Arbeids- og sosialdepartementet

Arbeids- og sosialdepartementet har ansvar for utviklingen av store reformer og viktige politikkområder, og disponerer en stor andel av statsbudsjettet. Departementet har det overordnede ansvaret for politikken som gjelder arbeidsmarked, arbeidsmiljø og sikkerhet, velferd og pensjoner og skal blant annet legge til rette for et velfungerende arbeidsmarked og et arbeidsliv som passer for alle.

Departementet har ni underliggende virksomheter.

3.2.1 Departementets budsjett og regnskap for 2018

Figuren gir en oversikt over utgifter og inntekter på departementets ansvarsområde.

Inndelingen er i henhold til bevilgningsreglement vedtatt av Stortinget

(bevilgningsreglementet) § 4, jf. rundskriv R-101 Statens kontoplan for statsbudsjettet og statsregnskapet. Tallene er hentet fra statsregnskapet 2018.

Arbeids- og sosialdepartementets ansvarsområde i statsregnskapet kjennetegnes av store utgifter i form av overføringer til andre. Overføringene gjelder i hovedsak utbetaling av pensjoner og ytelser fra arbeids- og velferdsetaten. Disse utbetalingene utgjør 420,2 milliarder kroner. De største utbetalingene gjelder alderdom med 221 milliarder kroner, uførhet med 88 milliarder kroner, sykepenger med 40 milliarder kroner og arbeidsavklaringspenger med 33 milliarder kroner.

Statens egne driftsutgifter for departementet med underliggende virksomheter utgjør 18,6 milliarder kroner.

Tilbakebetalinger mv. beløper seg til 11,8 milliarder kroner og gjelder boliglånsordningen i Statens pensjonskasse.

Overføringer fra andre utgjør til sammen 3,6 milliarder kroner. Disse inntektene gjelder i hovedsak innkreving av feilutbetalinger, renter av boliglånsordningen i Statens

Figur 3.2 Budsjett og regnskap for 2018 (tall i millioner kroner) Overført fra

forrige år Bevilgning

2018 Samlet

bevilgning Regnskap Overført til neste år

Utgifter 737 445 598 446 335 446 097 614

Inntekter 16 284 15 988

Utgifter regnskap 2018 Inntekter regnskap 2018

Statens egne

pensjonskasse og arbeidsgiveres finansiering av erstatningsutbetalinger ved yrkesskade.

3.2.2 Virksomhetsregnskap

Det er ni virksomheter under Arbeids- og sosialdepartementet. I tillegg regnes departementet som egen virksomhet.

Statlige virksomheter kan ha ulike tilknytningsformer til staten. Det er først og fremst budsjettfullmaktene fra Stortinget som skiller dem. De fleste virksomheter er ordinære forvaltningsorganer (bruttobudsjetterte) hvor utgifter og inntekter budsjetteres og rapporteres til statsregnskapet hver for seg. For forvaltningsorganer med særskilte fullmakter (nettobudsjetterte) vedtas en netto utgiftsramme, som er forskjellen mellom forventede utgifter og inntekter. De nettobudsjetterte virksomhetene fører regnskap etter statlige regnskapsstandarder (SRS). De bruttobudsjetterte kan etter avtale med overordnet departement velge å føre periodisert regnskap etter SRS i tillegg til kontantregnskapet.

3.2.3 Utviklingstrekk / oppfølging tidligere revisjoner

I Dokument 1 (2018–2019) for regnskapsåret 2017 fant Riksrevisjonen det sterkt kritikkverdig at IKT-systemene i arbeids- og velferdsetaten hadde vesentlige svakheter som kunne utnyttes i dataangrep og hadde følgende hovedfunn:

• Arbeids- og velferdsetaten har ikke dokumentert oversikt over risikobildet for dataangrep.

• Etaten har etablert flere sterke sikkerhetstiltak, men etatens IKT-systemer har likevel vesentlige svakheter som kan utnyttes av interne og eksterne aktører.

• Kompleksiteten i etatens IKT-systemer gjør det vanskelig å etterleve lov om behandling av personopplysninger (personopplysningsloven).

I kontroll- og konstitusjonskomiteens behandling av Dokument 1, jf. Innst.125 S

(2018–2019) understreket komiteen at mangelfull styring og oppfølging av informasjons- sikkerhet er sterkt kritikkverdig. Sensitiv informasjon, også personopplysninger, kan komme på avveie. Viktige tjenester for samfunnet kan settes ut av funksjon. Komiteen ba om å bli holdt orientert om framdriften gjennom Dokument 1 for regnskapsåret

Tilknytningsform / finansielt

rammeverk Regelverk for statlig

økonomistyring

* Arbeids- og sosialdepartementet, Arbeids- og velferdsetaten, Arbeidsretten, Arbeidstilsynet, Riksmekleren, Trygderetten

** Petroleumstilsynet

*** Statens arbeidsmiljøinstitutt og Pensjonstrygden for sjømenn (følger regnskapsloven i påvente av vurdering av tilknytningsform til staten).

**** Statens pensjonskasse

Tabell 3.2 Virksomheter, tilknytningsform og regnskapsprinsipper

2018. Riksrevisjonen har bedt Arbeids- og sosialdepartementet redegjøre for status i arbeidet med å sikre mot dataangrep i arbeids- og velferdsetaten.

Arbeids- og sosialdepartementet opplyser i brev av 26. april 2019 at det har fulgt opp temaet i etatsstyringsdialogen med Arbeids- og velferdsdirektoratet, og at det blant annet har presisert departementets krav til direktoratets arbeid med IKT-sikkerhet i instruks om virksomhets- og økonomistyring for Arbeids- og velferdsdirektoratet.

Departementet opplyser videre at direktoratet har styrket systematiseringen og økt kompetansen og kapasiteten på informasjonssikkerhetsarbeidet. For å ivareta kravene i personvernforordningen har arbeids- og velferdsetaten utviklet og iverksatt en modell for vurdering av personvern som sikrer at alle krav blir vurdert og dokumentert.

For øvrig opplyser departementet følgende i forbindelse med de enkelte hovedfunnene:

Arbeids- og velferdsetaten har ikke dokumentert oversikt over risikobildet for dataangrep

Direktoratet har utarbeidet en samlet risiko- og sårbarhetsvurdering som ligger til grunn for ledelsens gjennomgang av informasjonssikkerhet og personvern. Ansvar og

tidsfrister for oppfølging av tiltakene er fordelt. Departementet opplyser at arbeids- og velferdsetaten i tillegg har styrket sitt arbeid med risikovurderinger og gjennomfører en rekke risikoanalyser av infrastruktur, plattform og applikasjoner som er under utvikling.

Etaten har også etablert et sikkerhetsteam som håndterer sårbarheter.

Etaten har etablert flere sterke sikkerhetstiltak, men etatens IKT-systemer har likevel vesentlige svakheter som kan utnyttes av interne og eksterne aktører Departementet opplyser at systemenes alder og beskaffenhet er årsaken til en del av de påpekte manglene. Arbeids- og velferdsdirektoratet iverksetter derfor tiltak som gjør at risikoen er på et nivå som direktoratet vurderer som akseptabelt i påvente av nye IKT-systemer. Direktoratet har blant annet laget rutiner for å korrigere for manglende kvalitet i loggene og har iverksatt manuelle gjennomganger som skal sikre at ansatte ikke har tilganger utover tjenstlige behov. Tiltak som dette blir iverksatt og gjennomført slik at risikoen på områdene kan aksepteres inntil permanente endringer er på plass.

Flere alvorlige avvik ble rettet opp mens revisjonen pågikk. Enkelte avvik blir rettet ved at det blir innført nye versjoner av mobilitetsløsning og Citrix-løsning. Ytterligere arbeid med å rette opp avvik pågår løpende.

Kompleksiteten i etatens IKT-systemer gjør det vanskelig å etterleve personopplysningsloven

Arbeids- og sosialdepartementet viser til direktoratets risiko- og sårbarhetsanalyse og opplyser at Arbeids- og velferdsdirektoratet arbeider systematisk med å sikre at alle krav til personvern og informasjonssikkerhet blir ivaretatt ved endringer i foreliggende systemer og ved nyutvikling. Departementet opplyser at utviklingen av nye løsninger i direktoratet gjøres på grunnlag av anerkjente utviklingsmetoder, Datatilsynets veileder for innebygget personvern og etatens styringssystem for informasjonssikkerhet som er basert på ISO 27001.

3.2.4 Finansiell revisjon – hovedfunn Generelle forhold

Årsregnskapene er avlagt og oppstilt som forutsatt for Arbeids- og sosialdepartementet, de underliggende virksomhetene, og for Jernbanens Pensjonskassefond som avlegges

tråd med kravene i regelverk for økonomistyring i staten (økonomiregelverket).

Departementet og fondet utarbeider ikke årsrapport.

Resultatet av den finansielle revisjonen

Riksrevisjonen har avgitt elleve revisjonsberetninger. Av disse er én til departementet, ni til underliggende virksomheter og én til fondet.

Virksomheter med modifisert revisjonsberetning

Riksrevisjonen har ikke modifisert uttalelsen om årsregnskapet for noen av virksomhetene på Arbeids- og sosialdepartementets ansvarsområde.

Virksomheter med modifisering av uttalelse om administrativt regelverk Riksrevisjonen har ikke modifisert uttalelsen om administrativt regelverk for noen av virksomhetene på Arbeids- og sosialdepartementets ansvarsområde.

3.2.5 Saksforhold – hovedfunn

I revisjonsåret 2018 ble det gjennomført to revisjoner av saksforhold innenfor Arbeids- og sosialdepartementets ansvarsområde.

Anskaffelser og oppfølging av arbeidsmarkedstiltak i arbeids- og velferdsetaten