In deze paragraaf wordt aandacht besteed aan de Rijksbrede bedrijfsvoeringsonderwerpen op verzoek van de Tweede Kamer of die door de Minister van Financiën zijn toegezegd in onder andere debatten, Algemene Overleggen en overige overleggen.
Voor 2017 wordt in deze paragraaf aandacht besteed aan de volgende Rijksbrede bedrijfsvoeringonderwerpen:
A. MenO-beleid en MenO-risico's
De MenO-risico’s bij subsidies zijn in het uitvoeringsjaar beheerst door maatregelen gebaseerd op risicoanalyse. Bij de subsidieverlening aan het bedrijfsleven wordt Rijksbreed gebruik gemaakt van RVO. De opdracht-/mandaatverlening vindt plaats met behulp van het instrument risicoanalyse. De uitvoering van het subsidiebeheer wordt verricht door RVO binnen de grenzen van het verleende mandaat/de verleende opdracht. Bij de subsidieverlening aan gelieerde instellingen is er een bijzonder belang voor het beleid en zijn zowel beleid, kadersteller als bedrijfsvoering betrokken bij de totstandkoming van de risicoanalyse en subsidieregeling; beleid gebruikt bij het subsidiebeheer Rijkbrede modellen en een eigen controleprotocol; beleid en bedrijfsvoering voeren maatregelen uit om misbruik en oneigenlijk gebruik tegen te gaan; In het uitvoeringsjaar is departementaal MenO-beleid geschreven dat begin 2018 is geformaliseerd. Aan het voorgeschreven totaaloverzicht van subsidieregelingen, met potentiële MenO-risico’s met bijbehorende getroffen maatregelen wordt gewerkt.
B. Grote lopende ICT-projecten
In deze paragraaf wordt expliciet aandacht besteed aan de uitvoerings- en privacyrisico’s van grote lopende ICT-projecten bij het ministerie (inclusief publiekrechtelijke ZBO's). Het betreft projecten met een ICT-component meer dan € 5 miljoen, die ook in de Jaarrapportage Bedrijfsvoering Rijk en het ICT-Dashboard worden gemeld. Bij de beheersing van IV-projecten wordt gebruik gemaakt van instrumenten zoals onder andere verwoord in het handboek project portfoliomanagement (opgesteld door BZK, versie november 2017 7.02). Deze zijn onder meer CIO-oordelen, reviews, Privacy Impact Assessments en de toetsing door BIT.
Zo zijn er in 2017 drie BIT-toetsen uitgevoerd: Digitaal Stelsel Omgevingswet (DSO), CivMil Voice Communication System (CVS) en Electronic Flight Strips (EFS). De uitkomsten van de toetsen en de bestuurlijke reacties zijn aangeboden aan de Tweede Kamer. Op dit moment lopen er zes BIT-aanvragen: Renovatie Stuwensemble Nederrijn en Lek, Beheer op Afstand, sluizen en bruggen in Friesland(BopA), SAA-A9: Gaasperdammerweg, Landelijk Meetnet Water 2 (LMW2), iTEC-based Centre Automation System (iCAS) en DigiInhuur. Ook is er een toetskader voor het doen van CIO-oordelen opgesteld, getoetst en vastgesteld.
Voor de beveiliging van kritieke systemen zijn processen ingericht en is over het verslagjaar een in-control verklaring (ICV) met betrekking tot het Voorschrift Informatiebeveiliging Rijksdienst VIR 2007 aan BZK verstrekt. Het ministerie heeft geen zeer hoge risico’s conform de eerder afgesproken werkdefinities. Waar nodig zijn of worden er verbeterplannen ontwikkeld.
C. Gebruik open standaarden en open source software
Bestuurskern
Er wordt gestuurd met de Enterprise Architectuur en de Open Source Software (OSS) strategie actief op de inzet van OSS en op het voldoen aan Open Standaarden. Het Standaard Platform is een goed praktijkvoorbeeld. Het Standaard Platform is volledig gebaseerd op Open Source Software en voldoet aan de Open en Rijksbrede standaarden, zoals opgenomen in de Lijst Open Standaard van het Forum Standaardisatie.
Open standaarden ICT-diensten RWS
RWS stuurt op de door het Forum standaardisatie vastgestelde open standaarden door toepassing daarvan in Project Start Architecturen (PSA). Deze worden gevolgd voor zover dat mogelijk is bij elke nieuwe ICT-toepassing. Het is traceerbaar welke open standaarden gevolgd worden door middel van de RWS standaardenlijst, waarin ook de standaarden van het Forum Standaardisatie zijn opgenomen. Tevens worden eventuele andere Europese en Internationale standaarden die van toepassing zijn in de PSA’s meegenomen. RWS beoogt op deze wijze transparant de vastgestelde open standaarden daar waar mogelijk toe te passen bij het ontwikkelen van ICT-diensten.
D. Activiteiten Audit Committee
Het Audit Committee is viermaal bijeengekomen. Naast de voortgang op ADR-bevindingen en AR onvolkomenheden is meerdere malen gesproken over versterking van het risicomanagement en het programma financiële functie 2020 (zie hieronder). Ook is gesproken over de ambities ten aanzien van het duurzaamheidsverslag, de herindeling van het ministerie ten gevolge van het regeerakkoord, het subsidiebeleid en de implementatie van de AVG. Tevens is een besluit genomen over de uit te voeren zelfevaluatie van het Audit Committee. Deze wordt in 2018 uitgevoerd; resultaten worden weergegeven in de bedrijfsvoeringparagraaf 2018.