Misbruik en Oneigenlijk gebruik (M&O)
Het bestrijden van misbruik en oneigenlijk gebruik vraagt om goede rechtshandhaving, waar het tegengaan van fraude bij de uitvoering van fiscale wet- en regelgeving en de toeslagenregelingen integraal deel van uitmaakt. Voor het heffen en innen van belastingen en het betalen van toeslagen is de Belastingdienst afhankelijk van gegevens die belastingplichtigen en toeslaggerechtigden zelf verstrekken en van beschikbare contra-informatie. De bestrijding van misbruik en oneigenlijk gebruik richt zich niet meer uitsluitend op de achterkant van een proces, wanneer het geld al is uitgekeerd, maar steeds meer op de voorkant: bij de aanvraag of de aangifte. Voor de activiteiten die in 2017 zijn uitgevoerd, wordt verwezen naar de toelichting in beleidsartikel 1 Belastingen van dit jaarverslag. Over de aanpak van M&O is tussentijds aan de Tweede Kamer gerapporteerd in de 19e en 20e halfjaarsrapportage Belastingdienst (Kamerstukken II 2016–2017, 31 066, nr. 355 respectievelijk Kamerstukken II 2017–2018, 31 066, nr. 389).
Naleving 1 bankrekeningnummer
In artikel 25 van de Algemene wet op de inkomensafhankelijke regelingen (Awir) is bepaald dat uitbetaling van een toeslag plaatsvindt op een bankrekening die op naam staat van de belanghebbende, tenzij bij ministeriële regeling een uitzondering daarop wordt toegestaan. Het doel van deze bepaling is het voorkomen van fraude. Gebleken is dat het voorkomt dat kinderen, anders dan wat de letterlijke toepassing van deze bepaling met zich mee zou brengen, hun zorgtoeslag laten uitbetalen op een bankrekening die op naam staat van de ouders.
Grote lopende ICT-projecten
Bij de Belastingdienst wordt een aantal grote ICT-projecten uitgevoerd waarover in het Rijksdashboard door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties wordt gerapporteerd (www.rijksictdashboard.nl). In 2017 is bij de projecten Erf- en Schenkbelasting en Mini One Stop Shop een zodanige vertraging opgetreden dat dit in deze bedrijfsvoeringsparagraaf moet worden vermeld.
Audit Committee
Het Audit Committee vergaderde in 2017 viermaal en is versterkt met drie nieuwe externe leden. De in 2017 laatst gehouden vergadering stond voor het eerst onder voorzitterschap van de SG. Het Audit Committee heeft in 2017 de lijn van de eerdere jaren doorgezet om een substantieel deel van zijn tijd te besteden aan de Belastingdienst. Daarnaast zijn ook reguliere onderwerpen zoals de uitkomsten van de planning- en controlcyclus en de uitgevoerde audits (door de ADR en AR) aan de orde geweest. Verder is de voortgang van de door de AR geconstateerde onvolkomenheden in elke bijeenkomst van het Audit Committee besproken.
Het Audit Committee heeft in 2017 een zelfevaluatie uitgevoerd op zijn eigen functioneren. Het beeld hiervan is over het algemeen positief. Op onderdelen waren verbeteringen mogelijk (samenstelling en vorm van het Audit Committee, aandacht voor risicomanagement). Hiervoor zijn inmiddels verbeteracties uitgevoerd.
Informatiebeveiliging
Het departement miste een structuur om beheersmaatregelen en verbetertrajecten op het gebied van de beheersing van de informatiebeveiliging te prioriteren. Beheersingsmaatregelen worden uitgevoerd, maar er is geen centraal inzicht in de risico’s, voortgang en verbeterplannen voor informatiebeveiliging. Inmiddels zijn de cruciale posities voor de beheersing van informatiebeveiliging bemenst en is gestart met het actualiseren van de risicorapportages. In 2018 zal het informatiebeveiligingsbeleid verder worden geactualiseerd door de governancestructuur te beschrijven met rollen en verantwoordelijkheden en de verbinding tussen visie en lange termijndoelen te leggen.
Het Ministerie van Financiën heeft op 23 februari 2018 een ICV-BIR afgegeven (In Control Verklaring Baseline Informatiebeveiliging Rijksdienst). In de ICV-BIR wordt melding gemaakt van de volgende informatiebeveiligingsproblemen bij de afdeling Data & Analytics (D&A) van de Belastingdienst. Uit een onderzoek dat in 2017 is uitgevoerd, bleek dat binnen de afdeling D&A geen invulling is gegeven aan actieve monitoring van het gegevensgebruik en dat in een aantal gevallen persoonsgegevens tegen de regels buiten de Belastingdienst zijn gebracht voor werkgerelateerde bewerking of analyse (Kamerstukken II 2017–2018, 31 066 nr. 379). Hierop heeft de Belastingdienst maatregelen getroffen en inmiddels is de fysieke toegang ingeperkt, zijn diverse bewustzijnscampagnes voor de medewerkers gestart en vindt via een technische oplossing continue monitoring plaats van het gegevensgebruik en datacompartimentering van de analyseomgeving.
Conclusie
Het Ministerie van Financiën heeft in 2017 de aanbevelingen uit het COB-rapport ter hand genomen en hierover gerapporteerd in twee voortgangsrapportages aan de Tweede Kamer (Kamerstukken II 2016–2017, 31 066, nr. 374 en Kamerstukken II 2017–2018, 31 066, nr. 391). Er zijn in het verslagjaar dan ook verschillende stappen gezet om de bedrijfsvoering van de Belastingdienst te verbeteren en meer in verbinding te brengen met de bedrijfsvoering van het kerndepartement. Ook is gewerkt aan de versterking van de aansturings- en toezichtsrelatie van het kerndepartement met de Belastingdienst. In 2017 zijn hiervoor veel verbeteracties in gang gezet. Deze moeten de komende jaren hun vruchten gaan afwerpen. Het vergt evenwel een lange adem om bij een grote en complexe organisatie als de Belastingdienst structurele en soms ook hardnekkige problemen afdoende het hoofd te bieden.
Verder is er sprake geweest van ordelijk en beheerst verlopen bedrijfsprocessen, welke tevens voorzien in waarborgen voor een rechtmatige begrotingsuitvoering, inclusief een toereikend beleid ter voorkoming van misbruik en oneigenlijk gebruik.