Den samme medarbejder må ikke både kunne bestille og godkende vareindkøb. Det er reglen i Forsvarsministeriet, og formålet er at eliminere risikoen for svindel. Det er ikke desto mindre netop, hvad der ser ud til at være sket i Forsvarsministeriets Ejendomsstyrelse, påpegede Rigsrevisionen i december. Flere personer er under efterforskning vedrørende sager om svindel og bestikkelse i Ejendomsstyrelsen.

Problemet med ansatte i dobbeltroller og den øgede svindelrisiko fik den hårdest mulige kritik fra statsrevisorerne.

Tirsdag kunne Berlingske på baggrund af dokumenter fra Rigsrevisionen fortælle, at problemet ikke kun begrænser sig til Ejendomsstyrelsen, men at også Materiale- og Indkøbsstyrelsen er bekendt med manglende funktionsadskillelse.

Men dokumenterne viser også noget andet. Nemlig at Forsvaret i nogle tilfælde aktivt omgår funktionsadskillelsen.

Metoden, som Rigsrevisionen har opdaget, går under navnet »aliasbrugere«. Finten består i, at Forsvaret for at omgå kravet om funktionsadskillelse opretter et ekstra login til den ansatte, det vil sige en såkaldt aliasbruger.

Metoden er kendt i både Forsvarsministeriets overordnede departement og i Materiel- og Indkøbsstyrelsen. Det er myndighederne selv, der har oplyst Rigsrevisionen om den betænkelige praksis. Det fremgår af Rigsrevisionens løbende finansielle revision for regnskabsåret 2019 – et dokument, som Berlingske har fået aktindsigt i.

Berlingske har fået aktindsigt i Rigsrevisionens management letter til ledelsen i Forsvarsministeriet om den løbende finansielle revision for regnskabsåret 2019. Dokumentet er dateret 20. december 2019. Fold sammen Læs mere Læs mere

Uacceptabel brug

Et login er som bekendt knyttet til en fysisk bruger, så når man opretter et ekstra bruger-ID, tror systemet, at der er tale om en anden fysisk person. På den måde ophører systemets mulighed for at sikre funktionsadskillelse.

Rigsrevisionen finder praksissen med oprettelse af aliasbrugere »uacceptabel«.

»Rigsrevisionen konstaterer, at Forsvaret med en sådan praksis potentielt kan omgå kravet om funktionsadskillelse, hvilket vi finder uacceptabelt. Rigsrevisionen finder derfor, at Forsvarsministeriet bør ændre denne praksis,« står der i dokumentet.

Per Nikolaj Bukh, der er professor i økonomistyring ved Aalborg Universitet, mener, at problemet er alvorligt.

»Det er et problem, fordi man kan omgå alle de funktionsadskillelser, der måtte være. Og man er jo fuldt vidende om, at der benyttes aliasbrugere,« siger han til Berlingske.

Rigsrevisionen har kategoriseret problemet som højeste prioritet i arbejdet med at få styr på regnskaberne.

»Der er nogle alvorlige sikkerhedsbrister, hvad angår adgangsstyringen. Når noget er en »prioritet 1«, så er det altid alvorligt. Det vedrører den finansielle revision for regnskabsåret 2019, så derfor er vi oppe på den helt store revision, så hvis et punkt får en kritisk bemærkning der, kan det potentielt påvirke regnskabet. Så det er ikke i småtingsafdelingen,« siger Per Nikolaj Bukh.

Manglende kontroller

Allerede i regnskabsåret 2017 blev Forsvaret kritiseret for manglende funktionsadskillelse, viser Berlingskes dokumenter. Forsvarsministeriet har indført initiativer for imødegå problemerne, men revisionen af 2019 har vist, at initiativerne »ikke fungerer tilfredsstillende« til at undgå potentielle rollekonflikter. Rigsrevisionen skriver, at kontrollerne hverken er designet effektivt eller bliver udført på en dækkende måde.

»Det står ret tydeligt, at man vurderer, at det ikke virker hensigtsmæssigt,« siger Per Nikolaj Bukh.

Oprettelse af aliasbrugere er ifølge Rigsrevisionen altid uacceptabelt, mens Per Nikolaj Bukh mener, at brugen af aliasbrugere af og til kan bruges til løse et praktisk problem, hvis en sagsgang har »sat sig fast«. I disse tilfælde kræver det ekstra kontroller af aliasbrugernes adfærd, men ifølge Rigsrevisionen er det meget tvivlsomt, at sådanne ekstra kontroller finder sted.

For »ministeriet (følger) ikke op på om og sikrer, at der udføres kompenserende kontroller i forhold til at afdække mulige fejl eller besvigelser«, skriver Rigsrevisionen, som finder den manglende opfølgning »utilfredsstillende«.

Berlingske ville gerne have talt med Forsvarsministeriets Materiel- og Indkøbsstyrelse om formålet med at oprette aliasbrugere, men styrelsen har tirsdag ikke besvaret avisens spørgsmål.