Uitkomsten controle jaarverslagen 2025

Jaarlijks brengen wij auditrapporten uit bij de jaarverslagen. Hieronder zijn de rijksbrede beelden van de auditrapporten opgenomen.

Getrouwheid: goedkeurende controleverklaringen bij de jaarverslagen 2025, twee controleverklaringen met beperking

Bij de jaarverslagen 2025 van alle begrotingshoofdstukken en -fondsen hebben wij, op twee uitzonderingen na, goedkeurende controleverklaringen afgegeven over het getrouwe beeld daarvan. Indien fouten en onzekerheden ten aanzien van de getrouwheid de materialiteitsgrens overschrijden, kunnen wij geen goedkeurende controleverklaring afgeven. Bij het jaarverslag van Buitenlandse Zaken (V) hebben wij een controleverklaring met beperking afgegeven ten aanzien van de openstaande bedrijfsvoeringsverplichtingen in de saldibalans. Bij het jaarverslag van Buitenlandse Handel en Ontwikkelingshulp (XVII) hebben wij een controleverklaring met beperking afgegeven over verplichtingen onder mandaat binnen een artikel.

Rechtmatigheid: overschrijdingen van rapporteringstoleranties op hoofdstukniveau

De ministers maken in de bedrijfsvoeringparagraaf van hun jaarverslag melding van fouten en onzekerheden ten aanzien van de comptabele rechtmatigheid¹ indien het bedrag daarvan de rapporteringstolerantie overschrijdt. In de jaarverslagen rapporteren de ministers bij elkaar genomen de volgende aantallen overschrijdingen van de rapporteringstoleranties voor de rechtmatigheid op totaalniveau: vier voor uitgaven en ontvangsten, vijf voor verplichtingen, zes voor baten-lastendiensten en twee voor afgerekende voorschotten.²

De rijksbreed in meerjarig perspectief meest voorkomende overschrijdingen op de begrotingshoofdstukken worden onder meer veroorzaakt door het niet (aantoonbaar) naleven van voorschriften bij het aangaan van inkoopverplichtingen, het verstrekken van subsidieregelingen of de verantwoording daarover. Een derde van de overschrijdingen wordt mede veroorzaakt door rijksbrede onrechtmatige inkoopcontracten binnen het categoriemanagement.

Wij constateren dat een groot aantal overschrijdingen van rapporteringstoleranties voortkomen uit statistische steekproeven waarbij de maximale fout en onzekerheid de tolerantie overschrijdt, terwijl de meest waarschijnlijke fout en onzekerheid daarbinnen blijft. De voorschriften schrijven voor dat deze fouten en onzekerheden alsnog worden verantwoord in de rechtmatigheidspassage van de bedrijfsvoeringsparagraaf.

Hoge verantwoordings- en controledruk: vereenvoudig begrotingsregels

De Rijksbegrotingsvoorschriften bevatten regels voor de uitvoering van de begroting en de verantwoording daarover in de jaarverslagen. Deze voorschriften bepalen ook vanaf welk bedrag een minister een afwijking moet toelichten in de rechtmatigheidspassage van de bedrijfsvoeringsparagraaf. Voor de rapporteringstoleranties gelden, afhankelijk van de omvangsbasis, verschillende kwantitatieve rapportagegrenzen.
Voor zeer grote begrotingshoofdstukken (> € 50 miljard) is de rapporteringstolerantie gemaximeerd op € 1 miljard. Dit leidt voor zeer grote begrotingshoofdstukken tot onevenredige administratieve, beheer- en controlelasten. Tegelijkertijd constateren wij een onevenredig aantal overschrijdingen op zeer kleine begrotingsartikelen.
Wij adviseren het Directoraat-Generaal Rijksbegroting:

onderzoek of de Rijksbegrotingsvoorschriften, in het bijzonder de kwantitatieve rapportagegrenzen en de tot rechtmatigheid gerekende criteria, kunnen worden herzien met het oog op vereenvoudiging en vermindering van administratieve lasten;
onderzoek of de inrichting van de Rijksbegroting kan worden herzien ten aanzien van de balans tussen de informatiewaarde van begrotingsartikelen enerzijds en de daarmee samenhangende administratieve, verantwoordings- en controle-inspanningen anderzijds.

IT General Controls: gebruikersbeheer structureel niet op orde

IT General Controls zijn essentiële beheersmaatregelen die ervoor zorgen dat de geautomatiseerde gegevensverwerking betrouwbaar en veilig is. Ze vormen de minimale vereisten voor IT-systemen en het beheer daarvan. Het onderzoek naar gebruikersbeheer in de financiële systemen maakt deel uit van de controle van de departementale jaarverslagen. De bevindingen per departement zijn in de auditrapporten beschreven. Wij constateren meerdere jaren op rij³ dat bij meer dan de helft van de departementen het gebruikersbeheer in diverse financiële systemen niet op orde is, met name op het gebied van functiescheiding, rollenbeheer en monitoring daarvan. Richtlijnen en processen zijn niet altijd geborgd of worden onvoldoende nageleefd. Hierdoor zijn organisaties onnodig kwetsbaar voor ongeautoriseerde toegang en handelingen. Voor de beheersing zijn organisaties afhankelijk van inefficiënte controlemaatregelen en van de integriteit van medewerkers.

Wij adviseren de departementen:

Zorg voor een gedegen inrichting van toegangsbeveiliging, bijvoorbeeld middels Rolebased Access Control en tooling voor Governance, Risk en Compliance. Hiermee kan toegang beter worden beheerd en worden risico’s effectiever gemitigeerd;
Evalueer deze inrichting periodiek, in samenhang met de risico’s die zich (kunnen) voordoen en voer waar nodig aanpassingen door.

In 2026 voeren we rijksbreed IT-onderzoek uit naar de onderdelen security management en continuïteitsbeheer. Dit onderzoek beoogt bij te dragen aan de algehele versterking van de IT-beveiliging.

Uitkomsten evaluatie Regeling audit committees van het Rijk

Op 1 december 2025 heeft het ministerie van Financiën een evaluatierapport over de Regeling audit committees van het Rijk uitgebracht. Hierin wordt aanbevolen om de instelling van een departementaal audit committee niet langer verplicht voor te schrijven.
Wij beschouwen het departementale audit committee als een belangrijk instrument voor de politieke en ambtelijke leiding op het vlak van sturing en beheersing van de organisatie. Het gaat hierbij om de brede focus van interne beheersing en departementaal risicomanagement (dit reikt verder dan financieel beheer). Het flexibiliseren van het regime voor de instelling van departementale audit commitees zou haaks staan op de ontwikkelingen in het bedrijfsleven, waar het audit committee juist een strak voorgeschreven en steeds belangrijkere rol speelt in governance en toezicht. Dankzij het verplichtende karakter is er een duidelijk coördinatiepunt voor het brede risicomanagement en is er een vast aanspreekpunt voor de bespreking van de auditprogrammering en belangrijke onderzoeksbevindingen. Het audit committee is op deze manier een belangrijk managementinstrument voor de departementsleiding om beter in control te zijn.

Voetnoten
¹⁾ Comptabele rechtmatigheid houdt in dat een financiële transactie waarvan de uitkomst in het departementale jaarverslag dient te worden verantwoord, in overeenstemming is met de begrotingswetten en met de in internationale regelgeving, Nederlandse wetten, algemene maatregelen van bestuur en ministeriële regelingen opgenomen bepalingen die de uitkomst van die financiële transactie beïnvloeden. Een voorbeeld van een onrechtmatigheid is een subsidie die is toegekend aan iemand terwijl deze daar op grond van de regelgeving geen recht op had. ²⁾ Opmerking bij tabel: in de kolom “hoofdstukken” zijn alleen de overschrijdingen vermeld voor verplichtingen, uitgaven en ontvangsten. Dit is dus exclusief overschrijdingen baten-lastendiensten (deze staan in de tweede kolom), saldibalans en afgerekende voorschotten (deze zijn meegeteld in de laatste kolom). ³⁾ Wij hebben hier in de hoofdlijnennotitie 2020 ook melding van gemaakt: “Tekortkomingen in de basisbeveiliging zoals toegangsbeveiliging, gebruikersbeheer, het updaten van systemen en gebruik van beheeraccounts worden opgepakt, maar zijn nog niet volledig opgelost. Daarmee is de basis nog niet op orde, waardoor de rijksdienst onnodig kwetsbaar is.” ⁴⁾ Zie in dit verband de per 1 januari 2025 geactualiseerde Nederlandse Corporate Governance Code, die de transparantie, bestuurlijke verantwoordelijkheid en risicomanagement beoogt te versterken.