Organiserad brottslighet söker sig idag aktivt in i offentlig sektor. Inte alltid genom direkta attacker – utan via leverantörsrelationer, rekryteringsprocesser och roller som av misstag ges för mycket handlingsutrymme och för lite insyn. Det är ett hot som sällan ser ut som ett hot, fram tills det är ett faktum.
Den fråga fler ledningar behöver ställa sig är: hur vet vi att det inte redan finns en insider i organisationen?
Vad är otillåten påverkan – och vem kan drabbas?
Otillåten påverkan är ett brett begrepp – och det är en del av problemet. Det rymmer allt från uppenbara fall som hot, våld och korruption till betydligt subtilare former: en relation som gradvis förskjuter lojaliteten, ett beslut som påverkas av en känsla av obehag, ett litet undantag som med tiden normaliseras till rutin. Det börjar sällan där man tror, och det syns sällan tydligt förrän det redan fått fäste.
Det som är gemensamt för alla former är syftet – att påverka hur någon utövar sin tjänst eller sitt uppdrag. Och i offentlig sektor handlar det ytterst om att skydda demokratins funktioner: att politiska beslut fattas på rätt grunder, att myndighetsutövning är fri från otillbörlig påverkan, att upphandlingar går rätt till.
Infiltration är en del av samma hotbild, men rör sig inifrån. Det handlar om personer som redan finns i organisationen och som – medvetet eller inte – agerar på ett sätt som skadar verksamheten. Ibland handlar det om illojalt beteende med uppsåt. Oftare är det en gradvis process där lojaliteten förskjuts så långt och så sakta att varken personen själv eller omgivningen märker det förrän skadan redan är gjord.
Varför individfokus inte räcker
En vanlig fallgrop är att organisationer letar efter varningsflaggor hos individen: en besvärlig bakgrund, ett avvikande CV, ett känt nätverk. Men den verkliga sårbarhetsbedömningen börjar inte i personen – den börjar i rollen.
Det är kombinationen av tillgång, påverkan och oberoende som gör en funktion strategiskt intressant för externa aktörer med destruktiva syften. En upphandlare med beloppsmandat och täta leverantörskontakter. En ensam specialist med systemtillgång och ingen dubbelkontroll. En verksamhetschef med delegation och direktkontakt med allmänheten.
Dessa roller bär en strukturell sårbarhet – oavsett vem som sitter i dem. Och det är just därför ett rollbaserat angreppssätt är mer träffsäkert, mer proportionerligt och mer rättssäkert än individbaserade kontroller.
Tre frågor att ställa om varje roll
Innan en roll kan betraktas som säker bör organisationen kunna svara på tre frågor:
Har rollen tillgång till känslig information, system, resurser eller beslutsmandat? Har personen möjlighet att påverka myndighetsutövning, upphandling eller tillsyn? Har rollen självständighet utan insyn – arbetar de ensamma, utan dubbelkontroll?
Ju fler av dessa faktorer som sammanfaller, desto större är den strukturella sårbarheten. Det är i den skärningspunkten riskanalysen gör sitt verkliga jobb.
Signalerna som syns – om du vet vad du letar efter
De allvarligaste säkerhetsbrotten börjar sällan med ett hot eller en muta. De börjar med undantag som normaliseras, lojaliteter som gradvis förskjuter gränser och signaler som tappas bort i vardagen.
Systematisk signalspaning handlar om att skapa strukturer för att fånga upp just de signalerna. Det finns fyra kategorier att bevaka:
- Beteendesignaler – en medarbetare som plötsligt slutar dela synpunkter, visar ovanligt stark lojalitet mot externa aktörer eller börjar undvika dokumentation.
- Processignaler – när rutiner rundas, beslut fattas snabbt utan transparens, eller en enskild person får ensamrätt i kritiska moment.
- Systemsignaler – tekniska avvikelser som ovanliga inloggningstider, manuell hantering av ärenden som normalt sköts digitalt, eller frånvaro av loggar.
- Leverantörssignaler – när samma leverantör får upprepade uppdrag utan upphandling, eller samarbetet mellan en anställd och en extern part blir ovanligt tätt.
En signal är inte ett bevis. Den är en inbjudan att titta närmare.
Från signal till åtgärd – kontrollkedjan som saknas i de flesta organisationer
Många verksamheter har policydokument för avvikelser. Färre har en fungerande kedja för hur en signal faktiskt hanteras när den uppstår. Vem ser den? Vem har mandat att ta den vidare? Vad händer om det inte finns tillräckligt underlag för att ”bevisa” något – men tillräckligt för att ana att något är fel?
En hållbar kontrollkedja kräver tre saker: tydlig upptäckt (alla vet vad som räknas som relevant och vem som kan ta frågan vidare), strukturerad bedömning (triagering som avgör vad som kräver omedelbar åtgärd), och förberedda åtgärder (dialog, dokumentation, förstärkt kontroll och i vissa fall en fördjupad bakgrundskontroll eller extern utredning).
Utan den kedjan händer ingenting – oavsett hur tydlig signalen var.
Rättssäkerhet är inte ett hinder – det är en förutsättning
I offentlig sektor räcker det inte att kontrollerna fungerar. De måste också tåla granskning. En kontrollprocess som uppfattas som godtycklig eller integritetskränkande riskerar att rasera det förtroende som är själva grunden för säkerhetsarbetet.
Varje insats – från bakgrundskontroll till intern signalspaning – behöver vila på ett tydligt syfte, en konkret riskbedömning, laglig grund och proportionalitet. Det är inte byråkrati. Det är det som gör att arbetet håller, också när det ifrågasätts.
Ledningens ansvar – och ett konkret ställe att börja
Motståndskraft skapas inte av enskilda medarbetare som agerar hjältar. Det skapas av ledningar som bygger system där rätt beteende är normen och avvikelser upptäcks i tid.
Myndighetsförordningen ställer uttryckliga krav på att ledningen ska förebygga korruption, otillbörlig påverkan och andra oegentligheter genom effektiv intern styrning och kontroll. Det är ett rättsligt ansvar – men framför allt ett praktiskt.
Att börja behöver inte vara komplicerat. Att identifiera tre till fem roller med hög tillgång och påverkan är ett rimligt och konkret första steg. Att inventera befintliga bakgrundskontrollrutiner är ett andra. Att påbörja en intern dialog med chefer kring sårbarheter – ett tredje.
Börja där ni står. Men börja strukturerat.
ToFindOut hjälper organisationer att arbeta riskbaserat och rättssäkert med bakgrundskontroller och intern säkerhet.
