In de nota 'Tussentijds rijksbreed beeld' geeft de Auditdienst Rijk een tussentijdse update van de kennis en inzichten die wij opdeden bij onze onderzoeken voor de Rijksdienst in de eerste helft van het jaar. In de bijlage van deze nota noemen wij enkele goede praktijkvoorbeelden uit onze interim-rapportages. In 2023 gaat het om praktijkvoorbeelden op het terrein van financieel beheer, IT-beheer en informatiebeveiliging.
Praktijkvoorbeelden financieel beheer
Dit jaar heeft BZ verdere voortgang gemaakt met het versterken van de interne beheersing als onderdeel van het programma ‘Versterking BZ in control’. De directie Financieel Economische Zaken (FEZ) heeft eerstelijnsdirecties en ODA8-posten onder meer gecommitteerd aan het (tijdig) opleveren van een risicoanalyse en interne beheersmaatregelen, een self-assessment (pilot voor de posten) voor het verkrijgen van inzicht hierin en het periodiek uitvoeren van verbijzonderde interne controlewerkzaamheden (VIC’s). Deze VIC’s hebben als doel aantoonbaar vast te kunnen stellen dat de directie/post in control is of dat bijsturing nodig is. FEZ monitort de tijdige ontvangst van bovengenoemde producten en geeft hiervan (op onderdelen) een appreciatie.
De directie Financieel Economische Zaken (FEZ) van BZK investeert in risicoanalyses voor de processen, interne beheersingsmaatregelen en toetsing daarvan in de eerste lijn. Met monitoring en handhaving vanuit de tweede lijn op de interne beheersing door de eerste lijn zal de Plan-do-check-act (PDCA)-cyclus worden gesloten en wordt het Three Lines model versterkt. Dit zal BZK in staat stellen om zelf tijdig bij te sturen in het financieel beheer om bevindingen in de interne beheersing en fouten in de rechtmatigheid te voorkomen. Ook bij de uitvoeringsorganisaties zijn er ontwikkelingen op dit vlak.
De directie Financieel Economische Zaken (FEZ) van JenV heeft medio 2022 een eerste concernbrede frauderisicoanalyse opgeleverd. Dit jaar is hierop een belangrijke verdiepingsslag aangebracht door met twaalf JenV-organisaties, onder andere de agentschappen en de shared service centra, het gesprek aan te gaan over fraude- en corruptie-risico’s. FEZ heeft deze organisaties gestimuleerd om nog ontbrekende inschattingen te maken van de kans en impact van de benoemde frauderisico’s en om de ingerichte beheersmaatregelen vast te leggen.
Het verbetertraject ‘Structurele en culturele borging’ bij VWS levert zichtbare resultaten op. Wij zien in 2023 een duidelijke aanscherping van de invulling van de rollen van het Three Lines model. De directie Financieel Economische Zaken (FEZ) pakt haar kaderstellende en monitorende rol beter op en spreekt de beleidsdirecties meer aan op hun verantwoordelijkheid voor een goed financieel beheer en een goede financiële administratie. Zo is FEZ gestart met de uitvoering van interne controles en worden opvallende zaken wekelijks besproken met de financieel adviseurs per kolom. Ook is VWS gestart met de pilot data-analyse (als onderdeel van het programma Toekomst Financiële Administratie van het ministerie van Financiën) om zo op efficiënte en snelle manier (mogelijke) fouten in de administratie te kunnen opsporen. De betrokkenheid van de ambtelijke leiding via de regiegroep heeft een positief effect op de aandacht van de VWS-organisatie om de bedrijfsvoering naar het gewenste niveau te brengen.
Het in 2022 gestarte programma Toezicht en Advies Financieel Beheer is afgerond en overgedragen aan de lijn. Dit jaar heeft de directie Financieel Economische Zaken (FEZ) de eerste ervaringen opgedaan met tussentijds afsluiten, gericht op risicovolle onderdelen in de administraties, het corrigeren van onjuiste boekingen en het tijdig afstemmen van verslaggevingsvraagstukken. Een tweede tussentijdse afsluiting is momenteel onderhanden. Coördinatie van het jaarverslagproces vindt plaats vanuit een begeleidingscommissie. Doel is om het jaarverslagtraject beter te stroomlijnen, onder meer door delen van de controle te dynamiseren. Door controlewerkzaamheden eerder in het jaar uit te voeren, wordt de druk op de jaarafsluiting verminderd.
Praktijkvoorbeelden IT-beheer en informatiebeveiliging
In 2023 heeft het shared servicecenter ICT (SSC-ICT) het verbeteren van de informatiebeveiliging aantoonbaar doorgezet. Dit blijkt uit de hogere kwaliteit van het Internal Control Framework, het bijbehorend beheersingsproces en het toevoegen van meer systemen aan dit framework. SSC-ICT heeft de interne auditfunctie verder versterkt en geïnvesteerd in het geheel van maatregelen en processen voor de betrouwbaarheid van de informatiebeveiliging. Dit is terug te zien in het risicomanagement, de aandacht voor en verbetering van de beveiliging van componenten, de interne auditplanning en de nadere uitwerkingen van de doelstellingen vanuit het beleidsdocument voor Security Informatie & Event Monitoring.
Het directoraat-generaal Digitalisering en Overheidsorganisatie van BZK heeft verdere stappen gezet ten aanzien van de rijksbrede regiefunctie van IT-beheer. Afgelopen zomer is een plan van aanpak voor rijksbreed IT-beheer goedgekeurd om te komen tot een PDCA-cyclus waarin departementen, agentschappen en ICT-dienstverleners de CIO Rijk periodiek gaan informeren over de wijze waarop zij hun IT beheren.
De contouren en gevolgen van het Programma Grensverleggende IT (GrIT) worden zichtbaar binnen het huidige IT-domein van Defensie. Er vinden continue veranderingen plaats die leiden tot implementatie van nieuwe IT-componenten en/of IT-processen binnen het bestaande IT-domein. Tot de definitieve migratie naar de nieuwe datacenters van Defensie vereisen de ontstane parallelle IT-infrastructuren binnen het huidige IT-domein een goede communicatie en afstemming.