Bidragsgivning till enskilda vägar

Vid årsskiftet 2011-2012, inför utbetalningen av årligt driftbidrag för enskilda vägar, drabbades Trafikverket av ett bedrägeriförsök. Bedrägeriet utfördes genom att personer utanför Trafikverket anmälde ändring av utbetalningskonto för fyra olika vägföreningar i olika delar av Sverige. Det belopp som felaktigt hade kunnat utbetalas uppgick till strax över 1,9 mkr. De nya konton som anmäldes var bankkonton som tillhörde privatpersoner och som därför inte kunde kontrolleras med avseende på om de tillhörde respektive vägförening. Vid ändring till bankkonto, med privatperson som betalningsmottagare, krävde Trafikverket verifiering i form av kopia på styrelseprotokoll (som bevis för vilken person som ska motta betalningen) och kopia av kontoutdrag från bank (för att bevisa att personen är kontoinnehavare). I dessa fall hade styrelseprotokoll och kontoutdrag förfalskats.

Trafikverket upptäckte bedrägeriförsöket av en slump beroende på att en person ringde till en bidragshandläggare och var väldigt angelägen om att få veta när pengarna skulle betalas ut, varvid bidragshandläggaren anade oråd och kontrollerade uppgifterna med vägföreningen. Trafikverket stoppade då sju stycken utbetalningsfiler och vid en analys upptäcktes ytterligare tre felaktiga mottagarkonton. I några fall hann felaktiga utbetalningar genomföras men spärrades av banken för uttag.

Som ett resultat av bedrägeriförsöket och svårigheten att kontrollera bankkonton med privatpersoner som ägare beslutades det i rutinen

”Kontaktuppgifter och konto vid bidrag till enskilda vägar” (TDOK 2012:173, version 2.0) att införa följande kontroll: ”Om väghållaren saknar

organisationsnummer eller om väghållaren anger bankkonto och det beräknade årliga driftbidraget kommer att överstiga 50 000 kronor ska meddelande bifogas delgivningen till väghållaren som bekräftelse på

kontaktperson och konto, väghållaren uppmanas i meddelandet att höra av sig om någon uppgift är fel. Bidragshandläggaren skriver in vägnr, datum,

kryssar i vad som avses och signerar i en ”Meddelandelogg” för att

dokumentera att meddelande sänts. Meddelandeloggen förvaras i pärm hos bidragshandläggaren.”

Enligt vad som framkommit under granskningen har denna kontroll inte genomförts, något som, enligt IR:s bedömning, indikerar på en svag styrning och kontroll inom detta område. Detta kan till viss del förklaras av att

verksamheten inom VO Underhåll varit splittrad under 13 olika chefer.

Förutsättningarna för en tydligare styrning och kontroll kommer att förbättras under 2017, då hela denna verksamhet inom VO Underhåll kommer att samlas i en nationell organisation. Processansvaret för bidragsgivning till enskilda väghållare finns hos VO Planering, och processen ”Ge bidrag till enskilda vägar”

kommer att bli en egen huvudprocess i Trafikverkets nya processkarta.

På grund av banksekretessen är det fortfarande svårt att kontrollera ägare till bankkonton. Den möjlighet som finns är att via bankgirocentralen kontrollera om konto och personnummer matchar. Det är dock inte tvingande att lämna sitt personnummer i samband med anmälan om konto för utbetalning av bidrag för enskilda vägar, och personnummer för kontoinnehavaren saknas därför ofta.

Den kontroll som infördes efter bedrägeriförsöket är borttagen i den senaste versionen av rutinen ”Kontaktuppgifter och konto vid bidrag till enskilda vägar”

(version 3.0, fastställd 2016-12-19), och verifiering av betalningsmottagare sker fortfarande i form av kopia av styrelseprotokoll och kopia av kontoutdrag från bank. IR ser detta som anmärkningsvärt, då det medför att samma typ av bedrägeri som genomfördes 2012 skulle kunna lyckas även idag.

Trafikverket arbetar för att merparten av vägföreningarna ska ha egna

organisationsnummer så att utbetalningskontot ska kunna knytas till respektive vägförening. Det är dock en trög process och det kommer att ta flera år innan detta finns på plats. IR bedömer att risken för bedrägerier genom felaktiga utbetalningskonton måste hanteras genom ytterligare kontroller så länge som dessa konton inte går att kontrollera. Någon form av verifiering mot tidigare kontaktperson för en vägförening där konto ändrats till bankkonto behöver därför återinföras om inte andra typer av kontroller kan säkerställa korrekt mottagarkonto. Eftersom Trafikverket har tillgång till mejladress till majoriteten av vägföreningarna skulle autogenererade mejl som en verifiering vid byte av konto kunna vara en möjlig lösning. Trafikverket bör också undersöka möjligheten att införa krav på e-legitimation där vägföreningarna själva kan administrera sina betalnings- och kontaktuppgifter via internet. Som exempel kan nämnas att Jordbruksverket nyligen infört krav på e-legitimation för de som ska söka jordbrukarstöd via internet. En högre grad av digitalisering av denna process bör också kunna bidra till kostnadseffektivisering.

# Observation Rekommendation Ansvar

1 Bristfälliga kontroller vid ändring av mottagarkonto gör att ett bedrägeri av samma typ som genomfördes 2012 skulle kunna lyckas även idag.

[Risk = Hög]

Inför kontroller som hanterar risken för den typ av bedrägeri som skedde 2012.

PL

2 Införande av krav på e-legitimation skulle ge

vägföreningarna möjlighet att själva kunna administrera sina mottagaruppgifter via internet och därmed öka säkerheten beträffande betalningsmottagare.

[Risk = Måttlig]

Utred förutsättningarna för en process för bidragsgivning till enskilda vägar, där krav på e-legitimation ökar säkerheten beträffande

betalningsmottagare.

PL

2.1.2 Riskhantering och kontroller

I rutinen ”Trafikverkets riskhantering” (TDOK 2014:0308), bilaga T1 –

”Trafikverkets riskhantering inom processer” står följande:

”Riskbedömningen i befintliga processer ska uppdateras årligen ner till

processnivå två. Ytterligare nivåer kan inkluderas om det behövs med tanke på till exempel processens komplexitet eller särskilda krav, till exempel för

trafiksäkerhet. Riskbedömningen ska vara inriktad på leveranserna från processen, men man ska även beakta leveranserna till processen, resurser, styrning, ansvar och kritiska aktiviteter och arbetssätt. Riskbedömning och åtgärder för att behandla de största ingående hoten ska registreras och vara åtkomliga i ledningssystemet för respektive process.”

Processen för bidragsgivning till enskilda vägar ligger till grund för både

myndighetsbeslut och utbetalningar på över en miljard kronor per år. Processen måste därför bedömas ha särskilda krav och därmed falla in under kraven på riskhantering inom processer. Dessutom kommer denna process att bli en huvudprocess i Trafikverkets nya processkarta.

Det är viktigt att processansvarig regelbundet och systematiskt analyserar processens risker och bedömer om beslutade kontroller är ändamålsenliga. I en sådan analys bör även krav på dualitet och lämplig uppdelning av

arbetsuppgifter (behörigheter) ingå. I en process som genererar stora utbetalningar är det också viktigt att kartlägga och hantera risker för

bedrägerier, både externa och interna (se avsnitt 2.1.1). IR har under revisionen konstaterat att ingen systematisk och regelbunden riskhantering sker med avseende på processen för bidragsgivning till enskilda vägar. Det går därför inte att utläsa vilka risker som är identifierade och om de är tillräckligt

omhändertagna, d.v.s. aktuell nettorisk.

# Observation Rekommendation Ansvar

3 Det genomförs ingen

systematisk, återkommande och dokumenterad

riskbedömning av processen för bidrag till enskilda vägar.

[Risk = Hög]

Säkerställ systematisk riskhantering avseende

processen för bidrag till enskilda vägar i enlighet med

”Trafikverkets riskhantering”

(TDOK 2014:0308), Bilaga T1.

PL

2.1.3 Loggfunktion i EVB2

EVB2 är ett IT-stöd för hantering av bidragsgivning till enskilda vägar. Systemet togs i drift 2015 som en ersättning för ett tidigare system (EVB). I nuläget saknas loggfunktion i EVB2. Spårbarhet med avseende på vem som gjort vad i systemet och vid vilken tidpunkt måste betraktas som ett grundläggande krav för ett system som genererar förslag till utbetalningar och myndighetsbeslut.

# Observation Rekommendation Ansvar 4 Loggfunktion saknas i EVB2

vilket försämrar

spårbarheten med avseende på vem som gjort vad och när.

[Risk = Måttlig]

Säkerställ möjlighet till

spårbarhet genom loggning av viktiga transaktioner i systemet EVB2.

UH

2.2 Utbetalningar genom CDI och Agresso