Inleiding
De bedrijfsvoering, inclusief het begrotingsbeheer, financieel beheer en de materiële bedrijfsvoering binnen het Ministerie van OCW, is op orde. De financiële overzichten geven een getrouw beeld van de uitkomsten van de begrotingsuitvoering.
Paragraaf 1 – Uitzonderingsrapportage
Rechtmatigheid
De verantwoording in het departementale jaarverslag is in overeenstemming met de begrotingswetten, de Europese regelgeving, Nederlandse wetten, algemene maatregelen van bestuur en in ministeriële regelingen opgenomen bepalingen. Voor de bepaling van fouten en onzekerheden is de rijksbrede normering toegepast. Rapporteren over onrechtmatigheden is verplicht als deze onrechtmatigheden meer bedragen dan de betreffende tolerantiegrens. Dit geldt voor begrotingsartikel 9 (Arbeidsmarkt- en personeelsbeleid).
Bij het begrotingsartikel 9 (Arbeidsmarkt- en personeelsbeleid), bedraagt de tolerantiegrens voor fouten en onzekerheden in de aangegane verplichtingen € 19,0 miljoen. Bij dit artikel overschrijden wij de tolerantiegrens. Dit wordt deels veroorzaakt doordat de ADR controle voor de bekostigings- en subsidie-instrumenten middels een statistische steekproef heeft uitgevoerd. De basisonnauwkeurigheid die voortvloeit uit de gehanteerde steekproefmethode is € 8,4 miljoen. In de steekproef zelf zijn geen fouten gesignaleerd.
De daadwerkelijk geconstateerde fouten en onzekerheden op begrotingsartikel 9 vallen lager uit dan de rapporteringstolerantie en komen uit op € 18,7 miljoen. Dit betreft:
• een onzekerheid ten aanzien van de rechtmatigheid van de aangegane verplichtingen van € 18,4 miljoen voor de Regeling Regionale aanpak personeelstekort. Deze onzekerheid heeft betrekking op het controlebeleid ten aanzien van deze regeling. Ondanks deze financiële onzekerheid heeft het ministerie wel op stelselniveau voldoende inzicht in uitvoering van de regeling omdat de instellingen via een tussenrapportage aangeven hoe de uitvoering loopt. Daarnaast is een monitor door een onafhankelijk onderzoeksbureau gestart naar de effecten van de regeling. Op deze wijze kan het ministerie zich goed inhoudelijk verantwoorden over de effecten van de regeling.
• Verder zijn er bij dit begrotingsartikel bij het inkopen fouten met betrekking tot de rechtmatigheid opgetreden voor € 0,3 miljoen.
(1) Rapporteringstolerantie | (2) Verantwoord bedrag in € (omvangsbasis) | (3) Rapporterings-tolerantie voor fouten en onzekerheden in € | (4) Bedrag aan fouten in € | (5) Bedrag aan onzekerheden in € | (6) Bedrag aan fouten en onzekerheden in € | (7) Percentage aan fouten en onzekerheden t.o.v. verantwoord bedrag = (6)/(2)*100% |
---|---|---|---|---|---|---|
Artikel 9 (Arbeidsmarkt- en personeelbeleid) verplichtingen | 190,3 miljoen | 19,0 miljoen | 0,3 miljoen | 18,4 miljoen | 18,7 miljoen |
Totstandkoming niet-financiële verantwoordingsinformatie
Naast de indicatoren en kengetallen bevat het Jaarverslag ook «overige niet financiële informatie» in de bijlagen van het Jaarverslag. De ADR ziet verbetermogelijkheden ten aanzien van de vastlegging van de totstandkoming van deze bijlagen. Wij nemen deze aanbevelingen ter harte en zullen deze bij de toekomstige jaarverslagen oppakken.
Begrotingsbeheer, financieel beheer en de materiële bedrijfsvoering
De bedrijfsvoering, inclusief het begrotingsbeheer, financieel beheer en de materiële bedrijfsvoering binnen het Ministerie van OCW, is op orde. De Algemene Rekenkamer (AR) heeft in het verantwoordingsonderzoek over 2021 vier onvolkomenheden geconstateerd, te weten bij de informatiebeveiliging bij het kerndepartement, het autorisatiebeheer Dienst Uitvoering Onderwijs (DUO), IT-beheersingsmaatregelingen DUO en M&O-beleid subsidies onderwijsinstellingen. De ADR heeft ook een (lichte) bevinding geconstateerd bij de bevoorschotting van agentschappen. Het Ministerie van OCW heeft in 2022 voortgang geboekt in het oplossen van deze onvolkomenheden en bevinding. Hieronder volgt de status.
Informatiebeveiliging kerndepartement
De AR heeft over 2021 geconstateerd dat er verbetering is geboekt bij informatiebeveiliging kerndepartement. Gedurende 2022 is hier verder aan gewerkt en heeft het programma Informatiebeveiliging (IB) grote stappen gezet in de meest urgente zaken rondom het voldoen aan de Baseline Informatiebeveiliging Overheid.
Eind 2021 is gestart met het verhogen van het bewustzijn rondom digitale veiligheid binnen het Ministerie van OCW en zijn voorbereidingen getroffen voor een groot aantal activiteiten. In 2022 zijn de volgende effecten hiervan merkbaar. Via een poster-campagne, awareness e-learning (voor nieuwe en zittende collega’s) en een terugkerende phishing oefening zijn de medewerkers van concern-OCW bewust gemaakt van alledaagse IB-handelingen.
Het MT-OCW heeft in december 2021 de I-Governance vastgelegd, deze gaat over de sturing en beheersing van digitalisering onderwerpen, waaronder informatiebeveiliging. Deze governance heeft in 2022 geleid tot de vorming van een netwerk van Chief Information Security Officer (CISO’s) van de dienstonderdelen dat wordt voorgezeten en geleid door de departementale CISO. Dit netwerk heeft als doel grotere samenhang, rapportage en structuur tussen de dienstonderdelen, een efficiënter en consistenter aanpak van de verbetering van informatiebeveiliging en werken aan de «één-concern» mentaliteit. Onderliggend aan dit netwerk is een afgestemd charter (set afspraken), waarmee concern-OCW meer grip krijgt op de verbetering van haar digitale weerbaarheid.
In 2022 is de risicomanagement-aanpak op meerdere niveaus uitgebreid. Proceseigenaren voeren samen met Security Officers quickscans uit op proces- en systeemniveau. In een cyclus op een hoger aggregatieniveau worden tijdens de Risicobeeld-jaarcyclus bij dienstonderdelen de risico’s en bijbehorende maatregelen rondom de ‘Te Beschermen Belangen’ vastgesteld. Dit is een integrale aanpak, waarbij de samenhang wordt gezocht tussen IB, privacy, fysieke veiligheid en integriteit. De terugkerende aard van de gesprekken en bijbehorend beeld verhoogt het bewustzijn van het belang bij zowel proceseigenaren als management en geeft de gelegenheid bij te sturen op dit onderwerp. De risicomanagement-aanpak voedt hiernaast ook het processenregister, met als resultaat een completer overzicht van processen en bijbehorende applicaties.
Op centraal niveau is er inzicht in de trend met betrekking tot incidenten, dit heeft de D-CISO nodig om te kunnen sturen. Hij wordt betrokken bij grotere incidenten en de registratie hiervan gebeurt in een incident-registratiesysteem, dat toegankelijk is voor de relevante functionarissen. In 2022 is samengewerkt met de verschillende servicedesks, om middels een reeks trainingen en aanpassingen in werkwijzen (IB) incident-rapportage te verbeteren. Aan incidenten worden waar nodig, op basis van vooraf gedefinieerde criteria, hogere prioriteit gegeven. Per niveau is beschreven welke functionaris – waaronder de D-CISO – betrokken (op zowel decentraal als centraal niveau) moet worden. In 2022 is gebleken dat dit proces werkt.
De inspanningen die het Ministerie van OCW heeft geleverd op het vlak van informatiebeveiliging hebben ertoe geleid dat het ministerie hierop beter in control is. Het Ministerie van OCW heeft oog voor de ontwikkelingen van de externe dreiging, sluit aan bij Rijksbrede ontwikkelingen ter verbetering van de digitale veiligheid en heeft aansluitend daarop haar eigen plan opgesteld om in control te blijven.
Autorisatiebeheer Dienst Uitvoering Onderwijs
De AR heeft in 2021 aangegeven dat DUO voortgang heeft geboekt en constateerde dat de kwaliteit van de autorisatiematrices en controles op de autorisaties is verbeterd, maar nog niet op het gewenste niveau is. De AR heeft autorisatiebeheer daarom als onvolkomenheid aangemerkt. DUO heeft conform haar plan in 2022 verder gewerkt aan onderstaande drie randvoorwaarden om de kwaliteit op het gewenste niveau te krijgen:
1. Juiste risicoclassificatie van systemen: DUO heeft alle systemen voorzien van een risicoclassificatie gebaseerd op de normen beschikbaarheid, integriteit en vertrouwelijkheid uit de Baseline Informatiebeveiliging Overheid. Dit is van belang voor het bepalen van de frequentie en diepgang van de periodieke analyses.
2. Goede autorisatiematrices: DUO heeft gekozen voor een risicogerichte benadering waarbij de autorisatiematrices van de systemen met risicoclassificatie hoog integraal zijn gecontroleerd en de autorisatiematrices met risicoclassificatie midden steekproefsgewijs. Naar aanleiding van deze controles zijn de autorisatiematrices verder aangescherpt. Dit resulteert in kwalitatief goede autorisatiematrices die het uitgangspunt vormen voor de inhoudelijke controles op de autorisaties in de systemen.
3. Uitvoeren van managementcontroles en de applicatiecontroles: De managementcontrole ziet er op toe dat de juiste autorisaties aan de juiste medewerkers zijn toegekend. Bij de applicatiecontrole controleert de systeemeigenaar aan de hand van de kwalitatief goede autorisatiematrix of de autorisaties ook juist in het systeem staan. DUO heeft in 2022 de managementcontroles en applicatiecontrole uitgevoerd voor de systemen met de risicoclassificatie hoog en midden. Een deel van de applicatiecontrole loopt door tot in 2023.
DUO heeft in 2022 de migratie naar het RBAC (Role based access control) afgerond. Hiermee is DUO in staat voor het merendeel van de systemen de autorisaties te verstrekken op basis van rollen. Als gevolg van de migratie zijn onterechte autorisaties verwijderd. Voor de systemen die vanwege diverse redenen (nog) niet kunnen worden ontsloten via de RBAC-tooling heeft DUO separate monitoring ingericht. DUO heeft aan de hand van criteria een lijst opgesteld met systemen die alsnog worden aangesloten op de RBAC-tooling.
Dit zijn essentiële mijlpalen voor de beheersing van autorisatiebeheer. Het project autorisatiebeheer is met het bereiken van deze mijlpalen in de fase gekomen van overdracht en borging in de lijnorganisatie van DUO.
IT-beheersingsmaatregelen Dienst Uitvoering Onderwijs
De AR heeft in 2021 geconstateerd dat verbeteringen ten aanzien van IT-beheersing maatregelen bij DUO nodig zijn. De verbeteringen zijn nodig voor de onderwerpen back-up, recovery, continuïteitsmanagement, wachtwoord beheer en beheer van het SAP-systeem. DUO onderschrijft het belang van een goed IT-beheer en heeft dit in 2022 voortvarend opgepakt.
DUO heeft meerdere «poetsweken» georganiseerd, waarbij aan de medewerkers de ruimte is gegeven om gericht te werken aan de nodige verbeteringen. Dit heeft gezorgd voor een versnelling in het doorvoeren van verbeteringen, maar ook voor extra bewustzijn voor het belang van een goed IT-beheer binnen de algehele organisatie. DUO heeft een aanzienlijk deel van de bevindingen in 2022 opgelost. Voor een aantal bevindingen geldt dat vanwege de complexiteit een langere doorlooptijd nodig is. DUO heeft de ambitie om aan het eind van het eerste kwartaal van 2023 de resterende bevindingen te hebben opgelost.
DUO heeft in 2022 goede stappen gezet bij het duurzaam oplossen van bevindingen op het domein van autorisatiebeheer en IT-beheer. Dit heeft een forse inzet van personeel en middelen gevraagd. Het heeft ook meer doorlooptijd gekend dan waar eerder rekening mee werd gehouden. DUO heeft de ambitie om meer proactief te gaan opereren om bevindingen te voorkomen en zal hier verder op inzetten in 2023.
M&O-beleid subsidies onderwijsinstellingen
De ADR en de AR hebben bij het jaarverslag 2021 geconcludeerd dat het M&O-beleid voor subsidies aan onderwijsinstellingen ontoereikend was. Zij vonden dat bij een aantal subsidieregelingen de risico-analyses niet of onvoldoende uitgewerkt waren waardoor ook het controlebeleid onvoldoende was uitgewerkt en noodzakelijke aanvullende controlemaatregelen niet genomen waren. Het Ministerie van OCW is eind 2021 al gestart met een verbeterplan voor het M&O-beleid voor subsidies aan onderwijsinstellingen. In 2022 is hier verder gevolg aan gegeven door het ontwikkelen van formats voor risico-analyses en controlebeleid en keuzehulpen voor het bepalen van de juiste verantwoordingsinformatie die opgevraagd moet worden. De formats voor risico-analyse en controlebeleid zijn per 1 november 2022 ook verplicht en worden betrokken bij de bespreking van nieuwe subsidieregelingen in het Expertise Centrum Subsidies (ECS). Dit heeft geleid tot instrumenten waarmee het M&O-beleid per subsidieregeling effectiever en zichtbaarder kan worden uitgewerkt. De kern van de verbetering is dat voortaan beter wordt uitgeschreven welke voorwaarden in een subsidieregeling zijn opgenomen en welke M&O-risico’s deze voorwaarden met zich meebrengen. Deze M&O-risico’s per subsidievoorwaarden worden vervolgens beheerst door (steekproefsgewijs) verantwoordingsinformatie over de naleving van de subsidievoorwaarden op te vragen en daar een passend controlebeleid op te formuleren. Hiermee is het verbeterplan volledig uitgevoerd.
Begrotingsrealisatie door te vroege bevoorschotting
De systematiek van het kasstelsel is dat niet gerealiseerde budgetruimte aan het eind van het jaar terugvloeit naar het Ministerie van Financiën. Agentschappen hebben een baten-lastenstelsel dat mogelijkheden geeft om financiële middelen aan te houden zolang dit niet bovenmatig is. Volgens de ADR stonden in het jaarverslag 2021 op de balans bij de agentschappen van het Ministerie van OCW bedragen die het gevolg waren van te hoge bevoorschotting. Het Ministerie van OCW heeft in 2022 de werkwijze beoordeeld en bijgesteld. Op de momenten dat de 1e en 2e suppletoire wetten worden voorbereid, wordt voortaan scherper gekeken naar de (balans)posten die zijn bevoorschot en wordt er zo nodig afgerekend. In 2022 zijn de posten al duidelijk omlaag gebracht bij de agentschappen. Enkele posten zullen in 2023 nog worden afgebouwd. Hiermee voldoen wij aan de financiële kaders van het begrotingsbeheer.
Frauderisico’s
Het Ministerie van OCW besteedt op diverse wijzen aandacht aan het beheersen van fraude: het voorkomen van fraude en het actief handelen mocht er onverhoopt toch fraude plaatsvinden.
De primaire verantwoordelijkheid voor het voorkomen, detecteren en reageren op fraude – gerelateerd aan de financiële processen - is bij het Ministerie van OCW decentraal belegd bij de directies, diensten en agentschappen. De directie FEZ houdt toezicht op dit beheersstelsel. De belangrijkste materiële risico’s op fraude zijn te onderkennen bij:
• inkoop- en aanbestedingstrajecten;
• verstrekken en vaststellen van subsidies, verstrekken van studiefinanciering, lerarenbeurzen en registratie van diploma’s;
• personele vergoedingen (zoals onterechte of te hoge declaraties) aannemen, geschenken en diefstal;
• doorbreking van interne beheersmaatregelen in financiële en betaalprocessen (zoals functievermenging, samenspanning, valsheid in geschrifte) door onvoldoende autorisatiebeheer en informatiebeveiliging
Beheersing van de risico’s
• Bij fraude kan er sprake zijn van interne fraude door ambtenaren of bestuurders van het Ministerie van OCW of externe fraude (jegens de overheid). Bij interne fraude betreft het medewerkers van het Ministerie met betrekking tot programmagelden (subsidies, uitkeringen, bijdragen, opdrachten, etc.) en apparaatsgelden (personele en materiële uitgaven). Bij externe fraude gaat het om fraude door derden en valt het onder Misbruik en oneigenlijk gebruik.
• Binnen het Ministerie van OCW worden in de processenstappen controles ingebouwd door functiescheiding, autorisatiebeheer en het vier-ogen-principe ter voorkoming en het beperken van de interne frauderisico’s.
• In de interne planning- en controlcyclus wordt aandacht gevraagd voor het voorkomen van fraude bij de directies en DG-en.
• Voor het verkrijgen van inzicht in financiële fraudegevallen die zich ondanks de maatregelen toch voordoen, en een juiste opvolging te borgen, heeft het Ministerie van OCW het proces om (vermoedelijke) financiële fraude te melden en af te handelen uitgewerkt en vastgesteld. Er zijn geen fraudemeldingen in 2022 geweest die betrekking hebben op de interne (financiële) processen van het Ministerie van OCW.
• Financiële stromen waarbij derden betrokken zijn, vallen onder het Misbruik en Oneigenlijk gebruik-beleid. Zie hiervoor de nadere uitwerking onder de paragraaf «Misbruik en Oneigenlijk gebruik».
• Ook bij nieuwe wet- en regelgeving wordt steeds meer aan de voorkant, namelijk bij het ontwerpen, het mogelijke misbruik en oneigenlijk gebruik in beeld gebracht en voorkomen.
• Een belangrijk onderdeel bij het voorkomen van fraude is integriteit. Nieuwe medewerkers worden gevraagd de eed of belofte af te leggen, zodat het belang van integriteit aan het begin van de loopbaan bij het Ministerie van OCW duidelijk wordt. En ook zijn er de formele gespreksmomenten, zoals functioneringsgesprekken, periodieke overleggen (onder andere met de Ondernemingsraad), de gesprekken in de cyclus van de managementafspraken en aandacht voor de week van de integriteit. Ook de informele gesprekken en de open houding vanuithet management richtingmedewerkers zijn belangrijk. Mocht iemand zich desondanks toch onvoldoende veilig voelen om misstanden te melden, dan kan de vertrouwenspersoon voor integriteit of contact met het Huis voor Klokkenluiders worden gezocht.
Misbruik en oneigenlijk gebruik (M&O)
Op grond van de Comptabiliteitswet 2016 dienen ministeries in het kader van het M&O-beleid toe te zien op het financieel beheer van de subsidiestroom. Het Ministerie van OCW heeft als uitgangspunt regelgeving tot stand te brengen die zo min mogelijk gevoelig is voor fraude, misbruik of oneigenlijk gebruik. Jaarlijks worden de risico’s op M&O geïnventariseerd. Waar nodig wordt het voorlichtings-, controle-, sanctie- en/of evaluatiebeleid aangescherpt, daarbij de wenselijkheid en doelmatigheid van deze middelen in ogenschouw nemend.
Restrisico’s op M&O
In sommige gevallen zijn de getroffen beheersmaatregelen niet voldoende om M&O geheel uit te sluiten, bijvoorbeeld wanneer de kosten van de controles hoger zijn dan de baten of wettelijke mogelijkheden begrensd zijn. Er is dan sprake van een restrisico, oftewel restant M&O. Dit is de gevoeligheid voor M&O die (bewust) overblijft nadat alle adequate maatregelen ten aanzien van voorlichting, controle, sanctie en evaluatie zijn getroffen.
Onderstaande tabel beschrijft per begrotingsartikel de geldstromen met restant M&O dat overblijft na inzet van beheersmaatregelen als aan het betreffende begrotingsartikel een restant M&O kleeft groter dan € 1 miljoen.
Tevens is het totaal aan restrisico opgenomen van de geldstromen met een restant M&O groter dan € 1 miljoen als percentage van de totale uitgaven op artikelniveau.
Omschrijving | Bedrag (x € 1 miljoen) | Percentage restant M&O>€1 mln (van de totale uitgave per artikel) |
---|---|---|
Artikel 11 Studiefinanciering | ||
Aanvullende beurs | 45,91 | 0,86% |
Uitwonende beurzen | 5,081 | 0,10% |
Artikel 12 Tegemoetkoming onderwijsbijdrage en schoolkosten | ||
Uitwonende beurzen | 3,47 | 5,03% |
Hieronder volgt een toelichting op de geldstromen met een restant M&O groter dan € 1 miljoen.
Aanvullende beurs
Studenten kunnen in aanmerking komen voor een aanvullende beurs. De hoogte van de aanvullende beurs hangt mede af van het ouderlijk inkomen. Wanneer ouders in Nederland wonen is het risico op misbruik beperkt. De Belastingdienst beheert de inkomensgegevens vanuit het basisregister inkomen. DUO is bevoegd deze inkomensgegevens van de Belastingdienst te gebruiken en is ook afhankelijk van deze gegevens. In 2022 is totaal € 881,3 miljoen aan aanvullende beurs verstrekt. Daarvan heeft € 58,3 miljoen betrekking op studenten met ouders in het buitenland. DUO vraagt de bewijsstukken bij de ouders zelf of bij de student op, maar de juistheid en volledigheid van het opgegeven buitenlands inkomen is niet volledig met zekerheid door DUO vast te stellen. Uitzondering hierop zijn de voormalige Nederlandse Antillen (€ 12,4 miljoen), waar dit wel mogelijk is. Hierdoor is er sprake van een restrisico bij studenten met een aanvullende beurs met ouders in het buitenland van € 45,9 miljoen.
Studiefinanciering en tegemoetkoming onderwijsbijdrage, uitwonende beurzen
Op grond van de Wet studiefinanciering 2000 (WSF 2000) en de Wet tegemoetkoming onderwijsbijdrage en schoolkosten (WTOS) komt een deel van de studerenden in aanmerking voor een hogere beurs wanneer ze uitwonend zijn. Dit geldt alleen voor mbo-studenten en voor studenten in het hoger onderwijs die niet onder het studievoorschot vallen. In 2022 is de basisbeurs voor een uitwonende mbo-student € 288,77 per maand (en voor een thuiswonende mbo-student € 88,48 per maand). In 2022 is de maximale aanvullende beurs voor een uitwonende mbo-student € 385,86 (en voor een thuiswonende mbo-student € 362,50)1. De totale uitgaven aan uitwonende beurzen bedroeg in 2022 € 133,0 miljoen (WSF 2000).
Bij de vaststelling van de studiefinanciering wordt nu uitgegaan van het adres in de Basis Registratie Personen (BRP). Niet alle studerenden wonen daadwerkelijk op het geregistreerde adres. Daarom worden fysieke controles op het opgegeven woonadres uitgevoerd, zodat het risico op misbruik voor een uitwonendenbeurs wordt beperkt. Vanwege de coronapandemie is er vanaf eind maart 2020 in het kader van de studiefinanciering, lesgeld en WTOS een aantal coulancemaatregelen opgesteld. Veel van deze maatregelen zijn ingesteld om studenten en debiteuren met acute financiële problemen tegemoet te komen. Zo konden studenten extra lenen en zijn controles en de overdracht naar deurwaarders gestaakt. Het uitstellen van deze controles heeft vooralsnog geen effect gehad op de M&O-gevoeligheid van de uitgaven op grond van de WSF 2000, omdat de controles later worden opgepakt. Studenten moeten de onterecht ontvangen studiefinanciering terugbetalen en krijgen een boete opgelegd.
Het bovenstaande betreft studerenden die in Nederland wonen. Studenten met een woonadres in België of Duitsland, de grensbewoners, zijn uitgesloten van controle indien hun ouders op meer dan 120 km van de studieplaats van de student woonachtig zijn. Hiermee is een restant M&O gemoeid van € 0,71 miljoen. Dit is gebaseerd op controles voor de studiejaren 2019-2020. Bij studenten met een buitenlands woonadres buiten de grensgebieden wordt anders gecontroleerd. Er wordt gecontroleerd of de student aan de instelling in het buitenland is ingeschreven. Indien dat zo is, wordt aangenomen dat hij in het buitenland woonachtig is. Omdat er geen adrescontrole plaatsvindt, is er voor studerenden in het buitenland een (aanvaardbaar) restrisico. Het totale restrisico van de uitwonende beurzen bij artikel 11 is € 5,1 miljoen (0,10%).
De uitwonende basistoelage die op grond van de WTOS (regeling VO18+) aan een uitwonende scholier wordt verstrekt, bedroeg in 2022 € 284,01 per maand (en voor een thuiswonende scholier € 121,81). Bij de vaststelling van de tegemoetkoming scholieren (WTOS) wordt ook het adres van de leerling geverifieerd bij de BRP. De ouders verklaren dat de leerling uitwonend is. Het adres van de ouders wordt niet standaard gecontroleerd bij de BRP. Dit adres wordt alleen vastgelegd als het inkomensafhankelijke deel van de tegemoetkoming is aangevraagd. Bij verhuizing van de leerling wordt ook gecontroleerd. In totaal bestaat in het studiejaar 2021/2022 nog een restrisico van € 3,5 miljoen. Aangezien de totale uitgaven op grond van de WTOS lager zijn dan bij artikel 11 (Studiefinanciering), vormen de uitwonende beurzen ook hier een groter deel (5,03%).
Overige aspecten van de bedrijfsvoering
Er zijn geen bijzonderheden te melden.
Paragraaf 2 - Rijksbrede bedrijfsvoeringsonderwerpen
Grote lopende ICT-projecten
Het Ministerie van OCW kende in 2022 negen ICT-projecten groter dan € 5 miljoen. Waar eerst sprake was van advisering over ICT-projecten, is daar met ingang van 2021 advisering over het onderhoud en beheer van informatiesystemen aan toegevoegd.
Jaarlijks rapporteert het Ministerie van OCW over deze projecten conform het daarvoor afgesproken rapportagemodel aan het Ministerie van BZK. Van alle projecten wordt de stand van zaken openbaar gemaakt via het Rijks ICT-dashboard. Voor alle projecten geldt dat de Chief Information Officer (CIO), de Chief Information Security Officer (CISO) en privacyfunctionarissen adviseren over de risico’s. Door deze adviezen, maar ook door de inzet van instrumenten als Gateway-reviews, AcICT toetsen en de OCW-risicorapportage worden dergelijke risico’s tijdig in kaart gebracht en zijn deze continu onder de aandacht. Daartoe worden in de trajecten zelf ook waarborgen ingebracht om risico’s voor de uitvoering te onderkennen. De functionarissen gegevensbescherming van het Ministerie van OCW zien toe op naleving van de Algemene Verordening Gegevensbescherming (AVG). Bij nieuwe wetgeving en grote ICT-projecten heeft het opstellen van Privacy Impact Assessments (PIA) een plaats gekregen.
Gebruik open standaarden en open source software
De Instructie Rijksdienst schrijft voor dat bij de aanschaf en ontwikkeling van ICT-diensten of ICT-producten in beginsel gebruik moet worden gemaakt van open standaarden van de lijst van het Forum Standaardisatie (www.forumstandaardisatie.nl). Valide afwijkingsgronden zijn opgenomen in de Instructie Rijksdienst. Indien er sprake is van een afwijking van de Instructie Rijksdienst, dan wordt dit gemotiveerd aangegeven. Bij het Ministerie van OCW is bij de meting eind 2022 geen sprake geweest van afwijking van de Instructie Rijksdienst.
Betaalgedrag
Het streefpercentage voor tijdig betalen is 95% van alle facturen binnen 30 dagen na datum van ontvangst van de factuur. Het Ministerie van OCW voldoet al jarenlang aan de gestelde norm. Over 2022 is het percentage tijdig betalen bij het Ministerie van OCW uitgekomen op 97,4%.
Audit Committee
Het afgelopen jaar is het Audit Committee (AC) vier keer bijeengekomen, drie daarvan in hybride vorm en één digitaal. De samenstelling van het AC van het Ministerie van OCW is in 2022 veranderd door de komst van een nieuw extern lid. Dat betekent dat het AC wordt gevormd door de Secretaris-Generaal, als voorzitter, de leden van het MT-OCW, een afgevaardigde van de ADR, een afgevaardigde van de AR, de directeur Financieel-Economische Zaken en twee externe leden.
De onderwerpen die in het afgelopen jaar aan de orde zijn gekomen, hebben vooral betrekking op het departementaal jaarverslag, het samenvattend auditrapport van de ADR hierbij, het verantwoordingsonderzoek van de AR en het toezicht op het oplossen van de onvolkomenheden. Daarnaast zijn ook de volgende onderwerpen besproken: fraudebeheersingsrisico’s, de strategische evaluatie agenda, het Fonds Onderzoek en wetenschap, de financiering kinderopvang/greenfieldsbenadering en het reviewbeleid van de Inspectie van het Onderwijs.
In 2023 zal het AC opnieuw worden geëvalueerd.
Departementale checks and balances subsidieregelingen
Het Ministerie van OCW heeft in 2022 verdere verbeteringen in het subsidieproces doorgevoerd, zie hiertoe ook de paragraaf M&O. Zo zijn in 2022 (beleidsmatige) aanpassingen gedaan aan het proces rondom het opstellen van subsidieregelingen. Daarnaast is de positie van het Expertisecentrum subsidies (ECS) versterkt en worden de procesbeschrijvingen momenteel geactualiseerd. Daarnaast zijn twee nieuwe instrumenten ten aanzien van subsidie-evaluaties opgesteld, ‘Handreiking subsidie-evaluatie’ en ‘Meerjaren subsidie-evaluatie agenda’. Hiermee is het tijdig evalueren van subsidieregelingen beter op de kaart gezet.
Normenkader financieel beheer zbo’s en rwt’s
Het normenkader is sinds enige tijd staande praktijk en maakt daardoor onderdeel uit van het reguliere toezicht en het sturingsmodel (eigenaar, opdrachtgever en opdrachtnemer).
Beheer NGF projecten
Bij twee NGF projecten bestaat er een onzekerheid over de rechtmatigheid van de personele uitgaven. Dit betreft de volgende projecten: Ontwikkelkracht en Digitaal onderwijs. We zullen hiervoor in 2023 een oplossing zoeken zodat toekomstige personele uitgaven voor NGF projecten wel een op rechtmatige wijze besteed kunnen worden.
Paragraaf 3 - Belangrijke ontwikkelingen en verbeteringen in de bedrijfsvoering
Datalekken bij het Ministerie van OCW en DUO
Het aantal meldingen van mogelijke datalekken bij het Ministerie van OCW (exclusief DUO) in 2022 is 32 geweest (11 in 2021). Na onderzoek is gebleken dat voor 10 meldingen geen vervolgactie nodig was omdat dit bij nader inzien geen inbreuk op de privacy (datalek) betrof. Vijf datalekken zijn bij de Autoriteit Persoonsgegevens (AP) gemeld (2 in 2021). Een awareness-campagne en het hierdoor bewuster omgaan met mogelijke datalekken heeft geleid tot een kleine toename van het aantal gemelde datalekken.
DUO heeft in 2022 126 meldingen van potentiële datalekken ontvangen (113 in 2021), waarvan in 85 gevallen (in 2021 82) daadwerkelijk sprake was van een datalek. Hiervan is in 29 (25 in 2021) gevallen een melding bij de Autoriteit Persoonsgegevens (AP) gedaan en bij 12 gevallen (7 in 2021) is een melding gemaakt bij het Ministerie van SZW (datalekken gerelateerd aan Inburgering, waarvoor het Ministerie van SZW verantwoordelijk is). Tot slot zijn 23 datalekken (25 in 2021) gemeld aan betrokkenen (degenen wiens persoonsgegevens gelekt zijn).
Op inhoud is er geen significante verschuiving in de soorten of oorzaken van datalekken binnen DUO geconstateerd en ook qua aantal datalekken zijn geen grote wijzigingen aan de orde. De aard van de datalekken wordt continu gemonitord om te bepalen of eventuele aanpassingen in processen noodzakelijk zijn.
Financiering DUO
In 2021 is vastgesteld dat er behoefte is aan een betere afstemming tussen de kosten van DUO en de daarmee verband houdende lumpsum-vergoeding die DUO ontvangt van de opdrachtgevende OCW-directies. Hiertoe is een analyse gedaan en er is in 2022 meer aandacht besteed om de integrale kosten van opdrachten in beeld te brengen. Er wordt verder gewerkt aan de onderbouwing van de indirecte kosten.
Transitieplan DUO
Naar aanleiding van de bevindingen in het rapport van het Adviescollege ICT-toetsing in 2021 inzake Doorontwikkelen Applicatielandschap Bekostiging heeft DUO in 2022 een transitieplan opgesteld en grotendeels uitgevoerd. Dit leidt tot een betere beheersing van grote ICT-ontwikkeltrajecten.
Werk aan Uitvoering (WaU)
In 2022 zijn de plannen van het kabinet en de impact voor DUO van de WaU nader uitgewerkt. DUO werkt samen met enkele andere uitvoeringsorganisaties, waarbij de continuïteit van de dienstverlening, de ruimte voor nieuw beleid (wendbaarheid) en maatwerk aan burgers, bedrijven en instellingen centraal staan. Er is in de samenwerking ook aandacht voor de wetgeving, besturing in de driehoek eigenaar/opdrachtgever/uitvoerder), data-, IT- en HRM-vraagstukken.