Koronapandemien: Mislighetsrisikoer og avbøtende tiltak

Å kjenne korrupsjonsrisikoen

Norske bistandsmyndigheter praktiserer nulltoleranse mot korrupsjon og andre former for økonomiske misligheter. Når vi i dette notatet bruker betegnelsen korrupsjon, dekker det alle former for økonomiske misligheter.

Arbeid mot korrupsjon i bistanden skal tas på alvor på alle nivåer og ledd på veien ut til sluttmottaker. Det skal gjøres risikovurderinger og iverksettes avbøtende tiltak for å forebygge og avdekke misbruk. Slike vurderinger og tiltak gjøres for porteføljer, programmer og for det enkelte tiltak. Nå, med store og uventede pandemivirkninger - samt operasjonelle tilpasninger til disse - endres risikobildet i betydelig grad. Dette må følges nøye opp og håndteres av hver enkelt virksomhet som forvalter bistandsmidlene.

Å kjenne rammene som til enhver tid eksisterer rundt programmene og tiltakene er avgjørende for å forebygge og avdekke korrupsjon. Politiske og økonomiske analyser, og land-spesifikk statistikk om korrupsjon gir overordnede risikobilder. Sektorvise analyser spisser problemstillingene til det som kan være relevant for det enkelte tiltak.

Flere institusjoner har utgitt veiledere for å forstå og motarbeide korrupsjonsrisikoen innen sektorer. Ressurssenteret mot korrupsjon, U4, har ressurssider for arbeidet mot korrupsjon i flere sektorer. Vi nevner også institusjonen Curbing Corruption som har systematisert og beskrevet generelle korrupsjonsrisikoer innen relevante områder for bistand.

Øker ved kriser

Koronapandemien setter rammene for bistanden under stort press. Pengene kan flyte på andre måter enn før. Teknologien kan bryte sammen. Det kan bli mangel på kjernekompetanse og kapasitet internt i virksomheten og hos eksterne samarbeidspartnere og leverandører. Kontrollrutinene kan bli umulig å få gjennomført i sine etablerte former. Det dukker opp nye aktører, og andre aktører begynner å jobbe med nye oppgaver.

Slike og andre endringer vil av erfaring medføre økt risiko for korrupsjon, misbruk og sløsing. U4 publiserte første kvartal 2020 en artikkel om korrupsjon og forhøyet korrupsjonsrisiko som følge av koronaepidemien. Artikkelen angir hvorfor koronapandemien skaper omstendigheter som åpner for økt korrupsjon. Den viser at omprioriteringer, som bistanden anser nødvendig for å møte krisen, må følges tett gjennom løpende risikovurderinger og antikorrupsjonstiltak.

U4 har tidligere laget en veileder for korrupsjonsbekjempelse ved anskaffelser i nød- og krisesituasjoner, med blant andre forslag til avbøtende tiltak for den økte risikoen. Innholdet i veilederen fra 2006 er relevant for den pandemien verden står ovenfor i dag. Les veilederen Corruption in emergency procurement. 

Hvordan ser «krisekorrupsjonen» ut?

Unntakssituasjoner under kriser vil ofte medføre at det renonseres noe på kontroller som er innebygget i etablerte rutiner. Slike avvik innebærer en mer eller mindre kalkulert risiko og begrunnes med tidspress, behov for omdisponering av interne ressurser, ytre restriksjoner eller mangler, og andre nye forhold. Det er da viktig å være bevisst på den til enhver tids gjeldende risikotoleransen, besluttet av ledelsen. Kanskje kan nye og enklere kontroller innføres, som kan fungere tilnærmelsesvis like effektivt?

I situasjoner uten full oversikt er det kjent at «profitører» vil dukke opp, i eller utenfor organisasjonen, eller i et samarbeid mellom intern og ekstern. Noen av disse vil kunne sko seg på situasjonen innenfor lovlige rammer. Andre vil se sitt snitt til å utnytte mangelfull kontroll og begå økonomiske misligheter.

Dette har allerede begynte å vise seg under den pågående koronapandemien. Underslag og tyverier, overprising og videresalg i det svarte markedet av medisinsk utstyr er eksempler. Det samme er falske produkter og produkter som ikke oppfyller kravet til nødvendig standard.

Så vel mulighetene til, motivasjonen for og anledningen til rasjonalisering/bortforklaring for å begå misligheter øker i krisetider. Vi viser her til den anerkjente mislighetstrekanten for nærmere redegjørelse for mislighetstrekantens tre komponenter som kan ha betydning for motivasjon for å begå økonomiske misligheter. Se referansedokumentet fra Corporate Financial Institute (CFI) om Fraud Triangle.

Under koronapandemien ser vi eksempler på at internrevisor, controller eller eksternrevisor er blitt forsinket eller ikke i stand til å gjennomføre planlagte kontroll- og revisjonshandlinger, blant annet på grunn av smitterisiko og reiserestriksjoner. Reduksjon i slike kontrollaktiviteter medfører høyere kontrollrisiko (risiko for at kontrollene ikke fanger opp vesentlige avvik) og revisjonsrisiko (risiko for at revisor ikke fanger opp vesentlige avvik).

Vi ser også eksempler på at organiserte kriminelle miljøer, har endret sin adferd til å utnytte pandemien. Det er ikke nytt at kriminelle utnytter kriser. Det som er nytt, er hvor lenge denne krisen vil vare. Dette gir de kriminelle mulighet til å skreddersy avanserte former for kriminalitet rettet direkte mot bedrifter og organisasjoner, noe som øker risikoen for å bli lurt. Manipulering via internett og falske e-poster, er en vanlig fremgangsmåte. Norad har selv nylig blitt forsøkt svindlet på denne måten. Les mer om dette på norad.no: Svindelforsøk mot Norad: Råd om forebygging av svindel ved utbetalinger

Nettstedet nettvett.no har utarbeidet en veiledning for hvordan å bevare en trygg digital hverdag med koronatiltak: https://nettvett.no/korona/. Det samme nettstedet har også laget en veiledning som forklarer hvordan man kan avsløre falske e-poster og hvordan dette kan håndteres: https://nettvett.no/falske-e-poster/

Politiet ønsker at flere virksomheter anmelder datakriminalitet. Flere anmeldelser gir politiet bedre oversikt over både omfang og konsekvens av de kriminelle handlingene, samtidig som politiet får oversikt over metodene som er benyttet: https://www.politiet.no/rad/datakriminalitet/

Det kan også være fornuftig å kontakte din bankforbindelse dersom man har blitt utsatt for korrupsjon eller korrupsjonsforsøk. Banken kan blokkere overføringer for å forhindre at også andre taper penger om de skulle bli utsatt for samme type kriminalitet.

Forebygging av og avdekking

Kostnad-nytte-vurderinger samt risiko- og vesentlighetsvurderinger legges til grunn i planleggingen og gjennomføringen av arbeidet mot korrupsjon i den enkelte virksomhet. Den forebyggende og avdekkende innsatsen må tilpasses den enkelte organisasjonens egenart og omgivelsene den opererer i.

Nedenfor er det listet opp enkelte forhold eller «røde flagg» som varslingsteamet i Norad mener din organisasjon nå bør være spesielt oppmerksom på:

• Revisor kan ha vært nødt til å avgi en modifisert revisjonsberetning og inntatt forbehold om poster i regnskapet hvor det ikke har vært mulig å foreta nødvendige revisjonshandlinger som grunnlag for konklusjonen.
• Internrevisor eller interne controllere har ikke gjennomført alle planlagte kontrollaktiviteter, eksempelvis tredjepartskontroller.
• Endringer knyttet til arbeidsdeling og godkjenning. Gjelder særskilt attestering og godkjenning av kostnader og anskaffelser, utbetalinger og løpende regnskapsrapportering.
• Endring i betalingsrutiner og betalingsmåter. For eksempel bruk av annen bankforbindelse, bruk av annen bankkonto, endringer i signaturrettigheter, eller måten bankoverføringer og betalinger gjøres på. Norad har selv nylig blitt forsøkt svindlet. Les mer om dette på norad.no: Svindelforsøk mot Norad: Råd om forebygging av svindel ved utbetalinger
• Større uttak av kontanter - der pengene oppbevares i virksomhetens lokaler.
• Økt bruk av kontantbetalinger til lønn til ansatte, til leverandører mv.
• Flere direkteanskaffelser eller andre brudd på anskaffelsesregelverket.
• Store (eller større enn normalt) enkelttransaksjoner.
• En større andel udokumenterte utgifter eller annen mangelfull regnskapsføring.

Listen er selvsagt ikke uttømmende. Men oppstår det slike forhold, bør det iverksettes alternative kontrollaktiviteter som avbøter for den økte risikoen som har oppstått.

Det er flere aktører som løpende publiserer oppdateringer og veiledninger på dette området. Transparency International Norge har gjennom en årrekke bidratt med antikorrupsjonsverktøy for å bekjempe korrupsjon i humanitær bistand og har blant annet utarbeidet e-læringsprogrammer og også en håndbok som er nyttige verktøy i antikorrupsjonsarbeidet.

The Institute of International Auditors (theiia.org) utgir løpende oppdateringer og veiledninger om den pågående pandemien. Det er utgitt flere relevante rapporter om både risikovurderinger og internkontroll og om hvordan internrevisjonen påvirkes av den globale situasjonen med reiseforbud og restriksjoner.

I tillegg har OECD listet ti prinsipper for intervensjon i sårbare kontekster. Rapporten Principles for good international engagement in fragile states and situations ble ført i pennen for mer enn ti år siden, men er fortsatt relevant. Prinsippene er gyldige for all bistand, og i sårbare kontekster, og ved kriser, viser empiri at de negative konsekvensene av ikke å følge dem kan bli svært store.

Varslingsteamet vil videre henvise til punkt 4 i ISA 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper - som er en internasjonal revisjonsstandard. Av denne teksten kan det utledes en huskeliste for vurdering av risikoen for korrupsjon og økonomiske misligheter.

I en tid som dette kan det være fornuftig å gå gjennom punktene i en fornyet vurdering av virksomhetens etablerte retningslinjer og rutiner: 

Momentene i parentes er varslingsteamets egne eksempler.

• Muligheter til å begå misligheter: Vurdere mulighetene for å begå misligheter (fullmakter og fullmaktsgrenser, arbeidsdelingen, muligheter for ledelsen til å overstyre internkontrollen mv.)
  
  
• Kontroller mot misligheter: Vurdere kontrollene i forhold til antatt opplevd sannsynlighet hos en leder eller ansatt for å bli oppdaget ved forsøk på, eller under gjennomføring av, økonomiske misligheter i og mot virksomheten (rapporteringskrav, krav til dokumentasjon, tilstrekkelig kompetanse og kapasitet i økonomifunksjonen, internrevisjonsfunksjon, donorsamarbeid, mv)
  
  
• Sanksjonering mot misligheter: Vurdere sanksjoneringen i forhold til antatt opplevd sannsynlighet hos en leder eller ansatt for å bli straffet ved forsøk på eller ved gjennomførte misligheter (forutsigbar og forholdsmessig sanksjonering; terskel for oppsigelse, terskel for politianmeldelse, mv)
  
  
• Bedriftskultur for å forebygge misligheter: Vurdere ledelsens og de ansattes etiske bevissthet og oppmerksomhet (ledelsesfokus på de ansattes situasjon, ledelsen foran med godt eksempel, vekt på etisk bevissthet i beslutninger, god informasjon og kommunikasjon, HMS-tiltak, ansattes lojalitet i praksis til etablert internt rammeverk mv.)
  
  
• Overordnet ansvar for forebygging og avdekking: Vurdere styrets reelle tilsyn og kontroll (styrets uavhengighet og kompetanse, rapporteringen til styret, styrets kommunikasjon med intern og ekstern revisor).

Risiko for seksuelle overgrep og vold

Erfaring har vist at i situasjoner der bistandsbehovet øker som følge av naturkatastrofer eller andre ekstraordinære hendelser, øker også risikoen for seksuelle overgrep og vold.

Intern-Agency Standing Committee (ISAC) er et forum for FNs humanitære fond/program og gir bl.a. veiledning for beste praksis for humanitære operasjoner. ISAC utarbeidet i mars 2020 et notat om hvordan man best kan forebygge seksuell utnyttelse og misbruk under koronapandemien. Det gir nyttige innspill til risikovurdering og tiltak. 

WHO, UNFRA, UNICEF, UNHCR, WFP, IOM, OCHA, CHS Alliance, InterAction og UN Victim’ Rights Advocate har alle signert notatet.

• Les notatet: Interim Technical Note: Protection from sexual exploitation and abuse (PSEA) during COVID-19 response