Kontrollvirksomhet i Corona-året

2020 har vært et spesielt år for oss alle, og det har selvsagt også påvirket kontrollutvalget i Sarpsborg sitt arbeid. Vi har hatt møter på Teams, og vi har hatt møter i bystyresalen.

Med til sammen 12 deltakere var det ikke vanskelig å holde god avstand i en sal som normalt benyttes av 60-70 personer. Kontrollarbeidet skal jo allikevel gå sin gang så langt det er mulig. I året som gikk har vi blant annet hatt søkelys på IT-sikkerhet. Opprinnelig var det ønskelig å se på både IT-sikkerhet og personvern. Vi valgte imidlertid å ta personvern som et eget prosjekt og vil komme tilbake til det. Så i fjoråret var det IT-sikkerhet som sto i fokus.

På grunn av Corona-situasjonen valgte en å dele det arbeidet i to deler. Den første delen tok for seg planer og rutiner for IT-sikkerhet samt iverksetting av sikkerhetstiltak, mens den andre delen omfattet sikkerhetskultur. Sannsynligheten for at kommunen kan bli utsatt for cyber-angrep fremstår etter revisjonens oppfatning som meget høy. Konsekvensen av et slikt angrep kan i verste fall få store konsekvenser både for kommunens mulighet til å levere tjenester til innbyggerne, men også for kommunens økonomi.

Såkalte «løsepengeangrep» har økt i omfang. Dette er virus som krypterer brukerens data og gjør dem utilgjengelig, og så kreves det løsepenger for å få tilgang til krypteringsnøkkelen. Hackere, kriminelle bander og fremmede makter utgjør en økende trussel mot offentlige og private datasystemer. Med økt digitalisering følger også økte krav til tilgjengelighet av viktige IKT-systemer. Ny teknologi kan gjøre det mulig å lage sikrere løsninger, men kan også medføre økt kompleksitet, introduksjon av nye sårbarheter og økt behov for sikkerhetskompetanse. I forbindelse med digitalisering av kommunens løsninger er det avgjørende å sikre informasjonen slik at den ikke kommer på avveie. Det ble utarbeidet et sett med revisjonskriterier, og revisjonen har etter kontrollutvalgets oppfatning gjort en grundig jobb med de to delrapportene.

I forbindelse med digitalisering av kommunens løsninger er det avgjørende å sikre informasjonen slik at den ikke kommer på avveie.

Det har blitt foretatt dokumentanalyse, intervjuer og testing av systemet. Blant annet ble det sendt såkalt phishing til 750 brukere for å teste risikoen hos sluttbrukerne gjennom et målrettet angrep. Testen avdekket at det var en del ansatte som ga fra seg passord, noen besøkte siden uten å gi fra seg passord, og en del ble ikke påvirket. Etter litt mailveksling frem og tilbake, reagerte It-avdelingen når de ble varslet om phishingen og blokkerte domenet i brannmur og varslet ansatte i interne kanaler. Revisjonen viser at Sarpsborg kommune er en organisasjon som prioriterer sikkerhetsarbeidet. Kommunen har i stor grad etablert planer og rutiner som ivaretar kommunens IT-sikkerhet på en tilfredsstillende måte, og iverksatt anbefalte sikkerhetstiltak mot dataangrep og uautorisert tilgang til informasjon. Kommunen gjennomfører en rekke kontrollaktiviteter på IT-sikkerhetsområdet, både preventive, oppdagende, manuelle og ledelsesbaserte kontroller.

Kommunen har i all hovedsak kontroll på sitt IT-utstyr, sine nettverk og komponenter, og gjennomfører sikker konfigurasjon. Kommunen stiller også krav til leverandører og systemer slik at sikkerheten skal være ivaretatt. Revisjonen har imidlertid avdekket at det er rom for visse forbedringer og har foreslått 10 forbedringspunkter. Kontrollutvalget ser frem til å få en oppfølgingsrapport om et år for å se at tiltakene er fulgt opp.

Kontrollutvalget foreslo for bystyret at «Kvalitet i pleie- og omsorgstjenestene for tjenesteyting» skulle opp som et viktig punkt på vår forvaltningsrevisjonsplan, og fikk tilslutning til det. I forrige periode ble det avholdt en forvaltningsrevisjon med søkelys på kvalitet og kompetanse i institusjonstjenesten og tanken var at dette skulle følges opp med en tilsvarende revisjon i hjemmetjenesten. Undertegnede ønsket imidlertid en litt annen vri, og fikk med seg kontrollutvalg og bystyret på det.

Et langt liv i politikken på alle tre forvaltningsnivåer samt en fortid som virksomhetsleder på et stort sykehjem har lært meg at det som får politisk fokus i valgkamper er gjerne selve tjenesteytingen. Lovgrunnlaget finner vi i «Lov om kommunale helse- og omsorgstjenester m.m. (helse- og omsorgstjenesteloven)» og i tillegg har vi flere sentrale forskrifter som «Forskrift for sykehjem og boform for heldøgns omsorg og pleie», «Forskrift om kvalitet i pleie- og omsorgstjenestene for tjenesteyting (kvalitetsforskriften)» og «Forskrift om en verdig eldreomsorg (verdighetsgarantien)». Det er gjennom loven og disse forskriftene ulike regjeringer har konkretisert det de har lovet på området i valgkamper.

Utfordringen er i hvilken grad lov og forskrifter er kjent ut i det ytterste ledd i forhold til tjenesteytingen. Det personalet som møter gamle og syke mennesker i hverdagen og som observerer deres behov. Er de kjent med brukernes rettigheter, og melder de fra om avvik hvis noen ikke får dekket det de har rett til. I hvilken grad når avvik som kan tyde på systematisk svikt, uegnede fasiliteter og manglende ressurser det administrative og politiske nivå som har ansvaret og kan gjøre endringer. Dette har vi et håp om å få sett litt på gjennom denne forvaltningsrevisjonen, som vil omfatte utvalgte sykehjem, omsorgsboliger og hjemmetjeneste.

Revisjonen hadde startet sitt arbeid når pandemien slo til. I dag har helsepersonell sin fulle hyre med utfordringene knyttet til testing og sporing i tillegg til at pleie- og omsorgstjenester til beboere på institusjon og i hjemmetjenesten skal leveres som forventet. Kontrollutvalget har derfor besluttet at vi utsetter forvaltningsrevisjonsprosjektet til 2021 og overfører de timene som var avsatt til det.

I januar 2020 dukket det opp en sak i media om brukere som betalte for transport til dagsenter og eldre senter, og som krevde å få refundert det de har betalt siden kommunen ikke har nødvendig løyve til å drive persontransport mot betaling. Kontrollutvalget initierte at vi ønsket et forvaltningsrevisjonsprosjekt for å se på hva som har skjedd i denne saken og om det her var læringspunkter blant annet i forhold til internkontroll. Det viste seg at dette var forhold som strakk seg langt tilbake i tid, så kommunedirektøren varslet at hun ønsket å foreta en internrevisjon for å finne ut av saken. Både revisjon og kontrollutvalg kom med noen punkter som vi ønsket at ble belyst:

  • I hvilken grad og på hvilken måte har transporttjenesten vært omfattet av kommunens internkontroll i den tid kommunen har utført tjenesten?
  • Hvordan har Sarpsborg kommune forholdt seg til rammebetingelsene (lov, forskrift mv.) før tjenesten ble etablert, herunder gjennomførte administrasjonen en forsvarlig vurdering av om og hvordan tjenesten skulle etableres?
  • Hvordan har kommunen kommet frem til egenbetalingsbeløpene, og hva er krevet inn av penger i perioden?

I august skulle formannskapet behandle kravet om refusjon fra de som hadde klaget på at kommunen hadde krevd betaling uten nødvendig løyve. I saksframlegget sto det ingen ting om at det var igangsatt en internrevisjon og undertegnede anmodet derfor ordføreren om å utsette saken til revisjonsrapporten forelå, slik at saken kunne bli bedre belyst. Dette ønsket ble imøtekommet av ordføreren. I november forelå internrevisjonsrapporten, og den viste at kommunen allerede i 2005 fikk beskjed om at de måtte ha løyve for å drive persontransport mot betaling. Kommunen besvarte i november 2005 en henvendelse fra Funksjonshemmedes fellesorganisasjon og forsikret om at de snarest skulle søke om løyve.

Av en eller annen grunn så ble det aldri sendt noen slik søknad. En av de mulige forklaringene var at det var teknisk sektor som hadde ansvaret for transporten, kemneren som sto for innkreving av betaling og inntektene ble ført på helsesektoren. Her må det ha sviktet i den interne kommunikasjonen. Det har heller ikke vært noen internrevisjon som har avdekket forholdet. Her har det mer vært søkelys på om brukerne har hatt behov for transport og om transport fra A til B har blitt utført. I budsjettsammenheng har prisen for transport blitt økt år for år i tråd med lønns- og prisstigning. Det er ingen som har koblet kravet om behov for løyve når en tar betalt for transporten. I 2019 kom da som nevnt krav fra brukere om refusjon på grunn av manglende løyve. Kommunen innhentet da informasjon fra andre kommuner og aktører samt Samferdselsdepartementet. Departementet slo klart fast at løyve måtte foreligge hvis en skulle ta betalt, og kommunen søkte da og fikk innvilget løyve i januar 2020, altså 15 år etter at de sa de snarest skulle søke.

Kontrollutvalget gjennomgikk revisjonsrapporten og konkluderte med at det var meget kritikkverdig at kommunen hadde startet opp med denne praksisen uten at de nødvendige tillatelser var på plass, samt at det ikke var oppdaget underveis at praksisen var lovstridig. Formannskapet behandlet deretter kravet fra brukerne og besluttet at det skulle tilbakebetales til den enkelte fra mai 2010 til september 2019. Etterlatte etter avdøde brukere skal også få refundert utgiftene om de fremmer sine krav innen utgangen av 2021. Det ble avsatt 8 millioner kroner til tilbakebetalingen.

Kommunen har lært mye av denne historien, og det er gjort flere tiltak for at slikt ikke skal skje igjen. Det var gledelig at det var et enstemmig formannskap som besluttet å sørge for at det ble rettet opp i gamle feil.

Saken viser at de er viktig med god internkontroll og at en forsikrer seg om at aktuelle lover og forskrifter følges i den offentlige tjenesteytingen.

Saken viser at de er viktig med god internkontroll og at en forsikrer seg om at aktuelle lover og forskrifter følges i den offentlige tjenesteytingen. Selvsagt har kontrollutvalget også behandlet andre saker, både lovpålagte som årsregnskap, eierskapskontroll og forvaltningsrevisjon mm., men dette var et lite innblikk i kontrollutvalget i Sarpsborg kommune sitt virke i det spesielle året 2020, så får vi alle håpe på at vi snart er tilbake til normalen i et Godt nyttår!

Lenke til Kommunerevisoren nr. 1/2021:

https://www.nkrf.no/kommunerevisoren/2021/1

Denne artikkelen ble publisert i Kommunerevisoren nr. 1/2021