1. Rechtmatigheid
Overschrijding(en) rapporteringstolerantie(s) fouten en onzekerheden
Naleving van de wet- en regelgeving voor huurtoeslag
De uitgaven en ontvangsten voor de huurtoeslag worden door de Minister van Binnenlandse Zaken en Koninkrijksrelaties verantwoord op beleidsartikel 03 Woningmarkt van het begrotingshoofdstuk VII Binnenlandse Zaken en Koninkrijksrelaties. De Rijksbegrotingsvoorschriften schrijven voor dat – indien bij statistische steekproeven de maximale fout (inclusief de geconstateerde onzekerheid) de tolerantiegrens overschrijdt – de som van de meest waarschijnlijke fouten en/of onzekerheden wordt gerapporteerd in de bedrijfsvoeringsparagraaf van het ministerie verantwoordelijk voor de uitvoering.
De maximale fout (inclusief de geconstateerde onzekerheid) in de uitgaven en ontvangsten voor de huurtoeslag overschrijdt de rapporteringstolerantie voor het totaal van de uitgaven- en ontvangstenstroom in de verantwoordingsstaat van Hoofdstuk VII. De maximale fout blijft overigens wel onder de rapporteringstolerantie van beleidsartikel 03.
De som van de meest waarschijnlijke fouten en onzekerheden van de Huurtoeslag in deze uitgaven en ontvangsten bedraagt € 91,8 mln.
Voor de overige artikelen zijn bevindingen inzake de rechtmatigheid geconstateerd tot een bedrag van circa € 7,9 mln.
2. Totstandkoming niet-financiële verantwoordingsinformatie
In het Auditrapport 2018 heeft de Auditdienst Rijk (ADR) aangegeven dat in bijna alle gevallen de niet-financiële informatie deugdelijk, ordelijk en controleerbaar tot stand is gekomen.
Verder heeft BZK in 2018 het proces van totstandkoming niet-financiële verantwoordingsinformatie herijkt. Hierbij is met name gekeken naar de wijze van inventariseren van niet-financiële informatie (wat is NFI) en het controleproces (verduidelijking controleprogramma). Doel van herijking was naast vereenvoudiging ook de bewustwording in de organisatie over het belang van een goede totstandkoming te vergroten. In zogenaamde «Bouwkeetsessies» hebben beleid, DG-control, FEZ en de ADR gezamenlijk het gehele proces doorlopen. Voor de bepaling van NFI en het vormen van dossier zijn ondersteunende criteria benoemd. Het controleprogramma is vereenvoudigd zonder afbreuk te doen aan controleerbaarheid van de totstandkoming. Met deze aanpak is een gestructureerde vereenvoudiging van het proces totstandkoming van de NFI bereikt.
Voor controle en sturing op de voortgang blijft BZK het eerder ontwikkelde stoplichtenmodel hanteren.
3. Financieel- en materieelbeheer
Onvolkomenheden over 2017 m.b.t. financieel en materieel beheer
Totstandkoming jaarverslagen
In 2018 heeft BZK een onvolkomenheid toegekend gekregen van de Algemene Rekenkamer (AR) naar aanleiding van de te late totstandkoming van de jaarverslagen van 2017. De overgang naar een nieuw financieel administratief systeem en de overgang naar het Financieel Diensten Centrum (FDC) maakten dat de situatie vorig jaar complex was. In 2018 was alles erop gericht om het jaarverslag op tijd, volledig en juist aan te leveren. Vanwege alle lopende werkzaamheden met betrekking tot het financieel beheer, onder andere vanuit de afronding van de conversies (zoals opgenomen in paragraaf 3), is beduidend eerder gestart met het kernteam jaarverslag om voor het einde van het jaar een vastgestelde beginbalans op te kunnen stellen. Na de Q2 afsluiting is er geïnvesteerd om de standaard dienstverlening van het FDC aan te laten sluiten op de informatiebehoefte van BZK. BZK is samen met het FDC opgetrokken om hierin een kwaliteitsslag te maken. Na de inventarisatie van het kernteam is er in september geconstateerd dat er nog diverse aanvullende en herstelwerkzaamheden moesten plaatsvinden. Hiertoe is er opgeschaald en is extra menskracht ingehuurd bij zowel BZK als bij het FDC. Het jaarverslag is door deze maatregelen dit jaar op tijd tot stand gekomen.
UBR EC O&P Inhuurdesk
De Inhuurdesk van UBR|EC O&P is verantwoordelijk voor een juiste en rechtmatige bemiddeling van inhuurvragen, op basis van raamovereenkomsten die door Inhuur Uitvoerings Centra binnen het Rijk zijn aanbesteed. In 2018 zijn de verbetermaatregelen zoals geadviseerd door de AR en ADR verder opgepakt. Deze verbetermaatregelen zijn met name gericht op het vastleggen van het proces tegenlezen en het uitvoeren van verbijzonderde interne controle. Binnen de Inhuurdesk UBR|EC O&P werd in 2018 extra aandacht besteed aan het thema rechtmatigheid middels een opleidingsprogramma gevolgd door alle adviseurs van de Inhuurdesk, het periodiek organiseren van strategische dagsessies en het opzetten van een werkgroep, waarbij het volgen en borgen van rechtmatige processtappen en 1e en 2e lijns controles centraal staan.
Inmiddels is het proces tegenlezen vastgelegd in het handboek administratieve organisatie en wordt aandacht besteed aan deugdelijke dossiervorming van bevindingen in dat proces. Het tegenlezen en screenen van dossiers is verplicht voor alle opdrachten. Ook is een verbijzonderde interne controle ingeregeld en met terugwerkende kracht voor geheel 2018 uitgevoerd waarbij op basis van risicoanalyse een aantal inhuurdossiers van aanvraag tot aan gunning worden doorgelicht.
De rapportages van zowel AR alsmede ADR bevestigen een verdergaande verbetering van de getroffen verbetermaatregelen in 2018. De genomen verbetermaatregelen zijn met name zichtbaar in het 2e halfjaar van 2018. Voornamelijk in het 1e halfjaar 2018 zijn door de interne controle en door de controle van de ADR in 2018 een aantal onrechtmatigheden en financieel beheer fouten aangetroffen. Dat heeft ultimo 2018 geleid tot verdere aanscherping van met name het tegenlezen/screenen waarmee in 2019 dergelijke onvolkomenheden tijdig worden gesignaleerd, gecorrigeerd en daarmee voorkomen kunnen worden.
4. Overige aspecten van de bedrijfsvoering
Onvolkomenheden over 2017, niet zijnde van toepassing op financieel en materieel beheer
Informatiebeveiliging SSO Caribisch Nederland
De Shared Service Organisatie Caribisch Nederland (SSO-CN) heeft in 2018 een verbeterplan opgesteld naar aanleiding van de ernstige onvolkomenheid die werd toegekend door de AR. In 2018 zijn er forse stappen gemaakt in het op orde brengen van de informatiebeveiliging. In september 2018 is door de Auditdienst Rijk (ADR) in opdracht van de CIO BZK een onderzoek uitgevoerd naar de realisatie van de voorgenomen verbetermaatregelen. Op basis van de resultaten van dit onderzoek concludeert BZK dat de verbeteringen volgens plan worden uitgevoerd.
Een aandachtspunt bij SSO-CN is een tekort aan de capaciteit en expertise op het juiste niveau van de beheerorganisatie. Dit is een steeds terugkerend issue. Er zal in 2019 een onderzoek door een extern bureau plaatsvinden naar deze problematiek en naar de mogelijkheden om te zorgen dat de ICT-dienstverlening van de rijksdienst op de BES-eilanden blijvend op niveau is en voldoende is toegerust op toekomstige ontwikkelingen.
IT-beheer P-Direkt
De AR heeft over 2017 een onvolkomenheid toegekend aan het IT-beheer van de P-Direkt systemen. Op het gebied van IT-beheer zijn er vier bevindingen geconstateerd, waarvan twee in combinatie met de dienstverlening van SSC-ICT voor P-Direkt. De AR heeft aanbevolen om P-Direkt het productie- en gebruikersbeheer en SSC-ICT het gebruikersbeheer en de beveiliging en beheer van de IT-infrastructuur te laten verbeteren.
Ten aanzien van het productiebeheer heeft de ADR aangegeven dat de beheersing over het productieproces nog niet voldoende is, aangezien er onvoldoende vastlegging plaatsvindt van verrichte acties. In 2019 zal BZK over de aard en diepgang van de beheersmaatregelen afstemming zoeken met de ADR waarbij er meer oog komt voor de verschillende soorten systemen en uitzonderingen en de wijze waarop de ADR deze vervolgens toetst.
Het project om verbeteringen in het gebruikersbeheer door te voeren is in oktober 2018 afgerond. De ADR heeft extra controles uitgevoerd in de maand oktober en heeft op basis van aanvullende werkzaamheden grote verbeteringen geconstateerd. Als P-Direkt dit niveau ook behaalt in het controlejaar 2019 wordt de beheersingsdoelstelling bereikt.
De bevindingen ten aanzien van gebruikersbeheer en beveiliging van componenten slaan terug op SSC-ICT. Voor het verbeterplan ten aanzien van deze bevindingen is in 2018 een gezamenlijke planning opgesteld en is in oktober de uitvoering gestart. Het tempo van de implementatie wordt daarbij beïnvloed door de omvang en complexiteit van het P-Direkt landschap tezamen met de hoge beschikbaarheidseisen waardoor maatregelen getemporiseerd uitgerold dienen te worden. Desondanks is door de ADR aangegeven dat er na de start al grote verbeteringen zijn geconstateerd. De totale afronding van het verbeterplan wordt in het eerste kwartaal van 2019 verwacht. SSC-ICT is voornemens om kort na de afronding van het verbeterplan in een extra onderzoek de opzet van de twee beheerprocessen door de ADR te laten beoordelen.
Overige aandachtspunten over 2017
Wijzigingenbeheer P-Direkt
Het proces wijzigingenbeheer was in 2018 onvoldoende aantoonbaar beheerst. P-Direkt kende al twee methodieken om uitbreidingen en wijzigingen in de systemen te verwerken. Deze twee methodieken zijn voldoende uitontwikkeld in termen van taken/verantwoordelijkheden, functiescheiding en vastlegging. Begin 2018 is daar de nieuwe Agile/Scrum methodiek bijgekomen. De afspraken voor de vastleggingen van de stappen in het wijzigingsbeheerproces moeten worden aangescherpt, zodat achteraf eenvoudig kan worden aangetoond welke werkzaamheden zijn uitgevoerd en wie daar verantwoordelijk voor was. De verbeteracties zijn reeds in gang gezet.
Informatiebeveiliging BZK
Over het jaar 2017 heeft de AR als aandachtspunt meegegeven dat de capaciteit met betrekking tot het toezicht op informatiebeveiliging van het kerndepartement versterkt zou moeten worden. Vanaf medio 2018 is deze capaciteit verdubbeld. Omdat BZK een decentraal toezichtmodel hanteert onder regie van de CIO-BZK en daardoor de totale capaciteit meer is dan enkel is ondergebracht bij de CIO-staf, is het de verwachting dat deze uitbreiding voldoende is in relatie tot de opgave.
In 2018 is het BZK IB-beleid herzien en omgevormd tot een beleidskader Privacy- en informatiebescherming. Hierin is tevens een strategische IB-agenda opgenomen voor de periode 2019–2022. Hoewel al gedurende een groot deel van 2018 volgens dit kader werd gewerkt, wat onder andere tot uitdrukking komt in een uitbreiding van de PDCA-cyclus IB tot een PDCA-cyclus Privacy- en Informatiebescherming, is het stuk op 4 februari 2019 vastgesteld.
IT-beheer SSC-ICT
Uit de audits op de General IT Controls (GITC) van de door SSC-ICT beheerde informatiesystemen blijkt dat SSC-ICT op onderdelen nog onvoldoende inzicht weet te bieden in het functioneren van haar eigen beheerprocessen. Deze tekortkomingen in de GITC brengen mogelijk risico’s met zich mee voor de betrouwbaarheid van de financiële administratie bij haar klanten. SSC-ICT zal daarom verbetermaatregelen gaan uitvoeren op met name het gebied van wijzigingsbeheer, gebruikersbeheer en de beveiliging van componenten. Omdat het beheer van Leonardo als best practice wordt beschouwd, zal ook onderzocht worden in hoeverre dit framework ingezet kan worden binnen andere informatiesystemen.
UBR HIS
De AR concludeerde in haar Verantwoordingsonderzoek 2017 dat UBR|HIS in 2017 voldoende verbetermaatregelen heeft getroffen waardoor de eerder geconstateerde onvolkomenheid is opgelost. Wel is door de AR een aantal aanbevelingen gedaan, waaronder op het gebied van tegenlezen en het instellen van een verbijzonderde interne controle. De aanbeveling om een verbijzonderde interne controle in te stellen om de werking van het tegenlezen te toetsen is door UBR|HIS breder ingevuld dan alleen te focussen op volledigheid en rechtmatigheid. Een toegewijd en ter zake deskundige reviewt voorafgaand aan contractering. Bij het reviewen wordt ook de doelmatigheid en professionaliteit beoordeeld. Pas na een gezamenlijke positieve inhoudelijke beoordeling door het team van tegenlezers is sprake van definitieve gunning.
De uitkomsten van de controle door de ADR in 2018 waar diverse onrechtmatigheden zijn geconstateerd, geven echter aanleiding om het proces van tegenlezen nog verder te verbeteren. De aanbevelingen van de ADR om het tegenlezen zichtbaar vast te leggen en op basis van risicoanalyse het proces van tegenlezen uit te voeren wordt opgepakt door UBR|HIS. Ook het advies om op structurele wijze een verbijzonderde interne controle uit te voeren wordt meegenomen in de verbetermaatregelen.