Aan Voorzitter en leden SG-overleg Auditdienst Rijk Datum 5 oktober 2016 Tussentijds rijksbreed beeld 2016 Notitienummer 2016-0000154622 Inleiding Het SG-overleg besprak in maart 2016 de hoofdlijnen van de samenvattende auditrapporten van de ADR over 2015. In deze notitie presenteren wij nu vanuit een rijksbrede focus ons tussentijds beeld over 2016. Departementspecifieke bevindingen en aanbevelingen brengen wij onder de aandacht van het betrokken ministerie via onze interim-rapportage. In deze rijksbrede notitie geven wij signalen af (early warnings, geen early judgements) die de ministeries in staat stellen om tijdig actie te ondernemen. Voor het financieel beheer zien wij een nieuw risico met betrekking tot de toepassing van de Wet op de vennootschapsbelasting. Verder is sprake van een aantal langlopende zaken die blijvend aandacht vragen, zoals de correcte toepassing van aanbestedingsregels en het voldoen aan de vereisten uit (nieuwe) wet- en regelgeving voor informatiebeveiliging en privacy. De bedrijfsvoering heeft onverminderd aandacht nodig om uitvoerings- en rechtmatigheidsproblemen te voorkomen. Vooral bij wijzigingen in de inrichting van de rijksdienst en bij transitie naar andere IT-systemen is alertheid geboden. Centralisatie en digitalisering vragen om een nieuwe wijze van beheersing en verantwoording: betrouwbare informatie dient voortdurend beschikbaar te zijn, bij voorkeur in de vorm van open data. Wij benadrukken het belang van inzet van IT-tooling om grip te houden op de beheersing van processen. De ADR trekt hier samen op met het IOFEZ en de andere betrokken partijen. Positieve steun van u voor deze gezamenlijke inspanning helpt de druk op dit proces te houden. Wet op de vennootschapsbelasting voor overheidsondernemingen Per 1-1-2016 is door modernisering van de Wet op de vennootschapsbelasting (Vpb) voor de overheid in bepaalde gevallen een Vpb-plicht ontstaan, met bijbehorende administratie- en aangifteplicht. De toets of sprake is van een Vpbplicht vindt plaats op het niveau van de activiteiten. Hierbij is ook periodieke monitoring van mogelijke nieuwe Vpb-plichtige activiteiten nodig. Alle departementen zijn inmiddels gestart met een inventarisatie van activiteiten die mogelijk onder de Vpb-plicht vallen. Hierbij is sprake van verschillen in doorlooptijd. Alle ministeries moeten nog slagen maken. Op dit moment is ons beeld dat vooral bij IenM, VenJ en VWS nog geen sprake van een volledig Pagina 1 van 6
onderbouwd dossier behorende bij de lijst van Vpb-plichtige activiteiten. Ministeries die niet op tijd klaar zijn met het in kaart brengen van Vpb-plichtige activiteiten en het inrichten van de hiervoor vereiste baten-lastenadministratie, lopen een risico. Dit kan leiden tot politieke en publieke (imago)schade, ook omdat al in de jaarrekeningen van de ministeries en agentschappen over 2016 Vpb-verplichtingen dienen te worden verwerkt. Wij adviseren de ministeries dit dossier met voorrang op te pakken en daarbij gebruik te maken van de handreiking Vpb rijksoverheid, die het fiscaal loket op verzoek van het IOFEZ heeft ontwikkeld. Wij ondersteunen de actieve monitoring vanuit het IOFEZ op dit punt. Inkoopbeheer Ondanks de nodige verbetermaatregelen zien wij nog steeds een aantal rijksbrede aandachtspunten ten aanzien van het inkoopbeheer. a) Afsprakenpakket Het rijksbrede afsprakenpakket voor inkopen is een goede stap in de richting van meer duidelijkheid en administratieve verlichting, maar is nog niet definitief door het SG-overleg vastgesteld. Het SG-overleg heeft aangegeven een jaarlijkse marktanalyse pas nodig te achten vanaf 15.000 in plaats van 10.000. De bestaande wet- en regelgeving biedt hiervoor ruimte en dit zal dan ook door zowel de Algemene Rekenkamer als de ADR worden gevolgd. Het SGoverleg heeft verder aangegeven de grens voor motivering van de leveranciersselectie te willen verhogen van 33.000 naar 50.000. Hiervoor is aanpassing van de wet- en regelgeving nodig en dit kan daarom naar verwachting pas per 1-1-2017 in werking treden. De Algemene Rekenkamer heeft aangegeven voor het controlejaar 2016 daarom vooralsnog genoodzaakt te zijn de huidige wettelijke grens van 33.000 te hanteren. Om verschillen met de Algemene Rekenkamer te voorkomen, zal de ADR dit ook doen. Dit zou kunnen leiden tot onrechtmatigheden. Het is daarom belangrijk dat in de uitvoering in 2016 nog de grens van 33.000 wordt gehanteerd. b) Inkoopuitvoeringscentra Het Rijk heeft twintig inkoopuitvoeringscentra (IUC s) om professioneel en efficiënt in te kopen. We constateren dat nog niet alle IUC s voor wat betreft de bedrijfsvoering op een gelijkwaardig niveau functioneren. Onder meer IUC-Noord functioneert op dit moment nog niet optimaal. Voorts zien wij dat niet alle IUC s intern hun werkprocessen hebben geharmoniseerd. Hierbij spelen ook de uiteenlopende wensen van de afnemende ministeries een rol. Dit speelt onder meer bij de HIS. Verschillende ministeries hebben over gelijksoortige klantvragen afwijkende afspraken met de HIS gemaakt. Dit is niet bevorderlijk voor een geharmoniseerde en efficiënte werkwijze van de HIS. Wij adviseren de ministeries daarom in overleg met DGOO meer eenheid te brengen in deze afspraken. c) DigiInkoop Inkopen worden steeds meer digitaal gefaciliteerd door middel van DigiInkoop. Hierdoor kunnen onderdelen van de rijksdienst eenvoudiger en efficiënter inkopen. Als gevolg van de digitalisering worden ook toegekende rollen en autorisaties in het systeem belangrijker. Waar de focus nu vaak primair ligt op het technisch inregelen van DigiInkoop, is ook een adequate procedurele inbedding van het toekennen en beheren van deze rollen en autorisaties van belang. Hiervoor is meer aandacht nodig. Dit is nog een belangrijk aandachtspunt bij de gebruikers van DigiInkoop, zoals bij Defensie, één van de grotere gebruikers van DigiInkoop. Pagina 2 van 6
Informatiebeveiliging en privacy Rijksbreed vragen wij aandacht voor de wijze waarop wordt voldaan aan de eisen die door de wet- en regelgeving worden gesteld aan informatiebeveiliging en privacy. Van het Rijk wordt steeds meer transparantie verwacht, nieuwe media doen hun intrede en afhankelijkheidsrelaties worden complexer. a) Informatiebeveiliging Rijksdienst De Baseline Informatiebeveiliging Rijksdienst (BIR) 2012 biedt een normenkader voor de beveiliging van de informatiehuishouding van de rijksoverheid. Wij zien rijksbreed dat de sturing op informatiebeveiliging weliswaar gestaag verbetert, maar de mate waarin wordt voldaan aan de BIR vaak nog te weinig zichtbaar is. Wij adviseren de CIO s erop toe te zien dat de aandacht voor informatiebeveiliging wordt vastgehouden en dat het voldoen aan de BIR beter wordt vastgelegd, in het bijzonder ten aanzien van kritieke systemen. b) Informatiehuishouding Rijksdienst Het archiefbeheer bij de ministeries loopt achter bij de laatste ontwikkelingen op het gebied van opslag en verwerking. Er worden vaak verschillende systemen gebruikt voor de opslag en verwerking van documenten, waardoor een versnippering optreedt in vastlegging van informatie. Ook het gebruik van nieuwe devices zoals tablets, smartphones en andere niet-werkplek gebonden applicaties leidt tot risico s waarop nog onvoldoende zicht bestaat. Wij adviseren de CIO s om gezamenlijk een risicoanalyse uit te voeren en best practices voor het omgaan met nieuwe opslag- en verwerkingssystemen met elkaar uit te wisselen. De ADR kan daarbij een faciliterende rol vervullen. Er zijn veel actoren betrokken bij de controle en de toetsing van de inrichting van de informatiehuishouding van een ministerie: de Algemene Rekenkamer, de ADR, een aantal CIO s en de CIO Rijk, de Erfgoedinspectie en het Nationaal Archief. Inmiddels hebben de eerste verkennende gesprekken tussen deze partijen plaatsgevonden met het doel te komen tot onderlinge afstemming van hun toetsingskaders en planning. Op deze manier blijft de controle- en toetsingsdruk zoveel mogelijk binnen de perken. Het overleg biedt ook een platform om meer beleidsmatig het gesprek te voeren over de wijze waarop invulling wordt gegeven aan de inrichting van de departementale informatiehuishouding en de toepassing daarbij van de (bestaande) wet- en regelgeving. c) Meldplicht datalekken Sinds 1-1-2016 geldt de meldplicht datalekken. Dit houdt in dat organisaties, zowel bedrijven als overheden, direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een (ernstig) datalek hebben. De minister is eindverantwoordelijk, ook voor dataverkeer van andere partijen in de keten. Het zicht op deze andere partijen verdient aandacht. Wij zullen de verantwoordelijke partijen binnen de ministeries hierop wijzen en hen adviseren hoe hierin verbetering te brengen. Het niet voldoen aan deze wet kan leiden tot boetes van de Autoriteit Persoonsgegevens en tot imagoschade. Een goed voorbeeld van de implementatie van de meldplicht datalekken is VenJ, waar de invulling van voorzieningen die verband houden met deze meldplicht voortvarend wordt opgepakt. Vernieuwing structuren, systemen en opdrachtgeverschap Structuren en systemen zijn de basis voor een betrouwbare bedrijfsvoering en de daarbij behorende informatievoorziening. Belangrijke ontwikkelingen binnen de rijksdienst zijn een zich wijzigende organisatiestructuur met meer gebruik Pagina 3 van 6
van centrale uitvoeringsorganisaties en meer afhankelijkheid van ondersteunende IT-infrastructuur. a) Concentratie van uitvoeringstaken vraagt om heldere afspraken met afnemers Wij zien bij het Rijk een toenemende afhankelijkheid van centrale voorzieningen zoals basisregistraties en shared service-organisaties (SSO s). De wijze waarop de ministeries invulling geven aan het opdrachtgeverschap dient aan te sluiten bij het risicoprofiel van die centrale voorzieningen. Zo zal meer tussentijdse informatie-uitwisseling over gemaakte afspraken tussen een SSO en haar afnemers moeten plaatsvinden als het gaat om processen die voor de afnemer van cruciaal belang zijn en waarbij een tekortkoming in het functioneren van de SSO belangrijke consequenties heeft voor het primaire proces van de afnemer. Wij vragen de ministeries daarom het risicoprofiel van basisregistraties en SSO s in kaart te brengen en de wijze waarop invulling wordt gegeven aan het opdrachtgeverschap hierop zo nodig aan te passen. b) Afhankelijkheid van oude IT-systemen en transitie naar nieuwe ITsystemen Bij meerdere overheidsorganisaties is sprake van een verouderd IT-landschap. Veroudering veroorzaakt vanuit technisch oogpunt beveiligingsproblemen en vanuit functioneel oogpunt starheid in een wereld waarin wijzigingen in wet- en regelgeving juist snel verwerkt moeten kunnen worden. In het bijzonder speelt dit bij grotere, vroeg geautomatiseerde uitvoeringsorganisaties, zoals de Belastingdienst. De noodzakelijke transitietrajecten vergen een zorgvuldig vormgegeven governance. Het is daarbij essentieel om de aansluiting tussen oud en nieuw te waarborgen en dus waar nodig aandacht te besteden aan behoud, bescherming en toegankelijkheid van bestaande data. Bij alle veranderingen en voorstellen daartoe zult u dit aspect mee moeten wegen en faciliteren. De alertheid ten aanzien van de oude systemen is nog geen gemeengoed. Met de onvermijdelijke groei in IT-gebruik zou het dit wel moeten zijn. Inzet IT-tooling bij een steeds sneller digitaliserende rijksoverheid Het continu monitoren van bedrijfsprocessen met behulp van data-analyse om vast te stellen of informatie op een beheerste wijze tot stand is gekomen, is een logische en randvoorwaardelijke ontwikkeling. Wij signaleren dat de toepassing van data-analyse in het control-domein nog geen vanzelfsprekendheid is en nog geen prominente plek heeft op de agenda s van concern control. Het lijkt te ontbreken aan voldoende kennis, middelen en capaciteit om toe te werken naar een gestructureerde aanpak voor data-analyse om daarmee op een optimale wijze periodiek sanity checks uit te voeren. Wij werken met meerdere departementen samen om een IT-gedreven controleaanpak te realiseren, zoals bij Financiën, VenJ, Buitenlandse Zaken en Economische Zaken. Gezamenlijk wordt onderzocht op welke wijze IT-tooling kan worden ingezet in de werkprocessen. Het IOFEZ heeft in december 2015 een visie ontwikkeld ten aanzien van de financiële informatievoorziening van het Rijk. Deze visie stelt dat wordt gestreefd naar een volledig geautomatiseerd financieel administratief systeem dat snel betrouwbare informatie oplevert. Het streven is de administratie zo in te richten dat uniforme data geautomatiseerd kunnen worden aangeleverd aan een financiële data cloud. Wij ondersteunen deze visie. Wij zijn van mening dat dataanalyse en process mining positieve impact hebben op het bredere controlvraagstuk. Tegelijkertijd zijn wij van mening dat dit op een kortere termijn zou Pagina 4 van 6
moeten worden gerealiseerd dan in de visie van het IOFEZ wordt voorgesteld. Een periode van maximaal vijf jaar lijkt wenselijk gezien de ontwikkelingen in IT, de samenleving die vraagt om een transparante overheid (open data) en de ambitie die het IOFEZ heeft uitgesproken. Gezien bovenstaande ontwikkelingen vinden wij het belangrijk dat wij samen met kaderstellers en vertegenwoordigers vanuit FEZ-directies en CIO-offices de toepassingsgebieden voor data-analyse bepalen die op korte termijn prioriteit verdienen. Hierbij valt te denken aan rijksbrede voorzieningen als DigiInkoop en P-Direkt. Andere voorbeelden zijn het bundelen van kennis over data-analyse vanuit ERP-software (SAP, Oracle EBS, etc.) en het beschikbaar krijgen van ITtooling. Het rapport van ABDTopConsult over de evaluatie van de ADR ( De ADR in 2020: Een kritische vriend ) bevat aanbevelingen op dit gebied. Samen met DG Rijksbegroting zullen wij bezien hoe hier verder invulling aan kan worden gegeven. Onlangs is dit aan de orde gekomen in een gezamenlijk met het IOFEZ georganiseerde sessie waarin het programma Digitaal Begroten centraal stond. Afgesproken is om in dergelijke gezamenlijke sessies periodiek de thema s te agenderen die voortkomen uit de onderdelen van dit programma, zowel vanuit het audit- als het control-domein. Pagina 5 van 6
Bijlage BEST PRACTICES Op het gebied van uniforme verantwoording Gemeenten leggen op grond van de Baseline Informatiebeveiliging Nederlandse Gemeenten horizontale en verticale verantwoording af over informatiebeveiligingsaspecten. BZK past hierbij single information audit toe op basis van ENSIA. Hierdoor is er maar één informatie-uitvraag aan gemeenten en wordt waar mogelijk geharmoniseerd op taalgebruik, tooling en verantwoordingsafspraken. Op het gebied van risicoanalyse De Belastingdienst heeft in de nieuwe opzet van de uitvoeringstoets innovatieve elementen geïmplementeerd op het terrein van de scoping (alle betrokken disciplines) en de openbaarheid van de toets waardoor er ook meer politieke aandacht is voor uitvoertechnische (on)mogelijkheden. VWS heeft (daarbij gefaciliteerd door de ADR) een integrale, bottom up risicoanalyse uitgevoerd. Hierbij zijn op verschillende niveaus binnen VWS risico s geïdentificeerd, geclassificeerd en geprioriteerd. VWS zal de risicoanalyse in het najaar 2016 verder uitwerken. Op het gebied van kwaliteitsverbetering beheer Binnen Defensie is het Kwaliteitsysteem Personeelbeheer operationeel en wordt gewerkt aan een monitorsysteem om de kwaliteit van het verplichtingenbeheer te verbeteren. In combinatie met een bredere toepassing van data-analyse kunnen daarmee goede mogelijkheden ontstaan voor het continu monitoren van bedrijfsprocessen. De tussentijdse financiële afsluiting 2016 bij Rijkswaterstaat is niet alleen gericht op de afsluiting van de administraties zelf, maar op het hele proces met betrekking tot de onderbouwing van de verschillende elementen van de verantwoordingen en de toereikendheid van de dossiervorming ten behoeve van de controle. Op deze wijze is er al in een vroeg stadium zicht op de kwaliteit van de onderbouwing van de balansposten, ook voor posten zoals voorzieningen die pas in beeld zouden komen bij het opstellen van de eindbalans. Zodoende is sprake van een meer gestroomlijnde jaarafsluiting en van een meer reële bepaling van het voorlopige resultaat. OCW voert een strakke regie op het oplossen van bevindingen, gerapporteerd door de Algemene Rekenkamer respectievelijk de ADR. De verantwoordelijkheid ligt daarbij nadrukkelijk in de lijn, waarbij FEZ een monitorrol vervult. Op het gebied van nieuwe methoden en technieken In de aanpak van de legacy-problematiek heeft de Belastingdienst ervaring opgedaan met in de IT-branche beschikbare en gebruikte methoden en technieken. De ADR faciliteert op dit terrein de kennisuitwisseling tussen uitvoeringsorganisaties. Het overgangsmoment naar een nieuwe programmaperiode voor de Europese fondsen wordt door de ADR benut om de controles die de ADR als Audit Autoriteit verricht verder te stroomlijnen en op elkaar af te stemmen. Doel hiervan is de effectiviteit en efficiency van de controles te bevorderen. De controles verbreden zich in de nieuwe programmaperiode. Wij besteden daarbij ook aandacht aan IT-systemen en performance. Pagina 6 van 6