In 2015 is aandacht besteed aan de volgende onvolkomenheden in de bedrijfsvoering die door de ARK zijn geconstateerd in het Rapport bij het jaarverslag IX 2014.
Periodieke controle op de juistheid van de logische toegangsbeveiliging bij de Belastingdienst
De Belastingdienst heeft een applicatie ontwikkeld die het proces van toekenning en intrekking van autorisaties ondersteunt. De beoogde koppeling van de software aan de primair processystemen is goeddeels gerealiseerd. Naast het aanbrengen van de laatste koppelingen worden in 2016 de resterende openstaande oude autorisaties opgeschoond.
Teruggave van omzetbelasting aan EU-ondernemers
De Belastingdienst heeft eind 2012 voor het OB-teruggaafproces aan EU-ondernemers voor de korte termijn de applicatie VRCA gekocht. Hoewel dit systeem een beperkte functionaliteit heeft, is er sprake van een functionerend proces dat geen bezwaren oproept bij de Europese Commissie. Voor de korte termijn zijn maatregelen genomen ter versteviging van de continuïteit van de applicatie. De meest kritische risico’s in de uitvoering worden nu met behulp van query’s gevolgd. In 2016 zal op basis van de huidige bronsystemen en data analytics een verbeterde VAT(Value Added Tax)-administratie worden ingericht. Voor de lange termijn is voorzien de VAT-refundadministratie uit te breiden met meer functionaliteiten zodat de huidige systemen kunnen worden uitgefaseerd.
Legacy van de IT van de Belastingdienst
De Belastingdienst heeft een groot aantal ICT-systemen in gebruik die in een aantal gevallen sterk verouderd zijn. Deze veroudering zorgt voor problemen in de uitvoering van de processen van de Belastingdienst. Om de overgang te realiseren van de huidige IT-systemen naar een toekomstvast IT-landschap is het programma Regie modernisering IV-landschap ingericht. In dit programma worden drie veranderlijnen onderscheiden: «Vereenvoudiging/vernieuwing in de lijn van de Investeringsagenda», «Rationalisatie» en «Verbeterde informatie». In elk van deze veranderlijnen zijn al activiteiten uitgevoerd en resultaten geboekt. De modernisering van het IV-landschap wordt mede beïnvloed door de nieuwe werkwijzen van de Investeringsagenda. Binnen het IV-landschap zullen daarbij transactiesystemen en data worden ontkoppeld.
Naast het programma wordt de IV-keten gestroomlijnd. Dit betreft zowel de structuur en de organisatie als het vernieuwen en versnellen van IV-voortbrengingsprocessen.
Integraal inzicht in het beheer en onderhoud van de huidige ICT bij de Belastingdienst
De Belastingdienst heeft geen meerjarig inzicht in de noodzakelijke maatregelen en de daarmee samenhangende kosten van het beheer en onderhoud van de IT-systemen.
Het programma «Overzicht en inzicht» realiseert op basis van een standaardarchitectuur een eenduidig overzicht op zowel business-, applicatie- als technologieniveau van het IV-landschap van de Belastingdienst. Als eerste fase van het programma zijn de huidige processen gemodelleerd conform de standaard IT-architectuur. Eind 2015 zijn de eerste resultaten van de gestandaardiseerde architectuurrepository opgeleverd.
Kwaliteit van de managementinformatie van de Belastingdienst
In mei 2015 heeft de commissie Managementinformatie en bekostigingssystematiek Belastingdienst in een tweetal rapportages28 vastgesteld dat er binnen de Belastingdienst nog geen duidelijke samenhang is tussen hoofddoelstellingen, prestatie-indicatoren en de toekenning van budgetten en dat een verbeterde verantwoording, effectmeting en inzet van interne sturingsmechanismen om de efficiëntie van de beschikbare middelen te vergroten, nodig is. De Belastingdienst wil hierin verbetering brengen. Het streven is om optimaal gebruik te maken van de informatie die de Belastingdienst ter beschikking staat om hiermee beter inzicht te krijgen in belastingplichtigen en hun gedrag en het effect van het handelen van de Belastingdienst daarop. De Belastingdienst werkt aan een overkoepelend managementcontrolframework met als doel de planning- en controlcyclus van de Belastingdienst met behulp van een consistente set van (financiële) meetwaarden te versterken. Dit heeft in 2015 geleid tot een meer gedetailleerd inzicht in de processen Bezwaar, Invordering en Toezicht.
Interne controle bij het Agentschap
In 2015 zijn de resterende aanbevelingen uit het verbeterplan voor de herinrichting van de financiële functie voortvarend opgepakt. Een belangrijk element was de implementatie van de verbeterde versie van het treasury-managementsysteem (Wall Street Suite). Door de geslaagde implementatie van dit systeem is een significant aantal processen geautomatiseerd en is het aantal kwetsbare handmatige handelingen afgenomen. De problemen die na implementatie naar boven zijn gekomen nemen in aantal af en zijn beheersbaar geweest. Om enkele processen verder te automatiseren worden in de eerste helft van 2016 nog drie interfaces geïmplementeerd.
Daarnaast is het afgelopen jaar een digitale AO (Administratieve Organisatie) geïmplementeerd waarin bedrijfsprocessen beschreven zijn. In 2016 wordt de AO aangevuld met een beschrijving van de risico’s en controles met betrekking tot deze bedrijfsprocessen. Verder zijn risico’s geïdentificeerd en passende beheersmaatregelen genomen.
De conclusie luidt dat het Agentschap in 2015 een ruime meerderheid van de aanbevelingen uit het verbeterplan heeft gerealiseerd. In 2016 zal aandacht worden besteed aan de resterende verbeterpunten.
Informatiebeveiliging bij het kerndepartement
Het kerndepartement heeft in 2015 op het gebied van risicoanalyses, beveiligingsmaatregelen, controles en evaluaties een merkbaar grote verbetering tot stand gebracht. De geïnitieerde verbeteringen lopen in 2016 door.
Het kerndepartement heeft een managementsysteem voor informatiebeveiliging op basis van risicobeheer, waarmee in voldoende mate op de maatregelen ter borging van de vertrouwelijkheid, integriteit en de beschikbaarheid van informatie wordt gestuurd. De implementatie van maatregelen is gebaseerd op de Baseline Informatiebeveiliging Rijksdienst (BIR 2012). De interne beheersing heeft zodanig gefunctioneerd dat er voldoende zekerheid is verkregen dat de bedrijfsvoering voldoet aan VIR (Voorschrift Informatiebeveiliging Rijksdienst) 2007/BIR 2012 en – waar nodig – aanvullende maatregelen zijn getroffen.
Als vervolg op de risicoanalyse van kritieke systemen in 2014, is in 2015 een inventarisatie en risicoanalyse van de overige systemen uitgevoerd. Er is vastgesteld dat voor deze systemen de beveiligingsmaatregelen uit de BIR afdoende zijn. Voor een beperkt aantal beveiligingsmaatregelen dat niet of gedeeltelijk is uitgevoerd, is door de verantwoordelijke lijnmanager een uitleg (explain) opgesteld. Het gaat om drie explains. De Explain board van het kerndepartement heeft op basis van een risicoafweging de explains geaccepteerd.
Daarnaast is eind 2015 conform de jaarlijkse planning- en controlcyclus een zelfevaluatie op naleving en uitvoering van het informatiebeveiligingsbeleid door de verantwoordelijke lijnmanagers uitgevoerd. Daarmee worden de evaluaties navolgbaar gemaakt.
Over de uitvoering van de inbestede ICT worden rapportages ontvangen van het SSC-ICT (Shared ServiceCenter ICT) die onderwerp van gesprek zijn.