Onderzoeksrapport Verantwoording SSO's...vertrouwen op een gegarandeerde en stabiele kwaliteit van...

-

Onderzoeksrapport

Verantwoording SSO's

definitief

2 |

Colofon

Titel Onderzoeksrapport Verantwoording SSO's

Uitgebracht aan Directeur Ambtenaar en Organisatie

drs. O.F.J. Welling

Datum 26 juli 2017

Kenmerk 2017-0000158993

Inlichtingen

Auditdienst Rijk

070-342 7700

Inhoud

Aanleiding opdracht 4

Centrale boodschap 4

1 Verantwoording door een SSO: controle of vertrouwen? 6 1.1 Invulling geven aan de informatiebehoefte: het instrumentarium 6

2 Financieel en ICT beheer: de eigenaar aan zet! 7 2.1 Afnemers verwachten goede rolinvulling door de eigenaar 7 2.2 Eigenaren voelen zich verantwoordelijk, maar verwachtingen afnemers beperkt

geadresseerd 8 2.3 Rijksbrede kaders gaan verder dan alleen financieel en ICT beheer 8 2.4 Verantwoordingsrapportage geen onderdeel van minimale informatiebehoefte

van de controleurs 8

3 Leveranciersmanagement: een zaak tussen afnemer en SSO 9

4 De beleving van stakeholders rondom verantwoordingsinformatie 10 4.1 Afnemers ervaren afstand tot SSO’s en voelen zich niet altijd gehoord 10 4.2 Het perspectief van de eigenaar en de SSO: hoeveel is genoeg? 10 4.3 Informatiebehoefte neemt af als een SSO meer volwassen is 10

5 Verantwoording onderzoek 11 5.1 Werkzaamheden en afbakening 11 5.2 Gehanteerde Standaard 12 5.3 Verspreiding rapport 13

6 Ondertekening 14

Bijlage 1: P-Direkt 15

Bijlage 2: UBR/HIS 23

Bijlage 3: DICTU 28

4 van 33 | Onderzoeksrapport Verantwoording SSO's

Aanleiding opdracht

De bedrijfsvoering binnen het Rijk wordt steeds meer gecentraliseerd en

uitgevoerd door de Shared Services Organisaties (SSO’s) van het Rijk. Om dit

succesvol te (kunnen blijven) doen, is een voorwaarde dat de afnemers kunnen

vertrouwen op een gegarandeerde en stabiele kwaliteit van de dienstverlening

door de SSO’s. Ter ondersteuning daarvan ontwikkelen de SSO’s een stabiel en

verankerd kwaliteitsstelsel, dat leidt tot betrouwbare rapportages over de

kwaliteit en de kosten van de dienstverlening die relevant zijn voor alle

betrokken stakeholders.

Uitgangspunt is dat de stakeholders van SSO’s ervoor zorg dragen dat zij van de

SSO’s voldoende informatie ontvangen om verantwoording af te kunnen leggen.

Hierover is in de Comptabiliteitswet 2016 (in werking tredend 1-1-2018)

opgenomen dat onze ministers en de colleges verantwoordelijk zijn voor de

doelmatigheid, rechtmatigheid, ordelijkheid en controleerbaarheid van het

financieel beheer.

Uit deze tekst blijkt dat de minister zorg moet dragen voor het verkrijgen van de

informatie die nodig is voor het afleggen van verantwoording in zijn jaarverslag.

Dit geldt ook indien hij het beleid dat aan zijn begroting ten grondslag ligt niet

zelf uitvoert.

Met name aan dit laatste beoogt ons onderzoek een bijdrage te leveren. Dit

hebben wij gedaan door voor P-Direkt, DICTU en UBR/HIS de minimaal

benodigde informatie en de verstrekte informatie te inventariseren gegeven de

vigerende weten regelgeving, voor zover gericht op het financieel en ICT-

beheer en bezien vanuit de optiek van leveranciersmanagement.

Centrale boodschap

Uit ons onderzoek blijkt dat stakeholders vijf mogelijke manieren (of combinaties

daarvan) hebben om invulling te geven aan hun informatiebehoefte: (1)

vertrouwen, (2) uitzonderings- of incidentenrapportage, (3)

dienstverleningsovereenkomst (DVO) met rapportage over de daarin opgenomen

KPI’s, (4) een In Control Verklaring (ICV) en (5) een beheerverslag. Hun

voorkeur wordt mede bepaald door de volwassenheid van de SSO, de aard van

de dienstverlening en de afstand tot de SSO. Daarbij speelt ook het onderscheid

tussen financieel en ICT beheer enerzijds en leveranciersmanagement

anderzijds.

Voor verantwoording over het financieel en ICT beheer vertrouwt het merendeel

van de afnemers op de rolinvulling, die zij verwacht van de eigenaar. Afnemers

zien het namelijk als de taak van de eigenaar om vast te stellen dat het

financieel en ICT beheer van een SSO op orde is. De eigenaar zou daarbij

ondersteund moeten worden door de departementale directie FEZ en het CIO-

office. De eigenaren (h)erkennen deze verantwoordelijkheid. Bezien vanuit het

perspectief van informatiebehoefte valt op dat de invulling daarvan niet op een

eenduidige wijze geschiedt. Hierdoor, maar ook omdat deze verwachting niet

expliciet door de afnemers is uitgesproken, wordt niet altijd voldoende invulling

gegeven aan de verwachtingen van de afnemers. Dit geldt met name op het

gebied van ICT-beheer. Gezien de toegenomen afhankelijkheid van ICT, de


stringentere weten regelgeving op het gebied van privacy en de verhoogde

cyberdreiging verdient dit nadrukkelijk meer aandacht van de eigenaren.

De controleurs Auditdienst Rijk (ADR) en Algemene Rekenkamer (AR) hebben in

het kader van de uitvoering van hun wettelijke taak en als minimale

informatiebehoefte geen eisen gesteld met betrekking tot (de aanwezigheid en

inhoud van) verantwoordingsrapportages. Wel is het van primair belang dat de

SSO aantoonbaar kan maken dat zij voldoet aan de vigerende weten

regelgeving. Indien een verantwoordingsrapportage beschikbaar is, zullen de

controleurs nagaan in welke mate hierop gesteund kan worden. Waar nodig

zullen de controleurs zelfstandig (aanvullend) onderzoek uitvoeren.

De verantwoording over het leveranciersmanagement krijgt in de praktijk vorm

middels een periodieke, generieke rapportage waarin op basis van Kritieke

Prestatie Indicatoren (KPI’s) over de dienstverlening wordt gerapporteerd.

Hoewel de KPI’s doorgaans relevant zijn, geeft een aantal afnemers aan dat het

aggregatieniveau waarop gerapporteerd wordt onvoldoende inzicht biedt voor

hen. Hierdoor ervaren zij niet altijd handelingsperspectief om bij te kunnen

sturen binnen haar eigen processen. Zij hebben hiervoor behoefte aan meer

gedetailleerde en op hun situatie gerichte informatie. Dit geldt met name met

betrekking tot P-Direkt, aangezien bij zowel DICTU als UBR/HIS sprake is van

een klantspecifieke maatwerkrapportage aan de afnemer van de betreffende

SSO. Met betrekking tot de generieke, “standaard” informatievoorziening rijst de

vraag in hoeverre de wens tot meer gedetailleerde informatie aan afnemers

recht doet aan de vastgestelde uitgangspunten van SGO5.


1 Verantwoording door een SSO: controle of

vertrouwen?

1.1 Invulling geven aan de informatiebehoefte: het instrumentarium

Uit dit onderzoek blijkt een vijftal praktische mogelijkheden om invulling te

geven aan de informatiebehoefte van de stakeholders. Deze kunnen afhankelijk

van de behoefte van de stakeholder, gecombineerd worden en zijn: - Vertrouwen: afnemers vertrouwen erop dat een SSO doet waarvoor zij is

opgericht zonder dat de afnemers daarover verantwoording verwachten.

De afnemers gaan er vanuit dat de dienstverlening op een juiste wijze

wordt uitgevoerd en verwachten dat de eigenaar daarop toe ziet.

- Uitzonderings- of incidentenrapportage: stakeholders gaan er vanuit dat

het beheer van een SSO op orde is tenzij hen daarover gericht wordt

gerapporteerd. Deze rapportages gaan dus uitsluitend over de

uitzonderingen en incidenten.

- Dienstverleningsovereenkomst met rapportage over de daarin

opgenomen KPI’s: op basis van goede afspraken aan de voorkant wordt

periodiek gerapporteerd over de naleving daarvan. Dit gebeurt veelal op

basis van gezamenlijk overeengekomen en deels generieke (d.w.z. met

meerdere SSO afgesproken) KPI’s.

- In Control Verklaring: een SSO stelt een verklaring op waarin zij

aangeeft dat zij in control is geweest over een bepaalde periode.

- Beheerverslag: de SSO stelt een verslag op waarin zij rapporteert over

het gevoerde beheer in een bepaalde periode. De juistheid en

volledigheid van dit beheerverslag kan, indien gewenst, worden voorzien

van een mededeling door een auditor.

Uit dit onderzoek komt een nadrukkelijk onderscheid naar voren tussen

informatiebehoefte over het gevoerde financieel en ICT beheer enerzijds en

leveranciersmanagement anderzijds. De volgende definities zijn daarbij relevant: - Onder (generieke) stuurinformatie wordt verstaan: de informatie die

een eigenaar nodig heeft om sturing te kunnen geven aan een SSO,

gegeven zijn verantwoordelijkheid voor het financieel beheer1 en

gegeven overige weten regelgeving (ICT-beheer)2

- Onder leveranciersmanagement wordt verstaan: het bewaken door de

afnemende partijen (bijv. departementen/departementsonderdelen) van

de levering van de met een SSO afgesproken dienstverlening.

In hoofdstuk 2 wordt de toepassing van de vijf genoemde mogelijkheden om

invulling te geven aan de informatiebehoefte op het gebied van financieel en ICT-

beheer nader uitgewerkt. In hoofdstuk 3 doen we dat voor

leveranciersmanagement.

1 Grondslag voor financieel beheer: Comptabiliteitswet (CW) en Rijksbegrotingsvoorschriften (RBV)

2 Overige weten regelgeving is in voorliggend stuk beperkt tot het ICT-beheer en betreft VIR, BIR, Wet Bescherming Persoonsgegevens

(Wbp) en Wet Meldplicht Datalekken (Wmd)


2 Financieel en ICT beheer: de eigenaar aan

zet!

2.1 Afnemers verwachten goede rolinvulling door de eigenaar

Als het gaat over de informatiebehoefte over het financieel en ICT beheer

verwacht het merendeel van de afnemers (impliciet) een goede rolinvulling van

de eigenaar. Afnemers zien het namelijk als de taak van de eigenaar om vast te

stellen dat het financieel en ICT beheer van een SSO op orde is. De eigenaar zou

daarbij ondersteund moeten worden door de departementale directie FEZ en het

CIO-office waaronder de SSO ressorteert. Wel worden afnemers graag

geïnformeerd middels een uitzonderings- of incidentenrapportage. Als

onderbouwing van hun verwachting geven zij het volgende aan:

- Vanuit een rijksbrede invalshoek is een SSO feitelijk niets anders dan een

interne dienstverlener. De informatiebehoefte ten aanzien van een SSO

kan daarmee dus ook niet wezenlijk verschillen van die van een interne

dienstverlener binnen het eigen departement. In het geval er sprake is

van uitbesteding aan een externe partij is een nadrukkelijkere

verantwoording wel gewenst;

- Vertrouwen is één van de leidende uitgangspunten bij de inrichting van

SSO’s vanuit het SGO5 gedachtegoed. Hoewel de bijbehorende

governance met een bestuurlijk overleg, een afnemersberaad en

accountmanagement per afnemer hiertoe in theorie waarborgen biedt,

ervaren de respondenten dat in de praktijk soms anders;

- Het voldoen aan weten regelgeving alsook aan de geldende kaders op

het gebied van financieel en ICT beheer is voor afnemers een

randvoorwaarde voor de dienstverlening door een SSO. Zij geven aan dat

zij erop mogen vertrouwen dat deze randvoorwaarden zijn ingevuld.

Afnemers geven – als uitzondering op hun verwachting ten aanzien van een

goede rolvervulling door de eigenaar – wel aan behoefte te hebben aan inzicht in

de opbouw en structuur van de doorberekende (kost)prijs c.q. tarieven van een

SSO.

Door de breed gedragen opvatting omtrent het vertrouwen in de verwachte

rolinvulling door de eigenaar – aangevuld met uitzonderings- of

incidentenrapportages – hebben de meeste stakeholders geen behoefte aan een

(generieke) In Control Verklaring door de SSO. Een (zeer beperkt) aantal

afnemers geeft tenslotte aan behoefte te hebben aan een beheerverslag (bij

voorkeur voorzien van een mededeling door een auditor). De volgende

argumenten worden daarvoor genoemd: - in beginsel is er sprake van vertrouwen - dat wordt ook door deze

respondenten onderschreven – maar dat door hun ervaring met de SSO

(incidenten, onduidelijkheid over de dienstverlening en het niet voldoen

aan kaders) afbreuk is gedaan aan dit vertrouwen;

- binnen de gekozen governance ervaren zij te weinig mogelijkheden om

invloed uit te kunnen oefenen.


2.2 Eigenaren voelen zich verantwoordelijk, maar verwachtingen afnemers

beperkt geadresseerd

De eigenaren van de in dit onderzoek betrokken SSO’s onderkennen hun

verantwoordelijkheid voor de adequate invulling van het financieel en ICT beheer

bij de onder hen ressorterende SSO. Ook onderkennen zij dat het voldoen aan

weten regelgeving alsook geldende kaders op het gebied van financieel en ICT

beheer randvoorwaardelijk zijn voor de dienstverlening door een SSO.

Bezien vanuit de (minimale) informatiebehoefte van de eigenaren ten aanzien

van het financieel en ICT beheer van de onder hen ressorterende SSO enerzijds

en de door de SSO geleverde (verantwoordings)informatie anderzijds valt op dat

eigenaren wisselend invulling geven aan hun rol en daardoor ook verschillende

informatiebehoeften hebben. Hierdoor, maar ook omdat deze verwachting niet

expliciet door de afnemers is uitgesproken, wordt niet altijd voldoende invulling

gegeven aan de verwachtingen van de afnemers. Dit geldt met name op het

gebied van ICT-beheer. Gezien de toegenomen afhankelijkheid van ICT, de

stringentere weten regelgeving op het gebied van privacy en de verhoogde

cyberdreiging verdient dit nadrukkelijk meer aandacht van de eigenaren.

2.3 Rijksbrede kaders gaan verder dan alleen financieel en ICT beheer

Ons onderzoek richt zich op de weten regelgeving, indien en voor zover het het

financieel en ICT beheer betreft (in paragraaf 1.1, voetnoten 1 en 2, is uitgelegd

wat hieronder in voorliggend stuk wordt verstaan). De verwachting van de

afnemers is echter breder: zij verwachten dat een SSO voldoet aan alle weten

regelgeving en (rijksbreed) geldende kaders alsook anticipeert op (toekomstige)

wijzigingen daarin. Als voorbeeld wordt de algemene verordening

gegevensbescherming (AVG) genoemd die per 25 mei 2018 van kracht wordt en

die onder meer de Wet Bescherming Persoonsgegevens (Wbp) zal vervangen.

Omdat de AVG buiten de scope van ons onderzoek valt, is niet nagegaan of de

eigenaren deze bredere verwachting van de afnemers delen.

2.4 Verantwoordingsrapportage geen onderdeel van minimale

informatiebehoefte van de controleurs

De controleurs Auditdienst Rijk (ADR) en Algemene Rekenkamer (AR) hebben in

het kader van de uitvoering van hun wettelijke taak en als minimale

informatiebehoefte geen eisen gesteld met betrekking tot (de aanwezigheid en

inhoud van) verantwoordingsrapportages. Wel is het van primair belang dat de

SSO aantoonbaar kan maken dat zij voldoet aan de vigerende weten

regelgeving. Indien een verantwoordingsrapportage beschikbaar is, zal door de

controleurs worden nagegaan in welke mate hierop gesteund kan worden. Waar

nodig zullen de controleurs zelfstandig (aanvullend) onderzoek uitvoeren. Hierbij

wordt, indien en voor zover mogelijk, gebruik gemaakt van de door de SSO

uitgevoerde interne controles.


3 Leveranciersmanagement: een zaak tussen

afnemer en SSO

Alle respondenten geven aan dat het leveranciersmanagement een zaak is tussen

de afnemer en een SSO. De eigenaar en controleur spelen daarin – in

tegenstelling tot de informatiebehoefte omtrent het financieel en ICT beheer –

een marginale rol. Teneinde op adequate wijze invulling te geven aan het

leveranciersmanagement maken afnemers afspraken met een SSO. Deze

afspraken worden vastgelegd in een dienstverleningsovereenkomst tussen de

afnemer en de SSO, danwel is sprake van een generieke, voor alle afnemers op

gelijke wijze geldende, dienstverlening. Daarin worden aanvullend KPI’s

overeengekomen c.q. aangeboden. De informatiebehoefte van de afnemers voor

wat betreft het leveranciersmanagement betreft periodieke informatie over de

dienstverlening door de SSO. In de praktijk wordt hieraan invulling gegeven door

een periodieke rapportage waarin over de voortgang van de KPI’s wordt

gerapporteerd.

Alhoewel de KPI’s doorgaans relevant zijn, geeft een aantal afnemers aan dat het

aggregatieniveau waarop gerapporteerd wordt onvoldoende inzicht voor hen

biedt. Hierdoor ervaren zij niet altijd handelingsperspectief om bij te kunnen

sturen binnen hun eigen proces. Dit geldt met name voor P-Direkt aangezien bij

zowel DICTU als UBR/HIS sprake is van een klantspecifieke maatwerkrapportage

aan de afnemer van de betreffende SSO. Met betrekking tot de generieke,

“standaard” informatievoorziening rijst de vraag in hoeverre de wens tot meer

gedetailleerde informatie aan afnemers recht doet aan de vastgestelde

uitgangspunten van SGO5 (generieke dienstverlening met een minimum aan

maatwerk(rapportages).


4 De beleving van stakeholders rondom

verantwoordingsinformatie

Wij hebben tijdens dit onderzoek de stakeholders ook gevraagd naar hun

beleving rondom de verantwoordingsinformatie van SSO’s. Hieronder volgen

enkele beelden die uit het onderzoek naar voren zijn gekomen en die raken aan

de beleving van afnemers en SSO’s.

4.1 Afnemers ervaren afstand tot SSO’s en voelen zich niet altijd gehoord

Verschillende afnemers ervaren een zekere afstand tot de SSO’s. Dit komt onder

andere doordat:

- deze afnemers niet vertegenwoordigd zijn in de officiële overleggremia

zoals een Bestuurlijk Overleg;

- zij niet behoren tot het departement waaronder de SSO ressorteert.

Afnemers die wel deelnemer zijn in deze overleggremia ervaren deze afstand

minder. Zij ontvangen over het algemeen ook meer informatie via de formele en,

met name, de informele kanalen.

In het verlengde hiervan is de beleving dat de SSO’s te weinig rekening houden

met het bijzondere karakter van afnemers. De afnemers geven aan dat hun

primair proces zodanig afwijkt dat dit niet altijd past op een generieke dienst van

de SSO en dat bovendien de processen van de SSO van invloed kunnen zijn op

hun primair proces. Dit speelt met name bij kleinere afnemers. Het gevoel leeft

dat specifieke problemen van deze afnemers, door hun beperkte invloed, te

weinig aandacht krijgen in de overleggremia. Als gevolg van deze ervaren

afstand tot de SSO is het vertrouwen dat deze afnemers hebben beperkt. Dit

wordt versterkt doordat de afnemers van mening zijn dat een SSO nog niet

volwassen genoeg is. Een voorbeeld hiervan is de beleving van afnemers dat de

SSO’s moeite hebben met het onderbouwen van hun rekeningen.

4.2 Het perspectief van de eigenaar en de SSO: hoeveel is genoeg?

Zowel SSO’s als eigenaren geven aan dat zij voldoende informatie delen. Hierbij

noemen zij uitdrukkelijk ook de relatie met de kosten van het verstrekken van

informatie. Zij zien het als valkuil dat er steeds meer informatie gevraagd en

geleverd gaat worden, waardoor de kosten van de dienstverlening van de SSO

zullen oplopen.

4.3 Informatiebehoefte neemt af als een SSO meer volwassen is

Respondenten geven aan dat de informatiebehoefte onder andere afhankelijk is

van de volwassenheid van een SSO. Dat werkt twee kanten op. Enerzijds

onderkennen zij een positieve relatie tussen de kwaliteit en stabiliteit van de

informatievoorziening en de volwassenheid van de SSO. Anderzijds geven zij aan

dat bij een meer volwassen SSO de informatiebehoefte over de dienstverlening

na verloop van tijd zal afnemen. Dit geldt zowel voor de informatiebehoefte op

het gebied van financieel en ICT beheer als voor leveranciersmanagement.


5 Verantwoording onderzoek

5.1 Werkzaamheden en afbakening

Deze opdracht wordt uitgevoerd in opdracht van drs. O.F.J. Welling, directeur

Ambtenaar en Organisatie, DGOO, ministerie van BZK. De doelstelling van dit

onderzoek is om:

… in nauwe samenwerking met de geselecteerde SSO’s en hun stakeholders, in

kaart te brengen welke informatie zij minimaal nodig hebben om invulling te

geven aan leveranciersmanagement en om vast te stellen of de SSO voldoet aan

de volgende weten regelgeving: de Comptabiliteitswet 2001, het wetsvoorstel

Comptabiliteitswet 2016 alsook overige weten regelgeving (i.c. de RBV, de BIR,

de Wbp alsmede de wet Meldplicht datalekken).

Aan deze doelstelling is invulling gegeven door de volgende onderzoeksvragen te

beantwoorden: 1. Wat is volgens stakeholders de minimaal benodigde informatie over

financieel beheer en ICT-beheer: CW/RBV, VIR/BIR, Wbp, Wmd,

leveranciersmanagement en wat is hun motivatie daarvoor?

2. Welke informatie wordt reeds verstrekt door de geselecteerde SSO’s over

a. financieel beheer en ICT-beheer: CW/RBV, VIR/BIR, Wbp, Wmd,

b. leveranciersmanagement en in welke vorm?

3. Op welk niveau op het departement komt deze informatie terecht?

4. Wat zijn de verschillen tussen de minimaal benodigde en reeds

verstrekte informatie over financieel beheer en ICT-beheer: CW/RBV,

VIR/BIR, Wbp, Wmd, leveranciersmanagement? Hierbij zullen wij ook

nagaan of de minimaal benodigde informatie, voor zover nog niet

verstrekt, al wel beschikbaar is.

5. Hoe beleven de stakeholders en de geselecteerde SSO’s de informatie die

volgens de regelgeving inzake financieel beheer en ICT-beheer nodig is?

Schematisch ziet dat er als volgt uit:

Figuur 1: schematische weergave van het onderzoek


Bij de selectie van geïnterviewden hebben wij in overleg met de opdrachtgever

de volgende uitgangspunten gehanteerd:

- drie afnemers per geselecteerde SSO, aangevuld met de ADR en de AR;

- rijksbrede spreiding van de afnemers;

- voor het financieel en ICT-beheer zijn respectievelijk de directeur FEZ en de

CIO van het departement waaronder de SSO ressorteert alsmede van het

departement van de afnemer benaderd;

- voor leveranciersmanagement is de directeur benaderd die verantwoordelijk is

voor het domein waarin de SSO haar dienstverlening uitvoert;

- tot slot zijn een centraal opdrachtgever alsmede de geselecteerde SSO’s en hun

eigenaren geïnterviewd.

De ADR en de AR zijn in dit rapport meegenomen als “controleur”. Daarbij

hebben wij ons met name gericht op de rol die zij vervullen in het kader van de

wettelijke taak die deze partijen hebben vanuit de genoemde weten

regelgeving. Daarnaast is de AR separaat als afnemer geïnterviewd en in dit

rapport onder de noemer “afnemer” meegenomen.

Scope en reikwijdte

Onze werkzaamheden hebben een inventariserend en verkennend karakter en

betreffen de minimaal benodigde informatie en de verstrekte informatie per

onderwerp, gegeven de insteek zoals hierboven beschreven. Het

leveranciersmanagement heeft betrekking op de relatie en informatie tussen de

SSO’s en de hun diensten afnemende departementen en betreft uitdrukkelijk niet

de relatie en informatie tussen de SSO’s en door hen uitbestede diensten aan

andere (interne of externe) partijen.

Onze werkzaamheden zijn gericht op een inventarisatie van (de soort) informatie

en betreffen niet een inhoudelijke beoordeling van deze informatie en zijn

evenmin gericht op vaststelling van de betrouwbaarheid (juistheid, volledigheid

en tijdigheid) ervan. Ook schrijven wij geen rijksbreed geldende aanpak voor de

beoordeling van SSO’s voor of reiken daartoe een kader aan, noch geven wij

daarover advies.

Voor een meer gedetailleerde beschrijving van de opdracht inclusief gekozen

aanpak verwijzen we naar de overeengekomen opdrachtbevestiging (kenmerk:

2016-0000222143) d.d. 6 december 2016. Daarin is o.a. opgenomen dat het

rapport in concept wordt afgestemd met een daartoe ingestelde klankbordgroep

waarin o.a. medewerkers van DGOO en FEZ BZK zitting hebben. Hierna vindt

afstemming met de opdrachtgever plaats. Beide afstemmingen hebben

plaatsgevonden.

5.2 Gehanteerde Standaard

Voor het onderzoek geldt dat deze opdracht is uitgevoerd in overeenstemming

met de Internationale Standaarden voor de Beroepsuitoefening van Internal

Auditing alsook met het Auditcharter ADR en het Handboek Auditing

Rijksoverheid.

Omdat er geen assurance-opdracht is uitgevoerd wordt met deze rapportage

geen zekerheid verschaft. Het onderzoek kent een inventariserend karakter en

op basis van onze rapportage wordt de (gedelegeerd) opdrachtgever in staat

geacht zijn eigen conclusies te trekken en afwegingen te maken.


5.3 Verspreiding rapport

De resultaten van deze opdracht zijn opgenomen in voorliggende schriftelijke

rapportage van feitelijke bevindingen; uitgebracht aan dhr. drs. O.F.J. Welling,

directeur A&O, DGOO, zijnde de gedelegeerd opdrachtgever namens de ICBR. De

ICBR is eigenaar van het rapport.

De ADR is de interne auditdienst van het Rijk. Dit rapport is primair bestemd

voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de

ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR

een rapport heeft geschreven, het rapport binnen zes weken op de website van

de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van

Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels

van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website.


6 Ondertekening

Den Haag, 26 juli 2017

Auditmanager

Auditdienst Rijk


Bijlage 1: P-Direkt

P-Direkt: context en karakteristieken

P-Direkt levert bedrijfsvoeringservices met een focus op personeel, voor en door

de medewerker van de Rijksdienst. Met P-Direkt regelen 120.000

rijksambtenaren zelf hun personeelszaken en P-Direkt helpt hen daarbij. Met het

P-Direktportaal kunnen rijksambtenaren zelf hun personeelszaken regelen.

Wanneer zij hulp nodig hebben dan staat het P-Direkt contactcenter klaar om

vragen te beantwoorden. Daarnaast biedt P-Direkt het Rijksportaal Personeel

aan. Een informatieportaal met informatie over personeelszaken en daarmee

samenhangende weten regelgeving.

Informatiebehoefte

Gewenste informatie

Verstrekte informatie Verschil

Eigenaar/

opdrachtgever

Klanttevredenheid Uitputting van

budgetten Innovatie van de

dienstverlening De gezondheid en

stabiliteit van P-Direkt

Toereikendheid aangeboden informatie aan stakeholders

Uitzonderingsrapportages als zaken niet goed lopen

(management by exception)

Eigenaar/ opdrachtgever

Klantbeleving/

klanttevredenheid

Uitputting van budgetten

Innovatie van de dienstverlening Beperkte informatie over projectaanpak en

projectplanningen Jaarplannen Jaarverslagen Viermaandsrapportage

s Incidentenrapportages

(management by

exception)

Eigenaar/

opdrachtgever

Gewenste en

verstrekte

informatie

komen

grotendeels

overeen.

Informatie

verstrekking

over

projectaanpak

en project

planning

inzake

ontwikkelproje

cten moet

verbeterd

worden.

Concerncontroller

Viermaandsrapportag

e over generieke dienstverlening incl. dashboard

Risico’s op gebieden van het budget en de bedrijfsvoering

Opvolging van

Concerncontroller

Viermaandsrapportage

s over generieke dienstverlening, incl. risico’s

Risico-beheersmatrix Periodiek gesprek: niet

alle risico’s blijken uit de viermaands

Concerncont

roller

Gewenste en

verstrekte

informatie

komen

overeen.


Gewenste informatie


eventuele onvolkomenheden

rapportages, aanvullend via gesprek

adressering van belangrijke

vraagstukken vaststelling of de SSO haar informatie-voorziening op orde heeft (vooral eigen bedrijfsvoering)

Opvolging van

eventuele onvolkomenheden

Afnemers

Uitzonderings- rapportages als zaken niet goed lopen (management by exception)

Realisatie afgesproken diensten

De geleverde specifieke diensten en de hiermee samenhangende kosten

De opbouw c.q. specificatie van de

huidige en in het verleden gehanteerde tarieven

De realisatie van de bij de oprichting van P-

Direkt beoogde baten c.q. vergroting van de

doelmatigheid en de realisatie van de voorgenomen kwaliteit van de dienstverlening

Systematische fouten en informatie over

processen waar vaak fouten worden gemaakt, procesinformatie over diverse mutaties in P-Direkt die interessant zijn om nader te

onderzoeken en om te analyseren welke actoren bij de

procesgang wanneer een rol hebben gespeeld en soort vragen die het

contactcenter krijgt en welke acties worden ondernomen

Onvolkomenheden die zijn gebleken en informatie over de

Afnemers

Uitzonderingsrapportages Realisatie afgesproken

diensten (dienstverleningsrapportage)

De geleverde specifieke diensten en de hiermee samenhangende kosten

Onvolkomenheden die zijn gebleken en informatie over de opvolging

Planning voor het komend jaar

Jaarplan met onder andere de afspraken met de eigenaar

Jaarverslagen Klantbeeld

Jaarlijkse tariefnota De KBA P-Direkt over

realisatie van beoogde baten

GTO ieder kwartaal met klanttevredenheid per

departement Samenwerkingsruimte

met onder andere de informatie uit het BO

Jaarrekening waaruit onder andere de naleving van de financiële weten

regelgeving blijkt Site van P-Direkt met

onder andere

veranderingen in weten regelgeving

Resultaten van de interne controles

Afnemers

Gewenste en

verstrekte

informatie

komen voor

een deel

overeen.


Gewenste informatie


opvolging Performance P-Direkt

en klantbeleving/klanttevr

edenheid departementsspecifiek

Planning voor het komend jaar

De met de eigenaar gemaakte afspraken en de resultaten daarvan

Informatie uit het Bestuurlijk Overleg

Naleving van weten regelgeving die betrekking heeft op de financiële informatie,

zoals de Aanbestedingswet

2012, sociale en belastingwetten, Staatssteunregels, ARAR, materiewetten t.a.v.

overdrachtsuitgaven en -ontvangsten en comptabele regelgeving als de CW 2001 en de nadere regelgeving daaromtrent

De naleving van relevante weten regelgeving en kaders als bijvoorbeeld Wbp, Wmd en BIR

Veranderingen in de

weten regelgeving (met name m.b.t. personeel en arbeidsvoorwaarden)

Nieuwe releases bij P-Direkt en de daarin verwerkte wet –en

regelgeving en opgave van de door het jaar ingeplande releases voorzien van een globale inhoud en planning

Resultaten van de

interne controles Een beheersverslag

over de uitvoering van processen bij P-Direkt Eventueel aangevuld met

assurance van een auditor over de juistheid en volledigheid van het beheersverslag.


Gewenste informatie


ADR / AR als

controleur

Het aantoonbaar

voldoen aan de huidige controledoelstellingen

Het beheer bij wijzigingen in het personeelsbestand en juiste bruto-

nettoberekeningen, (reis)declaraties en verlof

Een overzicht van het systeemlandschap en de gebruikte systemen

Het aantoonbaar

voldoen aan de General

IT Controls Resultaten van de

uitgevoerde interne controles. De controles betreffen (1) de volledigheid van de P-

dossiers, (2) controles op mutaties en (3) op de ingeleverde bonnen

ADR / AR als

controleur

Resultaten van de

uitgevoerde interne controles. De controles betreffen (1) de volledigheid van de P-dossiers, (2) controles op mutaties en (3) op de

ingeleverde bonnen

ADR / AR als

controleur

Bij P-Direkt is

voldoende

informatie

beschikbaar

om de

vereiste

controles uit

te voeren.

Wat is volgens stakeholders de minimaal benodigde informatie over

financieel beheer en ICT-beheer?

De eigenaar heeft behoefte aan informatie over de gezondheid en stabiliteit van

P-Direkt, de toereikendheid van de aangeboden informatie aan stakeholders en

management by exception: uitzonderingsrapportages als zaken niet goed lopen.

De opdrachtgever heeft in het bijzonder behoefte aan informatie over

klanttevredenheid, uitputting van budgetten en innovatie van de dienstverlening.

Het voldoen aan kaders, inclusief rechtmatigheidseisen, ziet de opdrachtgever als

een basisvoorwaarde. Als zij niet worden gevolgd dan zal dat blijken en moet het

worden opgelost.

De concerncontroller heeft behoefte aan informatie zoals die in de

viermaandsrapportages van de agentschappen/SSO’s terug te vinden zou

moeten zijn, voor wat betreft de generieke dienstverlening. Hierin is een

dashboard opgenomen t.b.v. adequate sturing. Voor de controller is het van

belang te weten wat de risico’s zijn. Zowel op het gebied van het budget als op

het gebied van de bedrijfsvoering.

P-Direkt levert standaard dienstverlening aan haar afnemers. Deze standaard

dienstverlening omvat onder andere de informatieverstrekking door P-Direkt over

de realisatie van de afgesproken dienstverlening. Per departement worden er

meerwerkafspraken gemaakt. Enkele afnemers geven aan dat de afgesproken

informatieverstrekking door P-Direkt de minimaal benodigde informatie afdekt.

Enkele afnemers gaan in navolging van SGO5 uit van een professioneel

opererende SSO en vertrouwen erop dat de SSO voldoet aan de voor haar

geldende kaders. Alleen afwijkingen van de kaders zoals beveiligingsincidenten,

klachten, verstoringen in het primaire proces van P-Direkt die van invloed

(kunnen) zijn op de bedrijfsvoering en datalekken willen deze afnemers

gerapporteerd hebben (management by exception).


De meeste geïnterviewde afnemers hebben de minimaal benodigde informatie in

detail aangegeven. De minimaal benodigde informatie die afnemers zien naast de

jaarplannen, de jaarverslagen, de realisatie van de afspraken, de opvolging van

onvolkomenheden en de geleverde specifieke diensten en de hiermee

samenhangende kosten, wisselt sterk en betreft op hoofdlijnen het volgende:

klantbeleving/ klanttevredenheid departementsspecifiek, de resultaten van de

uitgevoerde interne controles, de naleving van relevante weten regelgeving, de

rechtmatigheid en doelmatigheid van de salarisverwerking door P-Direkt en de

veranderingen in de weten regelgeving en de hiermee samenhangende nieuwe

releases bij P-Direkt.

Drie afnemers hebben behoefte aan assurance van een auditor over de door P-

Direkt verstrekte informatie:

Eén afnemer geeft aan dat assurance gewenst is over de juistheid en volledigheid

van de verantwoording van P-Direkt en de realisatie van de

dienstverleningsafspraken.

Eén afnemer geeft aan voor de accountantsverklaring ook afhankelijk te zijn van

het goed functioneren van P-Direkt. Voorheen kon gesteund worden op het

beheerverslag, maar dat wordt nu niet meer opgesteld en aan de afnemers

beschikbaar gesteld. Omdat deze afnemer nog niet kan vertrouwen op de

taakvolwassenheid van de P-Direkt blijft het beheerverslag, voorzien van

assurance van een auditor, volgens deze individuele afnemer nodig.

Eén afnemer geeft aan dat een SSO waaraan zij haar diensten uitbesteedt zich

dient te verantwoorden over de uitbestede processen door middel van een

beheerverslag. Hierin dient in het bijzonder het ingerichte stelsel van

maatregelen en procedures binnen de betreffende SSO en de werking daarvan

tot uitdrukking te komen.

Voor de controleur Auditdienst Rijk (ADR) is het aantoonbaar voldoen aan de

huidige controledoelstellingen en de general IT-controls (GITC) voldoende voor

een goede uitvoering van de wettelijke taak door de ADR. Ten aanzien van het

voldoen aan de huidige controledoelstelling wordt door de ADR gebruik gemaakt

van de resultaten van de door P-Direkt uitgevoerde interne controles. Voor de

GITC geldt dat deze zich met name richten op het wijzigingsbeheer en logische

toegangsbeveiliging voor systemen die voor de jaarrekeningcontrole relevant

zijn. Daarnaast geeft P-direkt zelf een ICV af. Mogelijk ontstaat hierdoor een

overlap tussen de GITC werkzaamheden van de ADR en de werkzaamheden die

de SSO uitvoert ten behoeve van de ICV.

De door P-Direkt aangereikte informatie hoeft niet per se gecertificeerd te zijn,

maar het ontbreken daarvan heeft dan wel gevolgen voor de werkzaamheden

van de controleur Algemene Rekenkamer (AR). Immers bij het ontbreken van

gecertificeerde informatie zal de controleur AR eigenstandig werkzaamheden

moeten verrichten om vast te stellen of de ontvangen informatie betrouwbaar en

bruikbaar is voor de controledoeleinden van de AR. Dat betekent in concreto:

zelfstandig onderzoek d.m.v. bijvoorbeeld documentstudie, interviews,

waarneming ter plaatse en reperformance.

De controleur AR geeft aan dat een 3402-verklaring (een van de vormen van

assurance die een IT-auditor kan verstrekken) primair de informatiebehoefte van

de afnemer van diensten van een SSO moet afdekken en niet primair de

behoefte van de controleur AR uit hoofde van de wettelijke taak: de 3402-

verklaring is namelijk bedoeld voor de afnemer, ten behoeve van het verkrijgen

van zekerheid (assurance) of de SSO de uitbestede werkzaamheden conform de

afspraken uitvoert. Daarnaast is een 3402-verklaring van belang voor de

accountant van de afnemer ten behoeve van de werkzaamheden van die

accountant voor de controle van de jaarrekening van de afnemer, voor zover de


werkzaamheden van de SSO’s van invloed zijn op de financiële informatie

waarover in het jaarverslag van de afnemer verantwoording wordt afgelegd. In

die situaties zal deze 3402-verklaring in beginsel (afhankelijk van de eisen die de

afnemer aan de 3402-verklaring stelt) ook voorzien in de informatiebehoefte van

de AR als controleur. Een 3402-verklaring (zelfs van type II) hoeft dus niet per

definitie de informatiebehoefte van de controleur AR af te dekken, maar vanuit

een effectief en efficiënt controlebestel verdient het volgens de AR aanbeveling

om bij het bepalen van de informatiebehoefte en de gevraagde assurance

middels een 3402-verklaring ook de eisen en wensen van de accountant van de

afnemer en die van de AR als controleur mee te nemen.

Welke informatie wordt reeds verstrekt door P-Direkt over financieel

beheer en ICT-beheer?

De eigenaar ontvangt viermaandsrapportages, jaarplannen en de jaarverslagen.

Ook krijgt hij informatie ten behoeve van de bepaling van het strategisch beleid

door interviews te houden binnen DGVBR en met de andere Bestuurlijke

Overleggen, SSO’s, de ICOP en met externe partijen. Tweewekelijks is er een

overleg tussen DGVBR en de directeuren van de SSO’s en wordt over de diverse

onderwerpen gesproken, ook hier gaat het soms over P-Direkt. De

incidentenrapportages (management by exception) en de informatie uit de

gesprekken worden door de eigenaar eigenlijk belangrijker gevonden dan de

viermaandsrapportages. Ook wordt door P-Direkt aan de eigenaar een In Control

Verklaring afgegeven over de generieke dienstverlening in relatie tot de VIR met

daarbij de BIR als inrichtingskader. Maandelijks heeft de centraal opdrachtgever

een gesprek met directeur van P-Direkt. Daarin wordt bijvoorbeeld gekeken naar

de vragen die bij afnemers leven.

De concerncontroller ontvangt viermaandsrapportages voor wat betreft de

generieke dienstverlening van P-Direkt. Hierbij wordt ook over de risico’ s

gerapporteerd. Tevens bestaat er een risicobeheersmatrix die geactualiseerd

wordt door de SSO’s en die periodiek wordt besproken in het Beheersoverleg van

BZK (voorzitter: SG). De controller is afhankelijk van wat de SSO zelf als risico’s

signaleert en rapporteert. Omdat niet alle risico’s uit de viermaandsrapportages

blijken, is periodiek een aanvullend gesprek altijd van belang. In deze

gesprekken worden pro-actief vragen gesteld, worden de belangrijke

vraagstukken geadresseerd en wordt vastgesteld of de SSO haar

informatievoorziening op orde heeft, vooral voor haar eigen bedrijfsvoering.

Indien er (AR-) onvolkomenheden zijn gebleken wenst de concerncontroller

informatie over de opvolging die de SSO geeft ter afwikkeling hiervan.

P-Direkt verstrekt aan afnemers informatie over de dienstverlening via

dienstverleningsrapportages. Over de bedrijfsvoering inclusief het financieel

beheer worden afnemers geïnformeerd via het jaarverslag. Het jaarverslag is

voor iedereen beschikbaar via www.p-direkt.nl. De dienstverleningsrapportages

met achterliggende informatie zijn voor de afnemers beschikbaar via de

samenwerkingsruimte. Ook wordt door P-Direkt een klantbeeld verstrekt. Het

klantbeeld geeft een samenhangend beeld van de dienstverlening zoals die

momenteel aan de afnemers wordt geleverd. Sturingsinformatie ten behoeve van

de eigen organisatie vindt een manager in het P-Direkt portaal waarin standaard

verschillende rapporten op te vragen zijn. Over de resultaten van de interne

controles bij P-Direkt worden de P-Controllers geïnformeerd via het IC over de

keten overleg. De afnemers worden ook geïnformeerd over de interne controles

via de dienstverleningsrapportage. Ook zijn er diverse overleggremia waarin

afnemers zijn vertegenwoordigd en waarin zij informatie ontvangen. Dit betreft

het Bestuurlijk Overleg, het Afnemersberaad, het P-Controllersoverleg, het

Eigenaarsoverleg en Relatiemanagement op strategisch, tactisch en operationeel

niveau.


Op basis van bij P-Direkt beschikbare informatie controleert de ADR de P-uitgaven over de gehele keten, inclusief P-Direkt. De informatie over de uitkomsten van deze controle wordt gedeeld met de klantclusters van de ADR.

Wat zijn de verschillen tussen de minimaal benodigde en reeds

verstrekte informatie over financieel beheer en ICT-beheer?

De eigenaar en de centraal opdrachtgever zijn tevreden over de ontvangen

informatie. De centraal opdrachtgever is daarentegen ontevreden over de

ontvangen informatie over de beheersing van de 27.000 uur die beschikbaar

wordt gesteld aan ontwikkelprojecten. Projectaanpak en planning van

ontwikkelprojecten moeten volgens de opdrachtgever verbeterd worden.

Afnemers geven aan de minimaal benodigde informatie voor een deel te

ontvangen. De meeste geïnterviewde afnemers geven aan ook een of meer

onderdelen van de minimaal benodigde informatie te missen. Wat dat is verschilt

per afnemer sterk. Ook geven afnemers soms aan dat zij verwachten dat deze

informatie wel aanwezig is maar dat deze niet bij hun doorkomt omdat de

informatie elders in de organisatie of bij de deelnemers in het ICOP blijft hangen.

De volgende door één of meerdere afnemers gewenste informatie wordt door P-Direkt niet verstrekt:

Systematische fouten en informatie over processen waarin vaak fouten worden gemaakt, procesinformatie over diverse mutaties in P-Direkt die interessant zijn om nader te onderzoeken en om te analyseren welke actoren bij de procesgang wanneer een rol hebben gespeeld en de soort vragen die het contactcenter krijgt en welke acties worden ondernomen.

De naleving van relevante weten regelgeving en kaders als bijvoorbeeld

Wbp, Wmd en BIR. Nieuwe releases bij P-Direkt en de daarin verwerkte wet –en regelgeving en

opgave van de door het jaar ingeplande releases, voorzien van een globale inhoud en planning.

Een beheerverslag over de uitvoering van processen bij P-Direkt, eventueel aangevuld met assurance van een auditor over de juistheid en volledigheid

van het beheersverslag.

Soms wensen afnemers een hogere frequentie waarmee informatie wordt

ontvangen. Dit betreft bijvoorbeeld een frequentere terugkoppeling over de

realisatie van de overeengekomen dienstverlening. Een ander voorbeeld hiervan

is de planning voor het komend jaar. Deze wordt door P-Direkt in oktober

bekendgemaakt. Vaak worden in de zomer plannen gemaakt voor het jaar

daarop, maar dan is er geen actuele informatie beschikbaar (P-Direkt geeft in

relatie tot voorgaande aan dat al voor de zomer de planning met de ICOP-leden

wordt afgestemd). Een hogere frequentie is daarom gewenst omdat hiermee ook

het Bestuurlijk Overleg van input wordt voorzien. Een enkele afnemer wenst

informatie over de status en de afhandeling van incidenten, datalekken en

klachten die specifiek zijn voor een afnemer.

Enkele afnemers hebben tijdens het onderzoek de voor hun ontbrekende dienstverlening aangegeven. Dit valt echter buiten de scope van ons onderzoek

omdat het geen verantwoordingsinformatie betreft. Het gaat hier om rapportages voor strategisch P-beleid, de brongegevens van medewerkers, vastleggen van verplaatsingen van FTE’s tussen buitengewesten, registratie van bovenformatieve FTE’s en uitbetaling van loonkosten in lokale valuta.

De concerncontroller (BZK) is tevreden over de ontvangen informatie. Bij P-

Direkt is de vereiste informatie aanwezig voor de door de controleurs uit te

voeren controles. Voor de controleur AR geldt dat bij het ontbreken van

gecertificeerde informatie de controleur AR eigenstandig werkzaamheden zal


moeten verrichten om vast te stellen of de ontvangen informatie betrouwbaar en

bruikbaar is.

Op welk niveau op het departement komt deze informatie terecht?

De eigenaar en opdrachtgever van P-Direkt ontvangen informatie via periodiek

overleg met de directeuren en via het Bestuurlijk Overleg. Ook krijgt de centraal

opdrachtgever informatie ten behoeve van de bepaling van het strategisch beleid

door overleg met andere Bestuurlijke Overleggen, met de SSO’s, met de

ICBR/ICOP en met externe partijen.

De informatie van P-Direkt bereikt via overleggremia en rapportages (zie

hierboven) de afnemers. Het sturingsmodel SGO5 voorziet in 2 soorten overleg:

het Bestuurlijk Overleg, dit is op hoog abstractieniveau en het Afnemersberaad,

dit is een overleg met klankbord/adviesfunctie waarin een aantal afnemers is

vertegenwoordigd. Daarnaast voert P-Direkt accountmanagementoverleg direct

met de dienstonderdelen van een afnemer. In de ICOP is onlangs besloten een

aantal overleggremia toe te voegen. Dit betreft de volgende overleggen: tussen

relatiemanagers, tussen accountmanagers P-Direkt en ICOP leden en het HR-

ketenoverleg.

Afnemers geven aan dat vanuit de overleggremia te beperkt informatie

beschikbaar komt. Informatie uit het Bestuurlijk Overleg wordt formeel niet met

hen gedeeld en van het accountmanagementoverleg vindt geen verslaglegging

plaats. Afnemers ervaren ook een gebrek aan informatie-uitwisseling tussen de

centraal opdrachtgever van P-Direkt en de individuele afnemer, ook tussen de

vertegenwoordiging van afnemers in het Bestuurlijk Overleg en de individuele

afnemer. Doordat er geen interdepartementale overleggen meer zijn, weet een

afnemer niet wat er speelt bij andere afnemers. Niet alle relevante casussen

komen volgens een afnemer door in het Bestuurlijk Overleg. Een voorbeeld is de

levering door P-Direkt van de TWK-rapportage. Na een change in het systeem

stopte deze levering plotseling zonder overleg. Ook beslist het Bestuurlijk

Overleg in de huidige constructie over de tarieven terwijl niet alle afnemers

daarover hun input kunnen geven.

Voor rapportages van P-Direkt is de directie P&O binnen het departement veelal

het aanspreekpunt P-Direkt rapporteert aan alle afnemers. Afnemers kunnen

bovendien kiezen voor “IC over de HR-keten”, dit houdt in dat P-Direkt controles

uitvoert t.b.v. die afnemers. Bijna alle rapportages van P-Direkt zijn terug te

vinden op www.P-direkt.nl en op de samenwerkingsruimte op intranet.

http://www.p-direkt.nl/


Bijlage 2: UBR/HIS

UBR/HIS: context en karakteristieken

Een aantal ministeries3 heeft de uitvoering van inkoop (gerelateerde) diensten in

één organisatie, het gezamenlijke inkoopuitvoeringscentrum, UBR|HIS,

geconcentreerd. Door deze krachtenbundeling kan UBR|HIS (hierna: HIS) ten

behoeve van de departementen efficiënter leveren, specialiseren en

professionaliseren.

Aan de hand van de realisatie in voorgaande jaren maakt de HIS een raming

voor de totale afname van de standaard diensten voor het komende jaar. Op

basis hiervan bepaalt de HIS haar capaciteit voor de dienstverlening. Aan het

einde van het jaar verrekent de opdrachtgever het voorschot met de werkelijk

gerealiseerde inzet4.

Informatiebehoefte

In onderstaande tabel is het totaaloverzicht opgenomen van de

informatiebehoefte van de stakeholders en de door HIS geleverde informatie. In

de laatste kolom is aangegeven wat het verschil is tussen de gewenste en de

verstrekte informatie en, indien dat het geval is, op welke punten de verstrekte

informatie afwijkt van de informatiebehoefte.

Gewenste info

Verstrekt Verschil

Eigenaar

Informatie over de

gezondheid en

stabiliteit SSO

Aangeboden informatie in lijn ook datgene wat verwacht mag worden.

Uitzonderingsrappor

tages als zaken niet goed lopen (management by exception)

Eigenaar

Viermaandsrapportages Jaarplannen

Jaarverslagen

Viermaandsrapportage Risico beheersmatrix Incidentenrapportages

(management by exception)

Tweewekelijks overleg

tussen DGVBR en de directeuren van de SSO’s

Interviews binnen DGVBR en met de andere Bestuurlijke Overleggen, SSO’s,

ICBR en met externe partijen ten behoeve van de bepaling van het strategisch beleid

Geen

Concerncontroller Viermaandsrapporta

Concerncontroller Viermaandsrapportage

3 Ministerie van Algemene Zaken, Binnenlandse Zaken en Koninkrijksrelaties, Buitenlandse Zaken, Financiën,

Sociale Zaken en Werkgelegenheid en Volksgezondheid, Welzijn en Sport. 4 Wanneer de afname aan bet eind van het boekjaar 90% tot 100% betreft van bet voorschot, crediteert

Opdrachtgever bet verschil tussen voorschot en afname. Een eventuele afname onder de 90% crediteert

Opdrachtgever niet. Afname van meer dan 100% brengt Opdrachtgever additioneel in rekening.


Gewenste info

Verstrekt Verschil

ge over generieke dienstverlening incl.

dashboard Risico’s op gebieden

van het budget en de bedrijfsvoering.

Opvolging van eventuele onvolkomenheden

over generieke dienstverlening, incl.

risico’s Periodiek gesprek: niet

alle risico’s blijken uit de viermaands rapportages, pro actief vragen, adressering van belangrijke vraagstukken vaststelling of de SSO

haar informatie-voorziening op orde heeft (vooral eigen bedrijfsvoering)

Opvolging van eventuele

onvolkomenheden

Geen

Afnemers

(Leveranciers

management)

Uitzonderings rapportages 5

Rapportage DVO Uitputting uren per

project Motivatie van

afwijkingen

Plan van aanpak met begroting kosten

Risico’s bij specifieke

aanbestedingen Eén afnemer

wenst een door accountant gecertificeerde verantwoording en DVO.

Afnemers

Rapportage DVO (tertaal rapportage) met

Uitputting uren per project

Projectplan 7 keys rapportage per

project (pilot)

Afnemers

Geen

ADR / AR als

controleur

Rechtmatigheid

van de inkooptransacties

ADR / AR als

controleur

stukken die samenhangen met de inkooptransacties

ADR / AR als

controleur

Geen

5 Afnemers verwachten dat rijksbrede kaders worden toegepast en wensen geïnformeerd te worden wanneer

hiervan (onbewust) is afgeweken. Wij hebben niet kunnen vaststellen dat deze aanwezig / volledig is. Immers

de rapportage over het toepassen van de kaders hebben wij niet gezien.




Het merendeel van de geïnterviewde afnemers vindt dat het financieel beheer en

de interne organisatie binnen de HIS op orde moeten zijn, maar gaat dat niet zelf

vaststellen. Afnemers verwachten dat rijksbrede kaders worden toegepast en

wensen geïnformeerd te worden wanneer hiervan wordt afgeweken.

Eén geïnterviewde afnemer vindt verantwoordingsinformatie van belang en dat

de SSO laat zien dat zij de zaken gedurende een langere periode op orde heeft.

De accountant zou moeten controleren of deze verantwoording juist en volledig

is. Dit is van toepassing ongeacht het vertrouwen in een SSO. Ook zou de

realisatie van de DVO gecontroleerd moeten worden door een accountant. Voorts

wenst deze afnemer geïnformeerd te worden over incidenten en welke acties er

genomen zijn. Bij eventuele bevindingen door het control systeem van de SSO

en/of bevindingen door de ADR zal het bestuurlijk overleg door de SSO

geïnformeerd moeten worden. Afhankelijk van de zwaarte zullen ook afnemers

geïnformeerd moeten worden.

Vanuit leveranciersmanagement vinden afnemers het belangrijk dat zij

geïnformeerd worden over de naleving van het afgesloten DVO. De juistheid en

volledigheid van de rekening moeten kunnen worden vastgesteld.

Voor elke aanbesteding maakt de HIS een plan van aanpak met daarin een

begroting van de te maken kosten. De afnemer wenst geïnformeerd te worden

over de voortgang en ook over dreigende begrotingsoverschrijdingen. Afnemers

vinden vooral de juistheid van de uitputting van de afgesproken uren per project

van belang. Ook is er behoefte aan een motivatie van eventueel gemaakte meer-

en minderkosten door de HIS. Tevens wil men geïnformeerd worden over de

risico’s die het departement loopt bij aanbestedingen. Wanneer een bepaalde

aanbestedingsmethode niet beproefd is of niet als prettig wordt ervaren door

(potentiële) leveranciers dan is het departement hiervan graag op de hoogte. Het

departement kan dan zelf tijdig vertalen naar politieke risico’s en een afweging

maken.

De concerncontroller heeft behoefte aan informatie zoals die, voor wat betreft de

generieke dienstverlening, in de viermaandsrapportages van de

agentschappen/sso’s terug te vinden zou moeten zijn. Tevens voorzien van een

dashboard, opgenomen t.b.v. adequate sturing. Voor de controller is het van

belang te weten waar de risico’s zijn. Zowel op het gebied van het budget als op

het gebied van de bedrijfsvoering.

De eigenaar heeft behoefte aan informatie:

- over de gezondheid en stabiliteit van de organisatie(s);

- of aangeboden informatie ook is wat de ambtenaar mag verwachten,

management by exception: uitzonderingsrapportages als zaken niet goed

lopen.

ADR stelt dat door de HIS de rechtmatigheid van de inkooptransacties moet

worden aangetoond. Voor het systeem DigiInkoop is het aantoonbaar voldoen

aan de Generieke ICT-controles vereist.

De AR als controleur stelt dat de rechtmatigheid van de inkopen geborgd dient te

zijn. Dit houdt in dat het stelsel van maatregelen en procedures (de AO) hierop

gericht dient te zijn en de afnemer geïnformeerd moet worden over de interne

beheersing en de rechtmatigheid van de inkopen en aanbestedingen.

De AR controleert vanuit de afnemer van een SSO. Dat wil zeggen dat het voor

de controle op de jaarverslaggeving door de afnemer van belang is dat er een

koppeling is tussen de financiële administratie van de opdrachtgever van de SSO


(bijvoorbeeld verplichtingenadministratie) en de administratie de SSO als

opdrachtnemer (bijvoorbeeld het contractenregister). Op dit moment zijn de

verplichtingennummers bij de departementen niet te herleiden naar de nummers

die de HIS hanteert.

Welke informatie wordt reeds verstrekt door UBR/HIS over financieel


Aan de afnemers vindt geen expliciete rapportage plaats over financieel beheer

en ICT-beheer. Wel wordt gerapporteerd in het kader van

leveranciersmanagement. Opdrachtgevers ontvangen minimaal per tertaal een

standaardrapportage met hierin de urenrapportage per project en de KPI’s. Waar

mogelijk gaan de rapportages vergezeld van conclusies en adviezen. KPI’s maken

deel uit van de rapportage.

HIS geeft zelf aan dat er een pilot is geweest met ‘7 keys rapportages’. In juni

2017 is de pilot geëvalueerd en is dat besloten voor alle EU aanbestedingen de 7

key rapportage toe te passen. In deze rapportages staan 7 facetten van een

opdracht benoemd en deze worden besproken bij het aangaan van een opdracht.

Dit zijn bijvoorbeeld: risico’s en beleidsdoelstellingen. Per aanbesteding zal een

dergelijke rapportage gemaakt gaan worden. De HIS bespreekt dit met de

projectleider van de aanbesteding, evenals met de opdrachtgever. De

relatiemanager van de HIS die de contacten met de afnemer onderhoudt,

bespreekt alle rapportages maandelijks met de afnemer.

De concerncontroller ontvangt viermaands(tertaal)rapportages voor wat betreft

de generieke dienstverlening van de UBR|HIS. Hierbij wordt ook over de risico’ s

gerapporteerd. De controller is afhankelijk van wat de SSO zelf als risico’s

signaleert en rapporteert. Omdat niet alle risico’s uit de viermaandsrapportages

blijken, is periodiek een aanvullend gesprek altijd van belang. In deze

gesprekken worden proactief vragen gesteld, worden de belangrijke

vraagstukken geadresseerd en wordt vastgesteld of de SSO haar

informatievoorziening op orde heeft, vooral voor haar eigen bedrijfsvoering.

Indien er onvolkomenheden zijn gebleken wenst de concerncontroller informatie

over de opvolging die de SSO geeft ter afwikkeling hiervan.

De eigenaar ontvangt viermaandsrapportages, jaarplannen en het jaarverslag.

Ook krijgt hij informatie ten behoeve van de bepaling van het strategisch beleid

door interviews te houden binnen DGVBR en met de andere Bestuurlijke

Overleggen, SSO’s, ICBR en met externe partijen.

Tweewekelijks is er een overleg tussen DGVBR en de directeuren van de SSO’s

en wordt over de diverse onderwerpen gesproken ook hier gaat het soms over de

HIS. De incidentenrapportages (management by exception) en de informatie uit

de gesprekken worden door de eigenaar eigenlijk belangrijker gevonden dan de

viermaandsrapportages. Tevens is er een risico beheersmatrix die geactualiseerd

wordt door de SSO’s en die periodiek besproken in het Beheersoverleg van BZK

(voorzitter SG).



Ten aanzien van de informatie van leveranciers management komt uit een

interview naar voren dat er getwijfeld wordt aan de juistheid van de doorbelaste

uren. Volgens mededeling zijn in het verleden de uren door de HIS niet altijd op

de juiste projecten geboekt.



De informatie voor de afnemers komt terecht bij het organisatieonderdeel dat

verantwoordelijk is voor de bewaking van de naleving van het contract tussen

HIS en het departement. De 7 keys rapportage wordt verstrekt aan de afnemer

en de opdrachtgever.

De informatie voor de eigenaar en concerncontroller komt bij hen terecht.


Bijlage 3: DICTU

DICTU: context en karakteristieken

DICTU is een van de grotere ICT-dienstverleners binnen de Rijksoverheid en

maakt deel uit van het ministerie van Economische Zaken. De vestigingsplaatsen

zijn Den Haag, Assen en Zwolle. De werkzaamheden betreffen onder meer het

ontwikkelen en beheren van systemen en applicaties, het beheren van

datacenters en de dienstverlening voor ruim 14.000 werkplekken en 13.000

devices. Bij DICTU werken ongeveer 1.200 medewerkers. Naast dienstverlening

aan het ministerie van Economische Zaken en zijn agentschappen, kent DICTU

ook opdrachtgevers buiten dit ministerie. Zo werkt DICTU ook voor (onderdelen

van) de ministeries van VWS, BZK, I&M, SZW en Financiën. In voorliggend stuk

worden de opdrachtgevers van DICTU aangeduid als afnemers.

Informatiebehoefte

In onderstaande tabel is het totaaloverzicht opgenomen van de

informatiebehoefte van de stakeholders en de door DICTU geleverde informatie.

In de laatste kolom is aangegeven wat het verschil is tussen de gewenste en de

verstrekte informatie en, indien dat het geval is, op welke punten de verstrekte

informatie afwijkt van de informatiebehoefte.

Gewenste informatie Verstrekte informatie Verschil

Eigenaar

Managementrapporta

ges (maandelijkse financiële rapportage)

Incidenten met

betrekking tot ICT, Bedrijfsvoering, Financiën en portfolio (indien van toepassing), ten minste wekelijks.

Jaarrekening

ISO270001 certificaat

In-control-verklaring (ICV)

Eigenaar

Managementrapportag

es (maandelijkse financiële rapportage)

Incidenten met betrekking tot ICT,

Bedrijfsvoering, Financiën en portfolio (indien van toepassing), ten minste wekelijks.

ISO270001 certificaat In-control-verklaring

(ICV) meldingen van

datalekken en overige beveiligingsincidenten, bijvoorbeeld hackpogingen, aan de

BVA (indien van toepassing)

Geen

Concerncontroller Er is zekerheid

benodigd over de cijfers. Dit wordt gehaald uit het begrotingsproces en de

Concerncontroller Informatie m.b.t. de

rijksbegrotingscyclus Informatie over evt.

financiële risico’s Managementrapportag

es (maandelijkse

Geen


jaarrekeningcontrole. Informatie over evt.

financiële risico’s Managementrapporta

ges Opdrachtbrieven

projecten Rapportage

opvolging ADR aanbevelingen

financiële rapportage) Opdrachtbrieven

projecten Jaarrekening (incl.

verklaring ADR) Rapportage opvolging

ADR aanbevelingen Rapportage externe

inhuur

Afnemers

Informatie over de

tarievenstructuur /

opbouw van kosten,

incl. onderbouwing van meerkosten.

KPI rapportages

(prestaties DICTU)

Informatie over beheersmatige aspecten van de bedrijfsvoering zoals activabeheer, het volume van telefoongebruik en

dataverbruik, maar ook over bijvoorbeeld accounts (totaal aantal, aantal in

gebruik, aantal afgesloten etc.).

Effectiviteit en klanttevredenheid.

In-control-verklaring Mogelijkheid tot zelf

draaien van maatwerkrapportages o.b.v. query’s

Jaarlijkse verantwoording van DICTU dat de eigen systemen van de

opdrachtgever aantoonbaar het

gehele jaar veilig zijn geweest en hebben voldaan aan de BIR, aangevuld

met eventuele aanvullende maatregelen die uit risico-analyses naar voren zijn gekomen

Tussentijdse

Afnemers

een IB-verslag over de door DICTU beheerde

systemen t.b.v. de

afnemers binnen EZ (d.w.z. niet voor de externe klanten van DICTU)

In-control-verklaring (ICV) (niet naar

externe afnemers) Rapportage over

afgesproken dienstverlening (KPI-rapportage). Zowel informatie over de

generieke dienstverlening als over de projecten

Verantwoordingsinformatie over relevante BIR-normen

Stand van de

aanvullende maatregelen uit de risicoanalyse

Verbeterpunten uit de ISO27001 audit

Onderbou

wing

tarieven(s

tructuur)

ICV (t.b.v

externe

afnemers)

Verantwoo

rding BIR

specifiek


auditresultaten (evt.)

ADR / AR als

controleur

stukken die samenhangen met de door de afnemers aangegane verplichtingen en gedane betalingen

Het aantoonbaar voldoen aan de General IT Controls

stukken die samenhangen met de door de afnemers aangegane verplichtingen en gedane betalingen

Geen



De informatiebehoefte ten aanzien van financieel beheer is binnen EZ voor

DICTU niet anders dan voor andere agentschappen. Er is zekerheid benodigd

over de cijfers. Dit wordt gehaald uit het begrotingsproces en de

jaarrekeningcontrole. Hierbij is het van belang dat FEZ tijdig op de hoogte

gehouden wordt van zaken die mogelijk tot financiële risico’s kunnen leiden. Dit

gebeurt onder meer aan de hand van interne managementrapportages die DICTU

met FEZ deelt. Met betrekking tot ADR-bevindingen betreft de

informatiebehoefte met name rapportage over de opvolging van aanbevelingen

door DICTU. Bovenstaande wordt besproken in verschillende overleggen (zie

verderop).

Afnemers hebben een andere informatiebehoefte: zij geven aan behoefte te

hebben aan informatie over de tarievenstructuur/opbouw van kosten. In het

bijzonder ook de onderbouwing van meerkosten.

Ten aanzien van leveranciersmanagement noemen enkele afnemers dat hun

informatiebehoefte ligt op het gebied van de prestaties van DICTU in relatie tot

gemaakte afspraken. Deze afspraken zijn veelal opgenomen in een

leveringsovereenkomst. Zij willen hierover maandelijks op de hoogte gehouden

worden door middel van rapportages over met DICTU afgesproken KPI´s.

Daarnaast wordt ook onder andere beheerlast per systeem, aantal incidenten,

aantal in gebruik zijnde accounts en klanttevredenheid genoemd.

De afnemers geven allen aan een informatiebehoefte te hebben als het gaat om

ICT-beheer. De afnemers verschillen echter in de mate waarin zij informatie van

DICTU verwachten en de zekerheid die zij over deze informatie (willen)

verkrijgen door een derde partij. De informatiebehoefte verschilt van het

opvragen van de jaarlijkse ‘in-control-verklaring’ (ICV), eventueel aangevuld met

de mogelijkheid zelf maatwerk rapportages te genereren, tot aan de behoefte

aan jaarlijkse verantwoording van DICTU dat de eigen systemen van de

opdrachtgever aantoonbaar het gehele jaar veilig zijn geweest en hebben

voldaan aan de BIR, aangevuld met eventuele aanvullende maatregelen die uit

risico-analyses naar voren zijn gekomen. Mochten de bevindingen hiertoe

aanleiding geven, is aangegeven dat daarnaast tussentijdse audits wenselijk zijn.

Het voldoen aan de CW, de BIR, de VIR en de MD/AVG is voor de eigenaar de

vanzelfsprekende basis. Hij ontvangt als eigenaar voldoende informatie via

verantwoordingen van de DICTU, zoals de jaarrekening, het ISO27001 certificaat


en de ICV. De eigenaar geeft aan dat het niet wenselijk is dat “alles” standaard

wordt geaudit en dat de verantwoordingstoren minder zou kunnen. Dit is

gebaseerd op het gegeven dat de primaire verantwoordelijkheid voor financieel

en ICT-beheer en voor de sturing op een SSO bij de eigenaar ligt waar de SSO

onder ressorteert. Er mag uitgegaan worden van vertrouwen in de

werkzaamheden van de SSO’s en in de rol van de eigenaar daarbij, in de

wetenschap dat het goed functioneren van een SSO ook is geborgd in de eigen

PDCA-cyclus. De eigenaar ontvangt daarnaast ook financiële rapportages die in

verschillende overleggen worden besproken (zie verderop).

De ADR heeft voor de controle van de jaarrekening van de afnemers van DICTU

met name behoefte aan de stukken die samenhangen met de door de afnemers

aangegane verplichtingen en gedane betalingen. Deze worden via de

opdrachtgever verkregen. Verder is het aantoonbaar voldoen aan de general IT-

controls voldoende voor een goede uitvoering van de wettelijke taak door de

ADR.

Welke informatie wordt reeds verstrekt door DICTU over financieel


DICTU rapporteert maandelijks aan de afnemers buiten EZ over de afgesproken

dienstverlening. Dit betreft zowel informatie over de generieke dienstverlening

(beheer) als over de projecten Met betrekking tot informatiebeveiliging verstuurt

DICTU geen ICV aan deze afnemers. Wel wordt aan hen de

verantwoordingsinformatie over relevante BIR-normen verstrekt, hebben zij

inzage in de stand van de aanvullende maatregelen uit de risicoanalyse en

verstrekt DICTU de verbeterpunten uit de ISO27001 audit.

Binnen EZ verstrekt DICTU de volgende informatie:

- maandelijkse financiële rapportage aan FEZ;

- alle informatie ten behoeve van de rijksbegrotingscyclus;

- de interne jaarrekening, hierin staat informatie over de rechtmatigheid van

de bestedingen. De interne jaarrekening wordt door de ADR voorzien van een

verklaring;

- rapportages over externe inhuur, deze informatie gaat via FEZ naar BZK

t.b.v. rapportage aan de Tweede Kamer;

- ISO27001 certificaat van DEKRA Dit certificaat wordt onder andere aan de

CIO Office ter beschikking gesteld;

- ICV op 2 niveaus: ieder dienstonderdeel stelt een ICV op die naar de CIO

Office gaat en vervolgens worden alle ICV’s door de CIO Office

geconsolideerd tot één integrale, EZ-brede ICV. DICTU geeft in haar ICV aan

welke informatiebeveiligingsmaatregelen zij heeft getroffen en dekt daarmee

een deel van de ICV van haar afnemers af;

- een IB-verslag over de door DICTU beheerde systemen t.b.v. de afnemers

binnen EZ (d.w.z. niet voor de externe klanten van DICTU). Dit verslag is

overigens niet voorzien van een verklaring van een auditor;

- indien van toepassing/ad hoc: meldingen van datalekken en overige

beveiligingsincidenten, bijvoorbeeld hackpogingen, aan de BVA.



Uit de analyse komt naar voren dat er onder de stakeholders geen algemeen

gedeeld beeld is met betrekking tot de verstrekte informatie versus de minimaal

benodigde informatie. De stakeholders behorende tot het ministerie van EZ

geven aan dat de huidige informatie die door DICTU wordt verstrekt voorziet in

hun informatiebehoefte. De eigenaar geeft daarbij aan dat het redelijk is dat

DICTU deze informatie oplevert en hierbij niet wordt overvraagd.


De analyse van de informatiebehoefte van de externe afnemers laat een ander

beeld zien. Zij geven aan onvoldoende informatie te ontvangen over de

onderbouwing van de tarieven en de bedragen die in rekening worden gebracht.

Daarnaast geven zijn aan tenminste een ICV te willen ontvangen van DICTU.

Deze ontvangen zij momenteel niet. Ook in de behoefte aan een jaarlijkse

auditcyclus waarbij DICTU aantoont dat de systemen van de opdrachtgever ten

minste aan de BIR voldoen wordt momenteel niet voorzien.

DICTU geeft in zijn algemeenheid aan dat afnemers soms meer informatie

vragen dan kan worden geleverd. Bijvoorbeeld als zij meer details over projecten

willen weten dan op het niveau waarop DICTU projecten administreert.


Zowel met de verschillende stakeholders binnen EZ als met de externe afnemers

vindt op verschillende niveaus periodiek overleg plaats, vaak aan de hand van de

door DICTU aangeleverde informatie (zie de vorige paragraaf).

Financiële aangelegenheden worden besproken in verschillende overleggen

tussen FEZ en DICTU. Dit betreft onder andere het CFO-gesprek, tussen het

afdelingshoofd FEZ/Sturing & Toezicht en de CFO van DICTU en het overleg

tussen directeur FEZ en CFO DICTU. Op het gebied van ICT is er de CIO raad,

waarin alle CIO’s van de dienstonderdelen van EZ en de eigenaar als CIO EZ

zitting hebben. Hierbij is ook FEZ aangesloten waarbij zij aandacht heeft voor de

financiële consequenties van ICT-ontwikkelingen. Daarnaast is er maandelijks

een BFI-overleg (Bedrijfsvoering, Financiën, ICT), dit is een overleg waarin,

naast DICTU, de eigenaar, FEZ en directie Bedrijfsvoering zitting hebben en

waarin de op dat moment spelende zaken worden besproken.

Overleg met afnemers vindt plaats in het DICTU-breed opdrachtgeversoverleg.

Hierin zijn de eigenaar, de directeur DICTU en de directeuren van alle interne- en

externe afnemers vertegenwoordigd. Hierbij komen onder andere de

ontwikkelingen bij de afnemers, nieuwe opdrachten, het portfolio en de

gemeenschappelijke ICT aan de orde. Ook de tarievenstructuur/kostprijs wordt

besproken en bekrachtigd in dit overleg. Aanvullende informatie kan worden

uitgewisseld tussen de projectleider aan DICTU-zijde en de projectleider aan de

zijde van de opdrachtgever.

Met de ADR vinden maandelijks zgn. tripartite overleggen plaats (ADR-DICTU-

FEZ). De stand van zaken rondom opvolging van bevindingen en (interim)

controles worden besproken. Ten tijde van de jaarrekeningcontrole wordt dit

overleg geïntensiveerd naar één keer per week.

Auditdienst Rijk

Postbus 20201

2500 EE Den Haag

(070) 342 77 00

Onderzoeksrapport Verantwoording SSO's...vertrouwen op een gegarandeerde en stabiele kwaliteit van...

Documents

Transcript of Onderzoeksrapport Verantwoording SSO's...vertrouwen op een gegarandeerde en stabiele kwaliteit van...