M&O beleid
In 2014 is het beleid misbruik- en oneigenlijk gebruik (M&O-beleid) subsidies uitgewerkt en begin 2015 vastgesteld. De implementatie van het M&O-beleid zal in 2015 verder vorm krijgen. De maatregelen ter voorkoming van M&O zijn in het subsidieproces en werkinstructies verwerkt. In 2014 is een M&O-register opgezet waar organisatieonderdelen melding maken van M&O gevallen. Tot op heden zijn nog geen meldingen van M&O gemaakt.
Fraude en fraude bestrijding
Binnen het Ministerie van BZK is in de processen en procedures, voor de drie belangrijkste onderdelen (subsidies, personeels- en inkoopregelingen) waar fraude kan spelen, geborgd dat ieder vermoeden van fraude gemeld wordt bij de beveiligingsambtenaar. Vervolgens volgt nader onderzoek en advies door de beveiligingsambtenaar aan het bevoegd gezag om passende maatregelen te treffen.
In 2014 zijn geen meldingen die financieel, materieel dan wel kwalitatief van belang zijn, gemeld bij de beveiligingsambtenaar. In het kader van de controle van de jaarrekening bespreekt de beveiligingsambtenaar eventuele gevallen van fraude met de Auditdienst Rijk. Daarnaast wordt jaarlijks een verklaring bij de jaarrekening afgegeven aan de Auditdienst Rijk, de zogenaamde Letter of Representation (LoR). Onderdeel van de LoR is de verklaring van de Secretaris Generaal en de directeur Financieel Economische Zaken verantwoordelijkheid te erkennen om fraude te voorkomen en gevallen van fraude te melden.
Risico’s voor externe fraude spelen op het gebied van persoonsgegevens, met name bij DigiD en de Basisregistratie Personen. BZK heeft teams opgezet om deze fraude te bestrijden. Specifiek voor het tegengaan van adresgerelateerde fraude is een businesscase gemaakt, op grond waarvan departementen die samen met BZK dit type fraude bestrijden, middelen beschikbaar stellen om de aanpak van deze vorm van fraude te intensiveren. Het Centraal Meldpunt Identiteitsfraude (CMI) heeft meer dan 800 meldingen op het gebied van identiteitsfraude ontvangen en verwerkt. Om het voor burgers veiliger te maken identiteitsbewijzen beschikbaar te stellen aan derden is de KopieID app ontwikkeld. Deze is al 150.000 keer gedownload.
BZK is actief betrokken bij de Rijksbrede aanpak fraude. De Minister van V&J heeft mede namens de Minister van BZK op 19 december de Kamer geïnformeerd over de voortgang rijksbrede aanpak van fraude (Kamerstukken II, 17 050, nr. 496). Een concreet resultaat op BZK-terrein is het blokkeren danwel verwijderen van ruim 8.000 DigiD accounts, veel al preventief, om fraude tegen te gaan.
Afwijkingen instructie rijksdienst bij aanschaf ICT diensten of ICT producten
BZK heeft in 2014 gehandeld conform de «Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten». BZK hanteert een «pas toe of leg uit»- lijst waar afwijkingen van de open standaarden worden gemeld. Er is sprake van een afwijking bij de tooling voor de dienstverleningssystemen van P-Direkt. Doordat de dienstverlening draait op gesloten systemen, kan de tooling niet op basis van open standaarden worden geselecteerd.
Logius past relevante open standaarden zoveel mogelijk toe in haar overheidsbrede ICT-producten en -diensten en in haar bedrijfsvoering. In een zeer beperkt aantal gevallen zijn relevante open standaarden nog niet of niet volledig toegepast. Jaarlijks publiceert Logius een overzicht met voorziene afwijkingen op de toepassing van open standaarden in haar ICT-producten en -diensten en in haar bedrijfsvoering (www.logius.nl/over-logius/jaaroverzichten).
Mobiliteitskaart
In de zomer van 2014 is de mobiliteitskaart in gebruik genomen. In het jaar 2014 heeft overleg plaatsgevonden met de gemeenschappelijke ondernemingsraad van BZK, over ondermeer de privacyaspecten rondom het gebruik en het controleprotocol van de mobiliteitskaart. Hierover is medio december overeenstemming bereikt. Hierdoor heeft in 2014 geen interne controle kunnen plaatsgevonden over de uitgaven aan de mobiliteitskaart. In 2015 worden interne controles wel uitgevoerd en worden de noodzakelijke interne controles over 2014 met terugwerkende kracht uitgevoerd.
Door complicaties bij de ingebruikname van de mobiliteitskaart heeft het bedrijf achter de mobiliteitskaart niet alle facturen naar het juiste departement kunnen sturen. Inmiddels is de facturering anders vorm gegeven, zodat de juiste factuur per departement wordt gegenereerd.
Rijksbreed is een raamovereenkomst getekend door BZK. Met de ADR is gesproken over de verantwoordelijkheden van de ondertekenaar van de raamovereenkomst (BZK) en de ondertekenaars van de nadere overeenkomsten (de departementen).
Systeemverantwoordelijkheid BIR
De BIR is vastgesteld in 2012; de BIR is feitelijk de voor de overheid verplichte en in de markt breed gehanteerde norm ISO 27002, waaraan een specifieke invulling voor het Rijk is gegeven, om het gewenste beveiligingsniveau te bereiken. Oorspronkelijk was het de bedoeling dat alle departementen de BIR op 1 januari 2014 zouden hebben geïmplementeerd. Dit bleek voor de departementen niet haalbaar. Vervolgens heeft BZK, vanuit de systeemverantwoordelijkheid, in 2014 extra inspanning gezet op enerzijds het faciliteren van de departementen en anderzijds op het inrichten van het proces van planning en control. De ADR heeft in 2014 in opdracht van BZK twee proefaudits uitgevoerd. Vervolgens zijn bij alle departementen BIR-audits uitgevoerd.
Op 15 februari hebben alle departementen d.m.v. een In Control Verklaring (ICV) aangegeven bij BZK in hoeverre zij voldoen aan de BIR en, indien dat niet het geval is, via explains aangeven waar zij nog niet voldoen en welke verbeterplannen zij daarvoor hebben. De explains worden beoordeeld op interdepartementale risico’s waarna zo nodig maatregelen worden getroffen. Het Ministerie van Financiën en de ADR hebben aangegeven dat de beoogde ICV niet voor elk departement haalbaar is. Daarom is besloten dat deze departementen zich in hun ICV over 2014 tenminste richten op hun 10 meest kritieke systemen voor de vijf urgente thema’s die eerder dit jaar zijn vastgesteld. BZK geeft invulling aan haar systeemverantwoordelijkheid, de daadwerkelijke implementatie van de BIR en daarmee ook de werking is een zaak van elk individueel departement.
Inkoopcirculaire rijk
In 2013 signaleerde de AR dat het toepassen van de inkoopcirculaire onrechtmatig zou zijn en haaks zou staan op de doelstelling van de Aanbestedingswet 2012 om het MKB meer kansen te bieden op overheidsopdrachten. Tevens was het standpunt van de AR dat de circulaire een prijsopdrijvend effect zou hebben door één op één gunning tot € 50.000.
BZK heeft onderzoek gedaan naar ervaringen met de circulaire. Op basis van de onderzoeksresultaten zijn de conclusies getrokken dat toepassing van de circulaire geen nadelig effect heeft voor de kansen van het MKB en dat er geen eenduidig beeld is betreffende het prijsopdrijvend effect. De AR vindt dat deze conclusies niet getrokken kunnen worden op basis van de resultaten van het onderzoek.
Aanbevelingen van de AR
Financiële functie kerndepartement
In 2013 is het programma financieel beheer gestart om de financiële functie van het kerndepartement op orde te brengen. Hierover is geregeld gerapporteerd aan de Tweede Kamer. Zoals in de brief van 9 september 2014 (Kamerstukken II, 31490 nr. 159) aan de TK is gemeld, loopt het programma financieel beheer door in 2015. In 2014 is de Administratieve Organisatie(AO)/ kaderstelling voor een deel uitgewerkt en is de administratie op orde gebracht; zodanig dat de jaarrekening op een gecontroleerde manier tot stand is gekomen. Binnen de financiële functie zijn duidelijke afspraken gemaakt over de taken, verantwoordelijkheden en bevoegdheden. Het programma zal zich in 2015 richten op het afronden en borgen van de ingezette werkwijze.
Subsidiebeheer kerndepartement
De focus van de AR lag in 2012 en 2013 op de, inmiddels opgeloste, gebreken van het M&O beleid. Het beleid ter voorkoming van misbruik en oneigenlijk gebruik van subsidies (inclusief het M&O-register) is vastgesteld (zie ook M&O beleid). Het subsidieproces wat in 2013 is vastgesteld is eind 2014 aangepast en begin 2015 opnieuw vastgesteld. De werkinstructies voor het vaststellingsdeel zijn in 2014 uitgewerkt en begin 2015 vastgesteld. De focus van BZK is in 2014 meer komen te liggen op de kaders, waar procesbeschrijvingen deel van uitmaken. De opzet van het subsidiebeheer is daarmee begin 2015 gerealiseerd. Door middel van opleidingsbijeenkomsten wordt de kennisbasis bij de medewerkers van BZK op dit onderwerp in 2015 versterkt.
Inkoopbeheer kerndepartement
In 2014 zijn de volgende maatregelen genomen: nieuwe werkinstructies voor het inkoopproces zijn opgesteld, een maandelijkse monitor op de registratie van contracten is gestart, het controleplan inkoop is verbeterd, regels voor het betrekken van de Haagse Inkoop Samenwerking (HIS) zijn verscherpt, in het laatste kwartaal van 2014 zijn inkoopworkshops gehouden en de eindverantwoordelijkheid voor de besluitvorming rondom het afwijken van aanbestedingsregels ligt per 15 augustus jl. bij de Secretaris-generaal (SG).
De opzet van de registratie van contracten biedt voldoende waarborgen voor het realiseren van een volledig contractenregister. In 2015 wordt de maandelijkse monitor voor de volledigheid van het contractenregister voortgezet en worden (eventuele) herstelacties meteen ondernomen. In 2015 wordt scherp aangestuurd op het opvolgen van het verplicht inschakelen van de HIS als de totale opdrachtwaarde € 30.000 (inclusief BTW) of meer bedraagt, of onder dit bedrag indien meerdere offertes worden opgevraagd.
Beveiligingsnormen DigiD
Het belang van een veilig en vertrouwd DigiD staat nog steeds hoog op de agenda. Er is in 2014 veel gedaan om verbeteringen in het beheer van DigiD te realiseren. Een taskforce bij de beheerorganisatie Logius, onderdeel van het Ministerie van BZK, heeft het afgelopen jaar hard gewerkt aan het oplossen van een aantal grote en kleine problemen. Hierbij is gebruik gemaakt van bewezen technologie. Deze oplossingen worden eerdaags getoetst door een externe auditor. Tevens is een aantal onderzoeken uitgevoerd om na te gaan of er een materieel risico voor DigiD aan de orde is. Uit deze en eerder uitgevoerde onderzoeken blijkt dat er over 2014 sprake is geweest van materiële beveiligingsrisico’s. De bevindingen worden geprioriteerd en in 2015 zullen inspanningen worden geleverd om ook deze bevindingen op te lossen. De bevindingen die het grootste risico met zich meebrengen worden als eerste aangepakt. In het jaarverslag 2014 van de beheerorganisatie Logius staat meer informatie over de beveiligingsnormen DigiD.
WNT
De problemen met de WNT zijn in 2014 opgelost.
Informatiebeveiliging kerndepartement /implementatie BIR
De aanpak «implementatie Baseline Informatiebeveiliging Rijk (BIR) kerndepartement» gaat uit van de totale set aan beveiligingsdoelstellingen en beheersmaatregelen van de BIR. Daarbij wordt eveneens aansluiting gezocht bij het Voorschrift Informatiebeveiliging Rijk (VIR) 2007, waarin staat dat de informatiebeveiliging op basis van risicomanagement tot stand komt. BZK geeft een In Control Verklaring (ICV) af voor het voldoen aan de BIR. De ICV van BZK over 2014 heeft betrekking op een selectie van ongeveer 20 informatiesystemen. Beveiligingsdoelstellingen die meer aan de organisatorische kant liggen (P-beleid, informatiebeveiligingsbeleid, bewustwording) worden opgenomen in de ICV van BZK. De organisatieonderdelen is gevraagd de stand van zaken per 31-12-2014 door te geven aan de CIO BZK. Op basis hiervan is door het Ministerie van BZK op 15 februari 2015 de ICV afgegeven. Hiermee verklaart de bestuurder dat het Ministerie de beheersing van de informatiebeveiliging, conform de kaders zoals gesteld door het VIR 2007 en de Baseline Informatiebeveiliging Rijksdienst (BIR), op orde heeft. De ICV heeft betrekking op de situatie per 31-12-2014.
Inkoopbeheer FMHaaglanden
Uit interne controle is gebleken dat de tekortkomingen die zijn geconstateerd op de juistheid en volledigheid van het contractenregister zich niet meer voordoen. De inkoopanalyses zijn verbeterd en er is in 2014 voor gekozen elke 2 maanden een spendanalyse uit te voeren. Daarbij zijn alle zes aspecten uit het normenkader inkoop van de Algemene Rekenkamer meegenomen. Verder heeft verbetering plaatsgevonden op de interne controle op naleving van aanbestedingprocedures. FMH kent op dit moment, naast de inhuurovereenkomsten, slechts drie (dienst)(raam) overeenkomsten met meerdere contractpartners voor dezelfde dienstverlening. FMH heeft een interne controle uitgevoerd op de uitgaven die betrekking hebben op deze overeenkomsten en hierbij zijn geen onrechtmatigheden geconstateerd. FMH heeft in oktober besloten om meervoudige aanbestedingen altijd te laten uitvoeren door de HIS. De inhuur is vrijwel geheel uitbesteed aan het Expertisecentrum Organisatie en Personeel.
Inkoopbeheer Rijksgebouwendienst
De Rgd heeft het verbeterplan Verbetering Inkoopbeheer Rgd opgesteld. In dit verbeterplan zijn de actiepunten opgenomen die nodig zijn om de onvolkomenheid op te lossen. De verbeteracties zoals benoemd in het verbeterplan zijn conform de planning gerealiseerd. De meeste verbeteracties betreffen aanscherping van bestaand en werkend instrumentarium (zoals het contractenregister en de inkoopkalender). In 2015 staan activiteiten gepland betreffende het vasthouden van de werking van de (geïmplementeerde) maatregelen.
Raamwerk P-direkt
In december 2014 is het change- & releasemanagement vastgesteld. Vanaf december 2014 wordt gewerkt volgens de vastgestelde procesbeschrijvingen. Het Autorisatiebeheer SAP-HR voldoet aan het merendeel van de normen. Proactieve aandacht voor het rechtenbeheer is inmiddels ingeregeld waarbij de toekenning van rechten tot een minimumniveau is beperkt. Wel is geconstateerd dat een beperkt aantal mensen nog ruime rechten heeft. Om te zorgen dat rechten niet worden geschonden en alleen bevoegden toegang hebben tot SAP-HR zijn controles ingericht op systeem- en beheerniveau.