11 Revisjonsutvalg og internrevisjon
11.1 Gjeldende rett
Helseforetaksloven § 28 stiller krav til styret, både i regionale helseforetak og helseforetak, om at det skal føre tilsyn med at virksomheten drives i samsvar med helseforetaksloven § 1, eiers beslutninger i vedtekter og foretaksmøte og vedtatte planer og budsjetter. I tillegg pålegger loven at styret for regionale helseforetak skal drive tilsvarende tilsyn med foretaksgruppen. Det vil si at styret også skal drive tilsyn med helseforetakene som regionalt helseforetak eier. Helseforetaksloven § 37 stiller krav til daglig leder for regionalt helseforetak om å føre tilsyn med helseforetakene som det regionale helseforetaket eier og påse at virksomhetene drives i samsvar med vedtekter og vedtak truffet av foretaksmøte og styre.
Etter lov om statlig tilsyn med helsetjenesten, er foretakene pålagt å etablere internkontroll og sørge for at virksomhet og tjenester planlegges, utføres og vedlikeholdes i samsvar med krav fastsatt i lov eller forskrift. Dessuten er regionale helseforetak i spesialisthelsetjenesteloven § 2-1 a tredje ledd pålagt å planlegge, gjennomføre, evaluere og korrigere virksomhet som de eier eller har avtale med, slik at tjenestens omfang og innhold er i samsvar med krav fastsatt i lov eller forskrift. Videre pålegger spesialisthelsetjenesteloven § 3-4 a enhver som yter spesialisthelsetjenester å sørge for at virksomhetene arbeider systematisk for kvalitetsforbedring og pasientsikkerhet. Sett i sammenheng med spesialisthelsetjenesteloven § 2-2 om plikt til forsvarlighet, har de regionale helseforetakene et omfattende ansvar for å sørge for at befolkningen i helseregionen tilbys forsvarlig spesialisthelsetjeneste.
I foretaksmøter i januar 2005 ble alle de regionale helseforetakene pålagt å etablere en internrevisjon som en gjennomgående ordning med følgende elementer:
1. ”Tre av styrets eieroppnevnte medlemmer utgjør en kontrollkomité med ansvar for å ha et hovedfokus på styrets kontroll og tilsynsfunksjon.
2. Helse NN RHF skal etablere intern revisjon som administrativt skal være underlagt administrerende direktør i Helse NN RHF. Den interne revisjonen kan også rapportere direkte til styret for Helse NN RHF.
3. Intern revisors virksomhet skal baseres på risikovurderinger og fastsettes i årsplan som skal godkjennes av styret. Styret for Helse NN RHF må påse at det gjennomføres prosess for risikovurdering for helseforetaksgruppens virksomhet.
Rapportering for 2. tertial 2005 skal inneholde bekreftelse fra styret om at intern revisjon er etablert.”
I foretakmøter i januar 2006 ble det presisert at også styremedlemmer valgt av og blant de ansatte kan være medlemmer at kontrollkomiteen. I foretakmøter i januar 2008 fikk de regionale helseforetakene ytterligere instrukser om intern kontroll, risikostyring og organisering:
1. ”Styret skal påse at Helse NN RHF har god intern kontroll og at det er etablert systemer for risikostyring for å forebygge, forhindre og avdekke avvik. Risikofaktorer som kan medvirke til at målene til det regionale helseforetaket og helseforetaksgruppen ikke nås, skal identifiseres og korrigerende tiltak som med rimelighet kan redusere sannsynligheten for manglende måloppnåelse skal iverksettes. Styringssystemene skal tilpasses risiko og vesentlighet i forhold til virksomhetens målsetninger og ha nødvendig ledelsesmessig forankring i hele organisasjonen.
2. Styret skal minimum en gang per år ha en samlet gjennomgang av tilstanden i helseforetaksgruppen med hensyn på risikovurdering, oppfølging av internkontrollen og tiltak for å følge opp avvik. Rapport fra styrets gjennomgang skal forelegges Helse- og omsorgsdepartementet ved rapportering for 2. tertial 2008. I tillegg skal det redegjøres for styrets arbeid i Årlig melding.
3. Styrets kontrollkomité skal heretter benevnes ”styrets revisjonskomité”. Revisjonskomiteen har et særlig ansvar for styrets kontroll og tilsynsfunksjon. Revisjonskomiteen skal bestå av tre styremedlemmer hvor minst ett av medlemmene skal ha regnskapskompetanse eller revisjonskompetanse.”
11.2 Forslaget i høringsnotatet
På bakgrunn av at lovgivningen stiller omfattende krav til de regionale helseforetakenes tilsyn, internkontroll og virksomhetsstyring, påla departementet i 2005 at dette arbeidet skulle understøttes med organisatoriske tiltak i form av opprettelse av styrets revisjonskomite og internrevisjon. Gode erfaringene med å organisere revisjonsarbeidet på denne måte i egne, faste organer, førte til at departementet i høringsnotatet foreslo at dette burde bli en obligatorisk lovfestet del av foretaksmodellen.
Departementet foreslo også at internrevisjonen får lovfestet rett til opplysning fra hele foretaksgruppen så langt opplysningene er nødvendige for å kunne utføre det lovpålagte revisjonsarbeidet. Det ble foreslått at helsepersonell i slike tilfeller skal ha adgang til å gi pasientopplysning som er taushetsbelagte etter helsepersonelloven. Forslaget forutsatte at opplysningene som skal gis, så langt som mulig skal gis uten individualiserende kjennetegn.
11.3 Høringsinstansenes syn
Så godt som alle høringsinstansene gir sin tilslutning til forslaget om å lovfeste krav om etablering av internrevisjon i de regionale helseforetakene. De fleste gir tilslutning til, eller har ikke merknader til, at internrevisjonen får rett til innsyn i taushetsbelagte opplysninger som er nødvendig for å utføre revisjonen. Datatilsynet og Foreningen for Kroniske Smertepasienter er imidlertid svært skeptiske til at internrevisjonen skal ha tilgang til pasientopplysninger og går i mot dette forslaget.
Norges Interne Revisorers Forening uttaler:
”Internrevisjonen har en viktig rolle på vegne av styret når det gjelder å påse at virksomheten har etablert god risikostyring og internkontroll, og at det etterleves i praksis. Vi er positive til forslaget om å videreføre praksisen med internrevisjon i de regionale helseforetakene gjennom å lovfeste pålegg om etablering av internrevisjon og tror dette kan bidra til å styrke internrevisjonens legitimitet og klargjøre dens organisatoriske plassering.”
Norges Interne Revisorers Forening uttaler videre:
”Det er lovutkastets hensikt å pålegge etablering av internrevisjon for å bistå styret med sitt tilsynsansvar og få bekreftelse på at ledelsen har etablert tilstrekkelig internkontroll for å ta ned risikonivået slik at målsettinger nås. Videre spesifiserer utkastet rapporteringslinjer, hvilke området som ligger inn under internrevisjonens risikounivers samt tilgangsrettigheter til opplysninger. Lovteksten stiller imidlertid ingen krav om at internrevisjonen skal arbeide etter anerkjente standarder. Et slikt krav vil kunne fremheve det unike med internrevisjon som skiller denne funksjonen fra andre kontroll- og bekreftelsesfunksjoner; uavhengighet og systematisk og metodisk tilnærming.”
Pensjonistforbundet uttaler:
”Ved en aktiv revisjonsvirksomhet kan ulikheter mellom de enkelte helseforetaks virksomhet og uregelmessigheter i driften oppdages. Dette er svært viktig for at ventetider skal kunne reduseres og uheldige hendelser med feil behandling skal unngås.”
Helsedirektoratet uttaler:
”I høringsnotatet punkt 4.11 foreslår departementet en ny bestemmelse om internrevisjon i de regionale helseforetakene og helseforetak. Direktoratet støtter forslaget om å lovfeste rammene for tilsyns- og revisjonsarbeidet for å underbygge legitimiteten for styrets revisjonskomité og internrevisjonen. Internrevisjon er også et viktig element i internkontrollarbeidet. Det er viktig at plikten til internkontroll blir fremhevet og at den skal gjelde på alle nivåer.”
Den norske legeforening uttaler:
”Legeforeningen forventer at internrevisjon vil omfatte mer enn bare økonomi, slik at hele spekteret av oppgaver kan være gjenstand for revisjon, som utvikling av IKT-systemer, overholdelse av arbeidsmiljøloven, kvalitet, pasientsikkerhet, nødvendig kompetanseutvikling og etterutdanning med mer.”
Statens strålevern uttaler:
”Krav til tilsyn og internkontroll er for øvrig spesielt viktig i store organisasjoner. En utfordring for store organisasjoner er hensiktsmessig organisering for å ivareta krav i lover og forskrifter, ha fungerende systemer og verktøy, samt klare ansvarslinjer. Strålevernets erfaring med revisjonstilsyn av helseforetak avdekker ofte uklare ansvarslinjer og uoversiktlig organisering for å ivareta strålevernet ved virksomheten. En lovpålagt internrevisjon vil være til stor hjelp for virksomheten for å evaluere om dagens organisasjon fungerer etter hensikten og at virksomheten er i stand til å oppfylle forskriftskrav og ivareta sine oppgaver på en forsvarlig, oversiktlig og enhetlig måte.”
Yrkesorganisasjonenes sentralforbund uttaler:
”YS vil presisere at ansattvalgte i styrene skal kunne delta på lik linje med øvrige styremedlemmer i styrets revisjonskomite.”
Datatilsynet uttaler:
”Taushetsplikten er under konstant press. Unntakene har etter hvert blitt mange og flyten av helseopplysninger, som med lovgivers tillatelse, går til ulike faglige og administrative instanser er stor og økende. Det er også et økt press på tilgang til pasientdata på tvers av virksomheter.
Datatilsynet er bekymret over at det stadig lovhjemles nye unntak fra helsepersonells taushetsplikt, selv om det normalt er gode formål om begrunner unntakene.
Datatilsynet ser at anførte hensyn for utvidelse av helsepersonellovens § 26 første ledd ivaretar legitime formål.”
Den norske legeforening uttaler:
”Legeforeningen er opptatt av at taushetsbelagte opplysninger kun skal innhentes i det omfang som er nødvendig.
……
Legeforeningen er enig i behovet for og hensiktsmessigheten av internrevisjon på regionalt nivå, men mener det er nødvendig at tilgangen til opplysninger for det regionale nivået reguleres i eget ledd i § 26 eller i en egen bestemmelse, og at formålet med dokumentasjonsinnhentingen tydeliggjøres. Dette for å hindre innhenting av taushetsbelagt informasjon til andre formål enn ren internrevisjon.”
11.4 Departementets vurdering
Etter at departementet som eier av de regionale helseforetakene i 2005 besluttet at det skulle etableres internrevisjon, har erfaringene vist at dette er et egnet virkemiddel i foretakene. På denne bakgrunn har departementet kommet til at internrevisjonen bør inngå som en obligatorisk del av foretaksmodellen. Etter tilslutningen i høringen er departementet blitt styrket i sitt syn på at praksis med internrevisjon i de regionale helseforetakene bør videreføres og at lovfesting av ordningen kan bidra til å styrke internrevisjonens legitimitet. Det foreslås derfor en ny bestemmelse i helseforetaksloven § 21 a om opprettelse av revisjonsutvalg og om utvalgets oppgaver.
Hensikten med å etablere en lovfestet internrevisjon er at den skal være en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som skal tilføre merverdi og forbedre virksomhetens drift. Den skal bidra til at virksomheten oppnår målsettingene ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av virksomhetens prosesser for risikostyring, kontroll og virksomhetsstyring. Internrevisjonen skal ha en viktig rolle på vegne av styret når det gjelder å påse at virksomheten har etablert god risikostyring og internkontroll og at det etterleves i praksis.
Internrevisjonens hovedoppgave vil være å avgi bekreftelse til styret og ledelsen på at det er iverksatt hensiktsmessig risikostyring i samsvar med virksomhetens målsettinger og at det er etablert internkontroll som tar identifisert risiko ned til akseptabelt nivå. Departementet foreslår en ny bestemmelse i helseforetaksloven § 37 a om etablering av internrevisjonsfunksjon.
Da departementet gjennom eierstyring påla de regionale helseforetakene å opprette et underutvalg av styret ble det betegnet som ”revisjonskomite”. Gjennom høringen har departementet blitt oppmerksom på at i de senere år har betegnelsen ”revisjonsutvalg” blitt benyttet i lover, forskrifter og offentlige dokumenter, som for eksempel i lovforslag om endringer i revisorloven i 2009 og i NOU 2011:8 Ny finanslovgivning. Etter dette mener departementet at det vil være riktig å benytte begrepet ”revisjonsutvalg” også i helseforetaksloven fordi det er hensiktsmessig med ensartet betegnelse i offentlige dokumenter og regelverk.
På bakgrunn av uttalelsen fra Norges Interne Revisorers Forening ser departementet at det bør fremgå av lovteksten at internrevisjonen skal arbeidet etter anerkjente standarder, og foreslår å ta dette inn i lovteksten i § 37 a tredje ledd.
Den foreslåtte internrevisjonen skal også foreta internrevisjon i helseforetakene som det regionale helseforetaket eier. For å kunne gjennomføre dette, vil internrevisjonen ha behov for innsyn i helseforetakenes virksomhet. Helseforetakene er egne rettssubjekter og i utgangspunktet er det nødvendig å ha hjemmel for å kunne kreve innsyn i virksomheten deres. I den grad internrevisjonen ikke trenger innsyn i taushetsbelagte opplysninger, må den imidlertid i kraft av eierposisjonen kunne kreve at et helseforetak gir innsyn, også i interne opplysninger, slik at den lovpålagte internrevisjonen kan få utført sine oppgaver.
Hvilke opplysninger det er behov for å få innsyn i, vil variere etter hva som er tema for internrevisjonen. Dersom revisjonstema er om helseforetak har etablert internkontroll, utfører pålagt risikostyring eller om helseforetakene iverksetter tiltak for å nå de fastsatte målene, antas det at internrevisjonen i utgangspunktet ikke vil ha behov for taushetsbelagte opplysninger.
Dersom det utføres internrevisjon med driftsmessige og administrative deler av virksomheten til helseforetakene, kan revisjonen ha behov for innsyn i opplysninger som er taushetsbelagte. Internrevisjon av anskaffelsesprosesser kan, for eksempel, forutsette innsyn i forretningshemmeligheter, og ved vurderinger av habilitet og etiske problemstillinger kan det oppstå behov for opplysninger knyttet til personlige forhold. Slike opplysninger vil være taushetsbelagte etter forvaltningsloven. Etter forvaltningsloven § 13 b nr. 4, jf. helseforetaksloven § 5, er taushetsplikten imidlertid ikke til hinder for at det gis innsyn i opplysningene i forbindelse med revisjon eller annen form for kontroll med forvaltningen. Dette unntaket medfører at taushetsplikten ikke vil være til hinder for at helseforetakene gir internrevisjonen innsyn også i slike opplysninger på linje med at slike opplysninger kan gis til daglig leder av det regionale helseforetaket i forbindelse med at daglig leder utøver tilsyn etter § 37 annet ledd.
Foretakene er pålagt å sikre befolkningen lik tilgang på spesialisthelsetjenester av god kvalitet. For at de regionale helseforetakenes internrevisjon på vegne av styret skal kunne påse at helseforetakene oppnår kvalitetsmålene, kan det være nødvendig å ta i bruk kontrollmetoder som krever innsyn i pasientopplysninger som er tatt inn i pasientadministrative systemer og pasientjournaler. Det vil si personidentifiserbare opplysninger. Behovet for slike opplysninger vil også kunne være til stede ved internrevisjon med helseforetakenes virksomhetsstyring. Helsepersonell har taushetsplikt om opplysninger om personers legemsforhold og sykdomsforhold og andre personlige forhold når de har fått opplysningene i egenskap av å være helsepersonell (pasientopplysninger). Helsepersonell vil ikke kunne gi pasientopplysninger til internrevisjonen uten hjemmel.
Hensikten med å pålegge egne organer for internrevisjon var bl.a. å legge til rette for kontinuerlig internrevisjon som en del av virksomhetsstyringen av helseforetakene. Målsettingen med internrevisjon er blant annet å sikre at virksomhetene driver systematisk arbeid for kvalitetsforbedring og pasientsikkerhet. Virksomhetenes kvalitetsarbeid skal sikre en god og trygg tjeneste for pasientene, herunder sikkerhet for at det ikke gjøres feil som er til skade eller ulempe for pasienten. Pasientens interesse knyttet til kvalitet og sikkerhet i helsetjenesten må veies mot pasientens rett til konfidensialitet knyttet til taushetsbelagte opplysninger. Vern mot spredning av opplysninger er en grunnleggende rettighet i helseretten og forvaltningsretten for øvrig. Det bør generelt foreligge svært gode grunner for å vedta unntak fra taushetsplikten. Gitt at de regionale helseforetakene får et lovpålagt ansvar for å etablere internrevisjon i foretaksgruppen, må internrevisjonen samtidig gis mulighet til å benytte verktøy som anses hensiktsmessig og nødvendig for å kunne fylle oppgaven. Muligheten til å initiere og drive forbedringsarbeid og kontroll gjennom ulike typer revisjoner er verktøy som vurderes som hensiktsmessig og nødvendig. Departementet mener derfor at internrevisjonen bør få tilgang til taushetsbelagte opplysninger i den grad det er nødvendig for revisjonsarbeidet i foretaksgruppen. Det foreslås således en bestemmelse i § 37 a fjerde ledd som gir internrevisjonen adgang til, uten hinder av taushetsplikt, å kreve enhver opplysning, redegjørelse eller dokument og å foreta de undersøkelser som den finner nødvendig for å utføre internrevisjon. Forslaget vil gi helsepersonell adgang til å gi pasientopplysninger til internrevisjonen etter helsepersonelloven § 23 nr. 6.
Det forutsettes at opplysningene er nødvendige for å utføre internkontroll. De som mottar opplysningene, får tilsvarende taushetsplikt om de opplysningene de har mottatt. Helsepersonell har opplysningsplikt til Statens helsetilsyn og helsetilsynet i fylket. Den interne revisjonen vil ikke i samme grad som helsetilsynet ha behov for at opplysningene har individualiserende kjennetegn. Det foreslås derfor at opplysningene som gis, så langt som mulig skal gis uten individualiserende kjennetegn.