Base description which applies to whole site

3. Rechtmatigheidverklaring en mededeling over de bedrijfsvoering

Ik verklaar dat de onder mijn verantwoordelijkheid aangegane verplichtingen, gedane uitgaven en gerealiseerde ontvangsten en de daarbij horende standen in de jaarrekening met redelijke zekerheid conform Europese regelgeving, Nederlandse wetten, AmvB’s en ministeriële regelingen tot stand zijn gekomen.

OCW stuurt zijn bedrijfsprocessen onder meer door risicoanalyses uit te voeren, tijdig beheersmaatregelen te treffen en door een expliciet normenkader voor het financieel en materieel beheer. Het management draagt hieraan bij door in de planning- en controlcyclus periodiek verantwoording af te leggen over het gevoerde beleid en de bedrijfsvoering. Mede op grond van deze verantwoordingen ben ik van mening dat OCW het afgelopen jaar de bedrijfsprocessen in voldoende mate heeft beheerst. De volgende processen vragen echter nog extra aandacht:

  • 1. Inkoop

  • 2. Informatiebeveiliging

1. Inkoop

De Europese aanbestedingsregels zijn niet in alle gevallen gevolgd. Opdrachten van verschillende directies hebben bij elkaar opgeteld de Europese aanbestedingsgrens overschreden. Betreffende opdrachten zijn niet altijd gemeld aan de directie Concernondersteuning (CO) en zijn hierdoor niet gebundeld aanbesteed. De regie is helaas niet altijd afdoende geweest. Om de regie te versterken is een traject in gang gezet (het traject «Goudvis»). Dit traject wordt in 2011 verder uitgewerkt. Ook wordt in 2011 een vervolg gegeven aan voorlichtingsbijeenkomsten aan directies over het proces van inkoop en Europese aanbesteding. Daarnaast blijven de inkoopadviseurs directies proactief benaderen.

2. Informatiebeveiliging

Hoewel het instrumentarium op het gebied van informatiebeveiliging voldoende is, blijkt dat dit in de praktijk te weinig wordt gebruikt. De zelfevaluatie die directies uit zouden moeten voeren worden niet in alle gevallen gedaan. Ook zijn niet voor alle informatiesystemen risicoafwegingen gemaakt. In 2011 zal hier extra aandacht voor komen. Overigens heeft het ontbreken van zelfevaluaties en risicoafwegingen niet tot concrete problemen in de bedrijfsvoering geleid, behalve bij DUO. Het was tijdelijk mogelijk dat een klant via «Mijn DUO» de gegevens van andere klanten kon raadplegen. Direct nadat het probleem bekend was, is de toegang tot «Mijn DUO» gesloten en is het systeem aangepast. Hierbij is een extra check ingebouwd om te waarborgen dat de gegevens die getoond worden ook horen bij de klant die de gegevens heeft opgevraagd. Tenslotte is een externe audit geïnitieerd.

Licence