Embætti sérstaks saksóknara var stofnað við óvenjulegar aðstæður í íslensku samfélagi, í skugga þess að fjármálakerfið og íslensku viðskiptabankarnir höfðu beðið skipbrot. Í samfélaginu voru uppi háværar kröfur um rannsókn og uppgjör á nýliðnum atburðum og því var embætti sérstaks saksóknara komið á í flýti síðla árs 2008. Embættið óx mjög hratt, eftir því sem málum fjölgaði og þau urðu flóknari. Á sjö ára starfstímabili embættisins fjölgaði starfsmönnum úr fimm í 90 þegar mest var 2012-2013.1
Síðustu mánuði hafa málefni embættis fyrrum sérstaks saksóknara, nú héraðssaksóknara, verið í brennidepli fjölmiðla. Ástæðan er sú að fyrrverandi starfsmenn embættisins hafi við lok ráðningarsambands haft á brott með sér trúnaðargögn í umtalsverðum mæli. Þá hafi þekking þeirra á gögnunum verið slík að það þurfti að semja við fyrirtæki þeirra PPP, um að gerast verktakar hjá sérstökum saksóknara til að klára þær rannsóknir sem þeir höfðu unnið að.
Spurningar sem vakna við það að fylgjast með fjölmiðlaumfjöllun af málinu eru nokkrar: Hvernig var eftirliti varðandi meðferð trúnaðargagna hjá embættinu háttað? Hverjir höfðu aðgang að hvaða gögnum og í hvaða þágu? Hvernig voru verkferla um það hvernig umgangast ætti trúnaðargögn? Gátu allir starfsmenn haft aðgang að öllum gögnum? Hvernig var innskráningu í tölvukerfi háttað og hver eða hverjir höfðu eftirlit með því hverjir voru að skoða einstök gögn? Eða með öðrum orðum, var virkt innra eftirlit hjá sérstökum saksóknara á þeim árum sem embættið rannsakaði fall viðskiptabankanna og eftirleik þess.
Embættið var eins og aðrar skipulagsheildir ekki alveg varnarlaust gangvart áhættuþáttum sem gátu valdið því að trúnaðargögn glötuðust. Eftirlit með trúnaðargögnum er t.d. háð vilja og getu stjórnenda til skilvirks eftirlits, auk þess sem mistök eða ásetningur stjórnenda og starfsfólks kann að valda leka á trúnaðargögnum. Loks er áhættuþáttur að ófyrirséð atvik utan valdsviðs viðkomandi stofnunar leiði til þess að gögn glatist.2
Í nútímaþjóðfélagi eru margar stéttir sem hafa aðgang að hverskonar trúnaðargögnum: læknar, hjúkrunarfræðingar, félagsráðgjafar, sálfræðingar, löggæslufólk, kennarar, starfsmenn banka og fjármálafyrirtækja og svo má lengi telja. Það er mjög sjaldan sem það ratar í fjölmiðla að ofangreindar stéttir hafi rofið trúnað og lekið gögnum eða nýtt sér trúnaðargögn sér til framdráttar. Það þekkist þó að slík atvik eigi sér stað.
Trúnaðarupplýsingar
Sá sem þetta skrifar starfaði um árabil í velferðarþjónustu m.a. sem félagsráðgjafi og hafði sem slíkur aðgang að miklu magni trúnaðarupplýsinga sem snéru að fólki í viðkvæmri stöðu ásamt því að hafa ríkulegar heimildir til þess að kalla eftir frekari upplýsingum um t.d. einkalíf og fjárhag fólks. Í slíkum gagnasöfnum eins og hjá velferðarþjónusta sveitarfélaga, eru auðvitað líka upplýsingar um fólk sem telst þjóðþekkt, jafnvel fólk í valdastöðum. Þarna er að finna upplýsingar sem hægt væri að nota, t.d. í hagnaðarskini. Gögn geta líka glatast vegna óhappa, vinnutölvur glatast sem getur leitt til þess að viðkvæm gögn komist í umferð, með tilheyrandi orðsporsáhættu fyrir viðkomandi stofnun og skaða fyrir viðkomandi.
Í þessari grein og tveimur næstu verður fjallað um eftirlitsumhverfi á Íslandi, hvernig það er uppbyggt, hvernig mætti mögulega bæta það, hvar brotalamir liggja og reyna að setja í samhengi við atburði líðandi stundar. Embætti sérstaks saksóknara hefur verið í umræðunni vegna atburða sem mögulega má rekja til skorts á innra eftirliti og er því tilvalin stofnun til að skoða út frá kenningum um innra eftirlit og innri endurskoðun.
Höfundur er ekki einn um að hafa áhuga á störfum embættis sérstaks saksóknara því 19. maí síðastliðin sagðist Guðrún Hafsteinsdóttir, formaður Sjálfstæðisflokksins og fyrrverandi dómsmálaráðherra, ætla að leggja fram þingsályktunartillögu um að stofnuð verði rannsóknarnefnd á vegum Alþingis sem „fari ofan í saumana á störfum embætti sérstaks saksóknara.“3 Núverandi dómsmálaráðherra, Þorbjörg Sigríður Gunnlaugsdóttir tjáði sig 23. júní síðastliðinn í hlaðvarpsþætti Eyjunnar þar sem hún sagði meðal annars um hvernig gögn sérstaks saksóknara enduðu hjá PPP: „Hvernig var öryggi gagnanna háttað? Hvaða reglur giltu? Hvernig var þeim framfylgt? “ og „Hitt er síðan það að það virðist líka að þarna hafi verið um gagnaþjófnað að ræða. Ef maður ætlar að horfa á þetta alveg kalt getur ekkert kerfi algerlega varið sig fyrir því að verða fyrir svona broti. Einhver heilbrigðisstarfsmaður gæti brotist inn í sjúkraskrár og tekið gögn, þetta getur allt saman gerst …”
Eftirlitsumhverfi og -stofnanir
Þær stofnanir í samfélaginu sem sinna eftirliti hverskonar eru kallaðar eftirlitsstofnanir. Þetta eru ríkisstofnanir á borð við: Ríkisendurskoðun, Vinnueftirlitið, Samkeppniseftirlitið, Lyfjastofnun, Póst og fjarskiptastofnun, Orkustofnun, Umhverfisstofnun, Samgöngustofu o.fl. Auk þess sinnir Alþingi og nefndir Alþingis eftirlitshlutverki. Ákvæði um innra eftirlit má m.a. finna í lögum og reglum um stofnanir, fyrirtæki og sjóði er starfa á vegum hins opinbera. Eftirlitsumhverfið felur í sér stjórnarhætti og stjórnskipulag stofnunarinnar og viðhorf og aðgerðir stjórnenda vegna innra eftirlits og mikilvægi þess fyrir viðkomandi starfsemi. Eftirlitsstofnanir hafa eftirlit með öðrum stofnunum og undirstofnunum, auk aðila í einkageiranum og svo almenningi.4
Skilvirkt eftirlit krefst þess að eftirlitsaðilinn hafi skýrt hlutverk og hafi yfir að ráða skilgreindum valdboðsheimildum svo eftirlitið skili hinni ákjósanlegustu niðurstöðu. Sérstök áhersla er lögð á að allar aðgerðir eftirlitsaðila séu skráðar svo eftirlitsaðili, eftirlitsskyldir aðilar og almennir borgarar séu vel upplýstir um markmið og tilgang eftirlitsins. Slíkar aðgerðir auðvelda eftirlitsaðilum að skilgreina forgangsmál, setja niður vinnuferla og afmarka vinnu sína. Að auki hjálpa skýr markmið öðrum að tryggja aðhald með eftirlitsaðilum.5 Eftirlitsstofnanir þurfa að hafa víðtækar vald- og þvingunarheimildir, þurfi þær á þeim að halda. Þessar heimildir eiga að ná yfir samstarf, upplýsingaöflun og fleiri þætti eftirlits. Mikilvægt er því að valdheimildir eftirlitsstofnunar séu í samræmi við markmið hennar og að hún gæti meðalhófs í aðgerðum sínum.6
Innri endurskoðun og innra eftirlit
Í leiðbeiningum sem Ríkisendurskoðun gaf út árið 19997 um framkvæmd innri endurskoðunar, er innri endurskoðun skilgreind sem: „hlutlaust matsferli, sem hefur það grundvallarmarkmið að skapa aukin verðmæti með því að bæta viðkomandi rekstur, aðstoða stjórnendur við að ná settum rekstrar markmiðum og meta árangur, bæta áhættustýringu, eftirlit og stjórnun með kerfisbundnum og öguðum vinnubrögðum.“
Umgjörðin í kringum innri endurskoðun samanstendur af alþjóðlegum stöðlum um innri endurskoðun, grundvallarreglum faglegrar innri endurskoðunar, skilgreiningu á innri endurskoðun og siðareglum innri endurskoðenda.
Staðlasettið skiptist í þrjá hluta; siðareglur, skilgreiningu samtakanna (Institute of Internal Auditors, IIA)8 á innri endurskoðun og áðurnefnda staðla. Tilgangur staðlana er að það séu tiltækar grundvallarreglur sem lýsa framkvæmd innri endurskoðunar ásamt því að til sé umgjörð um það hvernig best megi framkvæma og efla margvíslega virðisaukandi innri endurskoðun. Þá er stöðlunum ætlað að skapa grundvöll fyrir mat á frammistöðu innri endurskoðunar ásamt því að stuðla að endurbótum á ferlum og rekstri fyrirtækja. Uppbygging staðlana er á þann veg að þeir skiptast í eigindastaðla/grunnstaðla (e. attribute standards) og hins vegar verklagsstaðla (e. performance standards). Staðlar er varða eigindi (e. attribute standards) lúta að eiginleikum og getu þeirra aðila og einstaklinga sem sinna innri endurskoðun og kveða á um uppbyggingu og skipulag á stjórnskipulegri stöðu innri endurskoðunardeilda. Verklagsstaðlar (e. performance standards) lýsa eðli innri endurskoðunar. Þeir ná til verklags innri endurskoðunar, vinnslu við skoðanir/úttektir og samskipta við þá aðila sem úttektin beinist að. Stöðlunum fylgja útgefnar leiðbeiningar (e. practise advisory) um hvernig þeir skulu notaðir ásamt ítarlegum leiðbeiningum um starfsemi innri endurskoðunardeilda (e. practice guide).9
Innri endurskoðun sem faggrein hefur þróast hratt undanfarna áratugi samhliða breytingum í viðskipta- og starfsumhverfi, að ónefndu stærra og flóknara hlutverki opinberra stofnana. Verkefni innri endurskoðunar hafa því þróast úr daglegu innra eftirliti, svo sem útmerkingum bókhaldsgagna og afstemmingum í bókhaldi og annarra staðfestinga á áreiðanleika fjárhagsupplýsinga, yfir í mat á virkni áhættustýringar og stjórnarhátta.
Öflugu innra eftirliti er ætlað það hlutverk að leggja grunn að öruggari og traustari starfsemi. Þannig sé tryggt að áhættu sé stýrt í samræmi við skilgreindan áhættuvilja, hvort sem um er að ræða opinberar stofnanir eða fyrirtæki á almennum markaði, svo þau eigi auðveldara með að …
