Base description which applies to whole site

6. Bedrijfsvoeringsparagraaf

Inleiding

De bedrijfsvoering, inclusief het begrotingsbeheer, financieel beheer en de materiële bedrijfsvoering binnen het Ministerie van OCW, is op orde. De financiële overzichten geven een getrouw beeld van de uitkomsten van de begrotingsuitvoering.

Paragraaf 1 – Uitzonderingsrapportage

Rechtmatigheid

De verantwoording in het departementale jaarverslag is in overeenstemming met de begrotingswetten, de Europese regelgeving, Nederlandse wetten, algemene maatregelen van bestuur en in ministeriële regelingen opgenomen bepalingen. Voor de bepaling van fouten en onzekerheden is de rijksbrede normering toegepast. Rapporteren over onrechtmatigheden is verplicht als deze onrechtmatigheden meer bedragen dan de betreffende tolerantiegrens. Dit geldt voor begrotingsartikel 8 (Internationaal Beleid), begrotingsartikel 14 (Cultuur) en de agentschappen Dienst Uitvoering Onderwijs (DUO) en Nationaal Archief (NA).

Bij het begrotingsartikel 8 (Internationaal Beleid) is er twee keer sprake van het overschrijden van de tolerantiegrens:

  • Voor de verplichtingen bedraagt de tolerantiegrens voor fouten en onzekerheden € 1,6 miljoen. Er is in 2021 sprake geweest van fouten en onzekerheden in de rechtmatigheid van de aangegane verplichtingen ter grootte van € 1,9 miljoen. Dit is 12,5% van het artikel. Dit wordt deels veroorzaakt door risico’s op staatssteun in de subsidiebeschikkingen aan Nuffic (€ 789.766) en Neth-ER (€ 599.219). Naar aanleiding van deze bevinding is het Ministerie van OCW bezig de subsidierelatie met de genoemde instellingen te herzien door dit deel van de taken van Neth-ER en Nuffic te verankeren in de wet. Daarnaast is er ook bij een andere subsidie aan Nuffic (voor Erasmus+) sprake van een onzekerheid van € 554.916 vanwege een ontoereikende onderbouwing van de begroting. Ook dit zal in 2022 worden hersteld.

  • Voor de uitgaven bedraagt de tolerantiegrens voor fouten en onzekerheden € 1,9 miljoen. Er is in 2021 sprake geweest van een onzekerheid in de rechtmatigheid van de uitgaven ter grootte van € 3 miljoen. Dit is 16,0% van het artikel. Het betreft een inkoopopdracht waarbij de in 2022 te ontvangen verantwoording over de geleverde diensten nog niet toereikend is ingericht waardoor in 2021 al onzekerheid bestaat over de rechtmatigheid van de uitgaven. Dit zal in 2022 worden aangepast.

Bij begrotingsartikel 14 (Cultuur) bedraagt de tolerantiegrens voor fouten en onzekerheden in de aangegane verplichtingen € 56,6 miljoen. Het bedrag aan fouten en onzekerheden is € 101,6 miljoen in 2021. Dit is een saldo van diverse over- en onderschrijdingen binnen het artikel. De belangrijkste overschrijdingen betreffen:

  • Een overschrijding van de stand van de aangegane verplichtingen van in totaal € 93 miljoen. Deze wordt voornamelijk veroorzaakt door een administratieve fout in de verplichtingenstand voor de budgetten voor de culturele basisinfrastructuur en museale instellingen met een wettelijke taak. Omdat ten laste van deze budgetten vierjaarlijks verplichtingen worden aangegaan, wordt de verplichtingenruimte eens in de vier jaar (meest recent in 2020 voor de periode 2021-2024) verhoogd en in de daarop volgende jaren (2021-2024) verlaagd. Per abuis is de verlaging van de stand voor 2021 gedeeltelijk dubbel uitgevoerd. Een andere oorzaak is een verstrekte garantieverplichting, nadat de Kamerbrief beleidsmatige wijzigingen OCW-begroting na Najaarsnota 2021 in december 2021 was verstuurd. Het Nationaal Restauratiefonds heeft voor een extra bedrag van € 13,5 miljoen aan leningen onder achterborg verstrekt. Dit heeft geleid tot overschrijding van de stand van de garanties op begrotingsartikel 14 (Cultuur) met € 12,5 miljoen.

  • Daarnaast is er sprake van een onrechtmatigheid bij een specifieke uitkering aan provincies van € 8 miljoen. Dit betreft de Impuls versterking regionale culturele infrastructuur en wordt veroorzaakt omdat voor rechtmatige verstrekking van een specifieke uitkering op dat moment gold dat de omvang € 10 miljoen of meer moest zijn en dat was bij deze uitkering niet het geval.

Bij de jaarverantwoordingen van de agentschappen DUO en NA bedraagt de tolerantiegrens voor fouten en onzekerheden € 25,0 miljoen. Bij DUO en NA is in 2021 sprake geweest van fouten en onzekerheden, samen ter grootte van € 29,6 miljoen. Bij NA is het bedrag aan fouten € 24,1 miljoen, die voornamelijk betrekking hebben op de balansposten waarvan de bestemming pas in 2022 nader wordt bepaald. Dit budget had in 2021 naar het ministerie teruggeboekt moeten worden en in 2022 opnieuw moeten worden toegekend aan NA. Verder zijn er bij DUO bij het inkopen onzekerheden met betrekking tot de rechtmatigheid opgetreden voor € 5,5 miljoen.

Tabel 69 Overzicht overschrijdingen rapporteringstoleranties fouten en onzekerheden

(1) Rapporterings-tolerantie

(2) Verantwoord bedrag in € (omvangsbasis)

(3) Rapporterings-tolerantie voor fouten en onzekerheden in €

(4) Bedrag aan fouten in €

(5) Bedrag aan onzekerheden in €

(6) Bedrag aan fouten en onzekerheden in €

(6a) Waarvan bedrag aan fouten en onzekerheden gerelateerd aan noodmaatregelen in €

(7) Percentage aan fouten en onzekerheden t.o.v. verantwoord bedrag = (6)/(2)*100%

(7a) Waarvan percentage aan fouten en onzekerheden gerelateerd aan noodmaatregelen t.o.v. verantwoord bedrag = (6a)/(2)*100%

Artikel 8 Internationaal beleid verplichtingen

16,0 mln

1,6 mln.

1,4 mln.

0,6 mln.

2,0 mln.

 

12,5%

 

Artikel 8 Internationaal beleid uitgaven/ontvangsten

18,8 mln.

1,9 mln.

 

3,0 mln.

3,0 mln.

 

16,0%

 

Artikel 14 Cultuur verplichtingen

1132,7 mln.

56,6 mln.

101,6 mln.

 

101,6 mln.

 

9,0%

 

Samenvattende staat baten-lastenagentschappen

437,4 mln.

25,0 mln.

24,1 mln.

5,5 mln.

29,6 mln.

 

6,8%

 

Totstandkoming niet-financiële verantwoordingsinformatie

Er zijn geen bijzonderheden te melden.

Begrotingsbeheer, financieel beheer en de materiële bedrijfsvoering

De bedrijfsvoering, inclusief het begrotingsbeheer, financieel beheer en de materiële bedrijfsvoering binnen het Ministerie van OCW, is op orde. De Algemene Rekenkamer (AR) heeft in het verantwoordingsonderzoek over 2020 twee onvolkomenheden geconstateerd, te weten bij de informatiebeveiliging bij het departement en bij het autorisatiebeheer Dienst Uitvoering Onderwijs (DUO). Het Ministerie van OCW heeft in 2021 voortgang geboekt in het oplossen van deze onvolkomenheden. Hieronder volgt de status.

Informatiebeveiliging kerndepartement

Met extra capaciteit en directere sturing vanuit de ambtelijke top heeft het Ministerie van OCW het jaarplan informatiebeveiliging 2021 uitgevoerd. In 2021 zijn de onderstaande structurele verbeteringen uitgevoerd in het kader van risicomanagement, bewustwording, incidentmanagement en het creëren van een basis voor een centraal overzicht op gebied van informatiebeveiliging. Deze verbeteringen geven invulling aan de aanbevelingen van de Algemene Rekenkamer en Auditdienst Rijk. In 2022 zal deze aandacht blijven bestaan zodat de structurele verbeteringen stevig in de organisatie worden verankerd.

  • Uitrol en inbedden van het risicomanagementproces ‘Integrale Veiligheid’, met daarin de onderdelen Informatiebeveiliging, Privacy, Integriteit en Personele veiligheid. De kern bestaat uit het scherp krijgen van de belangrijkste processen en daarbij behorende systemen met inzicht in de mogelijke risico’s en besluitvorming over te treffen verbetermaatregelen. Communicatie hierover draagt sterk bij aan een verhoogd bewustzijn binnen de hele organisatie.

  • Binnen het Ministerie van OCW wordt gebruik gemaakt van een centrale applicatie voor het vastleggen van processen en het applicatielandschap. Hierbij wordt ook informatie over kenmerken van informatiebeveiliging opgenomen. Dit zal in 2022 verder worden aangevuld met onder andere de uitkomsten van het Risicobeeld integrale veiligheid, QuickScans Informatiebeveiliging (toets voor het bepalen van het vereiste informatiebeveiligingsniveau) en Data Protection Impact Assessments (beoordeling van de bescherming van privacygegevens).

  • Op gebied van bewustwording zijn OCW-breed stappen gemaakt om functionarissen en rollen mee te nemen in het risicomanagementproces op het gebied van integrale veiligheid. Het Informatiebeveiligingsbeleid is daarnaast vereenvoudigd en er is aandacht gegeven aan het incidentmanagementproces dat op de nieuw ingerichte Informatiebeveiligingspagina van OCW-intranet te vinden is. Incidenten worden centraal geregistreerd, geanalyseerd, verholpen en gerapporteerd en worden geleid naar de juiste personen en overlegorganen voor escalatie en/of overkoepelende besluitvorming. Op basis van een nulmeting is een bewustwordingsplan opgesteld, dat ten uitvoer gebracht zal worden vanaf 2022 en een driejaarscyclus in zich heeft.

  • Als voorbereiding op verbeteringen in aankomende jaren is eind 2021 een OCW-breed Informatiebeveiligingsprogramma opgezet waarmee in de aankomende jaren eveneens andere Informatiebeveiligingsonderwerpen uit de Baseline Informatiebeveiliging Overheid (BIO) projectmatig zullen worden opgepakt om verder invulling te geven aan naleving van de BIO.

  • Tot slot is eind 2021 de wijze waarop het besturen en beheersen van de informatievoorziening en informatiebeveiliging binnen OCW plaatsvindt vastgelegd. Dit betreft de uitwerking van het besluit Chief Information Officer (CIO)-stelsel dat is bekrachtigd op departementaal niveau. Hierdoor is naast een hiërarchische lijn van verantwoordelijkheden ook de functionele lijn van verantwoordelijkheden op gebied van informatiebeveiliging verankerd in de OCW-organisatie.

Autorisatiebeheer Dienst Uitvoering Onderwijs

De AR heeft over 2020 aangegeven dat de onvolkomenheid op autorisatiebeheer bij DUO nog niet was opgelost. Begin 2021 is in afstemming met de Audit Dienst Rijk (ADR) een herijkt plan opgesteld voor de jaren 2021 en 2022 om te borgen dat medewerkers alleen toegang hebben tot die systemen die ze nodig hebben voor hun taken en waarvoor ze geautoriseerd zijn. In 2021 heeft DUO gewerkt aan verdere verbetering van het in control komen op autorisatiebeheer, waarbij de focus in 2021 is gelegd op drie randvoorwaarden:

  • 1. juiste risicoclassificatie van systemen: Dit is van belang voor het bepalen van de frequentie en diepgang van de periodieke analyses;

  • 2. goede autorisatiematrices: Deze vormen het uitgangspunt voor de inhoudelijke controles op de uitgegeven autorisaties;

  • 3. controles te laten uitvoeren vanuit de applicaties (applicatiecontroles) en de lijn (managementcontroles).

Ook is de focus gelegd op de migratie naar een nieuwe wijze van autoriseren, RBAC (Role based access control), waarbij autorisaties voortaan geautomatiseerd aan specifieke rollen worden verstrekt.

DUO heeft op deze focusgebieden in 2021 conform het herijkte plan verbeteringen doorgevoerd. In 2022 zet DUO de lijn van verdere kwaliteitsverbetering van autorisatiematrices en het intensiveren van de controles van kritische rollen en functies door. De migratie wordt eind 2022 afgerond.

Overige aspecten van de bedrijfsvoering

Er zijn geen bijzonderheden te melden.

Paragraaf 2 - Rijksbrede bedrijfsvoeringsonderwerpen

Misbruik en oneigenlijk gebruik (M&O)

M&O-risico's en ontwikkelingen betreffende het M&O-beleid

Op grond van de Comptabiliteitswet 2016 dienen ministeries in het kader van het M&O-beleid toe te zien op het financieel beheer van de subsidiestroom.

Het Ministerie van OCW heeft als uitgangspunt regelgeving tot stand te brengen die zo min mogelijk gevoelig is voor fraude, misbruik of oneigenlijk gebruik. Jaarlijks worden de risico’s op M&O-gebruik geïnventariseerd. Waar nodig wordt het voorlichtings-, controle-, sanctie- en/of evaluatiebeleid aangescherpt, daarbij de wenselijkheid en doelmatigheid van deze middelen in ogenschouw nemend. Hierbij zijn ook de regelingen meegenomen die specifiek zijn ingevoerd voor het mitigeren van de gevolgen van het coronavirus.

Inhaal- en ondersteuningsprogramma’s onderwijs en Extra hulp voor de klas

Naar aanleiding van de aanhoudende coronacrisis heeft het Ministerie van OCW ook in 2021 steunmaatregelen getroffen. Zo is de subsidieregeling ‘Inhaal- en ondersteuningsprogramma’s onderwijs’ verlengd en de subsidieregeling ‘Extra hulp voor de klas’ gestart. Op verzoek van de Tweede Kamer heeft het ministerie de subsidieregeling inhaal- en ondersteuningsprogramma’s in maart 2021 met terugwerkende kracht aangepast door de verantwoordingsvereisten voor alle subsidieontvangers te versoepelen. Dit om de administratieve lasten bij de instellingen te beperken. Dit heeft geleid tot een onzekerheid ten aanzien van de aangegane verplichtingen (€ 177,8 miljoen). Ook bij de regeling «Extra hulp voor de klas » is er sprake van een onzekerheid ten aanzien van de rechtmatigheid van de aangegane verplichtingen (€ 440,6 miljoen). Bij allebei de regelingen heeft de onzekerheid betrekking op het controlebeleid. Op basis van de bekendheid van/ervaring met de bekostigde onderwijsinstellingen in combinatie met de reeds bestaande verantwoording- en toezichtcyclus binnen onderwijsinstellingen is het risico van misbruik en oneigenlijk gebruik echter gering. Daarnaast heeft het ministerie op stelselniveau voldoende inzicht in uitvoering van de maatregelen, omdat er voor beide regelingen een evaluatieonderzoek wordt uitgevoerd naar de effecten van de maatregelen.

Doorontwikkeling subsidiebeheer in het kader van M&O beleid

Om ook naar de toekomst toe het risico op misbruik en oneigenlijk gebruik -en daarmee risico’s op onrechtmatige besteding van de subsidiegelden- blijvend te mitigeren, heeft het Ministerie van OCW in 2021 verdere verbeteringen doorgevoerd. De verbeteracties hebben betrekking op het proces rondom de totstandkoming van subsidieregelingen. Zo is er meer aandacht voor risicoanalyse vooraf, een passend controleregime en een evaluatie van de werking van het M&O-beleid achteraf. Op deze wijze worden risico’s op M&O concreter in beeld gebracht en volgen passende beheersmaatregelen waar deze nodig zijn.

Controleprotocollen

De AR heeft in het verantwoordingsonderzoek 2019 een aandachtspunt geformuleerd ten aanzien van het benoemen van de aanbestedingsregels in de verschillende controleprotocollen. Naar aanleiding van het aandachtpunt is voor alle OCW-controleprotocollen bepaald of het opnemen van aanbesteding relevant is; in een aantal gevallen is immers geen sprake van een aanbestedende dienst. Waar relevant is het protocol aangepast. Eén protocol is nog onderhanden werk. Voorzien wordt dat dit protocol in 2022 ook is aangepast. Wat betreft harmonisatie is vastgesteld dat deze waar mogelijk en relevant, is uitgevoerd.

Restrisico’s op M&O-gebruik

In sommige gevallen zijn de getroffen beheersmaatregelen niet voldoende om M&O-gebruik geheel uit te sluiten, bijvoorbeeld wanneer de kosten van controles hoger zijn dan de baten of de wettelijke mogelijkheden begrensd zijn. Er is dan sprake van restrisico oftewel restant M&O. Dit is de gevoeligheid voor M&O-gebruik die (bewust) overblijft nadat alle adequate maatregelen ten aanzien van voorlichting, controle, sanctie en evaluatie zijn getroffen.

Onderstaande tabel beschrijft per begrotingsartikel de geldstromen met restant M&O dat overblijft na inzet van beheersmaatregelen als aan het betreffende begrotingsartikel een restant M&O kleeft groter dan € 1 miljoen.

Tevens is het totaal aan restrisico van de geldstromen met een restant M&O groter dan € 1 miljoen als percentage weergeven van de totale uitgaven op artikelniveau.

Tabel 70 Restant Misbruik en Oneigenlijk gebruik

Omschrijving

Bedrag (x € 1.000.000)

Percentage restant M&O > € 1 mln (van de totale uitgaven per artikel)

Artikel 11 Studiefinanciering

   
 

Aanvullende beurs

46,0

0,74%

 

Uitwonende beurzen

5,111

0,08%

Artikel 12 Tegemoetkoming onderwijsbijdrage en schoolkosten

   
 

Uitwonende beurzen

3,5

5,2%

1

Het betreft een geïmporteerd restrisico voor het Ministerie van OCW.

Hieronder volgt een toelichting op de geldstromen met een restant M&O groter dan € 1 miljoen.

Aanvullende beurs

Studenten kunnen in aanmerking komen voor een aanvullende beurs. De hoogte van de beurs hangt mede af van het ouderlijk inkomen. Wanneer ouders in Nederland wonen is het risico op misbruik beperkt. De Belastingdienst beheert het inkomensgegeven vanuit het basisregister inkomen. DUO is bevoegd deze inkomensgegevens van de Belastingdienst te gebruiken en is ook afhankelijk van deze gegevens. In 2021 is totaal € 894,7 miljoen aan aanvullende beurs verstrekt. Daarvan heeft € 56,0 miljoen betrekking op studenten met ouders in het buitenland. DUO vraagt de bewijsstukken bij de ouders zelf of bij de student op, maar de juistheid en volledigheid van het opgegeven buitenlands inkomen is niet volledig met zekerheid door DUO vast te stellen. Uitzondering hierop zijn de voormalige Nederlandse Antillen (€ 10,0 miljoen), waar dit wel mogelijk is. Hierdoor is er sprake van restrisico bij studenten met een aanvullende beurs met ouders in het buitenland van € 46,0 miljoen.

Studiefinanciering en Wet tegemoetkoming onderwijsbijdrage, uitwonenden

Op grond van de Wet studiefinanciering 2000 (WSF 2000) en de Wet tegemoetkoming onderwijsbijdrage en schoolkosten (WTOS) komt een deel van de studerenden in aanmerking voor een hogere beurs wanneer ze uitwonend zijn. Dit geldt alleen voor mbo-studenten en voor studenten in het hoger onderwijs die niet onder het studievoorschot vallen. In 2021 is de basisbeurs voor een uitwonende mbo-student € 285,15 per maand (en voor een thuiswonende mbo-student € 87,37 per maand). De totale uitgaven aan uitwonende beurzen bedroeg in 2021 € 147,3 miljoen (WSF 2000).

Bij de vaststelling van de studiefinanciering wordt nu uitgegaan van het adres in de Basis Registratie Personen (BRP). Niet alle studerenden wonen daadwerkelijk op het geregistreerde adres. Daarom worden fysieke controles op het opgegeven woonadres uitgevoerd, zodat het risico op misbruik voor een uitwonendenbeurs wordt beperkt. Vanwege de coronapandemie is er vanaf eind maart 2020 in het kader van de studiefinanciering, lesgeld en WTOS een aantal coulance maatregelen opgesteld. Veel van deze maatregelen zijn ingesteld om studenten en debiteuren met acute financiële problemen tegemoet te komen. Zo konden studenten extra lenen en zijn controles en de overdracht naar deurwaarders gestaakt. Het uitstellen van deze controles heeft vooralsnog geen effect gehad op de M&O-gevoeligheid van de uitgaven op grond van de WSF 2000, omdat de controles later worden opgepakt. Studenten moeten de onterecht ontvangen studiefinanciering terug betalen en krijgen een boete opgelegd.

Het bovenstaande betreft studerenden die in Nederland wonen. Studenten met een woonadres in België of Duitsland, de grensbewoners, zijn uitgesloten van controle indien hun ouders op meer dan 120 km van de studieplaats van de student woonachtig zijn. Hiermee is een restant M&O gemoeid van € 668.580. Dit is gebaseerd op controles voor de studiejaren 2017-2018 en 2018-2019. Bij studenten met een buitenlands woonadres buiten de grensgebieden wordt anders gecontroleerd. Er wordt gecontroleerd of de student aan de instelling in het buitenland is ingeschreven. Indien dat zo is, wordt aangenomen dat hij in het buitenland woonachtig is. Omdat er geen adrescontrole plaatsvindt, is er voor studerenden in het buitenland een (aanvaardbaar) restrisico.

De uitwonende basistoelage die op grond van de WTOS (regeling VO18+) aan een uitwonende scholier wordt verstrekt, bedroeg in 2021 € 280,45 per maand (en voor een thuiswonende scholier € 120,28). Bij de vaststelling van de tegemoetkoming scholieren (WTOS) wordt ook het adres van de leerling geverifieerd bij de BRP. De ouders verklaren dat de leerling uitwonend is. Het adres van de ouders wordt niet standaard gecontroleerd bij de BRP. Dit adres wordt alleen vastgelegd als het inkomensafhankelijke deel van de tegemoetkoming is aangevraagd. Bij verhuizing van de leerling wordt ook gecontroleerd. In totaal bestaat in het studiejaar 2020/2021 nog een restrisico van € 3,5 miljoen. Aangezien de totale uitgaven op grond van de WTOS lager zijn dan bij artikel 11 (Studiefinanciering), vormen de uitwonende beurzen ook hier een groter deel (5,2%).

Grote lopende ICT-projecten

Het Ministerie van OCW kende in 2021 negen ICT-projecten groter dan € 5 miljoen. Dit is naar aanleiding van de verruiming van de scope van het Adviescollege ICT-Toetsing (AcICT). Waar eerst sprake was van advisering over ICT-projecten, is daar met ingang van 2021 advisering over het onderhoud en beheer van informatiesystemen aan toegevoegd.

Jaarlijks rapporteert het Ministerie van OCW over deze projecten conform het daarvoor afgesproken rapportagemodel aan het Ministerie van BZK. Van alle projecten wordt de stand van zaken openbaar gemaakt via het Rijks ICT-dashboard. Voor alle projecten geldt dat de Chief Information Officer (CIO), de Chief Information Security Officer (CISO) en privacyfunctionarissen adviseren over de risico’s. Door deze adviezen, maar ook door de inzet van instrumenten als Gateway-reviews, AcICT toetsen en de OCW-risicorapportage worden dergelijke risico’s tijdig in kaart gebracht en zijn deze continu onder de aandacht. Daartoe worden in de trajecten zelf ook waarborgen ingebracht om risico’s voor de uitvoering te onderkennen. De functionarissen gegevensbescherming van het Ministerie van OCW zien toe op naleving van de Algemene Verordening Gegevensbescherming (AVG). Bij nieuwe wetgeving en grote ICT-projecten heeft het opstellen van Privacy Impact Assessments (PIA) een plaats gekregen.

Gebruik open standaarden en open source software 

De Instructie Rijksdienst schrijft voor dat bij de aanschaf en ontwikkeling van ICT-diensten of ICT-producten in beginsel gebruik moet worden gemaakt van open standaarden van de lijst van het Forum Standaardisatie (www.forumstandaardisatie.nl). Valide afwijkingsgronden zijn opgenomen in de Instructie Rijksdienst. Indien er sprake is van een afwijking van de Instructie Rijksdienst, dan wordt dit gemotiveerd aangegeven. Bij het Ministerie van OCW is bij de meting eind 2021 geen sprake geweest van afwijking van de Instructie Rijksdienst.

Betaalgedrag

Het streefpercentage voor tijdig betalen is 95% van alle facturen binnen 30 dagen na datum van ontvangst van de factuur. Het Ministerie van OCW voldoet al jarenlang aan de gestelde norm. Over 2021 is het percentage tijdig betalen bij het Ministerie van OCW uitgekomen op 98,2%.

Audit Committee

In 2021 is het Audit Committee (AC) digitaal bij elkaar geweest. Eén overleg van het AC is schriftelijk afgedaan. De onderwerpen die in het afgelopen jaar aan de orde zijn gekomen, hebben vooral betrekking op het departementaal jaarverslag, het samenvattend auditrapport hierbij van de ADR en het verantwoordingsonderzoek van de AR. Hierbij zijn onder andere het autorisatiebeheer en de informatiebeveiliging aan de orde gekomen.

In 2021 is het AC geëvalueerd. De conclusie van de evaluatie is dat de dynamiek van het Audit Committee ten goede is veranderd ten opzichte van de situatie van de vorige evaluatie in 2019.

Momenteel ligt de focus op (strategische) bedrijfsvoeringsonderwerpen, maar uit de evaluatie blijkt dat er soms ook behoefte is aan het bespreken van een beleidsonderwerp. Hiernaast is er in 2021 een tweede extern lid aan het AC toegevoegd. Dat betekent dat het AC gevormd wordt door de Secretaris-Generaal, als voorzitter, de leden van het MT-OCW, een afgevaardigde van de ADR, de directeur Financieel-Economische Zaken, twee externe leden en een afgevaardigde van de AR (met een open stoel).

Normenkader financieel beheer zbo’s en rwt’s

Het normenkader is sinds enige tijd staande praktijk en maakt daardoor onderdeel uit van het reguliere toezicht en het sturingsmodel (eigenaar, opdrachtgever en opdrachtnemer).

Paragraaf 3 - Belangrijke ontwikkelingen en verbeteringen in de bedrijfsvoering

Datalekken bij het Ministerie van OCW en DUO

Het aantal meldingen van datalekken bij het Ministerie van OCW (exclusief DUO) in 2021 is 11 geweest (18 in 2020). Na onderzoek is gebleken dat voor 9 meldingen geen vervolgactie nodig was. Twee datalekken zijn bij de Autoriteit Persoonsgegevens (AP) gemeld (7 in 2020). De communicatie naar medewerkers en management in 2021 over bewust omgaan met informatie en beveiliging heeft hieraan bijgedragen.

DUO heeft in 2021 in het proces datalekken 113 (128 in 2020) meldingen ontvangen, waarvan in 82 (91 in 2020) gevallen daadwerkelijk sprake was van een datalek. Hiervan is in 25 (16 in 2020) gevallen een melding bij de Autoriteit Persoonsgegevens (AP) gedaan en bij 7 (7 in 2020) gevallen is een melding gemaakt bij het Ministerie van SZW. De toename van het aantal meldingen bij de AP ligt aan de verscherpte beoordeling die in 2021 is doorgevoerd waardoor meer datalekken meldingswaardig werden geacht. Op inhoud is er geen significante verschuiving in de soorten of oorzaken van datalekken. Het gaat voornamelijk om post van individuele klanten die om diverse redenen bij een verkeerde ontvanger terecht komt. De post bevat naast een burger servicenummer in veel gevallen ook financiële gegevens, waardoor het risico voor de burger hoog wordt geacht en melding bij de AP passend is. De datalekken blijven een trigger om na te gaan of en hoe processen moeten worden aangepast.

DigiD/Logius

Jaarlijks wordt, in het eerste trimester conform de aansluitvoorwaarden van Logius, een DigiD-audit uitgevoerd door de ADR. Uit de audit over 2021 is door de ADR geconstateerd dat de openstaande bevindingen zijn opgelost en dat een nieuwe bevinding is ontstaan. DUO voldoet aan 19 van de 20 normen. Het oplossen van deze bevinding op de laatste norm is in 2021 opgepakt en loopt door in 2022.

Financiering DUO

In 2021 is vastgesteld dat er behoefte is aan een betere afstemming tussen de kosten van DUO en de daarmee verband houdende lumpsum-vergoeding die DUO ontvangt van de opdrachtgevende OCW-directies. In 2021 is samen met een externe adviseur een analyse gemaakt. De analyse is in 2021 besproken met de opdrachtgevers en de eigenaar van DUO en zal moeten leiden tot een betere balans tussen de kosten en de daarmee verband houdende vergoedingen.

Veranderplan DUO

Naar aanleiding van de bevindingen in het rapport van het Adviescollege ICT-toetsing in 2021 inzake Doorontwikkelen Applicatielandschap Bekostiging zal door DUO in het eerste kwartaal van 2022 een veranderplan worden opgesteld. Dit plan moet leiden tot het behalen van een betere beheersing van grote ICT-ontwikkeltrajecten eind 2022. In het plan gaat aandacht zijn voor uniforme werkwijze en besturing van de processen, alsmede voor het op orde zijn (d.w.z. aantoonbaar en inzichtelijk maken) van de basisadministratie en de (reguliere) processen.

Werk aan Uitvoering (WaU)

Het kabinet is zich ervan bewust geworden dat de uitvoerende overheid de laatste jaren te weinig aandacht heeft gehad. Vanuit de parlementaire ondervragingscommissie kinderopvang en de tijdelijke commissie uitvoering is dit bevestigd en er zijn in het Regeerakkoord ook middelen toegewezen. In 2021 heeft DUO mee gewerkt aan een inventarisatie door een extern advieskantoor om de kosten van verbeteringen (WaU) in kaart te brengen. DUO werkt samen met enkele andere uitvoeringsorganisaties, waarbij de continuïteit van de dienstverlening, de ruimte voor nieuw beleid (wendbaarheid) en maatwerk aan burgers, bedrijven en instellingen centraal staan. Er is in de samenwerking ook aandacht voor de wetgeving, besturing in de driehoek eigenaar/opdrachtgever/uitvoerder), data-, IT- en HRM-vraagstukken.

Licence