van het ministerie van Algemene Zaken (III) Auditrapport 2017 Agentschap Dienst Publiek en Communicatie Ministerie van Financiën Auditdienst Rijk Status Definitief Datum 15 maart 2018 Versie 1.0 Pagna t van f6
Auditrapport 2017 Agentschap Dienst Publiek en Communicatie van het ministerie van Algemene Zaken (Til) Colofon Titel Auditrapport 2017 Agentschap Dienst Publiek en Communicatie Kenmerk 2018-0000031168 Inlichtingen Auditdienst Rijk Postbus 20201 2500 EE Den Haag Pagina 3 van 16
Aauditrappor-t 2017 Agentschap Ejienst Publiek en Cammunicatie van het ministerie van lgemene Zaken (III) Inhoud 1. Samenvatting 7 2 Goedkeurende controleverklaring 9 2.1 Financiële overzichten akkoord bevonden 9 2.2 Geen overschrijding van de rapporteringstoleranties 9 3 Geen nieuwe bevindingen ïn 2017 11 3.1 Geen bevindingen in het financieel en materieel beheer il 3.2 Follow-up interim rapport 12 3.3 Aandachtspunten in het beheer over 2017 12 3.3.1 Beheer transactie-inkopen en -kosten 12 3.3.2 Beheer salarissen 12 3.3.3 Informatiebeveiliging 12 4 Niet-financiële informatie is zorgvuldig tot stand gekomen 14 4.1 Totstandkoming prestatie-indicatoren --14 4.2 Totstandkoming bedrijfsvoeringsparagraaf 14 5 Overige onderwerpen 15 5.1 Algemene Verordening Gegevensbescherming 15 6 Ondertekening 16 Pagina 5 van 16
Auditrapport 2017 Agentschap Dienst Publiek en Communicatie van het ministerie van Algemene Zaken (III) Samenvatting Doel en doelgroepen In dit rapport doen wij verslag van de uitkomsten van onze controle over 2017 bij het agentschap Dienst Publiek en Communicatie (DPC) van het ministerie van Algemene Zaken. Dit rapport is opgesteld voor de directeur van agentschap DPC en wordt tevens verstrekt aan de leden van het audit committee en de directeur Financieel-Economische Zaken van het ministerie van Algemene Zaken. Het rapport wordt verder toegezonden aan de minister van Financiën en de president van de Algemene Rekenkamer. Financiële verantwoordingsinformatie in de interne jaarrekening Wij hebben een goedkeurende controleverklaring afgegeven bij de interne jaarrekening 2017 van het agentschap DPC. Dat houdt in dat de in de interne jaarrekening opgenomen financiële overzichten een getrouw beeld geven van de grootte en de samenstelling van het vermogen van baten-lastenagentschap DPC op 31. december 2017, van de baten en lasten over 2017 en van de comptabele rechtmatigheid van de baten, lasten en balansmutaties over 2017 in overeenstemming met de verslaggevingsvoorschriften die zijn opgenomen in de Comptabiliteitswet 2016 en de daaruit voortvloeiende regelgeving, waaronder de Regeling agentschappen en de Regeling rijksbegrotingsvoorschriften 2018. Financieel en materieelbeheer Het financieel en materieel beheer bij agentschap DPC voldoet in 2017 over het algemeen aan de daaraan te stellen eisen. Overige onderwerpen In december 2017 is door de bestuursraad van het ministerie van Algemene Zaken het plan van aanpak voor de implementatie van de Algemene verordening gegevensbescherming (AVG) vastgesteld. De verantwoordelijkheid voor de uitvoering van dit plan van aanpak ligt bij de diensthoofden (waaronder de directeur van agentschap DPC). Het project verloopt tot dusver conform planning. Leeswijzer Dit rapport is als volgt ingedeeld: de controle van de financiële overzichten (hoofdstuk 2); het onderzoek naar het gevoerde financieel en materieelbeheer en de daartoe bijgehouden administraties (hoofdstuk 3); het onderzoek naar de totstandkoming van de niet-financiële verantwoordingsinformatie in het de interne jaarrekening (hoofdstuk 4); overige onderwerpen (hoofdstuk 5); Openbaarmaking De ADR is de interne auditdienst van het Rijk. Onze rapporten zijn primair bestemd voor de opdrachtgevers met wie wij een opdracht zijn overeengekomen. De ministerraad heeft op 19 februari 2016 een beleidslijn vastgesteld voor het openbaar maken van rapporten van de ADR. Op grond daarvan zal de minister van Algemene Paina 7 van 16
website van de Rijksoverheid (www.rijksoverheid.ni). 1 Zaken dit auditrapport op of na verantwoorclingsdag, 16 mei 2018, plaatsen op de Pagina 8 van 16 (www.rijksoverheid.nl). rapporten die de ADR heeft uitgebracht en plaatst dit overzicht op de website van de Rijksoverheid De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van de Auditrapport 2017 Agentschap Dienst Publiek en Communicatie van het ministerie van Algemene Zaken (1fl)
.. De Auditrapport 2017 Agentschap Dienst Publiek en Communicatie van het ministerie van Algemene Zaken (III) 2 Goedkeurende controleverklaring Inleiding Als eerste onderdeel van onze controle stellen wij vast of de in de interne jaarrekening opgenomen financiële overzichten een getrouw beeld geven van de grootte en de samenstelling van het vermogen van baten-lastenagentschap DPC op 31 december 2017, van de baten en lasten over 2017 en van de comptabele rechtmatigheid van de baten, lasten en balansmutaties over 2017 in overeenstemming met de verslaggevingsvoorschriften die zijn opgenomen in de Comptabiliteitswet 2016 en de daaruit voortvloeiende regelgeving, waaronder de Regeling agentschappen en de Regeling rijksbegrotingsvoorschriften 2018. in 2017 gerealiseerde baten bedroegen 83,9 mln (2016: (94,1 mln) en de gerealiseerde lasten bedroegen 83,7 mln (2016: 94,4 mln). In 2017 is een positief resultaat geboekt van 0,2 mln (2016: -1-0,4 mln). Wij plannen en voeren onze controle zodanig uit dat wij een redelijke mate van zekerheid verkrijgen dat de financiële overzichten geen afwijkingen van materieel belang bevatten. De financiële overzichten bestaan uit: de balans per 31 december 2017; de staat van baten en lasten over 2017; het kasstroomoverzicht over 2017; o de toelichting met een overzicht van de gehanteerde grondslagen voor financiële verslaggeving en andere toelichtingen; de verantwoording over de comptabele rechtmatigheid van de baten, lasten en balansmutaties over 2017. Het materieel belang is bepalend voor de strekking. van het oordeel in de controleverklaring. De materialiteit voor de verantwoording als geheel bedraagt 2% van de baten voor fouten en onzekerheden bij elkaar opgeteld. Voorts hebben wij onderzocht of de in de interne jaarrekening opgenomen andere (niet-financiële) verantwoordingsinformatie niet strijdig is met de in de interne jaarrekening opgenomen financiële overzichten en geen materiële afwijkingen bevat. Ook zijn wij nagegaan dat de interne jaarrekening alle voorgeschreven informatie bevat. Hieronder gaan wij in op de belangrijkste bevindingen van onze controle. 2.1 Financiële overzichten akkoord bevonden Wij hebben een goedkeurende controleverklaring afgegeven bij de interne jaarrekening 2017 van het agentschap DPC van het ministerie van Algemene Zaken. Deze verklaring wordt separaat aan agentschap DPC verstrekt ten behoeve van opname in de overige gegevens in de interne jaarrekening. 2.2 Geen overschrijding van de rapporteringstoleranties In de uiteenzetting over de gevoerde bedrijfsvoering (bedrijfsvoeringsparagraaf) in de interne jaarrekening rapporteert de directeur van Agentschap DPC over de comptabele rechtmatigheid van de baten, lasten en balansmutaties over 2017. In Pagina 9 van 16
rapporterinqstoleranties. 2 2017 is geen sprake van overschrijding van de voorgeschreven Pagina 10 van 16 toelichting daarbij). 2 De rapporteringstoleranties volgen uit de Regeling rijksbegrotingsvoorschriften 2018 (model 3.24 en de Auditrapport 2017 Agentschap Dienst Publiek en Communicatie van het ministerie van Algemene Zaken (III)
Auditrapport 2017 Agentschap Dienst Publiek en Communicatie van het ministerie van Algemene Zaken (til) 3 Geen nieuwe bevindingen in 2017 Inleiding Als tweede onderdeel van onze controle onderzoeken wij of de geselecteerde processen van het financieel en materieelbeheer voldoen aan de normen uit de comptabele wet- en regelgeving. Op het hoogste niveau geldt,dat het financieel en materieelbeheer moeten voldoen aan de eisen van rechtmatigheid, ordelijkheid, controleerbaarheid en overigens zo doelmatig mogelijk moeten worden ingericht. Bij evaluatie van onze bevindingen hanteren wij drie categorieën: licht, gemiddeld en ernstig. Dit onderscheid geeft de impact van de bevinding weer op basis van gewicht en frequentie. Al deze bevindingen verdienen aandacht, waarbij aan de ernstige bevindingen het grootste belang dient te worden toegekend. Ten behoeve van het selecteren van de te onderzoeken processen van het financieel en materieelbeheer hebben wij de bedrijfsrisico s en de daaraan gekoppelde processen in kaart gebracht. Op basis van het belang van de processen en de in die processen onderkende risico s hebben wij in 2017 de volgende processen voor nader onderzoek geselecteerd: -Beheer omzetverantwoord Ing (omzet). -Beheer transactie-inkopen en kosten (materiële kosten). -Beheer salarissen (personele kosten). -Beheer administratieve processen. -Beheer verantwoordingsproces. -Informatiebeveiliging (naleving BIR) In dit hoofdstuk behandelen wij de belangrijkste uitkomsten van ons onderzoek naar het gevoerde financieel en materieelbeheer en de daartoe bijgehouden administraties. 3.1 Geen bevindingen in het financieel en materieel beheer Figuur 1: Bevindingen naar impact (in aantallen) Bevindingen Licht Gemiddeld Ernstig Totaal 2014 0 2015 1 1 2016 0 2017 0 Het financieel en materieel beheer over 2017 voldoet over het algemeen aan de daaraan te stellen eisen. Zonder afbreuk te doen aan deze conclusie hebben wij nog wel een aantal aandachtspunten. Deze zijn vastgelegd in de volgende paragrafen. Pagina 11 van 16
Follow-up interim rapport 3.3 Aandachtspunten in het beheer over 2017 gerapporteerd die voortvloeien uit de afwikkeling met de oude medialeverancier en In ons interim-rapport van 2 november 2017 hebben wij enkele aandachtspunten de overgang naar de nieuwe rnedialeverancler in 2017. Agentschap DPC heeft follow-up gegeven aan deze aandachtspunten. 3.2 volgende aandachtsgebieden onderzocht: governance, organisatie, moeten voldoen en hierop worden getoetst. Dit jaar is op verzoek van DGOO/CIO beheersing van informatlebeveiliging op departementaal niveau. Hiertoe zijn de toegerekend aan moederdepartement AZ als verantwoordelijk ministerie. ontstaat is op basis van P-Direkt niet uit te splitsen en is daarom volledig minder bonnen zijn aangeleverd dan zou moeten. De onzekerheid die hieruit Beheer salarissen opdracht. onder een rijksbrede raamovereenkomst, objectieve leverancierskeuze niet kunnen vaststellen. Dit is intern bij ruimschoots binnen de rapporteringstoleranties blijft. -- Auditrappcrt 2017 Agentschap Dienst Publiek en Communicatïe van het ministerie van Algemene Zaken (Iii) 1 -..- 1 - Onderbouwing van de objectieve leveraricierskeuze o Voor één leverancier hebben wij op basis van het inkoopdossier de DPC ook onderkend. DPC wil daarom in het vervolg uitvraag doen o Voor één leverancier hebben geen volledige aansluiting kunnen vinden tussen de gerealiseerde kosten en de onderliggende Deze bevindingen leiden voor 2017 tot een fout in de rechtmatigheid die Sinds eind 2017 zijn wijzigingen doorgevoerd in het declaratieproces. Bij alle reisen overige declaraties moeten verplicht bonnen worden bijgesloten, alvorens P Direkt tot uitbetaling overgaat. In 2017 blijkt dat op declaraties onder de EUR 100 In de Interdepartementale Commissie Bedrijfsvoering Rijk (ICBR) is afgesproken dat alle rijksoverheidsorganlsaties aan de Baseline Informatlebeveiliging Rijksdienst Rijk de focus van het rijksbrede onderzoek van de ADR komen te liggen op de Pagina 12 van 16 3.3.3 Informatiebeveiliging 3.3.2 3.3.1 Beheer transactie-inkopen en -kosten
Auditrapport 2017 Agentschap Dienst Publiek en Communicatie van het ministerie van Algemene Zaken (III) risicomanagement, incidentmanagement en leveranciersmanagement (ketenbeheer). Op basis hiervan hebben wij voor het ministerie van Algemene Zaken de volgende aanbevelingen gedaan: Formaliseer de missie en visie van AZ op IB, zodat de ambitie voor 2021 kan worden gerealiseerd. Creëer de gewenste maandrapportage (score card) uit de visie om per relevant thema inzicht te krijgen. Definieer rollen, taken en verantwoordelijkheden qua IB voor alle functies bij AZ. Continueer de prioriteitstelling in de (IB-)projecten om bij de komende uitdagingen van AZ (zoals renovatie Binnenhof en vervanging kritieke systemen) de beperkte capaciteit van AZ juist te benutten. Pagina 13 van 16
verantwoordingsinformatie op een deugdelijke (dat wil zeggen ordelijke en controleerbare) wijze tot stand is gekomen. gericht op de totstandkoming van de in de interne jaarrekening opgenomen nietfinanciële verantwoordingsinformatie voldoen aan de normen uit de comptabele wet en regelgeving. Daartoe onderzoeken wij of de niet-financiële Als derde onderdeel van onze controle onderzoeken wij of geselecteerde processen Inleiding 4 Niet-financiële informatie is zorgvuldig tot stand gekomen Pagina 14 van 16 vastgesteld dat deze ordelijk tot stand is gekomen. Van de in de interne jaarrekening opgenomen bedrijfsvoeringsparagraaf hebben wij 4.2 Totstandkoming bedrijfsvoeringsparagraaf de informatie ordelijk tot stand is gekomen: onderzocht. Aan de hand van opgevraagde documentatie hebben wij vastgesteld dat Wij hebben de in de interne jaarrekening opgenomen prestatie-indicatoren 4.1 Totstandkoming prestatie-indicatoren In dit hoofdstuk gaan wij in op de belangrijkste bevindingen van ons onderzoek. volgende totstandkomingsprocessen voor nader onderzoek geselecteerd: -Totstandkoming prestatie-indicatoren (hoofdstuk 3 interne jaarrekening). -Totstand koming van de bed rijfsvoeringsparagraaf (hoofdstuk 4 interne risico s die daarbij worden onderkend. Op basis daarvan hebben wij in 2017 de nietfinanciële verantwoordingsinformatie is afhankelijk van de omvang van de jaarrekening) De selectie van de te onderzoeken processen gericht op de totstandkoming van de Auditrapport 2017 Agentschap Dienst Publiek en Communicatie van het ministerie van Algemene Zaken (III)
Auditrapport 2017 Agentschap Dienst Publiek en Communicatie van het ministerie van Algemene Zaken (III) 5 Overige onderwerpen 5.1. Algemene Verordening Gegevensbescherming Mede in relatie tot de verdergaande digitale dienstverlening van het Rijk komen er steeds meer verplichtingen vanuit de privacywetgeving. Op 25 mei 2016 is de Algemene verordening gegevensbescherming (AVG) in werking getreden en na een overgangsperiode van twee jaar is de verordening vanaf 25 mei 2018 van toepassing. Wij hebben bij alle ministeries door middel van een quick scan gekeken op welke :i wijze zij centraal de implementatie en de voortgang hiervan beheersen. t Het ministerie van Algemene Zaken heeft op 11 december 2017 het plan van aanpak Implementatie Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG opgesteld om per mei 2018 te kunnen voldoen aan de AVG. De doelstelling van het plan van aanpak is om per 25 mei 2018 compliant te zijn aan de nieuwe AVG en de Uitvoeringswet AVG. De bestuursraad heeft ingestemd met het plan van aanpak. De directeur Bedrijfsvoering van het ministerie van Algemene Zaken is namens de bestuursraad gedelegeerd opdrachtgever. De verantwoordelijkheid voor privacybescherming, en daarmee ook de uitvoering van het plan van aanpak ligt bij de diensthoofden (waaronder de directeur van agentschap DPC). Het projectteam ondersteunt de diensthoofden. Het projectteam levert periodiek voortgangsrapportages op. Deze worden besproken in de bestuursraad. Op dit moment loopt het project nog op schema. Aandachtspunt is dat het plan van aanpak op een relatief hoog abstractieniveau is opgesteld, waardoor monitoring in de praktijk lastig kan zijn. Pagina 15 van 16
Auditrapport 2017 Aqentschap Dienst Publiek en Communicatie van hel ministerie van Algemene Zaken (fl1) 6 Ondertekening Den Haag, 15 maart 2018 Auditdienst Rijk Pagina 16 van 16