Inleiding
De bedrijfsvoering, inclusief het begrotingsbeheer, financieel beheer en de materiële bedrijfsvoering binnen het Ministerie van OCW, is op orde. De financiële overzichten geven een getrouw beeld van de uitkomsten van de begrotingsuitvoering.
Paragraaf 1 – Uitzonderingsrapportage
Rechtmatigheid
De verantwoording in het departementale jaarverslag is in overeenstemming met de begrotingswetten, de Europese regelgeving, Nederlandse wetten, algemene maatregelen van bestuur en in ministeriële regelingen opgenomen bepalingen. Voor de bepaling van fouten en onzekerheden is de rijksbrede normering toegepast. Rapporteren over onrechtmatigheden is verplicht als deze onrechtmatigheden meer bedragen dan de betreffende tolerantiegrens. Dit geldt voor beleidsartikel 9 (Arbeidsmarkt- en personeelsbeleid) en artikel 95 (Kerndepartement Apparaat).
Bij het beleidsartikel 9 (Arbeidsmarkt- en personeelsbeleid), bedraagt de tolerantiegrens voor fouten en onzekerheden in de aangegane verplichtingen € 17,1 miljoen. De tolerantiegrens wordt bij dit artikel licht overschreden. Dit wordt onder andere veroorzaakt doordat de ADR controle voor de bekostigings- en subsidie-instrumenten middels een statistische steekproef heeft uitgevoerd. De basisonnauwkeurigheid die voortvloeit uit deze gehanteerde steekproefmethode is € 9,5 miljoen.
De daadwerkelijke geconstateerde fouten en onzekerheden op beleidsartikel 9 vallen lager uit dan de rapporteringstolerantie en komen in totaal uit op € 7,8 miljoen. Dit betreft:
– een onzekerheid ten aanzien van de rechtmatigheid van de aangegane verplichtingen van € 7,7 miljoen voor de Regeling Regionale aanpak personeelstekort (RAP-regeling). Deze onzekerheid heeft betrekking op het controlebeleid ten aanzien van deze regeling. Ondanks deze financiële onzekerheid heeft het ministerie wel op stelselniveau voldoende inzicht in uitvoering van de regeling. De regeling is geëindigd in 2023 en wordt niet verlengd.
– Verder is er bij dit begrotingsartikel bij het inkopen een fout met betrekking tot de rechtmatigheid opgetreden van € 0,1 miljoen.
Bij artikel 95 (Apparaat Kerndepartement), bedraagt de tolerantiegrens voor fouten en onzekerheden in de uitgaven € 25,0 miljoen. De tolerantiegrens wordt bij dit artikel overschreden. De ADR heeft op basis van een steekproef onrechtmatigheden geconstateerd. De maximale fout betreft € 28,0 miljoen. De meest waarschijnlijke onzekerheid bedraagt € 5,2 miljoen.
(1) Rapporteringstolerantie | (2) Verantwoord bedrag in € (omvangsbasis) | (3) Rapporterings-tolerantie voor fouten en onzekerheden in € | (4) Bedrag aan fouten in € | (5) Bedrag aan onzekerheden in € | (6) Bedrag aan fouten en onzekerheden in € | (7) Percentage aan fouten en onzekerheden t.o.v. verantwoord bedrag = (6)/(2)*100% |
|---|---|---|---|---|---|---|
Artikel 9 (Arbeidsmarkt- en personeelbeleid) verplichtingen | 171,5 miljoen | 17,1 miljoen | 0,1 miljoen | 7,7 miljoen | 7,8 miljoen | ‒1 |
Art 95 (Apparaat Kerndepartement) uitgaven/ontvangsten | 370,2 miljoen | 25,0 miljoen | ‒ | 5,2 miljoen | 5,2 miljoen | ‒1 |
Totstandkoming niet-financiële verantwoordingsinformatie
Er zijn geen bijzonderheden te melden.
Begrotingsbeheer, financieel beheer en de materiële bedrijfsvoering
Beleid om misbruik en oneigenlijk gebruik van subsidies tegen te gaan De Auditdienst Rijk (ADR) concludeerde bij het Jaarverslag 2022 dat de aanpak van misbruik en oneigenlijk gebruik (M&O) grotendeels op orde is, maar dat het op een viertal onderdelen nog te kort schoot.
Hierbij gaat het ten eerste om de bekostiging van nieuwkomers. Met het oog op de privacy, het beperken van administratieve lasten en de plotselinge hoge instroom van nieuwkomers heeft het Ministerie van OCW de bewijslast van nieuwkomers voor primair onderwijsinstellingen laten vervallen. De instellingen hoeven de leerlingen voor de aanvullende bekostiging niet meer op persoonsniveau te onderbouwen en administreren. Hierdoor heeft het Ministerie van OCW voor het primair onderwijs (PO) volgens de ADR onvoldoende inzicht in de relatie tussen de gevraagde bekostiging en de leerlingen waar de aanvraag betrekking op heeft. In het voortgezet onderwijs (VO) worden leerlingen vanuit de bij DUO aanwezige reguliere gegevens in het Register Onderwijsdeelnemers (ROD) ambtshalve aangewezen als nieuwkomers. In dit geval is er alleen gebrek aan inzicht bij de specifieke groep leerlingen waarvoor de instellingen zelf de datum van binnenkomst in Nederland vastleggen. De bewijslast voor deze regeling is met ingang van 2022 komen te vervallen. Door het vervallen van de bewijslast kan, indien een instelling zelf de datum binnenkomst in Nederland opgeeft, niet met zekerheid worden vastgesteld of de bekostigingsvoorwaarden zijn nageleefd. Het Ministerie van OCW werkt er hard aan om een structurele oplossing te creëren, waardoor weer zekerheid ontstaat in de juistheid van de bekostiging van deze leerlingen. Dit vergt echter enige doorlooptijd. In de tussenliggende periode voert het ministerie aanvullende analyses uit om de mate van onzekerheid te verkleinen, maar resteert nog wel een onzekerheid van € 207,5 miljoen bij PO en van € 122,5 miljoen bij VO.
Ten tweede signaleert de ADR dat het Ministerie van OCW een goed risicoanalysemodel heeft opgesteld voor subsidieregelingen aan onderwijsinstellingen, maar dat het ministerie nog te weinig aandacht heeft voor de monitoring van M&O risico’s. Wij hebben dit jaar ons proces van de M&O inventarisatie verbeterd, waarbij expliciet aandacht is geschonken aan het beter vastleggen van de werking van het M&O beleid en het ophalen van signalen van M&O bij de uitvoerders van de subsidieregelingen. In de paragraaf ‘Departementale checks subsidieregelingen’ gaan we hier dieper op in.
Ten derde is de ADR van mening dat het Ministerie van Onderwijs bij subsidieregelingen aan onderwijsinstellingen, waarbij het M&O risico als gemiddeld of hoog wordt ingeschat, ten onrechte de subsidie direct vaststelt op het moment van verlening. Wij hebben veelvuldig met de ADR, de Algemene Rekenkamer en met het Ministerie van Financiën overleg gevoerd over deze strikte interpretatie van het Uniform Subsidiekader. De uitkomst van deze overleggen is dat het ministerie van OCW vanaf oktober 2023 voor nieuwe subsidieregelingen aan onderwijsinstellingen deze alleen bij een onderbouwd laag M&O risico direct vaststelt. Voor reeds bestaande subsidieregelingen zal per regeling afgewogen worden of en zo ja wanneer de verstrekkingswijze aangepast kan worden.
Tenslotte constateerde de ADR dat uit hun reviews naar voren kwam dat de controleverklaringen bij een aantal subsidieverantwoordingen van niet-onderwijsinstellingen niet aan de eisen voldeden. Het Ministerie van OCW is inmiddels verbeteringen op dit proces aan het doorvoeren.
Autorisatiebeheer Dienst Uitvoering OnderwijsDe onvolkomenheid op het autorisatiebeheer van DUO staat al enkele jaren, doordat dit een complex en veelomvattend proces is dat tijd vraagt om in de volledige breedte op het gewenste niveau te brengen. Hierbij is geconstateerd dat DUO in 2022 belangrijke stappen heeft gezet om het autorisatiebeheer op orde te brengen. Zo heeft DUO automatisch toekennen en intrekken van rollen, waarin de autorisaties zijn opgenomen, via het principe van Role Based Access Control (RBAC) geïmplementeerd, en zijn alle applicaties en systemen geclassificeerd op Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). In 2023 heeft DUO aan de hand hiervan risicogericht verbeteracties voor autorisatiebeheer opgepakt, om via de Plan Do Check Act-cyclus (PDCA-cyclus) dit op een steeds hoger niveau te krijgen. Het gaat dan bijvoorbeeld om de verbetering van de autorisatiematrices van de systemen en de periodieke controles op de autorisaties.
Het belangrijkste aandachtspunt zijn de accounts met hoge rechten op de platformen waarop de applicaties en databases draaien. Het aantal accounts met hoge rechten is sterk verlaagd, maar dit is nog niet voor alle platformen afgerond. DUO-ICT gaat in 2024 Privileged Access Management (PAM)-tooling verder uitrollen zodat PAM eind 2024 geheel operationeel is. Deze tool zorgt er namelijk voor dat beheerders tijdelijk toegang krijgen en de autorisatie na de handeling automatisch weer wordt teruggetrokken. Zodoende zorgt deze tooling ervoor dat DUO-ICT op dit aspect structureel in control blijft. Parallel hieraan zal DUO-ICT doorgaan met het reduceren van de accounts met hoge rechten.
DUO heeft conform haar plan in 2023 verder gewerkt aan de onderstaande activiteiten om de interne beheersing op autorisatiebeheer op het gewenste niveau te krijgen en te houden. DUO zal eind april 2024 de volgende onderdelen conform plan uitgevoerd hebben, waardoor DUO voldoet aan haar kaders rondom autorisatiebeheer:
– het aantoonbaar uitvoeren van de verschillende certificeringen van de systemen om daarmee de beveiliging te borgen conform de certificeringskalender via de Plan Do Check Act-cyclus (PDCA-cyclus);
– het borgen van kennis van processen, methoden, technieken en voorschriften binnen de DUO-organisatie middels o.a. een e-learning platform (Plato) en het doen van kennisdeling en communicatie;
– het borgen van de governance op het autorisatiebeheer met behulp van relevante managementinformatie en het aantoonbaar periodiek doorlopen en borgen van het beleid, de voorschriften, de certificeringen en de kwaliteitscontroles op het gebied van Autorisatiebeheer via de PDCA-cyclus.
IT-beheersmaatregelen Dienst Uitvoering OnderwijsVeel bedrijfsprocessen bij DUO zijn gedigitaliseerd en ondergebracht in een complex IT-landschap. In het verantwoordingsonderzoek uit 2021 van de Algemene Rekenkamer zijn tekortkomingen geconstateerd op verschillende aspecten van het IT-beheer. Deze tekortkomingen betroffen onder andere back-up en recovery, continuïteitsmanagement, wachtwoordbeheer en wijzigingsbeheer.
DUO is in 2023 verder gegaan met de structurele verbetering van het IT-beheer dat in 2022 is gestart. Hierdoor is het aantal IT-bevindingen in 2023 sterk gedaald ten opzichte van 2022. Door het structureel aan te pakken, heeft dit ook geleid tot verbetering van de samenwerking tussen de verschillende betrokken teams en het vergroten van het risicobewustzijn rondom informatiebeveiliging.
Op het gebied van het gebruikersbeheer is de grootste vooruitgang bereikt. De bevindingen van DUO voor het Oracle-platform zijn intussen bijna allemaal opgelost. Hierop draaien de databases voor de bekostiging van de onderwijsinstellingen. Andere bevindingen betreffen het iBMI platform, de Windows platformen, back-up en recovery, beveiliging van componenten, continuïteitsmanagement en SAP-beheer.
Om in control te komen en te blijven, is in 2023 gewerkt aan de uitvoering van de verbeterplannen en aan de verbetering van de Plan Do Check Act-cyclus. Deze is in december 2023 naar tevredenheid opgeleverd. DUO gaat in 2024 planmatig verder om het bestaan en de werking van de beheersmaatregelen rondom business continuïteit aan te kunnen tonen.
De gerealiseerde verbeteringen in de organisatie rondom de Configuration Management Database (CMDB) zorgen voor inzicht en overzicht van het asset management (gericht op alle aspecten van hardware, software en software licenties). Dit is essentieel om in control te blijven op het gebied van autorisatiebeheer en IT beheer. Er blijken verschillende vraagstukken complexer en tijdrovender dan oorspronkelijk ingeschat. De complexiteit wordt hierbij versterkt door de afhankelijkheid van derde partijen.
Om de resterende bevindingen op te lossen, zal DUO in 2024 blijvende aandacht en stevige sturing erop houden.
Begrotingsrealisatie door te vroege bevoorschotting
De rijksoverheid heeft een hybride verslaggevingsstelsel: een kas-verplichtingenstelsel en een baten-lastenstelsel. In de systematiek van het kasverplichtingenstelsel is de stelregel dat niet gerealiseerde budgetruimte aan het eind van het jaar terugvloeit naar het Ministerie van Financiën. Agentschappen werken binnen het baten-lastenstelsel, dat mogelijkheden geeft om financiële middelen aan te houden zolang dit niet bovenmatig is. Volgens de ADR stonden in het jaarverslag 2022 op de balans bij de agentschappen van het Ministerie van OCW bedragen die het gevolg waren van te hoge bevoorschotting. Het Ministerie van OCW heeft in 2023 hier nadrukkelijk aandacht aan gegeven. Op de momenten dat de 1e en 2e suppletoire wetten worden voorbereid, wordt voortaan scherper gekeken naar de (balans)posten die zijn bevoorschot en wordt er zo nodig afgerekend. In 2023 zijn de meeste posten afgewikkeld waar geen werk meer aan ten grondslag lag. Over een enkele post is nog overleg gaande om het beeld aan te scherpen of dit geld in 2024 nog benodigd is. Hiermee voldoet OCW aan de financiële kaders van het begrotingsbeheer.
Fraude & corruptierisico’s
Het Ministerie van OCW besteedt aandacht aan het voorkomen van fraude en het actief handelen mocht er onverhoopt toch fraude plaatsvinden. Er zijn in 2023 geen fraudemeldingen geweest die betrekking hebben op de interne (financiële) processen van het Ministerie van OCW. Maar het Ministerie van OCW blijft alert om fraude te voorkomen.
De primaire verantwoordelijkheid voor het voorkomen, detecteren en reageren op fraude – gerelateerd aan de financiële processen – is bij het Ministerie van OCW decentraal belegd bij de directies, diensten en agentschappen. De directie FEZ houdt toezicht op dit beheersstelsel.
Bij fraude kan er sprake zijn van interne fraude door ambtenaren of bestuurders van het Ministerie van OCW of externe fraude (jegens de overheid). Bij interne fraude betreft het medewerkers van het Ministerie met betrekking tot programmagelden (subsidies, uitkeringen, bijdragen, opdrachten, etc.) en apparaatsgelden (personele en materiële uitgaven). Bij externe fraude gaat het om fraude door derden en valt het onder misbruik en oneigenlijk gebruik. Zie hiervoor de nadere uitwerking onder de paragraaf «Misbruik en Oneigenlijk gebruik».
De belangrijkste materiële risico’s op fraude zijn te onderkennen bij:
– inkoop- en aanbestedingstrajecten;
– verstrekken en vaststellen van subsidies, verstrekken van studiefinanciering, lerarenbeurzen en registratie van diploma’s;
– personele vergoedingen (zoals onterechte of te hoge declaraties), aannemen geschenken en diefstal;
– doorbreking van interne beheersmaatregelen in financiële en betaalprocessen (zoals functievermenging, samenspanning, valsheid in geschrifte) door onvoldoende autorisatiebeheer en informatiebeveiliging.
Het algemene beeld van het Ministerie van OCW op basis van beoordeling van ontvangen informatie is dat er voldoende aandacht wordt gegeven aan het voorkomen van fraude. In de diverse financiële processen zijn stappen ingebouwd om na te gaan of er per ongeluk dan wel met opzet oneigenlijke betalingen plaatsvinden ten gunste van eigen medewerkers, en hoe die te voorkomen.
Het Ministerie van OCW heeft de ADR gevraagd om in 2024 op basis van hun expertise op dit terrein, OCW te adviseren wat er nog kan worden ontwikkeld. Waar nodig zullen we frauderisico’s en -rapportages onderdeel maken van het departementale risicomanagement. Ook de adviezen voortkomend uit besprekingen in het Audit Committee, waaronder het inzetten van data-analyse en te hanteren normatiek, zullen hierbij worden meegenomen.
Misbruik en oneigenlijk gebruik (M&O)
Op grond van de Comptabiliteitswet 2016 dienen ministeries in het kader van het M&O-beleid toe te zien op het financieel beheer van de verschillende geldstromen. Het Ministerie van OCW heeft als uitgangspunt regelgeving tot stand te brengen die zo min mogelijk gevoelig is voor fraude, misbruik of oneigenlijk gebruik. Jaarlijks worden de risico’s op M&O geïnventariseerd. Waar nodig wordt het voorlichtings-, controle-, sanctie- en/of evaluatiebeleid aangepast, daarbij de wenselijkheid en doelmatigheid van deze middelen in ogenschouw nemend.
Restrisico’s op M&O
In sommige gevallen zijn de getroffen beheersmaatregelen niet voldoende om M&O geheel uit te sluiten, bijvoorbeeld wanneer de kosten van de controles hoger zijn dan de baten, of wettelijke mogelijkheden begrensd zijn. Er is dan sprake van een restrisico, oftewel restant M&O. Dit is de gevoeligheid voor M&O die (bewust) overblijft nadat alle adequate maatregelen ten aanzien van voorlichting, controle, sanctie en evaluatie zijn getroffen.
Onderstaande tabel beschrijft per begrotingsartikel de geldstroom met restant M&O die overblijft na inzet van beheersmaatregelen als aan het betreffende begrotingsartikel een restant M&O kleeft groter dan € 1 miljoen.
Tevens is het totaal aan restrisico opgenomen van de geldstromen met een restant M&O groter dan € 1 miljoen als percentage van de totale uitgaven op artikelniveau.
Omschrijving | Bedrag (x 1 miljoen) | Percentage restant M&O>1 mln (van de totale uitgave per artikel) |
|---|---|---|
Artikel 11 Studiefinanciering | ||
Aanvullende beurs | 49,96 | 0,95% |
Uitwonende beurzen | 5,081 | 0,10% |
Artikel 12 Tegemoetkoming onderwijsbijdrage en schoolkosten | ||
Uitwonende beurzen | 3,33 | 4,83% |
In dit bedrag zijn alleen de uitwonende beurs uitgaven opgenomen voor studenten met een buitenlands woonadres. Deze geldstroom is niet controleerbaar. Daarnaast is er nog een restant aan restrisico voor de uitgaven aan uitwonende beurs voor studenten met een Nederlands woonadres. Het is op dit moment niet mogelijk om dit restrisico te kwantificeren omdat de daartoe benodigde onderzoeksresultaten niet meer representatief zijn voor 2023: door onder andere de herinvoering van de basisbeurs is de populatie sterk veranderd ten opzichte van eerdere onderzoeken hiernaar. Dit restrisico is daarom niet opgenomen in de tabel.
Hieronder volgt een toelichting op de geldstromen met een restant M&O groter dan € 1 miljoen. Vervolgens wordt ook kort ingegaan op de signalen die aangeven dat specifiek controles op uitwonendheid disproportioneel vaak voorkomen bij studenten met een migratieachtergrond. Het onderzoek hiernaar loopt en de uitkomsten van deze onderzoeken worden betrokken bij zowel de toekomstige vormgeving van het beleid als de beheersing van de restrisico’s.
Aanvullende beurs
Studenten kunnen in aanmerking komen voor een aanvullende beurs. De hoogte van de aanvullende beurs hangt mede af van het ouderlijk inkomen. Van augustus tot en met december 2023 is de maximale aanvullende beurs voor een uitwonende mbo-student € 405,23 (en voor een thuiswonende mbo-student € 381,25 per maand). Voor ho-studenten in het studievoorschot bedraagt de aanvullende beurs maximaal € 430,27 per maand. Bij de herinvoering van de basisbeurs per 2023/2024 is de maximale aanvullende beurs gewijzigd naar € 416,00 per maand.
Wanneer ouders in Nederland wonen, is het risico op misbruik van de aanvullende beurs beperkt. De Belastingdienst beheert de inkomensgegevens vanuit het basisregister inkomen. DUO is bevoegd deze inkomensgegevens van de Belastingdienst te gebruiken en is ook afhankelijk van deze gegevens. In 2023 is totaal € 843,9 miljoen aan toekenning voor de aanvullende beurs verstrekt. Daarvan heeft € 62,4 miljoen betrekking op studenten met ouders in het buitenland. DUO vraagt de bewijsstukken bij de ouders zelf of bij de student op, maar de juistheid en volledigheid van het opgegeven buitenlands inkomen is niet volledig met zekerheid door DUO vast te stellen. Uitzondering hierop zijn de voormalige Nederlandse Antillen (€ 12,4 miljoen), waar dit wel mogelijk is. Hierdoor is er sprake van een restrisico bij studenten met een aanvullende beurs met ouders in het buitenland van € 49,96 miljoen.
Beurzen voor uitwonenden: Studiefinanciering en tegemoetkoming onderwijsbijdrage
Op grond van de Wet studiefinanciering 2000 (WSF 2000) en de Wet tegemoetkoming onderwijsbijdrage en schoolkosten (WTOS) komt een deel van de studerenden in aanmerking voor een hogere beurs wanneer ze uitwonend zijn. DUO kent op aanvraag een uitwonendenbeurs toe aan een mbo- of ho8-studerende indien de studerende op een ander adres woont dan zijn ouder(s). Deze studerende ontvangt in dat geval een toelage op de basisbeurs.
In 2023 bedraagt de basisbeurs voor een uitwonende mbo-student € 296,51 per maand (en voor een thuiswonende mbo-student € 90,85 per maand). Vanaf studiejaar 2023/2024 is de basisbeurs in het ho heringevoerd. De basisbeurs bedraagt tot en met december 2023 € 274,90 per maand voor een uitwonende ho-student en € 110,30 voor een thuiswonende ho-student.9 De totale uitgaven aan toekenningen uitwonendenbeurzen voor zowel mbo- als ho-studerenden bedroeg in 2023 € 453,8 miljoen (WSF 2000).
In het reguliere proces stelt DUO vast of een studerende aanspraak maakt op een uitwonendenbeurs door allereerst een controle uit te voeren of het geregistreerde adres in de Basisregistratie Personen (BRP) een ander adres is dan het BRP-adres van de ouder(s). Omdat niet alle studerenden daadwerkelijk wonen op het geregistreerde adres, voert DUO -aanvullend op de BRP-controle- een steekproefsgewijze controle uit of studenten feitelijk wonen op het opgegeven adres. Dit restrisico is voor 2023 niet betrouwbaar te kwantificeren omdat de populatie in 2023, onder andere door de herinvoering van de basisbeurs, sterk veranderd is ten opzichte van het laatste onderzoek hiernaar, waardoor de steekproef niet meer representatief is.
Het bovenstaande betreft studerenden die in Nederland wonen. Studenten met een woonadres in België of Duitsland, de grensbewoners, zijn uitgesloten van controle indien hun ouders op meer dan 120 km van de studieplaats van de student woonachtig zijn. Hiermee is een restant M&O gemoeid van € 0,71 miljoen. Dit bedrag is gebaseerd op controles voor de studiejaren 2019/2020. Bij studenten met een buitenlands woonadres buiten de grensgebieden wordt anders gecontroleerd. Er wordt gecontroleerd of de student aan de instelling in het buitenland is ingeschreven. Indien dat zo is, wordt aangenomen dat hij in het buitenland woonachtig is. Omdat er geen adrescontrole plaatsvindt, is er voor studerenden in het buitenland een (aanvaardbaar) restrisico. Het totale restrisico van de uitwonende beurzen bij artikel 11 is € 5,1 miljoen (0,10 procent).
De uitwonende basistoelage die op grond van de WTOS (regeling VO18+) aan een uitwonende scholier wordt verstrekt, bedroeg in 2023 € 291,62 per maand (en voor een thuiswonende scholier € 125,07). Bij de vaststelling van de tegemoetkoming scholieren (WTOS) wordt ook het adres van de leerling geverifieerd bij de BRP. De ouders verklaren dat de leerling uitwonend is. Het adres van de ouders wordt niet standaard gecontroleerd bij de BRP. Dit adres wordt alleen vastgelegd als het inkomensafhankelijke deel van de tegemoetkoming is aangevraagd. Bij verhuizing van de leerling wordt ook gecontroleerd. In totaal bestaat in het studiejaar 2022/2023 nog een restrisico van € 3,3 miljoen. Aangezien de totale uitgaven op grond van de WTOS lager zijn dan bij artikel 11 (Studiefinanciering), vormen de uitwonende beurzen ook hier een groter deel (4,8%).
Ontwikkelingen in 2023Medio 2023 waren er signalen in de media dat bij de controle van de uitwonendenbeurs studenten met een migratieachtergrond disproportioneel vaak in een beroeps- en bezwaarprocedure zaten. Naar aanleiding van deze berichtgeving lopen er diverse onderzoeken naar controleprocessen rondom de uitwonendenbeurs. Het gaat hierbij onder meer om een interne doorlichting van DUO van de controleprocessen rondom de uitwonendenbeurs, een extern onafhankelijk onderzoek van PricewaterhouseCoopers (PWC) naar deze controleprocessen en de Autoriteit Persoonsgegevens (AP) voert eveneens een onderzoek uit rondom de uitwonendencontrole van DUO. De uitkomsten hiervan zullen in 2024 bekend zijn. Het is daarom nu nog niet aan te geven welke beheersmaatregelen er in de toekomst gebruikt zullen gaan worden. Naar aanleiding van de signalen medio 2023 zijn de beheersmaatregelen, zoals die werden uitgevoerd met betrekking tot het feitelijk controleren of een student uitwonend is, halverwege 2023 stopgezet. De eerdergenoemde BRP-controle bleef in die tijd wel doorgang vinden. Na een periode is de uitwonendencontrole weer opgestart. Momenteel wordt er minder en aselect gecontroleerd of een student feitelijk uitwonend is. De selectie op grond waarvan DUO controles uitvoert of een student uitwonend is, geschiedt op dit moment zonder risico-indicatoren.
De verwachting is dat de herinvoering van de basisbeurs en de wijze waarop de uitwonendencontroles op dit moment worden vormgegeven, ervoor hebben gezorgd dat het restrisico is gestegen. Dit komt allereerst doordat de totale geldstroom van de uitgaven aan uitwonendenbeurs is toegenomen door de herinvoering van de basisbeurs. Daarnaast vermindert een aselecte steekproef de effectiviteit van de handhaving. Hierdoor is er sprake van een hoger restrisico. Dit risico kan op dit moment niet gekwantificeerd worden omdat er geen metingen gedaan zijn nadat de controleprocessen rondom de controle uitwonendenbeurs zijn veranderd.
Overige aspecten van de bedrijfsvoering
Er zijn geen bijzonderheden te melden.
Paragraaf 2 - Rijksbrede bedrijfsvoeringsonderwerpen
Grote lopende ICT-projecten
Het Ministerie van OCW en de aan haar gerelateerde zbo’s kenden in 2023 zeven ICT-projecten groter dan €5 miljoen . Al deze projecten zijn al voor 2023 gestart. Het betreft 2 projecten bij de Koninklijke Bibliotheek, Emersa en Nieuw Digitaal Magazijn, die beide in 2023 afgerond zijn. De resterende 5 projecten lopen bij DUO, namelijk: Doorontwikkelen Applicatielandschap Bekostiging, Moderniseren BasisAdministratie Persoonsgegevens, Moderniseren Examens, Vervangen Legacy Innen en Vervangen Legacy Toekennen. De laatstgenoemde 2 zijn in heroriëntatie.
Al deze projecten zijn getoetst en voorzien van een oordeel van de Chief Information Officer (CIO) van het Ministerie van OCW. Moderniseren Examens en Doorontwikkelen Applicatielandschap Bekostiging zijn ook getoetst door het (rijksbrede) Adviescollege ICT-toetsing.
Van alle projecten wordt de stand van zaken openbaar gemaakt via het Rijks ICT-dashboard. Voor alle projecten geldt dat de centrale en decentrale CIO, Chief Information and Security Officers en privacyfunctionarissen adviseren over de risico’s. De risico's worden in beeld gebracht, decentraal door het betreffende dienstonderdeel, en centraal door het integrale risicobeeld en eerder genoemde CIO-oordelen.
Beleid en kaders worden concern-breed besproken in het OCW CIO-netwerk, het OCW CISO-netwerk en het OCW Chief Privacy Officer-netwerk (i.o.).
Gebruik open standaarden en open source software
De Instructie Rijksdienst schrijft voor dat bij de aanschaf en ontwikkeling van ICT-diensten of ICT-producten in beginsel gebruik moet worden gemaakt van open standaarden van de lijst van het Forum Standaardisatie (www.forumstandaardisatie.nl). Valide afwijkingsgronden zijn opgenomen in de Instructie Rijksdienst. Indien er sprake is van een afwijking van de Instructie Rijksdienst, dan wordt dit gemotiveerd aangegeven. Bij het Ministerie van OCW zijn de CIO’s van de dienstonderdelen DUO, NA, Inspectie van het Onderwijs (IvhO), Rijksdienst voor het Cultureel Erfgoed (RCE) en Directie Organisatie en bedrijfsvoering (DOB) verantwoordelijk voor het naleven van deze instructie. De CIO’s van de dienstonderdelen werken samen in het CIO Netwerk. Hier worden afspraken gemaakt over de wijze waarop de dienstonderdelen invulling geven aan deze eis. De CIO’s van de dienstonderdelen informeren de departementale CIO over de naleving van de richtlijn. Op basis van deze informatie geeft de departementale CIO van OCW verantwoording over het gebruik van open standaarden en open source. Bij het Ministerie van OCW is in 2023 geen sprake geweest van afwijking van de Instructie Rijksdienst.
Betaalgedrag
Het streefpercentage voor tijdig betalen is 95% van alle facturen binnen 30 dagen na datum van ontvangst van de factuur. Het Ministerie van OCW voldoet al jarenlang aan de gestelde norm. Over 2023 is het percentage tijdig betalen bij het Ministerie van OCW uitgekomen op 96,8%.
Audit Committee
Conform de Regeling Audit Committees van het Rijk heeft in het jaar 2023 een tweejaarlijkse evaluatie van het Audit Committee (AC) plaatsgevonden. Het Ministerie van OCW heeft het evaluatieonderzoek verricht aan de hand van de regeling audit committees met als doel inzicht in de werking en doelbereik te krijgen. In algemene zin is het beeld dat het AC aan de eisen voldoet van de regeling audit committees, maar dat ontwikkeling nog mogelijk is. De leden zijn tevreden over het functioneren van het AC (werkwijze en inhoud). De belangrijkste observaties in de evaluatie gaan over verschillende onderwerpen.
Zo is het de bedoeling risicomanagement op de agenda te zetten en ook als uitgangspunt te nemen bij de agendering van stukken, waarbij niet alleen naar rechtmatigheid of financiële onderwerpen wordt gekeken, maar ook naar andere soorten risico’s.
Daarnaast wordt de inbreng van de huidige externe leden gewaardeerd en werkt prima. Er wordt wel aangegeven dat gastsprekers of een extern lid kunnen bijdragen aan een verdiepende en bredere inhoudelijke bespreking van onderwerpen.
De bespreking van bevindingen en onvolkomenheden in het AC werkt ook prima. Andere onderwerpen – minder vanuit de blik van ADR en AR – zijn ook interessant en nuttig zoals doelmatigheid, ICT, informatievoorziening en beveiliging, kunstmatige intelligentie en personeelsbeleid bij arbeidsmarktkrapte.
Tot slot heeft de bespreking geleid tot de beslissing om als eerste actiepunt het risicomanagementproces verder in te richten. Het Ministerie van OCW is al begonnen met het doorontwikkelen van het risicomanagementbeleid en de belangrijkste risico’s zullen voortaan periodiek worden besproken in het Audit Committee.
Departementale checks and balances subsidieregelingen
Het Ministerie van OCW heeft in 2023 verdere verbeteringen in het subsidieproces doorgevoerd. Zo zijn de bestaande formats voor risico-analyse en controlebeleid voor subsidieregelingen aan onderwijsinstellingen geëvalueerd en verbeterd. Daarnaast zijn in lijn met deze eerder genoemde formats ook formats risico-analyse en controlebeleid ontwikkeld voor subsidieregelingen aan ‘niet onderwijsinstellingen’. Voor alle formats geldt dat deze per 1 januari 2024 in gebruik zijn genomen en verplicht zijn gesteld voor alle nieuwe subsidieregelingen en voor alle wijzigingen op reeds bestaande subsidieregelingen. Verder hebben we een handreiking steekproef opgesteld om binnen het Ministerie van OCW handvatten te geven bij de steekproefsgewijze controle op de naleving van de subsidievoorwaarden- en verplichtingen.
Daarnaast is het proces voor de M&O-inventarisatie verbeterd. Zo kan door het gebruik van de nieuwe formats van risico-analyse en controlebeleid vóór de publicatie van de regeling de M&O-inventarisatie een dynamisch proces worden dat gedurende het gehele jaar plaatsvindt in plaats van jaarlijks in november. Vanaf oktober 2023 wordt aan de uitvoerders van de subsidieregelingen gevraagd om periodiek aan het Ministerie van OCW te rapporteren over signalen van M&O. Deze signalen worden betrokken bij de jaarlijkse evaluatie van de werking van het M&O-beleid per subsidieregeling. Tenslotte is ook de procesbeschrijving voor het opstellen van nieuwe subsidieregelingen doorgelicht en verbeterd. Deze procesbeschrijving wordt in het eerste kwartaal van 2024 geformaliseerd.
Normenkader financieel beheer zbo’s en rwt’s
Het normenkader financieel beheer maakt vast onderdeel uit van het toezichtkader zbo’s en rwt’s. Binnen het Ministerie van OCW is dit kader ook verankerd in een handreiking die handvatten biedt bij het reguliere toezicht op individuele zbo’s en het inrichten van het sturingsmodel (eigenaar, opdrachtgever en opdrachtnemer).
Paragraaf 3 - Belangrijke ontwikkelingen en verbeteringen in de bedrijfsvoering
Datalekken bij het Ministerie van OCW en DUO
Er zijn 128 potentiële datalekken gemeld bij de interne datalekmeldpunten. Hiervan kwalificeerden 27 uiteindelijk niet als datalek. Dit brengt het totaal aantal daadwerkelijke datalekken op 101. Er zijn 17 datalekken gemeld aan betrokkenen en 11 aan de Autoriteit Persoonsgegevens.
De datalekken zijn uitgesplitst naar organisatieonderdelen.
Gemiddelde datalekken | Waarvan geen datalek1 | Waarvan wel een datlek2 | Gemeld bij de AP3 | Gemeld bij betrokkenen4 | |
|---|---|---|---|---|---|
Totaal | 128 | 27 | 101 | 11 | 17 |
Bestuursdepartement | 17 | 4 | 13 | 4 | 3 |
DUO | 78 | 23 | 55 | 5 | 6 |
Inspectie vh Onderwijs | 26 | 0 | 26 | 2 | 7 |
Nationaal Archief | 5 | 0 | 5 | 0 | 0 |
Rijsdienst voor Cultureel Erfgoed | 2 | 0 | 2 | 0 | 1 |
Een mogelijk datalek (toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n inbreuk valt onder een datalek) moet intern gemeld worden, bij de afzonderlijke meldpunten bij de organisatieonderdelen van OCW.
Dan vindt analyse plaats of het daadwerkelijk een datalek is en of het daadwerkelijk een datalek van OCW is.
Qua totaalaantallen was er in 2023 sprake van een kleine afname van datalekken (101) t.o.v. 2022 (107). Op inhoud is er geen significante verschuiving in de soorten of oorzaken van datalekken geconstateerd. De aard van de datalekken wordt gemonitord om te bepalen of eventuele aanpassingen in processen noodzakelijk zijn. In 2023 is er een reeks van e-learnings, informatiebeveiliging en privacy ontwikkeld en gevolgd, dat het voorkomen, herkennen en melden van datalekken als belangrijke focus had.