Geconstateerde onvolkomenheden over 2013
In 2014 is veel aandacht besteed aan het op orde brengen van de door de AR (Algemene Rekenkamer) geconstateerde onvolkomenheden over 2013. Dit betrof de volgende onderwerpen:
-
– Financieel beheer ILT;
-
– Inkoopbeheer beleidskern.
-
– Informatiebeveiliging beleidskern en Rijkswaterstaat.
Hieronder wordt ingegaan op de uitgevoerde verbeteracties bij deze onderwerpen.
Financieel beheer ILT
De Inspectie Leefomgeving en Transport (ILT) heeft gestuurd op een goed financieel beheer. In de interne managementcontracten 2014 zijn de gewenste en uit te voeren verbeterpunten opgenomen. De taken op het gebied van de inkoop en administratie zijn per 1-1-2015 overgedragen aan de SSO. De Financial audits hebben het management per kwartaal inzicht geboden in de verbetering van de tekortkomingen in het financieel beheer van de ILT en de daarbij van belang zijnde dienstverleningsovereenkomsten en processen. Aandacht ging daarbij ondermeer uit naar activabeheer, ict en inkoop.
Inkoopbeheer beleidskern
In 2014 is de inkoopfunctie verder verbeterd. Het Inkoop UitvoeringsCentrum voor de Beleidskern heeft in 2014 een IenM-inkoopbeleidsplan in samenspraak met de IenM-organisatie opgesteld, spendanalyses over 2013 en 2014 uitgevoerd en afgerond en heeft de bevindingen opgepakt in het kader van het continu verbeteren van de inkoopfunctie.
(Informatie)beveiliging beleidskern en Rijkswaterstaat
Cyber security
Medio 2014 heeft de Bestuursraad van IenM gekozen voor een plan van aanpak Cybersecurity met het volgende maatregelpakket:
Allereerst versterking van de crisiscapaciteit van IenM zodat een sluitende aanpak ontstaat om cyberaanvallen binnen het gehele IenM-domein tijdig te kunnen detecteren en in te dammen.
Daaraan ten grondslag ligt een beredeneerde prioritering van te beschermen belangen (kroonjuwelen). Aansluitend moet worden gezorgd dat er actuele risicoanalyses beschikbaar zijn voor de toplijst van informatiesystemen met een hoog afbreukrisico. En ten slotte zal worden gewerkt aan een heldere verantwoordelijkheids- en beheersstructuur voor het permanent monitoren en borgen van de cybersecurity van informatiesystemen op bedoelde toplijst. Medio 2015 zal de stuurgroep Cybersecurity voortgangsrapport uitbrengen aan de Bestuursraad.
In Control Verklaring Baseline Informatiebeveiliging Rijksdienst
De Baseline Informatiebeveiliging Rijksdienst (BIR) is eind 2012 vastgesteld en beschrijft de invulling van NEN/ISO 27001 en 27002 voor de rijksoverheid. Voor deze eisen gesteld aan de informatiebeveiliging van de IT infrastructuur Rijksdienst is Rijksbreed een implementatietraject (comply or explain) afgesproken. Over 2014 wordt via de ADR Rijksbreed gerapporteerd over 5 thema’s en wordt aan de departementen gevraagd om een vormvrije In Control Verklaring voor de kritieke systemen. IenM heeft aan dgOBR van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties de In Control Verklaringen verstrekt voor de organisatie onderdelen. Aan de In Control Verklaring van RWS en Bestuurskern ligt een uitvoeringsplan ten grondslag. Bij RWS is dat het meerjarenplan Beveiligd Werken en bij de Bestuurskern is dat een jaarlijks bijgewerkte uitvoeringsplan. Met het oog op het vergroten van het zicht op de kwaliteit van de wijzigingen die in het IenM SAP systeem worden doorgevoerd wordt het advies van de ADR opgevolgd om het contract met de dienstverlener nogmaals te analyseren, de daaruit voortvloeiende taken en verantwoordelijkheden eenduidig te beleggen en uit te werken in het Dossier afspraken en procedures.
Rijkswaterstaat
Naar aanleiding van de veranderende maatschappelijke context en de door de Algemene Rekenkamer geconstateerde onvolkomenheid is RWS in 2012 gestart met de beveiliging tegen cyber criminaliteit. De invoering van cyber security was ondergebracht bij het Programma Regie op Industriële Automatisering (PRIA). Dit programma richtte zich op het «in-control» brengen en houden van de beveiliging van de automatisering ter ondersteuning van de missie kritieke processen van RWS. Daarbij is in kaart gebracht wat de te nemen aanvullende beheersmaatregelen zijn in relatie tot de eisen die hieraan worden gesteld, zoals de eisen van de Baseline Informatiebeveiliging Rijk. Met ingang van 2014 is dit (meerjaren) programma opgegaan in Beveiligd Werken Rijkswaterstaat.
In 2014 zijn aanvullende beheersmaatregelen getroffen voor het hoofdwatersysteem (beweegbare keringen, stuwen en gemalen en de bediening hiervan) en de hieraan gerelateerde generieke voorzieningen. De gekozen prioritering sluit aan op richtlijnen van het Ministerie van VenJ, dat «Water keren en beheren» aanmerkt als «maatschappelijk vitaal proces».
Daarnaast zijn in 2014 stappen gezet om het beveiligd werken verder door te voeren als het gaat om het veilig werken met gegevens en documenten. De uitvoering van de aanvullende beveiligingsmaatregelen van het hoofdvaarwegennet en hoofdwegennet volgen in de jaren 2015 en 2016. Met betrekking tot de implementatie van de BIR is voor 2014 een In control verklaring afgegeven.
Overige topprioriteiten financieel beheer
Systeemgerichte Contractbeheersing RWS, inclusief DBFM contracten
Contractmanagement bij DBFM39– contracten
Mede door de toename van DBFM infrastructuurprojecten, zowel in realisatie als in de exploitatiefase, heeft binnen RWS het afgelopen jaar verdere uniformering van contracten en werkwijzen plaatsgevonden. RWS heeft een model contractbeheerorganisatie ontwikkeld. Een uniforme werkwijze leidt tot voordelen. Soepelere processen zorgen voor efficiëntere voorbereiding en uitvoering van projecten. Zowel publiek als privaat leidt dit tot een vermindering van transactietijd en transactiekosten. De DBFM projecten vallen onder hetzelfde sturingsregime als andere projecten. Ook het opleggen van eventuele kortingen loopt via de reguliere contractbeheersystematiek. De inrichting en werkwijze van de contractbeheerorganisatie voor DBFM hebben in de afgelopen tijd extra aandacht gekregen, ook vanuit het management. Er is een model Contractbeheersplan ontwikkeld ten behoeve van de DBFM-projecten in de realisatiefase. Bezien wordt of dit model kan worden doorontwikkeld voor projecten in de exploitatiefase. Daarnaast zijn er verschillende interne overleggremia opgezet om de kennisdeling tussen projecten en de continuïteit richting toekomstige projecten te bevorderen. Over de voortgang in het beleid en uitvoering wordt verwezen naar de DBFM(O) voortgangsrapportage aan de Tweede Kamer (Brief MvF aan TK d.d. 18-12-2014).
Contractbeheer met systeemgerichte contractbeheersing (SCB)
Met SCB toetst RWS risicogestuurd het kwaliteitssysteem van de opdrachtnemer om na te gaan of de contractuele verplichtingen worden nageleefd. In 2014 is een aantal verbeteringen doorgevoerd ten aanzien van de efficiency van de contractbeheersing door een zoveel mogelijk systeemgerichte benadering. De focus van de verbeteringen richtten zich op kennis, competenties en vaardigheden van bij het contractbeheer direct betrokkenen: projectmanager, contractmanager, technisch manager en -adviseurs, manager projectbeheersing en -adviseurs en de (lead)auditors. De managementaandacht is vastgehouden. Dit heeft geresulteerd in een verdere doorontwikkeling van SCB bij de onderhoudsprojecten; bij de aanlegprojecten is de implementatiegraad verder verankerd. Er is in 2013 een transitieplan SCB opgesteld waarlangs de nog te nemen stappen in 2014 verder zijn gestroomlijnd zodat in de periode 2015 en verder aanvullende controles beheerst kunnen worden afgebouwd. De monitoring van SCB heeft bij zowel de aanleg- en de onderhoudsprojecten in 2014 plaatsgevonden in de vorm van een zelfevaluatie, waarvan reviews onderdeel uitmaakten. In 2015 worden verbeteringen doorgevoerd met betrekking tot sturing en de uitvoering van de zelfevaluatie (waaronder de reviews). Daar waar nodig zijn vervolgacties in gang gezet.
Verplichte onderwerpen
Onderkende frauderisicos en de maatregelen die zijn of worden ingezet om deze risico’s te beheersen
In de jaarrapportage bedrijfsvoering Rijk wordt er op Rijksniveau gerapporteerd over de meldingen van vermoedens van integriteitsschendingen en geconstateerde schendingen geclassificeerd in 10 typen.
Het basisprincipe van het integriteitbeleid bij IenM is dat iedereen verantwoordelijk is voor het eigen handelen, daarover verantwoording aflegt en elkaar daarop kan aanspreken.
Heldere afspraken en duidelijke spelregels zijn hierbij van belang. Daarom heeft IenM de gedragscode «Bewust integer» opgesteld waarin alle IenM’ers (ambtenaren én externen) handvatten kunnen vinden om integer te werk te gaan:
IenM heeft een landelijk netwerk van integriteitscoördinatoren en vertrouwenspersonen integriteit en ongewenste omgangsvormen. Verder wordt bij de dienstonderdelen met grote regelmaat aandacht geschonken aan bewustwording door middel van integriteitprogramma’s en zijn er speciale trainingsfaciliteiten zoals masterclasses voor leidinggevenden. Door de reorganisatie afgelopen jaar is er bij RWS minder aandacht geschonken aan bewustwordingsactiviteiten dan gebruikelijk. Jaarlijks voert de ADR in opdracht van IenM audits uit naar integriteit binnen dienstonderdelen.
De relatie met de markt krijgt bij IenM veel aandacht. Zowel de aanleg van wegen, vaarwegen en kunstwerken als het beheer en onderhoud daarvan worden uitbesteed aan de markt. Mogelijke risico’s hierbij zijn strafrechtelijke risico’s als omkoping en fraude, mededingingsrechterlijke risico’s als marktverdeling en prijsafspraken, alsmede het niet opmerken, melden of oppakken van signalen over mogelijke onregelmatigheden.
In procedures rondom aanbesteding, handhaving en inkoop zijn maatregelen ingebouwd om de integriteitsrisico’s af te dekken. Onafhankelijkheid van derden en scheiding van verantwoordelijkheden wordt geborgd door de interne procedures. Bovendien kent IenM procedures voor het signaleren en melden van onregelmatigheden. Daarnaast heeft RWS beleid ontwikkeld voor het tegengaan van voorkennis en belangenverstrengeling bij aanbestedingen. Zo heeft RWS een Gedragscode Publiek Opdrachtgeverschap ontwikkeld en heeft RWS een centraal meldpunt ingesteld waar opdrachtnemers met opmerkingen en klachten terecht kunnen.
Tot slot zijn er kwetsbare functies (functies die naar hun aard en/of inhoud een potentieel risico kunnen vormen voor de aantasting van de integriteit van de organisatie) benoemd waarbij er aanvullende maatregelen (Verklaring van geen bezwaar, functie/taakwisseling) getroffen zijn om integriteitsrisico's te verminderen.
Subsidiefrauderisico
Het risico van subsidiefraude met IenM begrotingsbudget wordt beheerst mede door de intensivering bij RVO zoals aangekondigd in de rijksbrede frauderapportage (TK 17050–496). Het belang van de betrokkenheid van handhavingsdeskundigheid bij de vormgeving van subsidieregelingen voor bedrijven wordt onderschreven.
Open standaarden
IenM heeft de open standaarden van de «pas toe of leg uit»-lijst toegepast voor zover dat mogelijk is. Soms is het nodig om af te wijken om aan te kunnen sluiten op bestaande systemen. Waar afgeweken wordt is dat vastgelegd in de administratie. In 2014 heeft zich dat bij Rijkswaterstaat niet voorgedaan.
Inspectie Leefomgeving en Transport
In 2014 is een start gemaakt met het project Webportaal, webformulieren en meldingenbox. Doel van dit project is dat het een platform oplevert waarmee ILT digitaal communiceert met ondertoezichtstaanden en waarmee burgers en bedrijven digitaal meldingen kunnen doen en digitaal aanvragen kunnen doen voor vergunningen. Dit project maakt onderdeel uit van het rijksbrede programma Digitaal 2017.
Apparaatskosten IenM (facultatief)
Rijksbreed wordt het risico van het achterblijven van de daling in apparaatskosten onderkend. Bij IenM is ook in 2014 sterk ingezet op het beperken van de apparaatskosten en het realiseren van de krimp van de organisatie. Ten opzichte van 2013 zijn de totale apparaatskosten van IenM met circa € 50 miljoen gedaald in 2014. De reductie van de kosten wordt deels gerealiseerd door de krimp van de personeelsomvang. In 2014 is de personeelsomvang per saldo met 110 fte gedaald.