Crime proofing – regelverksanalys för att förebygga välfärdsbrott

Crime proofing-analyser är ett sätt att förebygga fel och brott mot välfärdssystemen. Metoden går ut på att riskanalysera regelverk eller andra system som styr till exempel gynnande beslut, tillstånd, avtal eller utbetalningar.

Skäl att göra en crime proofing-analys

Det finns flera skäl att göra en crime proofing-analys för ett specifikt regelverk. Ett är att regelverket är nytt och riskerna för felaktigheter, fusk, överutnyttjande och brott är okända. Det kan också handla om att risker förändrats eller upptäckts vara större än tidigare antagits för befintliga regelverk. Några frågor att ställa sig kan vara:

  • Finns nyare rättspraxis, JO-tolkningar, rättsliga ställningstaganden externt eller annat som påverkat tillämpningen av regelverket? Eller nyare regelverk som försvårat tillämpningen?
  • Har omtolkningar skett internt som förändrat riskerna?
  • Har regelverket inneburit nya utredningsbefogenheter eller ändrat villkor av betydelse? Skulle regelverket justera glapp i regleringen? Då kan det vara läge att följa upp om de rättsliga tolkningarna möjliggjort detta.
  • Har oförutsedda hinder eller problem uppstått till följd av regelverket?
  • Har misstänkta brott, överutnyttjande eller andra problem upptäckts gällande utbetalningen som här är aktuell? Går regelverket exempelvis att utnyttja av företag/föreningar utan verksamhet, eller med hjälp av felaktigt folkbokförda personer (t.ex. felaktiga eller utnyttjade identiteter), som enbart används i syfte att begå bedrägerier, bidragsbrott eller andra ekobrott?

Det kan också finnas skäl att analysera vissa regelverk oftare. Regelverk som är mycket detaljerade är inte alltid hållbara över tid. Mycket gamla regelverk kan behöva analyseras för att frågor om exempelvis lagring, medium för automatisk databehandling, digital signering, fråga-svar-tjänster och vilka uppgifter som ingår i olika datauttag, kan ha förändrats. Även vilken typ av aktörer som träffas av ett regelverk kan ha ändrats.

Så gör du en crime proofing-analys

Mallen för crime proofing-analyser innehåller fem steg, där själva analysen utgörs av steg 2, 3 och 4. Arbetet inleds med ett inledande steg med frågor om regelverket och underlag för analysen. Slutligen ska resultaten summeras och rekommendationer väljas.

Sedan följer en mängd hjälpfrågor som är strukturerade efter crime proofing-analysens olika teman. Mallen innehåller många frågor och ni får själv avgöra vilka som är relevanta för er analys. Vi föreslår dock att ni diskuterar fler frågor än bara de som är uppenbart relevanta. Det ger möjligheter att upptäcka nya risker som ni inte tänkt ut på förhand.

En och samma fråga kan bestå av flera delfrågor. Följ inte det skrivna alltför ordagrant, utan inkludera det som passar för regelverket som ska analyseras, eller översätt frågan till motsvarande aspekter av det aktuella regelverket. Frågorna syftar till att få gång ett tankesätt och en diskussion, inte att utgöra en checklista som måste följas till punkt och pricka, och i sin helhet.

Ni kan använda mallen som ett förslag på hur analysen kan dokumenteras under arbetets gång, och sedan skriva rent de centrala slutsatserna i ett format som passar för er organisation eller uppdragsgivare.

Låt gärna en blandad grupp kompetenser göra analysen tillsammans. Det ger möjlighet till fler perspektiv på vad frågorna kan innebära i det här specifika fallet.

Steg 1: Kortfakta om det aktuella regelverket som analyserats, inklusive styrdokument

I steg 1 fyller ni i uppgifter om vad ni tagit del av för er analys. Ni behöver inte läsa förarbeten med mera i sin helhet, utan det kan vara fullt tillräckligt att leta efter särskilt centrala delar. Tänkbara sökord är villkor, uppfylla, krav, kontroll, granska/granskning, fel, fusk, oegentlighet, överutnyttjande, brott etc.

På Ekonomistyrningsverkets webbplats (sidan är under utveckling) kan ni söka efter förslag eller statliga utredningar, och även se vad remissinstanser lyft för problem och risker med förslagen.

  • 1.1 Vilket regelverk gäller analysen?
    Det kan vara en del av en lag, en förordning eller interna regler och styrdokument som styr (villkor för) t.ex. föreningsbidrag. Ange vad regelverket heter och var det finns. Bifoga en länk om det är möjligt. Ange också vilken version av regelverket som analyseras, om det finns flera tidigare versioner.
  • 1.2 Vilka förarbeten och andra underlag ligger till grund för regelverket?
    Det kan handla om utredningar, propositioner, utskottsbetänkanden etc. Hur långt bakåt i tiden ni letar beror på hur länge regelverket funnits. Läs inte allt bakgrundsmaterial utan leta särskilt efter avsnitt som handlar om felaktiga utbetalningar, oegentligheter, fusk, brott, överutnyttjande eller kontroll.
  • 1.3 Vilka interna underlag beskriver och tolkar regelverket?
    Det kan vara handböcker, PM, vägledningar, metodstöd, processdokument och skriftliga rutiner.
  • 1.4 Finns det granskningar eller genomgångar som kan vara relevanta?
    Exempelvis från tillsynsmyndigheter, Ekonomistyrningsverket, Riksrevisionen, Statskontoret, Inspektionen för socialförsäkringen, Inspektionen för arbetslöshetförsäkringen, Brottsförebyggande rådet etc.

Tänk också igenom vilka som berörs av regelverket. Svara på några frågor om innehållet i regelverket och vilka aktörer det berör, som är bra att ha med sig i analysen. Det kan också vara centralt att ha överblick över när ni sätter samman er crime proofing-analysgrupp. Kanske ska de aktuella myndigheterna vara representerade? Kanske behövs experter på företag eller föreningars uppgiftslämnande och villkor?

  • 1.5 Riktar sig utbetalningen till privatpersoner, företag eller föreningar?
  • 1.6 Vilka myndigheter, arbetslöshetskassor, kommuner och regioner berörs av regelverket (direkt eller indirekt)?
    Ange även respektives roll, t.ex. besluta, utbetala, registrera uppgifter om, ge tillstånd till osv. (se även fråga 3.3).
  • 1.7 Vilka uppgifter behövs (eller är särskilt viktiga) för att bedöma rätten till eller att sökanden uppfyller villkoren för utbetalningen?
    Det kan vara uppgifter om bosättning, folkbokföring, hälsa, inkomst, närvaro, företrädares lämplighet, företrädares ekonomiska stabilitet samt verksamhetens karaktär och innehåll etc.
  • 1.8 Om regelverket tagits fram med ett annat regelverk som förlaga – på vilka sätt förhåller det sig till det andra regelverket?
    Används samma språk och logik, eller skapas otydligheter när de jämförs? Titta särskilt efter olika definitioner, begrepp eller granskningsmöjligheter, trots att tanken med dessa regelverk var desamma, eller att det ena var en förlaga för det andra.

Steg 2: Regelverkets tydlighet och relationen till andra regelverk

Här inleds själva crime proofing-analysen och regelverket granskas rent formuleringsmässigt. Dessutom analyseras regelverket i relation till andra regelverk som berörs. Fokus ligger på de delar i regelverken som är kopplade till risker för felaktiga utbetalningar. Alla problem med regelverket behöver inte lyftas. Klipp in citat från regelverken om de är centrala och illustrerar risker eller skyddsfaktorer.

Språklig analys av regelverket i sig

  • 2.1 Är regelverket tydligt eller finns det utrymme för olika tolkningar hos olika inblandade aktörer?
    Granska särskilt centrala begrepp, definitioner och mål i reglerna. Är de tydliga – eller är de motstridiga, luddiga och kan tolkas på olika sätt?
  • 2.2 Vilken typ av ledning finns för att (rättsligt) tolka regelverket?
    Ger förarbeten, författningskommentarer eller andra underlag tillräcklig ledning för myndigheten/kommunen/arbetslöshetskassan/regionen och den enskilde/företaget/föreningen att tolka regelverket?
  • 2.3 Ger de interna underlagen tillräcklig ledning för myndigheten och den enskilde/företaget/föreningen att (rättsligt) tolka regelverket?

Relation till andra nätverk

  • 2.4 Finns det andra regelverk som medför kontrollmöjligheter?
    Berörs de möjligheterna i förarbeten eller interna underlag till regelverket?
  • 2.5 Finns det glapp mellan olika regelverk, som kan skapa utrymme för felaktiga utbetalningar?
    Varifrån/på vilket sätt?
  • 2.6 Finns risk för dubbelfinansiering?
    Varifrån/på vilket sätt?
  • 2.7 Skapar andra regelverk hinder eller svårigheter som rör utbetalning eller kontroll av förhållanden och villkor som ligger till grund för beslut om utbetalningar?
    Ange i så fall vilka.
  • 2.8 Kan den här aktuella utbetalningen underlätta att få utbetalning från andra aktörer?
    Vilka?

Summering av risker och skyddsfaktorer i regelverket, steg 2

Här ska risker och skyddsfaktorer i regelverket summeras. Avser främst tolkningar och beroenden.

  • Risker
  • Skyddsfaktorer
  • Förslag till åtgärder steg 2

Steg 3: Förutsättningar för uppföljning och kontroll

I detta steg analyseras frågor om granskningsmöjligheter och kontroll samt olika former av åtgärder och andra sanktioner. Klipp till exempel in citat från regelverken om de är centrala och illustrerar risker eller skyddsfaktorer.

Om förutsättningar när det gäller ansvar, informationsdelning och kontroll

  • 3.1 Diskuteras (risker för) felaktiga utbetalningar, brott eller liknande i förarbeten och andra underlag som föregått regelverket?
  • 3.2 Finns det uttryckliga krav i regelverket (inkl. förarbeten och motsvarande dokument) på att det inte får ställas så höga krav på sökanden eller att prioritet är att det ska vara lätt att få del av utbetalningarna?
    Hur är det formulerat?
  • 3.3 Är ansvaret för tillämpning av regelverket delat mellan flera olika myndigheter?
    Redogör för vilka myndigheterna är och hur det delade ansvaret kan påverka risker för felaktiga utbetalningar. Vilka kontroller genomförs hos respektive aktör? Inkludera t.ex. tillståndsmyndighet och utbetalande myndighet, eller en beslutande, en annan utbetalande myndighet, olika parallella finansiärer av statsbidrag, regionala och kommunala bidrag.
  • 3.4 Finns rättsliga hinder för informationsdelning mellan olika instanser, som ökar risken för felaktiga utbetalningar?
    Kan tecken på felaktiga utbetalningar upptäckas i en verksamhetsgren utan att bilderna sammanfogas? Gäller både inom den egna myndigheten, och mellan den egna och andra berörda myndigheter. Frågan avser inte sekretess i största allmänhet, utan fall där det finns indikationer på felaktiga utbetalningar.
  • 3.5 Finns utredningsbefogenheter att kontrollera förhållanden och villkor som är centrala före, under respektive efter utbetalning?
    Är befogenheterna större respektive mindre i någon av de tre faserna?
  • 3.6 Bygger utbetalningarna på uppgifter från intygsgivare?
    Vilka? Intygar till exempel tidigare och nuvarande arbetsgivare, läkare, revisorer, kommuner, myndigheter och andra tredje parter att villkor eller krav är uppfyllda? Finns det kvalitetsproblem med vissa intygsgivare? Här kan ni också diskutera om dessa har incitament att vara reella grindvakter? Det gäller även för offentliga aktörer som intygsgivare, inser de att intyget leder till utbetalningar från andra organisationer inom det offentliga?
  • 3.7 Finns ett större mått av bedömning för att avgöra om aktören är berättigad till olika nivåer på utbetalningen?
    Handlar om mer komplexa bedömningar än att sökanden uppfyller olika fastställda nivåer som lätt kan avgöras, som till exempel bedömning av nuvarande eller framtida inkomst, hälsotillstånd, omfattning eller inriktning på verksamhet etc.

Sanktionsmöjligheter i vid mening

  • 3.8 Finns rättsliga förutsättningar att upphäva rätten till/avbryta utbetalningen?
  • 3.9 Finns rättsliga förutsättningar att återkräva medlen?
    Var finns eventuella glapp/hinder och problem vid återkrav? Om statistik finns över vad som återkrävs respektive faktiskt betalas in kan den beaktas här.
  • 3.10 Finns möjlighet till viten eller sanktionsavgifter?
    Har sådana tagits ut, och vilka belopp har det rört sig om?
  • 3.11 Försvåras sanktionsmöjligheterna av någon anledning?
    Till exempel att utbetalningen riktar sig till ett företag eller en förening, där en ansvarig kan vara svårare att identifiera, som vid en konkurs. Alternativt att ansvarsutkrävande är svårt för att en ställföreträdare ansökt om utbetalningen eller att utbetalningen avser en enskild, men betalas ut till exempelvis ett företag.
  • 3.12 Finns en skyldighet att anmäla felaktigheten till andra instanser?
    Finns regelverk/rutiner på plats för att säkerställa att skyldigheten uppfylls? Det kan exempelvis handla om anmälningsskyldighet enligt Lag (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen, skyldighet att polisanmäla misstänkta bidragsbrott enligt bidragsbrottslagen (2007:612) eller skyldigheter att anmäla till aktuell tillsynsmyndighet. Finns det statistik över hur ofta det faktiskt sker och till vilka?

Summering av risker och skyddsfaktorer i regelverket, steg 3

Här ska risker och skyddsfaktorer i regelverket summeras. Avser främst kontroll, sanktioner, ansvar och informationsdelning.

  • Risker
  • Skyddsfaktorer
  • Förslag till åtgärder steg 3

Steg 4: Sårbarheter hos aktörer utbetalningen riktar sig till

Följande steg kan kräva sidokunskap för att besvara. Börja med det ni vet inom er organisation. Steget handlar framför allt om att identifiera risker och skyddsfaktorer inom den sektor som utbetalningen riktar sig till, för att på ett bättre sätt bedöma allvaret i riskerna totalt sett, och för att kunna inkludera andra aktörer (skyddsfaktorer i sektorn) i åtgärdsförslagen. Klipp in citat från regelverken om de är centrala och illustrerar risker eller skyddsfaktorer.

Om aktörerna utbetalningen riktar sig mot

  • 4.1 Riktar sig utbetalningen till grupper som kan löpa större risk än andra att missförstå blankett och villkor för utbetalningen?
    Det kan till exempel handla om ekonomiskt utsatta, vissa hälsotillstånd, personer som av andra skäl har svårt att tillgodogöra sig regelverken, ideellt engagerade som inte har så stor erfarenhet av att söka bidrag etc. Kan de användas av exempelvis ställföreträdare för att missbruka systemet?
  • 4.2 Finns det andra än den som utbetalningen riktar sig till som kan ha intresse av att det blir för mycket utbetalt?
    Vilka? Det kan handla om anordnare, utförare (företag), anställda, god man etc.
  • 4.3 Har ni noterat likartade brottsupplägg som sprids i nätverk eller kluster?Utnyttjar de några specifika svagheter i regelverket? Sammanfatta gärna vilka.

Marknadsmässiga förutsättningar (för utbetalningar som riktar sig till eller går via juridiska personer)

  • 4.4 Finns det problem med konkurrens och lönsamhet?
    Har situationen förändrats i närtid? Kan det medföra att i övrigt laglydiga/etablerade aktörer i sektorn har blivit mer benägna till överutnyttjande eller att begå brott? Beskriv hur/på vilket sätt?
  • 4.5 Finns närliggande regelverk dit överutnyttjande eller brottslighet skulle kunna flytta om detta regelverk stärks?
    I så fall vilka? Här kan ni även notera om det finns tecken på att personer söker sig till detta regelverk som en följd av att reglerna skärpts i ett annat, närliggande regelverk.
  • 4.6 Kan regelverket påverka den aktuella sektorns organisering?
    Till exempel att en viss typ av organisering gynnas av utbetalningarna, och andra inte. Det kan vara stöd som enbart går till vissa bolagsformer, eller kontroller som gör att oseriösa aktörer bildar underentreprenadled.
  • 4.7 Finns skyddsfaktorer för att hindra att kriminella tar sig in i sektorn? Finns skyddsfaktorerna hos myndigheter, andra offentliga aktörer eller branschaktörer?
    Det kan handla om bakgrundskontroller, tillstånd, certifiering, auktorisation, standarder eller liknande inträdeskrav.
  • 4.8 Finns branschaktörer eller andra system eller strukturer (utanför myndigheter, kommuner och regioner) som kan förebygga eller upptäcka brottslighet inom någon av de aktuella sektorerna?
    Tecken på sådant kan vara att de granskar medlemsföretag, tar fram checklistor, har etiska råd eller vidtar åtgärder mot oseriösa aktörer. Finns rapporteringskanaler till myndigheterna när de får kunskap om misstänkta felaktiga utbetalningar? Beskriv i stora drag hur dessa aktörer kan utgöra skyddsfaktorer.

Summering av risker och skyddsfaktorer i regelverket, steg 4

Här ska risker och skyddsfaktorer i regelverket summeras. Avser främst sårbarheter.

  • Risker
  • Skyddsfaktorer
  • Förslag till åtgärder steg 4

Steg 5: Summering och rekommendationer

  • Summering och diskussion av risker som påträffats i analysen
  • Summering och diskussion av skyddsfaktorer som påträffats i analysen
  • Åtgärdsförslag

Om Crime proofing och MUR-nätverket

Crime proofing-mallen har tagits fram av en arbetsgrupp inom MUR-nätverket, som består av 24 myndigheter. Nätverkets syfte är främst att genom samverkan arbeta förebyggande för att förhindra felaktiga utbetalningar.

Myndigheter som varit med och testat crime proofing-mallen:

Arbetsförmedlingen, Ekobrottsmyndigheten, Ekonomistyrningsverket, Folkhälsomyndigheten, Försäkringskassan, Migrationsverket, Polismyndigheten, Skatteverket, Skolverket, Socialstyrelsen och Åklagarmyndigheten.

Myndigheter som följt arbetet och haft möjlighet att lämna synpunkter löpande på materialet:

Arbetsmiljöverket, Bolagsverket, Centrala studiestödsnämnden, Delegationen för inrättandet av Utbetalningsmyndigheten, Domstolsverket, Kriminalvården, Kronofogden, Myndigheten för ungdoms- och civilsamhällesfrågor, Pensionsmyndigheten och Tillväxtverket.