Rechtmatigheid

Uit de controle door de Auditdienst Rijk over 2016 is gebleken dat er geen fouten en onzekerheden zijn op artikelen van hoofdstuk V Buitenlandse Zaken die gerapporteerd moeten worden.

Totstandkoming niet-financiële verantwoordingsinformatie

Er zijn geen bijzonderheden te melden.

Financieel en materieel beheer

Inkoop en contractenbeheer

Het ministerie heeft na zorgvuldige afweging besloten om de inkoopuitvoering te organiseren bij de Financiële Service Organisatie (FSO). Het FSO is opgericht om de administratieve functie binnen het ministerie te centraliseren. De overdracht van de inkooptaken van Shared Service Organisatie (SSO) Wereldwijd Werken (3W) naar de FSO wordt per 1 januari 2018 gerealiseerd. Met dit transitietraject wordt een versnippering van de inkoop voorkomen en aansluiting gezocht bij de ontwikkeling dat inkooptaken vanuit de regionale administratieve verwerkingscentra, de Regional Support Offices (RSO’S) worden gecentraliseerd op het departement. Een frontoffice van het FSO zal directies en posten bij inkopen vanaf de grenswaarde van 15.000 euro ondersteunen. Uitvoeringsorganisatie Bedrijfsvoering Rijk | Haagse Inkoop Samenwerking (UBR|HIS) blijft de partner van het ministerie bij Europese aanbestedingen. Met deze positionering komt de inkoopadvisering samen met de registratie en dossierbeheer in de inkoopmodule van het financieel administratief systeem SAP in één hand bij de FSO. Naar verwachting met een significante kwalitatieve verbetering door kennisopbouw en taakspecialisatie. Daarnaast heeft het ministerie besloten om vanaf de meervoudig onderhandse grenswaarde de inkoopinformatie conform de «code contractprocesbeheer 2008» centraal te archiveren in SAP.

Beheer vastgoed

In 2016 werd uitvoering gegeven aan het «Masterplan huisvesting en vastgoed 2016–2021». Ten aanzien van de organisatorische doelstellingen werd grote vooruitgang geboekt door o.a. de vaststelling van de besluitvormingprocedures en projectfasering. Het invullen van de vacatures en daarmee de verdere professionalisering kende vertraging. De beleidsmatige doelstellingen werden conform de projecten uit het Masterplan ingevuld. Zo is een prioritering gemaakt van alle nieuwe huisvestingsprojecten. Over een aantal huisvestingsprojecten uit het Masterplan zal besluitvorming, en daarmee prioritering, in 2017 plaatsvinden. Voor deze projecten is nog nader overleg en onderzoek noodzakelijk.

Ten aanzien van de investeringen en projecten liep de realisatie achter op de plannen, hetgeen resulteerde in een lagere uitputting. Dit was deels toe te schrijven aan het niet doorgaan van één aan te kopen object (EUR 14 mln) en nieuwbouwtrajecten (EUR 8 mln) waarvan de besluitvorming is uitgesteld.

Overige aspecten van de bedrijfsvoering

Archiefbeheer

De Algemene Rekenkamer en de Auditdienst Rijk hebben in 2015 de archivering als tekortkoming in het proces geïdentificeerd. In 2016 heeft de directie Bedrijfsvoering daarom gewerkt aan de realisatie van een koppeling tussen verschillende systemen met het archiveringssysteem HP-RM. De koppeling met SAP is gerealiseerd, andere koppelingen volgen in 2017. Dit moet ervoor zorgen dat gebruik van het systeem meer in de dagelijkse werkzaamheden is ingebed. Daarnaast is er een dashboardsysteem ontwikkeld dat leidinggevenden managementinformatie geeft over het archiefbeheer. Een groot deel van de posten en dienstonderdelen beschikt inmiddels over een archiefplan en ontvangt kwartaalrapportages. De ontwikkeling van een aanpak voor de archivering is voortgezet in 2016. Het doel hiervan is om te bepalen welke informatie zonder risico buiten het archiveringsyteem HP-RM bewaard kan worden in andere bestaande applicaties om de administratieve belasting van medewerkers te verlagen. In september 2016 heeft het Audit Commitee aangegeven dat de inspanningen van de directie Bedrijfsvoering om het archiefbeheer te verbeteren voldoen. Het gebruik van het archiveringssysteem door medewerkers blijft een aandachtspunt. Dit vraagt van het ministerie een verdere invulling van de toezichthoudende functie en het overbrengen van het belang van archivering onder haar medewerkers.

Regie op informatiebeveiliging

Het ministerie zet haar inspanningen voort om de aanbevelingen van de Algemene Rekenkamer en van de Auditdienst Rijk met betrekking informatiebeveiliging op te volgen. In 2016 zijn ruim 60 risicoanalyses en privacy impact assessments (PIA) uitgevoerd en hiermee is deze planning gerealiseerd. De risicoanalyses en PIA’s leiden bij de organisatieonderdelen tot hoger risico- en privacy bewustzijn en betere acceptatie van de voorgestelde beschermende maatregelen. Dit is een belangrijke stap in de verdere verbetering van de situatie rondom de regie op de informatiebeveiliging. Het uitvoeren van de risicoanalyses en PIA’s is nu ook een verplichte processtap bij nieuwe projecten. In 2017 zal nadere invulling van de verantwoordelijkheden omtrent informatiebeveiliging in de lijn plaatsvinden.

Daarnaast is er op één applicatie de accreditatie verlengd onder voorwaarde van een audit in 2017. Het actualiseren van de Baseline Informatiebeveiliging BZ, een beleidsinstructie voor gebruik cryptografische middelen en het fysieke beveiligingsplan zijn als gevolg van hernieuwde prioriteitsstellingen niet volledig in 2016 gerealiseerd en worden eveneens in 2017 afgerond.

Het ministerie versterkt de aandacht voor de toenemende dreigingen omtrent het ICT-domein en de menselijke factor daarbinnen. Zo is de bewustwordingscampagne gecontinueerd en is o.a. een BZ-brede phishing campagne uitgevoerd. Ook is bij de uitgifte van de nieuwe mobiele (i-Diplomatie) werkplekken een gebruiks- en bewustwordingstraining verplicht gesteld. Verdere toekomstplannen omtrent cybersecurity en de weerbaarheid van BZ medewerkers moeten nog worden uitgewerkt.

De weerbaarheid van BZ en het implementeren van de verbeterplannen rondom informatiebeveiliging vraagt urgentie. De vele veranderingen die de uitrol van de nieuwe mobiele werkomgeving (i-Diplomatie), de verhuizing naar de Rijnstraat en het werken met een SSO met zich meebrengen zorgen voor een continue druk op de organisatie hiervan. De benodigde sturing hierop en samenwerking met andere Rijksonderdelen is erop gericht om aanvallen op kwetsbaarheden van het BZ-netwerk of toegang door onbevoegden te voorkomen.

Wet Meldplicht Datalekken

Per 1 januari 2016 is de Wet meldplicht datalekken (een aanpassing van de Wet bescherming persoonsgegevens) in werking getreden. Er is in 2016 een meldprocedure ontwikkeld voor datalekken. Definitieve vaststelling van deze procedure vindt in 2017 plaats. Daarnaast heeft het ministerie in 2016 geïnventariseerd welke externe bewerkersovereenkomsten er zijn en of hierin een clausule is opgenomen waarin de procedure bij een datalek is beschreven. De lage response van minder dan 10% van de organisatieonderdelen heeft erin geresulteerd dat een interim rapportage is opgesteld. In het eerste kwartaal van 2017 is de uitvraag opnieuw verricht hetgeen heeft geleid tot een substantieel hoger response en dit leidt tot een eindrapport. Een afgeronde inventarisatie van externe bewerkersovereenkomsten en van verwerkte persoonsgegevens in 2017 moet bijdragen aan een stelstel van procedures die volledige naleving van de Wet meldplicht datalekken waarborgt. Procedures voor een verdere inrichting van de kaderstellende en toezichthoudende functie zijn genoodzaakt. Ten slotte zal in 2017 zal meer bekendheid aan de Wet meldplicht datalekken worden gegeven hetgeen moet bijdragen aan betere bewustwording onder medewerkers.

Risicomanagement

In 2016 heeft het ministerie stappen gezet in het concretiseren van integraal risicomanagement. Met het Three Lines of Defence model, een toezichtsmodel vanuit drie lagen, is ten eerste een visie op toezicht ontwikkeld die is gepresenteerd in het Audit Committee. Daarnaast draagt dit model bij aan aanscherping van taken, bevoegdheden en verantwoordelijkheden. De organisatie wil met de visie risicogericht toezicht verder vormgeven. Om risicogericht toezicht te kunnen uitoefenen moeten alle organisatieniveaus in risico’s denken. Zo wordt gewerkt aan de versterking van het denken in risico’s binnen het ministerie op strategisch, tactisch en operationeel niveau. Het breder institutionaliseren van dit gedachtegoed heeft de aandacht.

De directie Financieel Economische Zaken heeft vanuit haar rol als concerncontroller een adviserende en faciliterende rol bij risicomanagement op het ministerie. Om het risicomanagement te verstevigen hebben in 2016 risicosessies plaatsgevonden. Er zijn twee risicosessies op strategisch niveau voor de bedrijfsvoering georganiseerd. Om het gebruik van risicomanagement als sturingsinstrument verder te stimuleren, ook binnen de beleidskolom, is in het najaar van 2016 gestart met een pilot waarbij per DG/PSG kolom bij één of twee organisatieonderdelen een risicosessie wordt gehouden. Deze pilot wordt in 2017 geëvalueerd en ervaringen dragen bij aan een integrale aanpak van risicomanagement.

Het ministerie heeft daarnaast risicosessies georganiseerd met controllers en financieel medewerkers van het departement.

Staatssteun

In het rapport bij het jaarverslag 2015 van het Ministerie van Buitenlandse Zaken heeft de Algemene Rekenkamer (AR) aanbevolen om in overleg te treden met de coördinerende Minister van Economische Zaken. Dit om te bezien of het voor Nederland zinvol is de processen rond beoordeling van mogelijke staatssteun aan te passen aan de gemoderniseerde Europese staatsteunregels. Hierbij moet tevens worden vastgesteld of staatssteunmaatregelen onder één van de vrijstellingsverordeningen en -besluiten kunnen vallen.

In 2016 heeft zoals gebruikelijk maandelijks het Interdepartementaal Staatssteunoverleg (ISO) plaatsgevonden. Van dit overleg is het Ministerie van Economische Zaken voorzitter en het ministerie deelnemer. Eén van de belangrijkste onderwerpen van deze interdepartementale samenwerking, die sinds 2003 bestaat, betreft sinds 2014 de aanpassing van de bestaande processen aan de gemoderniseerde Europese staatssteunregels, met daarbij in het bijzonder aandacht voor compliance, informatievoorziening, training en transparantie. In overleg met het Ministerie van Economische Zaken is derhalve geconcludeerd dat de aanbeveling reeds in de praktijk werd gebracht.