirksomhet rettet mot virksomheten En statsansatt kan ikke inneha ekstraverv og bierverv, styreverv eller annet lønnet oppdrag som er uforenelige med den statlige arbeidsgivers legitime interesser eller som er egnet til å svekke tilliten til forvaltningen. Vedtatt av Riksrevisjonens leder 21.06.2007 Side 15 av 59

Bruk av mellommenn, konsulenter, tilretteleggere og innleide eksperter, som gjerne får store honorarer Slike tjenester kan være reelle og nødvendige, men benyttes også som en måte å skjule bestikkelser på. Man gjør på denne måten betalingen av bestikkelsen mindre gjennomsiktig. Personer som utfører oppgaver som normalt ikke tilligger deres arbeidsområde/etablering av nye rutiner for å hindre funksjonsdeling/ kontroll Det er et "rødt flagg" når ledende ansatte gjør arbeid som vanligvis underordnede gjør. For eksempel kan en leder som foretar innkjøp av varer selv motta returprovisjon. For å skjule dette gjør derfor lederen det praktiske innkjøpsarbeidet selv. Det er også et "rødt flagg" dersom det etableres rutiner som hindrer andre ansatte å utføre tillagte oppgaver eller å foreta kontroll. Sterkt vern om egne arbeidsoppgaver Det er et "rødt flagg" på at det kan foreligge misligheter der personer verner sterkt om sine egne arbeidsoppgaver. Et slikt vern utøves for eksempel ved at en leder forlanger at ansatte i virksomheten/avdelingen/seksjonen tar ut ferie samtidig som lederen. Dette for å hindre tilgang til lederens funksjoner, kontakter, dokumenter mv. Uklar fullmaktsstruktur og/eller mye makt er konsentrert rundt en eller få personer En uklar fullmaktsstruktur der det er vanskelig eller uklart hvilke ansvarsområder som tilligger hvilke personer, øker muligheten for at det kan begås misligheter. Det samme gjelder der fullmaktsstrukturen gir en eller få personer mye makt, eksempel ved at en person alene kan inngå store kontrakter. Unormal og uforklarlig stor bruk av konsulenter i virksomheten Uvanlige aktiviteter i virksomheten, for eksempel anskaffelser utenom det vanlige eller at det er uvanlig høye over/underskudd virksomheten Slike uvanlige aktiviteter kan være et signal på misligheter, for eksempel dersom det er kjøpt materiell og tjenester som ikke følger naturlig av virksomhetens oppgaver. Mottak av/tilbud om gaver og andre fordeler Personer som driver med salg og har kundekontakt kan være utsatt for krav om returprovisjon fra innkjøpere. Ulike stabsfunksjoner som personal, markedsføring, vedlikehold, leie, osv kan bli tilbudt eller avkrevd urettmessige fordeler og unnlater å rapportere dette videre. Reiser med feriepreg, reiser hvor ingen andre ansatte deltar og turer arrangert av virksomhetens leverandører er "røde flagg". Vedtatt av Riksrevisjonens leder 21.06.2007 Side 16 av 59

Innen offentlig sektor kan personer som er premissleverandører for og avgjør tildeling av knappe ressurser, for eksempel ulike tillatelser, konsesjoner og lisenser, være utsatt for korrupsjon. Brudd på god forvaltningsskikk Brudd på forvaltningslovens saksbehandlingsregler og god forvaltningsskikk er et "rødt flagg" på at det kan foreligge misligheter. Hvorvidt slike brudd, for eksempel brudd på habilitetsreglene, skal betraktes som en mislighet må bero på en nærmere vurdering av sakens alvorlighet, omstendighetene rundt mv. Et eksempel er utstedelse av sertifikat til nærstående uten at det i forkant er foretatt en forsvarlig saksbehandling. Salg av eiendeler/eiendommer til underpris En eventuell underpris vil kunne være kompensasjon som i realiteten skjuler en bestikkelse. Manglende skriftlig dokumentasjon, for eksempel ved kjøp- og salgsprosesser Har virksomheten tidligere vært utsatt for misligheter Manglede åpenhet Det er manglende åpenhet i en virksomhet omkring drift, aktiviteter, resultater, ansatte mv. Intern kontroll Svak internkontroll, eller avvik fra internkontrollen og andre gjeldende rutiner, samt manglende oppfølging og/eller vilje til å rette opp slike svakheter. "Røde flagg" knyttet til systemer Manglende IKT-sikkerhet Ofte brukes IKT-systemer til å gjennomføre straffbare handlinger, og forbryteren vil forsøke å simulere og etterligne sine registreringer så nær opp mot en ordinær transaksjon som mulig. Signaler som kan åpne for misligheter i systemene kan være dårlig fysisk sikring av utstyr, mangelfull tilgangskontroll eksempelvis ved at det er mange superbrukere i systemene. Avvikende bruk av IKT-systemer Metodene som anvendes etterlater ofte spor eller gir signaler gjennom avvikende bruk av systemene. Her kan man se bestilling, kontrakter etc. som er opprettet etter at de finansielle transaksjonene er utført. De fleste IKT-systemer er mest sårbare fra innsiden. "Røde flagg" her kan være manglende arbeids- og funksjonsdeling i saksbehandlingen, manglende loggføring og oppfølging av avviks- og feillister osv. Vedtatt av Riksrevisjonens leder 21.06.2007 Side 17 av 59

"Røde flagg" knyttet til transaksjoner Utstrakt bruk av håndkasser med kontanter Det gjennomføres ikke kassetelling i henhold til retningslinjer og /eller kassetellingene viser avvik i forhold til bokført beholdning. Fakturaer som avviker fra normalen Dette kan være: o fakturaer med ulogisk fakturanummer o feil/mangelfulle data på fakturaen (for eksempel dato) o fakturaen i regnskapet er en kopi og ikke originalfaktura o fakturaen er håndskrevet o fakturaen ikke er brettet (kan tyde på at den er produsert internt og ikke sendt fysisk) o fakturaen har dårlig spesifikasjon av leverte varer/tjenester o faktura med ikke verifiserbare tjenester (typisk konsulenthonorarer, administrasjon, ulike fees osv.) o fakturaer med fremmed leveringsadresse Fakturaene brukes for å skjule utbetalinger som i realiteten er bestikkelser eller underslag, samtidig som man urettmessig søker å oppnå fradrag i skattepliktig inntekt. Betaling som avviker fra det normale Dette kan være: o betaling på annen måte enn ved ordinær kontooverføring, o betaling før forfall o betaling til andre enn fakturautsteder/kontraktsmotpart o kontant betaling o forskuddsbetaling o betaling som er gjort unødvendig komplisert o runde beløp o forskuddbetalinger før årets slutt o uvanlig mottaksadresse Attestasjoner og anvisninger som avviker fra normalen Avvik fra økonomireglementets bestemmelser eller selskapets interne rutiner om hvem som skal attestere og anvise inngående fakturaer kan være ett "rødt flagg" om misligheter. Kostnader som ikke er ført mot reskontro Slike transaksjoner er ofte signaler på at virksomhetens rutiner for kontroll og godkjennelse ikke blir fulgt. Inngående fakturaer uten reskontroføring er i seg selv et "rødt flagg". Ofte er slike transaksjoner tilknyttet utbetaling til ansatte eller nærstående. Kostnader bokført på unormale kontoer i regnskapet For å få tak i penger til bestikkelser benyttes ofte falske bilag. Disse må nødvendigvis bokføres, og de søkes gjerne skjult i regnskapet. Bestikkelser utgjør Vedtatt av Riksrevisjonens leder 21.06.2007 Side 18 av 59

ofte større beløp, og dette er vanskelig å skjule på de regnskapskontoene hvor det er vanlig med mindre beløp. Dobbeltfakturering og dobbeltbetaling, omposteringer og korrigeringer Falske fakturaer uten tilsvarende leveranse av varer eller tjenester, som attesteres og anvises for utbetaling, kan brukes for å finansiere korrupsjon og bestikkelser, skjule hvitvasking med mer. Dette kan både skje ved dobbeltfakturering fra leverandøren for samme leveranse, og ved at det skjer en dobbelt utbetaling som følge av at en reell faktura er kopiert i virksomheten. Omposteringer og korrigeringer kan brukes for å skjule utbetalinger som skjer uten et reelt grunnlag, for eksempel ved falske fakturaer. En bør særlig være observant på grunnlaget dersom en og samme transaksjon er ompostert/korrigert flere ganger. Bokførte fakturaer fra leverandører som ikke finnes En måte å få tak i penger til bestikkelser på er å bokføre fakturaer fra selskaper som ikke eksisterer. Manglende bokføring av kreditnotaer mv Mange leverandører gir sine kunder bonuser basert på for eksempel årlig salg. Inntektsføres disse? En lignende måte å skaffe penger til bestikkelser på er å returnere varer og avbestille tjenester (for eksempel flyreiser) som er fakturert, uten å bokføre dette. I slike tilfeller gis det beskjed til leverandøren om at betalingen for allerede betalte varer/tjenester skal tilbakebetales til en konto som kontrolleres av bestikkeren og som ikke har noen sammenheng med virksomheten vedkommende jobber i. Skatteparadiser Fakturaer til/fra personer eller selskaper registrert i såkalte skatteparadiser inneholder ofte flere "røde flagg" som for eksempel mangelfull spesifikasjon av tjenester. "Røde flagg" i forbindelse med anskaffelser Klare brudd på anskaffelsesregelverket vil kunne være et "rødt flagg" om at det foreligger misligheter. o Manglende konkurranse ved tildeling av kontrakter. Ved "korrupte" anskaffelser er den korrupte selvfølgelig ikke interessert i konkurrerende tilbydere. o Manglende/mangelfulle konkurransegrunnlag /kravspesifikasjoner. I enkelte tilfeller kan spesifikasjonene være så generelle at en mulig leverandør som ellers ikke ville vært kvalifisert, nå blir det og kommer med tilbud som blir akseptert. o Tilleggsoppgaver utover kravspesifikasjonen En leverandør har fått en kontrakt iht. kravspesifikasjonen til en gitt pris. Utføres tilleggsarbeider av leverandøren? Kostnader som skulle være inkludert i det opprinnelige tilbudet kan bli forsøkt fakturert som tilleggsarbeider. Vedtatt av Riksrevisjonens leder 21.06.2007 Side 19 av 59

o Brudd på protokollplikten. Manglende eller mangelfull dokumentasjon for valg av leverandør kan skule et mislig forhold. o Prolongering (forlengelse) av kontrakter. Dersom avtaler med en leverandør prolongeres flere ganger istedenfor at det lyses ut ny avtale. Andre "uregelmessigheter" i forbindelse med anskaffelsesprosedyren: o "Budrigging. Med dette menes at noen legger forholdene til rette for at en spesiell leverandør skal bli valgt mot å motta en utilbørlig fordel. Symptomer på budrigging er lekkasjer fra budrunder, fiktive anbud fra ikke eksisterende selskaper og avtalevilkår som legges opp slik at de passer en bestemt leverandør. o Kvalifikasjonskrav og tildelingskriterier som er skreddersydd for enkelte leverandører. Hvem har formulert konkurransegrunnlaget slik at det i praksis kun er én aktuell leverandør? Har noen i organisasjonen fordeler av at denne leverandøren velges? o Blir noen leverandører foretrukket hele tiden, mens andre alltid taper i anbudskonkurranser? Har utro ansatte forbindelser til anbudsvinneren? Hvorfor fortsetter taperen å levere anbud gang etter gang til tross for at han alltid taper? Er taperen et reelt selskap, eller er det noen som prøver å skape inntrykk av at det skjer en reell anbudskonkurranse? o Enkelte leverandører er utelukket fra konkurranse. Hvorfor er det ikke innhentet tilbud fra leverandører som det er naturlig at er med i en anbudskonkurranse? Hva er grunnen til at noen utelukkes? Det kan være at denne leverandøren har nektet å betale returprovisjon for å få en leveranse. o Anbudsrunder med uvanlig korte frister taler for at anbudskonkurransen er arrangert i avtale med en leverandør. o Tilbud innkommet etter anbudsfristens utløp som vinner kontrakten o Dele anskaffelsen/kontrakten for å holde seg under terskelverdi og dermed omgå krav om åpen anbudsinnbydelse/konkurranse Uklare og/eller mangelfulle avtaler bidrar til å vanskeliggjøre reell konkurranse, og kan gjøre det mulig å beholde en leverandør noen har et korrupt forhold til. Slike avtaler benyttes ofte i forbindelse med ulovlige tilleggsarbeider og gjør det vanskeligere å bevise korrupsjon da transaksjonene er mindre gjennomsiktige Innkjøp av varer og tjenester som krever spesielt utstyr. Hvorfor kjøpes det inn varer som krever utstyr som bare en leverandør kan levere? Hvem har hatt innflytelse på valg av disse varene? Har virksomheten et reelt behov for akkurat disse? Vedtatt av Riksrevisjonens leder 21.06.2007 Side 20 av 59