1. Rechtmatigheid
Overschrijding(en) rapporteringstolerantie(s) fouten
De rapporteringstolerantie ad. € 15 mln. die van toepassing is voor fouten in het totaal van de «aangegane verplichtingen» van de artikelen in de verantwoordingsstaat wordt overschreden voor een bedrag van € 4,7 mln. De toleranties bij de individuele begrotingsartikelen worden niet overschreden.
Conform de RBV hebben wij, gezien de toepassing van een statistische steekproef bij de materiële uitgaven van artikel 11 «Centraal apparaat», de maximale fout bepaald. Deze is berekend op € 12,2 mln. waardoor de beschikbare ruimte voor fouten bij de andere artikelen van Hoofdstuk VII gering is. Bij de overige artikelen zijn met name fouten in de aanbestedingen geconstateerd voor een bedrag van € 7,1 mln. die overigens grotendeels (€ 6,3 mln.) betrekking hebben op fouten door inkooploketten buiten BZK. Resteert nog aan overige fouten € 0,4 mln.
| Rapporteringstolerantie (1) | Verantwoord bedrag in € (omvangsbasis) (2) | Rapporteringstolerantie voor fouten in € (3) | Bedrag aan fouten in € (4) | Percentage aan fouten t.o.v. verantwoord bedrag (5) = (4)/(2)*100% |
|---|---|---|---|---|
| Totaal artikelen verplichtingen | 851.089.000 | 15.000.000 | 11.395.099 | 1,34% |
De maximale fout overschrijdt de rapporteringstolerantie en daarom is de meest waarschijnlijke vermeld.
Overschrijding(en) rapporteringstolerantie(s) onzekerheden
Er hebben zich geen overschrijdingen voorgedaan.
2. Totstandkoming niet-financiële verantwoordingsinformatie
In het Samenvattend Auditrapport 2015 heeft de Auditdienst Rijk (ADR) benoemd dat op een enkele uitzondering na de informatie over beleid en bedrijfsvoering deugdelijk tot stand is gekomen. In 2016 is binnen BZK wederom ruim aandacht besteed aan de bewustwording van het belang van de niet-financiële informatie (NFI). Aan de hand van een standaard controleprogramma is nagegaan of het NFI-dossier helder en gestructureerd is. Nieuw dit jaar is een door FEZ ontwikkeld «stoplichtenmodel» format om de voortgang van de NFI-dossiers te bewaken. Dit heeft er aan bijgedragen dat de niet-financiële informatie in de meeste gevallen deugdelijk, ordelijk en controleerbaar tot stand is gekomen. Bij één van de 11 indicatoren/kengetallen is de totstandkoming beperkt reconstrueerbaar. Dit betreft de indicator «Percentage af te dragen pensioenpremies t.o.v. de bruto loonsom». Het Ministerie van BZK zal in 2017 de werkwijze NFI evalueren en indien nodig wordt de werkinstructie en/of het controleprogramma aangepast.
3. Financieel- en materieel beheer
Onvolkomenheden over 2015 m.b.t. financieel en materieel beheer
Financiële functie kerndepartement
Met de afronding van het programma financieel beheer is in 2015 de opzet van de financiële functie van het kerndepartement gerealiseerd. De AO is beschreven, de kaders en processen zijn ingericht, mandaten zijn ingeregeld en managementinformatie voor financieel, inkoop- en subsidiebeheer is operationeel. Om de werking te verbeteren heeft FEZ in 2016 ingezet op kennisontwikkeling binnen de financiële functie, risicobeheersing op het gebied van financieel beheer en het kwalitatief goed uitvoeren van kwartaalafsluitingen. Het verplichtingenbeheer – in het bijzonder het voorkomen van informele verplichtingen – heeft onverminderd aandacht nodig. Dit houdt in dat verplichtingen die worden aangegaan tijdig in de administratie moeten worden vastgelegd.
Subsidiebeheer kerndepartement
In 2015 is de beschrijving van het subsidieproces gerealiseerd. Om de werking van het subsidiebeheer te verbeteren heeft BZK in de loop van 2016 controle vooraf ingesteld. In eerste instantie (vanaf september) is dit gebeurd in de vorm van een pilot door interne auditors van BZK. Wegens succes is dit per 1 november structureel gemaakt met het inrichten van de expertisecommissie subsidies. Hiervoor is capaciteit in de formatie vrijgemaakt en is specialistische kennis aangetrokken. Dit betekent dat alle subsidieverleningen, -wijzigingen, -vaststellingen, en nieuwe en gewijzigde subsidieregelingen worden getoetst op volledigheid juistheid en rechtmatigheid voordat deze worden geformaliseerd door de budgethouder. Hiermee is de werking van het subsidieproces vanaf het laatste kwartaal van 2016 e.v. geborgd.
Inkoopbeheer kerndepartement
Ook voor het inkoopproces is in 2015 de beschrijving opgeleverd en van kracht. Om de werking van het inkoopbeheer te verbeteren heeft BZK, net als voor het subsidiebeheer, controle vooraf ingesteld. In eerste instantie (vanaf september) is dit gebeurd in de vorm van een pilot door interne auditors van BZK. Dit heeft betrekking gehad op alle inkopen van het kerndepartement boven € 10.000. Wegens succes is dit per 1 november structureel gemaakt en aangescherpt met het inrichten van de expertisecommissie inkoop. Hiervoor is capaciteit in de formatie vrijgemaakt en is specialistische kennis aangetrokken. Inkoopdossiers van alle inkopen voor het kerndepartement hoger dan € 1.500 (uitgezonderd catalogus inkopen) worden ten aanzien van inhoud en proces getoetst op volledigheid, juistheid en rechtmatigheid voordat deze worden geformaliseerd door de budgethouder. Hiermee is de werking van het inkoopproces vanaf het laatste kwartaal van 2016 e.v. geborgd.
Inkoopbeheer UBR|HIS
In 2016 heeft de UBR|HIS, in opdracht van de Minister van BZK, het inkoopbeheer verder op orde gebracht. De HIS heeft concurrentiestelling in opzet voldoende gewaarborgd, duidelijkheid is gecreëerd wanneer consultatie van een aanbestedingsjurist dient plaats te vinden, interne controle heeft plaatsgevonden, alle stukken moeten zichtbaar in het dossier collegiaal worden tegen gelezen en standaard documenten zijn ontwikkeld voor het onderbouwen van de aanbestedingsprocedure en de motivering van de leveranciersselectiekeuze. De werking van deze verbetermaatregelen verdient nog aandacht.
Overige bevindingen AR over 2015 m.b.t. financieel en materieel beheer
Financieel beheer en materieelbeheer AIVD
De aanbeveling om een organisatorisch meerjarenperspectief te borgen, waarin opleiding, informatisering en permanente innovatie een plek moeten krijgen, heeft vorm gekregen in een meerjarig visiedocument van de AIVD. In het document zijn ook de activiteiten bepaald voor een verdere wisselwerking tussen beleid en uitvoering en de doorontwikkeling van operationele en financiële managementinformatie. In 2016 is ondermeer de basis gelegd voor verbeteringen in het materieel beheer en nadere inrichting van de personele processen.
Inkoopbeheer RGD
In 2015 heeft de Rijksgebouwendienst (RGD), in opdracht van de Minister voor WenR, grote verbeteringen gerealiseerd in het inkoopbeheer met als gevolg dat de onvolkomenheid vorig jaar werd opgeheven. Wel constateerde de AR nog enkele aandachtspunten. Inmiddels is de RGD opgegaan in het Rijksvastgoedbedrijf (RVB). In lijn met de aanbeveling van de AR heeft het RVB in 2016 actie ondernomen ten aanzien van genoemde aandachtspunten. Middels interne controle is daarbij vastgesteld dat het RVB ten aanzien van inkopen de interne procedures juist heeft toegepast, volgens het daarbij gehanteerde normenkader en daardoor aan de te stellen eisen voldoet.
Inkoopbeheer EC O&P
In opdracht van de Minister van BZK heeft UBR|EC O&P een verbeterplan opgesteld. Hiermee wordt beoogd het inhuurproces zo in te richten dat de inhuur van externe tijdelijke arbeidskrachten conform de geldende interne en externe regelgeving op gebied van inkopen en aanbesteden wordt uitgevoerd. EC O&P voert de verbeteracties uit het verbeterplan in samenwerking met de HIS, de CDI-Office en de ADR uit. Veel verbeteringen zijn gerealiseerd in 2016, enkele verbeteringen zijn voorzien in 2017. Zoals de start van de UBR|Inhuurdesk, waarin de dienstverlening van UBR|HIS en UBR|EC O&P op het gebied van inhuur vanaf begin 2017 zijn gebundeld.
4. Overige aspecten van de bedrijfsvoering
Onvolkomenheden over 2015, niet zijnde financieel en materieel beheer
Beveiligingsnormen DigiD
Over het jaar 2015 voldeed de DigiD-omgeving gedeeltelijk niet aan een aantal informatiebeveiligingseisen. In opdracht van de Minister van BZK heeft de beheerorganisatie van DigiD (Logius) acties ondernomen voor het verminderen van de beveiligingsrisico’s. Dit gebeurde onder de vlag van het project Arend. Doel van dit project was om de beveiliging van de DigiD-omgeving verder te versterken door het wegnemen van eerder in audits geconstateerde tekortkomingen.
In de maanden november en december 2015 heeft een audit plaatsgevonden door een externe IT auditor waarbij drie bevindingen werden geconstateerd. Logius heeft in 2016, samen met de leverancier van DigiD, gewerkt aan het oplossen van deze bevindingen. In mei 2016 heeft dezelfde externe IT-auditor een rapport opgeleverd met daarin de conclusie dat DigiD aan alle vigerende normen van het ICT-beveiligingsassessment voldoet.
In aanvulling hierop: tot op heden zijn diverse experts er niet in geslaagd om in technische beveiligingsonderzoeken op enige wijze ongeautoriseerde toegang te krijgen tot DigiD. De beveiligingsmaatregelen rondom DigiD zijn bij deze technische onderzoeken robuust gebleken. In afstemming met de ADR heeft de departementale leiding van BZK het bestaande (geringe) restrisico met betrekking tot de kans op ontvreemding van persoonsgegevens geaccepteerd.
Informatiebeveiliging RCN
Naar aanleiding van de bevindingen uit een vraaggestuurd onderzoek dat is uitgevoerd door de ADR is eind 2014 het programma «integrale beveiliging» gestart. Het doel van dit programma was om projectmatig een reeks maatregelen te implementeren om de informatiebeveiliging van de generieke dienstverlening door RCN te verbeteren. In 2015 en 2016 zijn maatregelen geïmplementeerd waarmee een aantal belangrijke risico’s is gereduceerd en de informatieveiligheid is versterkt. Verder is in 2016 de bedrijfsvoering van RCN in een afzonderlijke uitvoerende dienst ondergebracht (SSO Caribisch Nederland), zodat dit de aandacht kan krijgen die het verdient. Die organisatieverandering en het beperkte aantal resterende verbeterpunten maken dat het verbeterprogramma per 31 december 2016 is beëindigd. De laatste verbeteringen zullen worden opgepakt in het reguliere informatiebeveiligingsplan. Controles op de werking van maatregelen, evaluaties en verbeteringen zijn of zullen worden ondergebracht in de reguliere PDCA-cyclus.
Overige bevindingen AR over 2015, niet zijnde financieel en materieel beheer
Informatiebeveiliging kerndepartement
Over 2015 constateerde de AR dat de informatiebeveiliging van het kerndepartement op een hoger plan is gebracht. De methodiek om de inrichting van de informatiebeveiliging te baseren op risicomanagement is in 2016, in lijn met de toepasselijke kaders, verder doorontwikkeld. Het risicomanagement is gericht op het afwegen van binnen processen te beschermen belangen. De PDCA-cyclus van informatieveiligheid richt zich hiermee op systemen en processen die onderdeel zijn van de jaarlijks geactualiseerde risicokaart BZK. De resultaten van het vraaggestuurde onderzoek dat door de ADR eind 2016 is uitgevoerd, bevestigen de opgaande lijn die al was ingezet.
BRP
De AR riep de Minister van BZK op bij de gemeenten te benadrukken dat een goede registratie begint met de invoer van de juiste gegevens in de BRP. De Minister van BZK en de Autoriteit Persoonsgegevens (als toezichthouder op de uitvoering van de wet BRP) hebben ook in 2016, aan de hand van het jaarlijks door gemeenten uit te voeren wettelijk verplichte evaluatie-instrument, toegezien of gemeenten goed blijven scoren op de invoer van gegevens. De Minister kan zo nodig een monitoring-traject en/of een verbetertraject afspreken. De Autoriteit Persoonsgegevens kan als toezichthouder bij verkeerd bijhouden van de BRP (waaronder invoer van gegevens) een last onder dwangsom opleggen. In opdracht van de Minister van BZK is in december 2016 een onderzoek naar de politiek-bestuurlijke, financiële en juridische aspecten van een correctiepunt met doorzettingsmacht aanbesteed. Het onderzoek zal doorlopen in 2017. Hiermee wordt een volgend kabinet in staat gesteld te besluiten over de opzet van een correctiepunt.
WNT
De gevolgen van een bepaald type afvloeiingsregeling voor niet-topfunctionarissen binnen de rijksdienst waren niet tijdig bekend voor de verantwoording over de WNT. Het betrof de gevallen waarin het dienstverband van een medewerker werd beëindigd in samenhang met contractovername door een mobiliteitsbureau. Dit probleem is begin 2016 door de Minister van BZK van een tijdelijke oplossing voorzien door het aanpassen van de Beleidsregels WNT 2016.
Om dit probleem definitief op te lossen is in het wetsvoorstel Evaluatiewet WNT opgenomen dat de op grond van de WNT openbaar te maken gegevens niet langer worden genoemd in de wet, maar in een ministeriële regeling. Vervolgens zal in deze ministeriële regeling worden bepaald dat ontslaguitkeringen aan niet-topfunctionarissen niet langer behoeven te worden verantwoord. Inmiddels is het wetsvoorstel ingediend bij de Tweede Kamer. De beoogde inwerkingtreding van de in dit wetsvoorstel opgenomen voorstellen is 1 juli 2017.
Kaders leverancierskeuze
Ambtelijk overleg tussen betrokken partijen (Ministerie van BZK, Ministerie van EZ, Ministerie van Financiën, de ADR en de AR) heeft geleid tot een eenduidige set van afspraken en kaders op het gebied van het motiveren van de leverancierskeuze. Het afsprakenpakket is in november 2016 vastgesteld in het SGO. Met ingang van 1 januari 2017 geldt het pakket voor inkopen vanaf € 33.000 en naar verwachting vanaf 1 juli 2017 vanaf € 50.000.