Rechtmatigheid
Uit de controle door de Auditdienst Rijk (ADR) over 2017 is gebleken dat er geen fouten en onzekerheden zijn op artikelen van hoofdstuk V Buitenlandse Zaken die gerapporteerd moeten worden.
Totstandkoming niet-financiële verantwoordingsinformatie
Er zijn geen bijzonderheden te melden.
Financieel en materieel beheer
Ontwikkelingen inkoopbeheer
Naast de verbetering van het inkoopbeheer, door centrale registratie van inkoopopdrachten en contracten in SAP heeft BZ op 1 januari 2018 tevens organisatorische veranderingen doorgevoerd. De inkoopondersteuning van BZ is centraal georganiseerd bij de Financiële Service Organisatie. De Regionale Service Organisaties dragen gefaseerd het inkoopbeheer over.
Beheer vastgoed
Het «Masterplan huisvesting en vastgoed 2017–2022» is de basis voor de werkzaamheden in 2017. In aanvulling daarop zijn de centrale beleidsmatige uitgangspunten vastgesteld en een escalatie-procedure ingesteld indien visies omtrent huisvestingsbeleid niet overeenstemmen. De beleidsmatige uitgangspunten van het huisvestingsbeleid hebben betrekking op het prioriteren van projecten, de realisatie van moderne huisvesting en zijn gericht op een verdere professionalisering van de organisatie door informatiegestuurd te werken en hierbij rationele vastgoedafwegingen te maken. Deze doelstellingen zijn conform Masterplan opgepakt. Besluitvorming op delen daarvan zal in 2018 plaatsvinden. Het thema duurzaamheid is, mede naar aanleiding van de Parijs Akkoorden, integraal onderdeel geworden van huisvesting en vastgoed. Ten aanzien van de investeringen in projecten liep de realisatie EUR 2,4 mln. achter op de plannen. Redenen zijn een tegenvallende vastgoedmarkt, trage besluitvorming en een lang tijdpad om tot aanbesteding van makelaarsdiensten te komen.
Overige aspecten van de bedrijfsvoering
Archiefbeheer
In het rapport bij het jaarverslag 2016 van BZ heeft de Algemene Rekenkamer een onvolkomenheid toegekend aan het archiefbeheer.
Het ministerie heeft maatregelen genomen om een betere archivering te waarborgen. Zo is de scanvoorziening van documenten gebruikersvriendelijker gemaakt en zijn dienstonderdelen aangesproken bij geconstateerde achterstanden in archivering. De reacties vanuit het aanspreken en een toename in het aantal gearchiveerde stukken duiden op een versterkte bewustwording onder medewerkers. De voortgang op deze maatregelen is toegelicht in het Audit Committee, dat waardering heeft uitgesproken.
Aandachtspunt is het realiseren van de archiefkoppeling voor automatische archivering. De vertraging is opgelopen door de vertraagde transitie voor het beheer van SharePoint tussen twee ICT-dienstverleners.
De ontwikkeling van een archiefdashboard voor lijnmanagers dat inzicht moet geven in archivering bij het dienstonderdeel gaat minder voorspoedig. Dit door technische complicaties en andere prioriteitstelling voor de beschikbare ICT-capaciteit. Realisatie is voorzien in de eerste helft van 2018.
Informatiebeveiliging
Het ministerie heeft zich in 2017 gericht op de digitale weerbaarheid van BZ. Om het geheel aan beveiligingsmaatregelen rondom ICT en informatiebeveiliging strategisch in te richten is er een nieuwe «IB-strategie BZ 2016–2019» geformuleerd en de oprichting van een Security Center geformaliseerd. Met de oprichting van het Security Center kan de afhankelijkheid van externe medewerkers worden verminderd.
Voor het vaststellen van Baseline Informatiebeveiliging BZ (hierna baseline) heeft BZ zich in 2017 initieel gericht op Rijksbrede inbedding van de voor BZ relevante dreigingen in de interdepartementale Baseline Informatiebeveiliging Rijksdienst (BIR). Aangezien in de BIR de aanvallen van statelijke actoren niet zijn meegenomen dient BZ haar eigen baseline verder af te ronden, met opname van dit aspect. In het eerste kwartaal 2018 rondt het ministerie de eigen baseline verder af. Voor accreditaties heeft BZ in 2017 de twee belangrijkste ter hand genomen, gericht op het beveiligingsniveau van de basisinfrastructuur. Om de achterstand op de accreditaties in te lopen heeft BZ voor 2018 haar aanpak en planning aangepast alsmede de sturing op interne en externe stakeholders duidelijker benoemd en hierin meegenomen.
Algemene Verordening Gegevensbescherming (AVG)
BZ heeft in 2017 vorderingen gemaakt met de implementatie van de Algemene Verordening Gegevensbescherming (AVG) die 25 mei 2018 in werking treedt. De Europese verordening staat in het teken van het beschermen van persoonsgegevens en vervangt de Nederlandse Wet bescherming persoonsgegevens (Wbp). Voor implementatie van de AVG zijn een BZ-brede werkgroep, een projectgroep en een stuurgroep opgericht. Door het uitvoeren van scans op (kritische) systemen en processen, worden maatregelen geformuleerd en uitgevoerd om de privacy van gegevens beter te beschermen. BZ heeft gekozen voor een gestructureerde aanpak waarin bewustwording en het borgen van kritische processen een belangrijke rol speelt. Met deze aanpak zorgt BZ dat op 25 mei 2018 de belangrijkste processen klaar zijn voor de AVG en er een goede basis is gelegd waarmee ook minder kritische werkprocessen goed binnen de normen van de AVG kunnen worden uitgevoerd.
Risicomanagement
In 2017 is verdere opvolging gegeven aan de uitvoering van de visie op financieel toezicht en toezicht op de brede bedrijfsvoering. Er is gebouwd aan het vertrouwen op elkaars bijdrage in de keten (1een 2e lijn toezicht op bedrijfsvoering) en rollen en verantwoordelijkheden zijn aangescherpt. Daarnaast is de visie uitgebreid met het toezicht op de beleidscyclus, waarbij de verbetering van de kwaliteit van de beleidscyclus en de inrichting van het proces van toezicht daarop is geschetst. Met de visie is risicogericht toezicht vormgegeven. Het succes hiervan is echter afhankelijk van de mate waarin risicomanagement wordt gedragen. Bij BZ heeft integraal risicomanagement daarom prioriteit. Het identificeren, het prioriteren en het gericht beheersen van risico’s wordt al regelmatig toegepast, maar kan systematischer worden gedaan en beter als sturingsinstrument worden benut. In 2017 is een pilot risicosessies binnen het ministerie gehouden. Uit de evaluatie van de pilot is gebleken dat risicosessies beter moeten aansluiten bij bestaande cycli zoals de jaarplancyclus, de beleidscyclus en de toezichtcyclus. Posten en directies zijn daarom gestimuleerd om een risicoanalyse uit te voeren bij het opstellen van de jaarplannen voor 2018, waarbij risico’s meer aan beleidsresultaten zijn gekoppeld. Hiermee is gerealiseerd dat het risico denken, op één centraal moment, in de processen is geïntegreerd.