Figuur 3 geeft een overzicht van de onvolkomenheden in 2011 en 2012 naar de afzonderlijke elementen van de bedrijfsvoering.6
Figuur 3 Onvolkomenheden per element van de bedrijfsvoering
De figuur laat zien dat wij een aantal elementen in de bedrijfsvoering relatief vaak bij ministeries en baten-lastenagentschappen als onvolkomenheid hebben aangemerkt. Het gaat hierbij onder andere om:
-
• Tien onvolkomenheden in het managementcontrolsysteem
Onvolkomenheden die wij hebben waargenomen in het managementcontrolsysteem van departementen hebben in de meeste gevallen betrekking op problemen in het ordelijke en controleerbare verloop van financieel-administratieve processen van ministeries en baten-lastenagentschappen. Dit kan ervoor zorgen dat (onder andere) betalingen niet op tijd plaatsvinden, dat er gedurende het jaar te weinig inzicht is in de uitputting van budgetten en een jaarrekening alleen met veel moeite kan worden opgesteld.
-
• Dertien onvolkomenheden in het beheer en de beveiliging van omvangrijke ICT-systemen.
-
• Zestien onvolkomenheden in de bedrijfsprocessen voor de aankoop van goederen en diensten (de materiële uitgaven).
Daarnaast blijkt uit ons verantwoordingsonderzoek dat ook de bedrijfsprocessen voor een doelmatige en rechtmatige verstrekking van subsidies (subsidiebeheer), de administratie van uitgaven van bewindspersonen (bestuurskosten) en de inrichting van een goede verantwoording over en controle door de ministeries op de rechtmatige besteding van specifieke uitkeringen door gemeenten en provincies (sisa) bij verscheidene departementen nog aandacht vergen.
Wij lichten onze bevindingen hierna toe.
Functioneren managementcontrolsysteem voor financieel beheer
Bij de Ministeries van BZK, VenJ, Financiën en IenM hebben wij, zoals hiervoor aangegeven, problemen geconstateerd in de uitvoering van verschillende financieel-administratieve processen van het kerndepartement of aanpalende baten-lastenagentschappen. Omdat de leiding van een ministerie of een agentschap verantwoordelijk is voor een goed verloop van deze processen hebben we deze problemen aangemerkt als onvolkomenheden in het managementcontrolsysteem.
Hoewel de problemen in het financieel beheer divers van aard zijn, vertonen de achterliggende oorzaken vaak wel overeenkomsten. In veel gevallen blijken problemen terug te voeren op onzorgvuldigheden en fouten in de uitvoering van standaardprocessen zoals het tijdig vastleggen van verplichtingen en andere mutaties in de administratie. Deze onzorgvuldigheden ontstaan vaak door onvoldoende financieel-administratieve kennis en expertise, bijvoorbeeld bij organisatieonderdelen waar door veel functieroulatie kennis en ervaring verloren gaat en er te weinig expertise beschikbaar is voor het opstellen van een jaarverslag. Wanneer organisaties daarnaast ook grootschalige veranderingen in de opzet en de uitvoering van financieel-administratieve processen doorvoeren, is de kans op problemen in het financieel beheer nog groter. Dit bleek zowel het geval te zijn bij de invoering van een nieuw financieel- en inkoopadministratiesysteem bij het Ministerie van VenJ als bij de fusie van twee inspecties tot een nieuwe inspectie bij het Ministerie van IenM. In beide gevallen bleek dat financieel-administratieve medewerkers onvoldoende voorbereid waren op het toepassen van nieuwe procedures, werkwijzen en ondersteunende informatiesystemen.
Nog te vaak zien we dat de leiding het belang hiervan onvoldoende of te laat onderkent, waardoor er problemen ontstaan die wellicht hadden kunnen worden voorkomen.
Beheer en beveiliging van omvangrijke ICT-systemen
Ook in het beheer en de beveiliging van omvangrijke ICT-systemen hebben wij diverse onvolkomenheden geconstateerd (zie onderstaande tabel).
Van de dertien onvolkomenheden in dit onderdeel van de bedrijfsvoering hebben er tien betrekking op het thema informatiebeveiliging.
In 2011 hebben we rijksbreed onderzoek gedaan naar de kwaliteit van informatiebeveiliging bij de departementen en baten-lastenagentschappen. Wij merkten toen de informatiebeveiliging bij tien ministeries en baten-lastenagentschappen aan als onvolkomenheid. In onderstaande tabel hebben we de uitkomsten van het onderzoek in 2011 vergeleken met de uitkomsten van het onderzoek in 2012.
| Departement of baten-lastenagentschap | 2011 | 2012 | |
|---|---|---|---|
| 1 | BZK kerndepartement | Was onvolkomenheid | Blijft onvolkomenheid |
| 2 | OCW kerndepartement | Was onvolkomenheid | Blijft onvolkomenheid |
| 3 | Dienst Uitvoering Onderwijs (OCW) | Was onvolkomenheid | Blijft onvolkomenheid |
| 4 | IenM kerndepartement | Was onvolkomenheid | Blijft onvolkomenheid |
| 5 | Rijkswaterstaat (IenM) | Was onvolkomenheid | Blijft onvolkomenheid |
| 6 | Rijksinstituut voor Volksgezondheid en Milieu (VWS) | Was onvolkomenheid | Blijft onvolkomenheid |
| 7 | Belastingdienst (Financiën) | Was onvolkomenheid | Blijft onvolkomenheid |
| 8 | VenJ kerndepartement | Was een aandachtspunt | Nieuwe onvolkomenheid |
| 9 | Algemene Zaken | Was een aandachtspunt | Nieuwe onvolkomenheid |
| 10 | Financiën kerndepartement | Was een aandachtspunt | Nieuwe onvolkomenheid |
| 11 | College ter Beoordeling van Geneesmiddelen (VWS) | Was onvolkomenheid | Opgelost, maar blijft aandachtspunt |
| 12 | VWS kerndepartement | Was onvolkomenheid | Opgelost, maar blijft aandachtspunt |
| 13 | EZ kerndepartement | Was onvolkomenheid | Opgelost, maar blijft aandachtspunt |
De tabel laat zien dat zeven ministeries en baten-lastenagentschappen in 2012 de informatiebeveiliging nog onvoldoende hebben verbeterd om de onvolkomenheid als opgelost te beschouwen. Bij het Ministerie van VWS hebben wij voldoende verbeteringen waargenomen in de informatiebeveiligingsmaatregelen op het kerndepartement en bij het College ter Beoordeling van Geneesmiddelen om de onvolkomenheid als opgelost te beschouwen. Dit geldt ook voor de informatiebeveiliging op het kerndepartement van het Ministerie van EZ. Omdat op onderdelen nog aandacht nodig is, bijvoorbeeld voor het adequaat doorvoeren van beveiligingsmaatregelen die naar voren zijn gekomen uit uitgevoerde risicoanalyses, merken wij de informatiebeveiliging bij de Ministeries VWS en EZ, alsmede bij het College ter Beoordeling van Geneesmiddelen, nog wel aan als een aandachtspunt in de bedrijfsvoering.
Daarnaast hebben we geconstateerd dat de ministeries van Algemene Zaken (AZ), VenJ en Financiën in 2012 onvoldoende verbeteringen hebben doorgevoerd in de informatiebeveiliging en daardoor van aandachtspunt naar onvolkomenheid zijn gegaan.
Naar onze mening dient het informatiebeveiligingsbeleid opgezet en uitgevoerd te worden volgens de cirkel plan-do-check-act; zie figuur 4.
Figuur 4. Uitvoering van het informatiebeveiligingsbeleid
In de meeste gevallen is het informatiebeveiligingsbeleid wel op orde en ook zien we dat steeds meer ministeries en baten-lastenagentschappen risicoanalyses hebben uitgevoerd voor de informatiesystemen die zij gebruiken, hoewel dat nog niet overal consequent wordt gedaan. Er is echter meer aandacht nodig voor het consequent doorvoeren van beveiligingsmaatregelen die op basis van risicoanalyses noodzakelijk worden geacht en voor de monitoring op de invoering van beveiligingsmaatregelen en de evaluatie van de werking van de beveiligingsmaatregelen. Een goed voorbeeld van dit laatste is het ministerie van VWS dat inmiddels de informatiebeveiliging als vast onderwerp heeft opgenomen in de planning- & controlcyclus.
Inkoopbeheer inclusief Europees aanbesteden
Departementen dienen zich te houden aan de (Europese) aanbestedingsregels bij de aankoop van producten en diensten. Deze regels bevorderen dat er eerlijke concurrentie is tussen verschillende aanbieders en dat producten en diensten worden aangeschaft volgens de beste prijs-kwaliteitsverhouding.
Al verscheidene jaren constateren wij bij ministeries en baten-lastenagentschappen dat de interne beheersingsmaatregelen die ervoor moeten zorgen dat men «rechtmatig» inkoopt, onvoldoende werken. Ook over 2012 merken wij bij zestien ministeries en baten- en lastenagentschappen het inkoopbeheer aan als een onvolkomenheid. Aspecten die vooral verbetering behoeven zijn:
-
• het hanteren van een juist en volledig contractenregister zodat er inzicht bestaat in lopende contracten en de looptijd van aangegane contracten.
-
• het gebruikmaken van een actuele aanbestedingskalender die overzicht biedt in aanbestedingen die in de loop van het jaar opgestart moeten worden;
-
• het opstellen van periodieke inkoopanalyses waarbij een analyse wordt uitgevoerd op de aangegane verplichtingen om na te gaan of aan de aanbestedingsregels is voldaan.
Bovenstaande beheersmaatregelen bieden departementen en baten-lastenagentschappen de mogelijkheid om grip te houden op het proces van inkopen en aanbesteden. Een actueel en juist contractenregister biedt zicht op de lopende raamovereenkomsten,7 zodat kan worden voorkomen dat men verplichtingen aangaat met leveranciers die eigenlijk voor bepaalde producten of diensten niet in aanmerking zouden mogen komen. Een aanbestedingskalender ondersteunt om tijdig procedures voor nieuwe aanbestedingen op te starten wanneer bestaande contracten aflopen en een inkoopanalyse kan helpen om te voorkomen dat ongemerkt teveel verplichtingen worden aangegaan met één leverancier waardoor (ongemerkt) de Europese aanbestedingsregels worden overtreden.
Subsidiebeheer
Om de complexiteit van het subsidiebeheer te verminderen en de lasten voor subsidieverstrekkers en -ontvangers terug te dringen, heeft het vierde kabinet-Balkenende besloten een Uniform Subsidiekader in te stellen. Het is vastgelegd in de Aanwijzingen voor subsidieverstrekking die per 1 januari 2010 van kracht zijn geworden. Het subsidiekader was één van de speerpunten die in de Nota Vernieuwing Rijksdienst werd aangekondigd om te komen tot een efficiëntere en kleinere overheid.
Spil van het subsidiekader zijn de stappen van ieder subsidieproces: aanvraag, verlening, uitvoering, verantwoording en vaststelling. Het subsidiekader vereenvoudigt deze vijf stappen en neemt onnodige verschillen tussen subsidies (en subsidieregelingen) in dit proces weg. Daartoe omvat het de volgende met elkaar samenhangende elementen:
-
• drie standaardarrangementen voor uitvoering en verantwoording van regelingen;
-
• uniformering en vereenvoudiging van begrippen en verplichtingen in het subsidieproces (zoals termijnen, voorschotten, rapportages);
-
• rijksbreed beleid om misbruik en oneigenlijk gebruik van regelingen te voorkomen.
In ons onderzoek over 2012 zijn we nagegaan in hoeverre ministeries die subsidies verstrekken dit hebben gedaan conform het subsidiekader. We hebben onderzocht of de ministeries voldoende doen om misbruik en oneigenlijk gebruik van subsidies tegen te gaan (M&O-beleid). Onderdelen van een afdoende M&O-beleid zijn:
-
• het verrichten van risicoanalyses naar de kans op misbruik en oneigenlijk gebruik van nieuwe en bestaande subsidieregelingen;
-
• het ontwikkelen van beleid om te bepalen op welke manier de kwaliteit gecontroleerd wordt van accountantscontroles bij subsidievaststellingen (het zogenoemde reviewbeleid);
-
• het ontwikkelen van beleid om te bepalen hoe om te gaan met gevallen van vermeend misbruik en oneigenlijk gebruik van subsidies (het zogenoemde sanctiebeleid);
-
• het aanleggen van een registratie van vermeende gevallen van misbruik en oneigenlijk gebruik;
-
• het analyseren van vermeende gevallen van misbruik en oneigenlijk gebruik.
Uit ons onderzoek blijkt dat het M&O-beleid van de Ministeries van VenJ, BZK, OCW en EZ niet volledig voldoet op de bovenstaande onderdelen. De belangrijkste verbeterpunten betreffen een toereikend review- en sanctiebeleid en het uitvoeren van risicoanalyses voordat een subsidie wordt verleend.
Specifieke uitkeringen: verantwoording en controle kwetsbaar
Gemeenten en provincies ontvangen specifieke uitkeringen voor het uitvoeren van specifieke taken. Het betreft bijvoorbeeld taken als rampenbestrijding, re-integratie van bijstandsgerechtigden, tijdelijke stimulering van woningbouwprojecten en het tegengaan van onderwijsachterstanden. In 2012 heeft het Rijk voor circa € 12,3 miljard aan specifieke uitkeringen aan provincies en gemeenten verstrekt (BZK, 2011a). Gemeenten en provincies leggen aan het Rijk verantwoording af over de besteding van alle specifieke uitkeringen in een afzonderlijke bijlage bij hun jaarrekening. Deze systematiek wordt aangeduid als single information. Accountants controleren deze verantwoordingsinformatie van medeoverheden als onderdeel van de controle van de jaarrekening. Deze systematiek wordt aangeduid als single audit.
Het systeem van single information, single audit (sisa) zoals in de huidige regels is vastgelegd, kent twee belangrijke kwetsbaarheden.
In de eerste plaats bieden de huidige regels voor de accountantscontrole volgens de sisa-systematiek beperkte zekerheid over de rechtmatige besteding van specifieke uitkeringen. Uitgangspunt van deze systematiek is dat alle uitkeringen aan gemeenten en provincies boven de € 100.000 slechts beperkt hoeven te worden gecontroleerd door de accountants van gemeenten en provincies. Hierdoor ontstaat het risico dat grote posten niet of onvoldoende in de accountantscontrole worden betrokken en de minister daardoor onvoldoende informatie verkrijgt over de rechtmatige besteding op het niveau van de specifieke uitkering als geheel. Bij de invoering van de sisa-systematiek hebben wij op dit risico gewezen (Algemene Rekenkamer, 2007).
In de tweede plaats constateerde de Auditdienst Rijk, die binnen de sisa-systematiek als taak heeft om na te gaan of de controle door de accountants van de gemeenten en provincies goed is uitgevoerd, over 2011 en 2012 veel tekortkomingen in de controles die accountants hadden uitgevoerd van de verantwoording van gemeenten en provincies over de door hen bestede specifieke uitkeringen. Pas na herstelwerkzaamheden op verzoek van de minister van BZK en op aandringen van de Auditdienst Rijk en de Algemene Rekenkamer, kon, met uitzondering van het Ministerie van SZW, voldoende zekerheid over de rechtmatige besteding van de specifieke uitkeringen worden verkregen.
De minister van BZK is systeemverantwoordelijk voor de verantwoording en de controle van specifieke uitkeringen volgens het sisa-systeem. De minister heeft in 2012 een actieplan opgesteld om het sisa-systeem te verbeteren. Nog niet alle actiepunten uit het plan zijn ten uitvoer gebracht. De minister heeft inmiddels maatregelen genomen om de accountantscontrole bij gemeenten en provincies te verbeteren. De minister heeft echter nog onvoldoende maatregelen getroffen in de richting van gemeenten en provincies om ervoor te zorgen dat zij hun verantwoording over de specifieke uitkeringen verbeteren. Ook heeft de minister nog onvoldoende maatregelen genomen in de richting van de andere ministers die specifieke uitkeringen verstrekken. Vanuit zijn systeemverantwoordelijkheid dient de minister van BZK te bevorderen dat deze ministers plannen van aanpak en risicoanalyses opstellen voor de beoordeling van de verantwoordingsinformatie die zij van gemeenten en provincies ontvangen. Ook dient de minister van BZK erop toe te zien dat alle ministeries die specifieke uitkeringen aan gemeenten en provincies verstrekken een uniform terugvorderingsbeleid toepassen.
Een van de concrete afspraken die de Algemene Rekenkamer in 2012 heeft gemaakt met de Auditdienst Rijk en de ministeries die specifieke uitkeringen verstrekken, betreft het verrichten van aanvullende controlewerkzaamheden om – ondanks tekortkomingen in de controle van specifieke uitkeringen door accountants – toch voldoende zekerheid te verkrijgen over de rechtmatigheid van vaststellingen van eerder verstrekte voorschotten.
Wij constateren dat de minister van SZW – in tegenstelling tot de gemaakte afspraken – geen aanvullende informatie verzameld heeft om de onzekerheid over het bedrag van € 1,1 miljard aan specifieke uitkeringen te verkleinen (het betreft voornamelijk afrekeningen van het Participatiebudget).
Omdat de minister binnen zijn M&O-beleid het aspect «controle» niet goed heeft ingevuld, had hij de voorschotten in 2012 niet mogen vaststellen. Bovendien ontbreekt een goede toelichting in het jaarverslag. Wij beoordelen de rechtmatigheid van dit bedrag van € 1,1 miljard als onzeker. Hierdoor wordt ook de tolerantiegrens van de saldibalans en de tolerantiegrens van de jaarrekening overschreden.
Bestuurskosten
Onder bestuurskosten verstaan wij de uitgaven voor de voorzieningen die aan ministers en staatssecretarissen ter beschikking worden gesteld en die noodzakelijk zijn voor de vervulling van hun ambt. Ook de vaste vergoedingen voor de kosten van voorzieningen die voor eigen rekening van de ministers en staatssecretarissen komen en die door hen mede worden aangewend ten behoeve van de vervulling van hun ambt vallen hieronder.
Het is niet goed mogelijk om vast te stellen of alle bestuurskosten ook volledig worden verantwoord. De verklaring hiervoor is dat niet alle onderzochte ministeries een afzonderlijke kostenplaats voor bestuurskosten hanteren. Overigens concluderen wij dat bij sommige ministeries die wel een kostenplaats voor bestuurskosten hanteren de volledigheid van de verantwoording van de bestuurskosten eveneens moeilijk kan worden vastgesteld omdat er niet altijd goede beheersmaatregelen zijn genomen die waarborgen dat de bestuurskosten ook daadwerkelijk aan deze kostenplaats worden toegerekend.