1. Rechtmatigheid
Overschrijding(en) rapporteringstolerantie(s) fouten en onzekerheden
Uit de controle door de Auditdienst Rijk over 2017 is gebleken dat er geen fouten en onzekerheden zijn op artikelen van hoofdstuk VII Binnenlandse Zaken en Koninkrijksrelaties die gerapporteerd moeten worden.
2. Totstandkoming niet-financiële verantwoordingsinformatie
In het Samenvattend Auditrapport 2017 heeft de Auditdienst Rijk (ADR) benoemd dat op een enkele uitzondering na de informatie over beleid en bedrijfsvoering deugdelijk tot stand is gekomen en op hetzelfde niveau als voorgaand jaar is gebleven.
In 2017 is binnen BZK aandacht besteed aan de bewustwording van het belang van de niet-financiële informatie (NFI). Aan de hand van een standaard controleprogramma is nagegaan of het NFI-dossier helder en gestructureerd is. In navolging van 2016 is ook nu over verantwoording 2017 het door FEZ ontwikkeld «stoplichtenmodel» format om de voortgang van de NFI-dossiers te bewaken gehanteerd. Dit instrument draagt in de meeste gevallen bij aan het deugdelijk, ordelijk en controleerbaar tot stand laten komen van de niet-financiële informatie. Bij één van de indicatoren/kengetallen is de totstandkoming niet dan wel beperkt reconstrueerbaar. Dit betreft de indicator «Percentage af te dragen pensioenpremies t.o.v. de bruto loonsom». Deze NFI zal echter niet meer worden opgenomen in de OW van 2018 en verder.
Het Ministerie van BZK zal in 2018 de werkwijze NFI evalueren en indien nodig de werkinstructie en/of het controleprogramma aanpassen.
3. Financieel en materieel beheer
Onvolkomenheden over 2016 m.b.t. financieel en materieel beheer
Inkoopbeheer UBR|HIS
Gedurende 2017 heeft UBR|HIS diverse maatregelen getroffen gericht op verhoging van de kwaliteit van haar dienstverlening waaronder de rechtmatige inkoopondersteuning. Dit betrof maatregelen gericht op verhoging van kennis bij medewerkers (zoals intervisiebijeenkomsten) waardoor fouten moeten worden voorkomen. Daarnaast zijn maatregelen verstevigd gericht op reparatie van resterende omissies tijdens het uitvoeringsproces waardoor fouten nog tijdens dat proces worden gecorrigeerd. Het relatieve aantal door de ADR geconstateerde bevindingen over het 1e halfjaar 2017 was al gedaald ten opzichte van 2016. Over het 2e halfjaar 2017 heeft deze ontwikkeling zich voortgezet: er waren geen omissies meer in de processen van UBR|HIS.
Inhuurdesk UBR|EC O&P
De in 2016 ingezette verbetermaatregelen zijn in 2017 verder voortvarend uitgevoerd. Verscheidene beschrijvingen, handreikingen, werkinstructies en het handboek Administratieve Organisatie zijn vervolmaakt en geactualiseerd. Uit onderzoek van de ADR blijkt dat de belangrijkste risico’s in opzet worden afgedekt door beheersmaatregelen en dat er geen significante leemtes bestaan in de beschrijving van de werkprocessen.
Een belangrijke maatregel die is ingezet om het percentage rechtmatige inhuur verder te verhogen, betreft de operationele aansturing op de uitvoering van het inhuurproces. Hiermee worden de verbeterde werkwijzen waarmee vorig jaar een voortvarend begin is gemaakt consequent toegepast en worden de nieuwe werkwijzen ook onderdeel van de routines van uitvoerende adviseurs. Dit sluit aan bij de uitkomsten van de audit 2016, waar bleek dat de onrechtmatigheden in het inhuurproces in het laatste kwartaal vrijwel geheel voortkwamen uit het nog niet consequent toepassen van werkafspraken die al wel waren geïntroduceerd.
De bevindingen van de gegevensgerichte controle in het tweede halfjaar 2017 geven aan dat het financieel beheer richting jaareinde aanmerkelijk is verbeterd.
Overige bevindingen AR over 2016 m.b.t. financieel en materieel beheer
Inkoopbeheer RVB
In 2017 heeft het Rijksvastgoedbedrijf het eerder ingezette verbetertraject voortgezet. Opmerkingen over een onvoldoende motivering van de objectieve leverancierskeuze hebben in 2017 bijzondere aandacht gekregen in interne bijeenkomsten en bij de dossiervorming. De motivering wordt vastgelegd op het inkoopbeslissingsformulier dat wordt tegengelezen conform het Rijksbrede afsprakenpakket voor de leveranciersselectie. De Regeling Aanbestedingsprocedures voor het RVB is herzien en eenvoudiger gemaakt. Voor het inhuren van tijdelijk personeel wordt sinds 2016 gewerkt met een centraal ingesteld RVB inhuurloket.
4. Overige aspecten van de bedrijfsvoering
Onvolkomenheden over 2016, niet zijnde financieel en materieel beheer
Informatiebeveiliging SSO-CN
Een punt van aandacht voor BZK is en blijft ook dit jaar de informatiebeveiliging bij de Shared Service Organisatie Caribisch Nederland (SSO-CN) op de BES-eilanden. Naar aanleiding van de bevindingen uit een vraaggestuurd onderzoek dat is uitgevoerd door de ADR is eind 2014 het programma «integrale beveiliging» gestart. Het doel van dit programma was om projectmatig een reeks maatregelen te implementeren om de informatiebeveiliging van de generieke dienstverlening door RCN te verbeteren. In 2015 en 2016 zijn maatregelen geïmplementeerd waarmee een aantal belangrijke risico’s is gereduceerd en de informatieveiligheid is versterkt. In 2017 is ingezet op inbedding van de maatregelen in het regulier proces. Hiertoe is een informatiebeveiligingsplan opgesteld door de SSO-CN, in samenwerking met CIO-staf BZK. Per 1 april 2017 is de SSO-CN uitgebreid met een beveiligingscoördinator.
Hoewel er daadwerkelijk vooruitgang is geboekt in zowel de sturing (waaronder PDCA) als de uitvoering, blijken aspecten als discontinuïteit in bezetting en de beperkte grootte van de ICT-organisatie in relatie tot de dienstverlening belemmerend te werken op het doorvoeren van verbeteringen. Dit blijkt ook uit nieuw onderzoek door de ADR en de Algemene Rekenkamer: de snelheid van het wegwerken van risico’s moet omhoog, maar de huidige bezetting is te klein. Een aantal grote risico’s blijft bestaan en voorheen onbekende risico’s komen door de beter ingerichte control aan het licht, waardoor de omvang van de uitdaging toeneemt. De SSO-CN zet zich in om extra capaciteit vrij te maken voor informatiebeveiliging. Daarnaast wordt de al intensieve samenwerking tussen CIO BZK en SSO-CN gecontinueerd en waar nodig versterkt, zodat incidenten, risico’s, impact en oplossingen over en weer worden gedeeld.