Onderzoeksrapport Verantwoording SSO's...vertrouwen op een gegarandeerde en stabiele kwaliteit van...
Transcript of Onderzoeksrapport Verantwoording SSO's...vertrouwen op een gegarandeerde en stabiele kwaliteit van...
-
Onderzoeksrapport
Verantwoording SSO's
definitief
2 |
Colofon
Titel Onderzoeksrapport Verantwoording SSO's
Uitgebracht aan Directeur Ambtenaar en Organisatie
drs. O.F.J. Welling
Datum 26 juli 2017
Kenmerk 2017-0000158993
Inlichtingen
Auditdienst Rijk
070-342 7700
Inhoud
Aanleiding opdracht 4
Centrale boodschap 4
1 Verantwoording door een SSO: controle of vertrouwen? 6 1.1 Invulling geven aan de informatiebehoefte: het instrumentarium 6
2 Financieel en ICT beheer: de eigenaar aan zet! 7 2.1 Afnemers verwachten goede rolinvulling door de eigenaar 7 2.2 Eigenaren voelen zich verantwoordelijk, maar verwachtingen afnemers beperkt
geadresseerd 8 2.3 Rijksbrede kaders gaan verder dan alleen financieel en ICT beheer 8 2.4 Verantwoordingsrapportage geen onderdeel van minimale informatiebehoefte
van de controleurs 8
3 Leveranciersmanagement: een zaak tussen afnemer en SSO 9
4 De beleving van stakeholders rondom verantwoordingsinformatie 10 4.1 Afnemers ervaren afstand tot SSO’s en voelen zich niet altijd gehoord 10 4.2 Het perspectief van de eigenaar en de SSO: hoeveel is genoeg? 10 4.3 Informatiebehoefte neemt af als een SSO meer volwassen is 10
5 Verantwoording onderzoek 11 5.1 Werkzaamheden en afbakening 11 5.2 Gehanteerde Standaard 12 5.3 Verspreiding rapport 13
6 Ondertekening 14
Bijlage 1: P-Direkt 15
Bijlage 2: UBR/HIS 23
Bijlage 3: DICTU 28
4 van 33 | Onderzoeksrapport Verantwoording SSO's
Aanleiding opdracht
De bedrijfsvoering binnen het Rijk wordt steeds meer gecentraliseerd en
uitgevoerd door de Shared Services Organisaties (SSO’s) van het Rijk. Om dit
succesvol te (kunnen blijven) doen, is een voorwaarde dat de afnemers kunnen
vertrouwen op een gegarandeerde en stabiele kwaliteit van de dienstverlening
door de SSO’s. Ter ondersteuning daarvan ontwikkelen de SSO’s een stabiel en
verankerd kwaliteitsstelsel, dat leidt tot betrouwbare rapportages over de
kwaliteit en de kosten van de dienstverlening die relevant zijn voor alle
betrokken stakeholders.
Uitgangspunt is dat de stakeholders van SSO’s ervoor zorg dragen dat zij van de
SSO’s voldoende informatie ontvangen om verantwoording af te kunnen leggen.
Hierover is in de Comptabiliteitswet 2016 (in werking tredend 1-1-2018)
opgenomen dat onze ministers en de colleges verantwoordelijk zijn voor de
doelmatigheid, rechtmatigheid, ordelijkheid en controleerbaarheid van het
financieel beheer.
Uit deze tekst blijkt dat de minister zorg moet dragen voor het verkrijgen van de
informatie die nodig is voor het afleggen van verantwoording in zijn jaarverslag.
Dit geldt ook indien hij het beleid dat aan zijn begroting ten grondslag ligt niet
zelf uitvoert.
Met name aan dit laatste beoogt ons onderzoek een bijdrage te leveren. Dit
hebben wij gedaan door voor P-Direkt, DICTU en UBR/HIS de minimaal
benodigde informatie en de verstrekte informatie te inventariseren gegeven de
vigerende wet- en regelgeving, voor zover gericht op het financieel en ICT-
beheer en bezien vanuit de optiek van leveranciersmanagement.
Centrale boodschap
Uit ons onderzoek blijkt dat stakeholders vijf mogelijke manieren (of combinaties
daarvan) hebben om invulling te geven aan hun informatiebehoefte: (1)
vertrouwen, (2) uitzonderings- of incidentenrapportage, (3)
dienstverleningsovereenkomst (DVO) met rapportage over de daarin opgenomen
KPI’s, (4) een In Control Verklaring (ICV) en (5) een beheerverslag. Hun
voorkeur wordt mede bepaald door de volwassenheid van de SSO, de aard van
de dienstverlening en de afstand tot de SSO. Daarbij speelt ook het onderscheid
tussen financieel en ICT beheer enerzijds en leveranciersmanagement
anderzijds.
Voor verantwoording over het financieel en ICT beheer vertrouwt het merendeel
van de afnemers op de rolinvulling, die zij verwacht van de eigenaar. Afnemers
zien het namelijk als de taak van de eigenaar om vast te stellen dat het
financieel en ICT beheer van een SSO op orde is. De eigenaar zou daarbij
ondersteund moeten worden door de departementale directie FEZ en het CIO-
office. De eigenaren (h)erkennen deze verantwoordelijkheid. Bezien vanuit het
perspectief van informatiebehoefte valt op dat de invulling daarvan niet op een
eenduidige wijze geschiedt. Hierdoor, maar ook omdat deze verwachting niet
expliciet door de afnemers is uitgesproken, wordt niet altijd voldoende invulling
gegeven aan de verwachtingen van de afnemers. Dit geldt met name op het
gebied van ICT-beheer. Gezien de toegenomen afhankelijkheid van ICT, de
5 van 33 | Onderzoeksrapport Verantwoording SSO's
stringentere wet- en regelgeving op het gebied van privacy en de verhoogde
cyberdreiging verdient dit nadrukkelijk meer aandacht van de eigenaren.
De controleurs Auditdienst Rijk (ADR) en Algemene Rekenkamer (AR) hebben in
het kader van de uitvoering van hun wettelijke taak en als minimale
informatiebehoefte geen eisen gesteld met betrekking tot (de aanwezigheid en
inhoud van) verantwoordingsrapportages. Wel is het van primair belang dat de
SSO aantoonbaar kan maken dat zij voldoet aan de vigerende wet- en
regelgeving. Indien een verantwoordingsrapportage beschikbaar is, zullen de
controleurs nagaan in welke mate hierop gesteund kan worden. Waar nodig
zullen de controleurs zelfstandig (aanvullend) onderzoek uitvoeren.
De verantwoording over het leveranciersmanagement krijgt in de praktijk vorm
middels een periodieke, generieke rapportage waarin op basis van Kritieke
Prestatie Indicatoren (KPI’s) over de dienstverlening wordt gerapporteerd.
Hoewel de KPI’s doorgaans relevant zijn, geeft een aantal afnemers aan dat het
aggregatieniveau waarop gerapporteerd wordt onvoldoende inzicht biedt voor
hen. Hierdoor ervaren zij niet altijd handelingsperspectief om bij te kunnen
sturen binnen haar eigen processen. Zij hebben hiervoor behoefte aan meer
gedetailleerde en op hun situatie gerichte informatie. Dit geldt met name met
betrekking tot P-Direkt, aangezien bij zowel DICTU als UBR/HIS sprake is van
een klantspecifieke maatwerkrapportage aan de afnemer van de betreffende
SSO. Met betrekking tot de generieke, “standaard” informatievoorziening rijst de
vraag in hoeverre de wens tot meer gedetailleerde informatie aan afnemers
recht doet aan de vastgestelde uitgangspunten van SGO5.
6 van 33 | Onderzoeksrapport Verantwoording SSO's
1 Verantwoording door een SSO: controle of
vertrouwen?
1.1 Invulling geven aan de informatiebehoefte: het instrumentarium
Uit dit onderzoek blijkt een vijftal praktische mogelijkheden om invulling te
geven aan de informatiebehoefte van de stakeholders. Deze kunnen afhankelijk
van de behoefte van de stakeholder, gecombineerd worden en zijn: - Vertrouwen: afnemers vertrouwen erop dat een SSO doet waarvoor zij is
opgericht zonder dat de afnemers daarover verantwoording verwachten.
De afnemers gaan er vanuit dat de dienstverlening op een juiste wijze
wordt uitgevoerd en verwachten dat de eigenaar daarop toe ziet.
- Uitzonderings- of incidentenrapportage: stakeholders gaan er vanuit dat
het beheer van een SSO op orde is tenzij hen daarover gericht wordt
gerapporteerd. Deze rapportages gaan dus uitsluitend over de
uitzonderingen en incidenten.
- Dienstverleningsovereenkomst met rapportage over de daarin
opgenomen KPI’s: op basis van goede afspraken aan de voorkant wordt
periodiek gerapporteerd over de naleving daarvan. Dit gebeurt veelal op
basis van gezamenlijk overeengekomen en deels generieke (d.w.z. met
meerdere SSO afgesproken) KPI’s.
- In Control Verklaring: een SSO stelt een verklaring op waarin zij
aangeeft dat zij in control is geweest over een bepaalde periode.
- Beheerverslag: de SSO stelt een verslag op waarin zij rapporteert over
het gevoerde beheer in een bepaalde periode. De juistheid en
volledigheid van dit beheerverslag kan, indien gewenst, worden voorzien
van een mededeling door een auditor.
Uit dit onderzoek komt een nadrukkelijk onderscheid naar voren tussen
informatiebehoefte over het gevoerde financieel en ICT beheer enerzijds en
leveranciersmanagement anderzijds. De volgende definities zijn daarbij relevant: - Onder (generieke) stuurinformatie wordt verstaan: de informatie die
een eigenaar nodig heeft om sturing te kunnen geven aan een SSO,
gegeven zijn verantwoordelijkheid voor het financieel beheer1 en
gegeven overige wet- en regelgeving (ICT-beheer)2
- Onder leveranciersmanagement wordt verstaan: het bewaken door de
afnemende partijen (bijv. departementen/departementsonderdelen) van
de levering van de met een SSO afgesproken dienstverlening.
In hoofdstuk 2 wordt de toepassing van de vijf genoemde mogelijkheden om
invulling te geven aan de informatiebehoefte op het gebied van financieel en ICT-
beheer nader uitgewerkt. In hoofdstuk 3 doen we dat voor
leveranciersmanagement.
1 Grondslag voor financieel beheer: Comptabiliteitswet (CW) en Rijksbegrotingsvoorschriften (RBV)
2 Overige wet- en regelgeving is in voorliggend stuk beperkt tot het ICT-beheer en betreft VIR, BIR, Wet Bescherming Persoonsgegevens
(Wbp) en Wet Meldplicht Datalekken (Wmd)
7 van 33 | Onderzoeksrapport Verantwoording SSO's
2 Financieel en ICT beheer: de eigenaar aan
zet!
2.1 Afnemers verwachten goede rolinvulling door de eigenaar
Als het gaat over de informatiebehoefte over het financieel en ICT beheer
verwacht het merendeel van de afnemers (impliciet) een goede rolinvulling van
de eigenaar. Afnemers zien het namelijk als de taak van de eigenaar om vast te
stellen dat het financieel en ICT beheer van een SSO op orde is. De eigenaar zou
daarbij ondersteund moeten worden door de departementale directie FEZ en het
CIO-office waaronder de SSO ressorteert. Wel worden afnemers graag
geïnformeerd middels een uitzonderings- of incidentenrapportage. Als
onderbouwing van hun verwachting geven zij het volgende aan:
- Vanuit een rijksbrede invalshoek is een SSO feitelijk niets anders dan een
interne dienstverlener. De informatiebehoefte ten aanzien van een SSO
kan daarmee dus ook niet wezenlijk verschillen van die van een interne
dienstverlener binnen het eigen departement. In het geval er sprake is
van uitbesteding aan een externe partij is een nadrukkelijkere
verantwoording wel gewenst;
- Vertrouwen is één van de leidende uitgangspunten bij de inrichting van
SSO’s vanuit het SGO5 gedachtegoed. Hoewel de bijbehorende
governance met een bestuurlijk overleg, een afnemersberaad en
accountmanagement per afnemer hiertoe in theorie waarborgen biedt,
ervaren de respondenten dat in de praktijk soms anders;
- Het voldoen aan wet- en regelgeving alsook aan de geldende kaders op
het gebied van financieel en ICT beheer is voor afnemers een
randvoorwaarde voor de dienstverlening door een SSO. Zij geven aan dat
zij erop mogen vertrouwen dat deze randvoorwaarden zijn ingevuld.
Afnemers geven – als uitzondering op hun verwachting ten aanzien van een
goede rolvervulling door de eigenaar – wel aan behoefte te hebben aan inzicht in
de opbouw en structuur van de doorberekende (kost)prijs c.q. tarieven van een
SSO.
Door de breed gedragen opvatting omtrent het vertrouwen in de verwachte
rolinvulling door de eigenaar – aangevuld met uitzonderings- of
incidentenrapportages – hebben de meeste stakeholders geen behoefte aan een
(generieke) In Control Verklaring door de SSO. Een (zeer beperkt) aantal
afnemers geeft tenslotte aan behoefte te hebben aan een beheerverslag (bij
voorkeur voorzien van een mededeling door een auditor). De volgende
argumenten worden daarvoor genoemd: - in beginsel is er sprake van vertrouwen - dat wordt ook door deze
respondenten onderschreven – maar dat door hun ervaring met de SSO
(incidenten, onduidelijkheid over de dienstverlening en het niet voldoen
aan kaders) afbreuk is gedaan aan dit vertrouwen;
- binnen de gekozen governance ervaren zij te weinig mogelijkheden om
invloed uit te kunnen oefenen.
8 van 33 | Onderzoeksrapport Verantwoording SSO's
2.2 Eigenaren voelen zich verantwoordelijk, maar verwachtingen afnemers
beperkt geadresseerd
De eigenaren van de in dit onderzoek betrokken SSO’s onderkennen hun
verantwoordelijkheid voor de adequate invulling van het financieel en ICT beheer
bij de onder hen ressorterende SSO. Ook onderkennen zij dat het voldoen aan
wet- en regelgeving alsook geldende kaders op het gebied van financieel en ICT
beheer randvoorwaardelijk zijn voor de dienstverlening door een SSO.
Bezien vanuit de (minimale) informatiebehoefte van de eigenaren ten aanzien
van het financieel en ICT beheer van de onder hen ressorterende SSO enerzijds
en de door de SSO geleverde (verantwoordings)informatie anderzijds valt op dat
eigenaren wisselend invulling geven aan hun rol en daardoor ook verschillende
informatiebehoeften hebben. Hierdoor, maar ook omdat deze verwachting niet
expliciet door de afnemers is uitgesproken, wordt niet altijd voldoende invulling
gegeven aan de verwachtingen van de afnemers. Dit geldt met name op het
gebied van ICT-beheer. Gezien de toegenomen afhankelijkheid van ICT, de
stringentere wet- en regelgeving op het gebied van privacy en de verhoogde
cyberdreiging verdient dit nadrukkelijk meer aandacht van de eigenaren.
2.3 Rijksbrede kaders gaan verder dan alleen financieel en ICT beheer
Ons onderzoek richt zich op de wet- en regelgeving, indien en voor zover het het
financieel en ICT beheer betreft (in paragraaf 1.1, voetnoten 1 en 2, is uitgelegd
wat hieronder in voorliggend stuk wordt verstaan). De verwachting van de
afnemers is echter breder: zij verwachten dat een SSO voldoet aan alle wet- en
regelgeving en (rijksbreed) geldende kaders alsook anticipeert op (toekomstige)
wijzigingen daarin. Als voorbeeld wordt de algemene verordening
gegevensbescherming (AVG) genoemd die per 25 mei 2018 van kracht wordt en
die onder meer de Wet Bescherming Persoonsgegevens (Wbp) zal vervangen.
Omdat de AVG buiten de scope van ons onderzoek valt, is niet nagegaan of de
eigenaren deze bredere verwachting van de afnemers delen.
2.4 Verantwoordingsrapportage geen onderdeel van minimale
informatiebehoefte van de controleurs
De controleurs Auditdienst Rijk (ADR) en Algemene Rekenkamer (AR) hebben in
het kader van de uitvoering van hun wettelijke taak en als minimale
informatiebehoefte geen eisen gesteld met betrekking tot (de aanwezigheid en
inhoud van) verantwoordingsrapportages. Wel is het van primair belang dat de
SSO aantoonbaar kan maken dat zij voldoet aan de vigerende wet- en
regelgeving. Indien een verantwoordingsrapportage beschikbaar is, zal door de
controleurs worden nagegaan in welke mate hierop gesteund kan worden. Waar
nodig zullen de controleurs zelfstandig (aanvullend) onderzoek uitvoeren. Hierbij
wordt, indien en voor zover mogelijk, gebruik gemaakt van de door de SSO
uitgevoerde interne controles.
9 van 33 | Onderzoeksrapport Verantwoording SSO's
3 Leveranciersmanagement: een zaak tussen
afnemer en SSO
Alle respondenten geven aan dat het leveranciersmanagement een zaak is tussen
de afnemer en een SSO. De eigenaar en controleur spelen daarin – in
tegenstelling tot de informatiebehoefte omtrent het financieel en ICT beheer –
een marginale rol. Teneinde op adequate wijze invulling te geven aan het
leveranciersmanagement maken afnemers afspraken met een SSO. Deze
afspraken worden vastgelegd in een dienstverleningsovereenkomst tussen de
afnemer en de SSO, danwel is sprake van een generieke, voor alle afnemers op
gelijke wijze geldende, dienstverlening. Daarin worden aanvullend KPI’s
overeengekomen c.q. aangeboden. De informatiebehoefte van de afnemers voor
wat betreft het leveranciersmanagement betreft periodieke informatie over de
dienstverlening door de SSO. In de praktijk wordt hieraan invulling gegeven door
een periodieke rapportage waarin over de voortgang van de KPI’s wordt
gerapporteerd.
Alhoewel de KPI’s doorgaans relevant zijn, geeft een aantal afnemers aan dat het
aggregatieniveau waarop gerapporteerd wordt onvoldoende inzicht voor hen
biedt. Hierdoor ervaren zij niet altijd handelingsperspectief om bij te kunnen
sturen binnen hun eigen proces. Dit geldt met name voor P-Direkt aangezien bij
zowel DICTU als UBR/HIS sprake is van een klantspecifieke maatwerkrapportage
aan de afnemer van de betreffende SSO. Met betrekking tot de generieke,
“standaard” informatievoorziening rijst de vraag in hoeverre de wens tot meer
gedetailleerde informatie aan afnemers recht doet aan de vastgestelde
uitgangspunten van SGO5 (generieke dienstverlening met een minimum aan
maatwerk(rapportages).
10 van 33 | Onderzoeksrapport Verantwoording SSO's
4 De beleving van stakeholders rondom
verantwoordingsinformatie
Wij hebben tijdens dit onderzoek de stakeholders ook gevraagd naar hun
beleving rondom de verantwoordingsinformatie van SSO’s. Hieronder volgen
enkele beelden die uit het onderzoek naar voren zijn gekomen en die raken aan
de beleving van afnemers en SSO’s.
4.1 Afnemers ervaren afstand tot SSO’s en voelen zich niet altijd gehoord
Verschillende afnemers ervaren een zekere afstand tot de SSO’s. Dit komt onder
andere doordat:
- deze afnemers niet vertegenwoordigd zijn in de officiële overleggremia
zoals een Bestuurlijk Overleg;
- zij niet behoren tot het departement waaronder de SSO ressorteert.
Afnemers die wel deelnemer zijn in deze overleggremia ervaren deze afstand
minder. Zij ontvangen over het algemeen ook meer informatie via de formele en,
met name, de informele kanalen.
In het verlengde hiervan is de beleving dat de SSO’s te weinig rekening houden
met het bijzondere karakter van afnemers. De afnemers geven aan dat hun
primair proces zodanig afwijkt dat dit niet altijd past op een generieke dienst van
de SSO en dat bovendien de processen van de SSO van invloed kunnen zijn op
hun primair proces. Dit speelt met name bij kleinere afnemers. Het gevoel leeft
dat specifieke problemen van deze afnemers, door hun beperkte invloed, te
weinig aandacht krijgen in de overleggremia. Als gevolg van deze ervaren
afstand tot de SSO is het vertrouwen dat deze afnemers hebben beperkt. Dit
wordt versterkt doordat de afnemers van mening zijn dat een SSO nog niet
volwassen genoeg is. Een voorbeeld hiervan is de beleving van afnemers dat de
SSO’s moeite hebben met het onderbouwen van hun rekeningen.
4.2 Het perspectief van de eigenaar en de SSO: hoeveel is genoeg?
Zowel SSO’s als eigenaren geven aan dat zij voldoende informatie delen. Hierbij
noemen zij uitdrukkelijk ook de relatie met de kosten van het verstrekken van
informatie. Zij zien het als valkuil dat er steeds meer informatie gevraagd en
geleverd gaat worden, waardoor de kosten van de dienstverlening van de SSO
zullen oplopen.
4.3 Informatiebehoefte neemt af als een SSO meer volwassen is
Respondenten geven aan dat de informatiebehoefte onder andere afhankelijk is
van de volwassenheid van een SSO. Dat werkt twee kanten op. Enerzijds
onderkennen zij een positieve relatie tussen de kwaliteit en stabiliteit van de
informatievoorziening en de volwassenheid van de SSO. Anderzijds geven zij aan
dat bij een meer volwassen SSO de informatiebehoefte over de dienstverlening
na verloop van tijd zal afnemen. Dit geldt zowel voor de informatiebehoefte op
het gebied van financieel en ICT beheer als voor leveranciersmanagement.
11 van 33 | Onderzoeksrapport Verantwoording SSO's
5 Verantwoording onderzoek
5.1 Werkzaamheden en afbakening
Deze opdracht wordt uitgevoerd in opdracht van drs. O.F.J. Welling, directeur
Ambtenaar en Organisatie, DGOO, ministerie van BZK. De doelstelling van dit
onderzoek is om:
… in nauwe samenwerking met de geselecteerde SSO’s en hun stakeholders, in
kaart te brengen welke informatie zij minimaal nodig hebben om invulling te
geven aan leveranciersmanagement en om vast te stellen of de SSO voldoet aan
de volgende wet- en regelgeving: de Comptabiliteitswet 2001, het wetsvoorstel
Comptabiliteitswet 2016 alsook overige wet- en regelgeving (i.c. de RBV, de BIR,
de Wbp alsmede de wet Meldplicht datalekken).
Aan deze doelstelling is invulling gegeven door de volgende onderzoeksvragen te
beantwoorden: 1. Wat is volgens stakeholders de minimaal benodigde informatie over
financieel beheer en ICT-beheer: CW/RBV, VIR/BIR, Wbp, Wmd,
leveranciersmanagement en wat is hun motivatie daarvoor?
2. Welke informatie wordt reeds verstrekt door de geselecteerde SSO’s over
a. financieel beheer en ICT-beheer: CW/RBV, VIR/BIR, Wbp, Wmd,
b. leveranciersmanagement en in welke vorm?
3. Op welk niveau op het departement komt deze informatie terecht?
4. Wat zijn de verschillen tussen de minimaal benodigde en reeds
verstrekte informatie over financieel beheer en ICT-beheer: CW/RBV,
VIR/BIR, Wbp, Wmd, leveranciersmanagement? Hierbij zullen wij ook
nagaan of de minimaal benodigde informatie, voor zover nog niet
verstrekt, al wel beschikbaar is.
5. Hoe beleven de stakeholders en de geselecteerde SSO’s de informatie die
volgens de regelgeving inzake financieel beheer en ICT-beheer nodig is?
Schematisch ziet dat er als volgt uit:
Figuur 1: schematische weergave van het onderzoek
12 van 33 | Onderzoeksrapport Verantwoording SSO's
Bij de selectie van geïnterviewden hebben wij in overleg met de opdrachtgever
de volgende uitgangspunten gehanteerd:
- drie afnemers per geselecteerde SSO, aangevuld met de ADR en de AR;
- rijksbrede spreiding van de afnemers;
- voor het financieel en ICT-beheer zijn respectievelijk de directeur FEZ en de
CIO van het departement waaronder de SSO ressorteert alsmede van het
departement van de afnemer benaderd;
- voor leveranciersmanagement is de directeur benaderd die verantwoordelijk is
voor het domein waarin de SSO haar dienstverlening uitvoert;
- tot slot zijn een centraal opdrachtgever alsmede de geselecteerde SSO’s en hun
eigenaren geïnterviewd.
De ADR en de AR zijn in dit rapport meegenomen als “controleur”. Daarbij
hebben wij ons met name gericht op de rol die zij vervullen in het kader van de
wettelijke taak die deze partijen hebben vanuit de genoemde wet- en
regelgeving. Daarnaast is de AR separaat als afnemer geïnterviewd en in dit
rapport onder de noemer “afnemer” meegenomen.
Scope en reikwijdte
Onze werkzaamheden hebben een inventariserend en verkennend karakter en
betreffen de minimaal benodigde informatie en de verstrekte informatie per
onderwerp, gegeven de insteek zoals hierboven beschreven. Het
leveranciersmanagement heeft betrekking op de relatie en informatie tussen de
SSO’s en de hun diensten afnemende departementen en betreft uitdrukkelijk niet
de relatie en informatie tussen de SSO’s en door hen uitbestede diensten aan
andere (interne of externe) partijen.
Onze werkzaamheden zijn gericht op een inventarisatie van (de soort) informatie
en betreffen niet een inhoudelijke beoordeling van deze informatie en zijn
evenmin gericht op vaststelling van de betrouwbaarheid (juistheid, volledigheid
en tijdigheid) ervan. Ook schrijven wij geen rijksbreed geldende aanpak voor de
beoordeling van SSO’s voor of reiken daartoe een kader aan, noch geven wij
daarover advies.
Voor een meer gedetailleerde beschrijving van de opdracht inclusief gekozen
aanpak verwijzen we naar de overeengekomen opdrachtbevestiging (kenmerk:
2016-0000222143) d.d. 6 december 2016. Daarin is o.a. opgenomen dat het
rapport in concept wordt afgestemd met een daartoe ingestelde klankbordgroep
waarin o.a. medewerkers van DGOO en FEZ BZK zitting hebben. Hierna vindt
afstemming met de opdrachtgever plaats. Beide afstemmingen hebben
plaatsgevonden.
5.2 Gehanteerde Standaard
Voor het onderzoek geldt dat deze opdracht is uitgevoerd in overeenstemming
met de Internationale Standaarden voor de Beroepsuitoefening van Internal
Auditing alsook met het Auditcharter ADR en het Handboek Auditing
Rijksoverheid.
Omdat er geen assurance-opdracht is uitgevoerd wordt met deze rapportage
geen zekerheid verschaft. Het onderzoek kent een inventariserend karakter en
op basis van onze rapportage wordt de (gedelegeerd) opdrachtgever in staat
geacht zijn eigen conclusies te trekken en afwegingen te maken.
13 van 33 | Onderzoeksrapport Verantwoording SSO's
5.3 Verspreiding rapport
De resultaten van deze opdracht zijn opgenomen in voorliggende schriftelijke
rapportage van feitelijke bevindingen; uitgebracht aan dhr. drs. O.F.J. Welling,
directeur A&O, DGOO, zijnde de gedelegeerd opdrachtgever namens de ICBR. De
ICBR is eigenaar van het rapport.
De ADR is de interne auditdienst van het Rijk. Dit rapport is primair bestemd
voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de
ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR
een rapport heeft geschreven, het rapport binnen zes weken op de website van
de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van
Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels
van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website.
14 van 33 | Onderzoeksrapport Verantwoording SSO's
6 Ondertekening
Den Haag, 26 juli 2017
Auditmanager
Auditdienst Rijk
15 van 33 | Onderzoeksrapport Verantwoording SSO's
Bijlage 1: P-Direkt
P-Direkt: context en karakteristieken
P-Direkt levert bedrijfsvoeringservices met een focus op personeel, voor en door
de medewerker van de Rijksdienst. Met P-Direkt regelen 120.000
rijksambtenaren zelf hun personeelszaken en P-Direkt helpt hen daarbij. Met het
P-Direktportaal kunnen rijksambtenaren zelf hun personeelszaken regelen.
Wanneer zij hulp nodig hebben dan staat het P-Direkt contactcenter klaar om
vragen te beantwoorden. Daarnaast biedt P-Direkt het Rijksportaal Personeel
aan. Een informatieportaal met informatie over personeelszaken en daarmee
samenhangende wet- en regelgeving.
Informatiebehoefte
Gewenste informatie
Verstrekte informatie Verschil
Eigenaar/
opdrachtgever
Klanttevredenheid Uitputting van
budgetten Innovatie van de
dienstverlening De gezondheid en
stabiliteit van P-Direkt
Toereikendheid aangeboden informatie aan stakeholders
Uitzonderingsrapportages als zaken niet goed lopen
(management by exception)
Eigenaar/ opdrachtgever
Klantbeleving/
klanttevredenheid
Uitputting van budgetten
Innovatie van de dienstverlening Beperkte informatie over projectaanpak en
projectplanningen Jaarplannen Jaarverslagen Viermaandsrapportage
s Incidentenrapportages
(management by
exception)
Eigenaar/
opdrachtgever
Gewenste en
verstrekte
informatie
komen
grotendeels
overeen.
Informatie
verstrekking
over
projectaanpak
en project
planning
inzake
ontwikkelproje
cten moet
verbeterd
worden.
Concerncontroller
Viermaandsrapportag
e over generieke dienstverlening incl. dashboard
Risico’s op gebieden van het budget en de bedrijfsvoering
Opvolging van
Concerncontroller
Viermaandsrapportage
s over generieke dienstverlening, incl. risico’s
Risico-beheersmatrix Periodiek gesprek: niet
alle risico’s blijken uit de viermaands
Concerncont
roller
Gewenste en
verstrekte
informatie
komen
overeen.
16 van 33 | Onderzoeksrapport Verantwoording SSO's
Gewenste informatie
Verstrekte informatie Verschil
eventuele onvolkomenheden
rapportages, aanvullend via gesprek
adressering van belangrijke
vraagstukken vaststelling of de SSO haar informatie-voorziening op orde heeft (vooral eigen bedrijfsvoering)
Opvolging van
eventuele onvolkomenheden
Afnemers
Uitzonderings- rapportages als zaken niet goed lopen (management by exception)
Realisatie afgesproken diensten
De geleverde specifieke diensten en de hiermee samenhangende kosten
De opbouw c.q. specificatie van de
huidige en in het verleden gehanteerde tarieven
De realisatie van de bij de oprichting van P-
Direkt beoogde baten c.q. vergroting van de
doelmatigheid en de realisatie van de voorgenomen kwaliteit van de dienstverlening
Systematische fouten en informatie over
processen waar vaak fouten worden gemaakt, procesinformatie over diverse mutaties in P-Direkt die interessant zijn om nader te
onderzoeken en om te analyseren welke actoren bij de
procesgang wanneer een rol hebben gespeeld en soort vragen die het
contactcenter krijgt en welke acties worden ondernomen
Onvolkomenheden die zijn gebleken en informatie over de
Afnemers
Uitzonderingsrapportages Realisatie afgesproken
diensten (dienstverleningsrapportage)
De geleverde specifieke diensten en de hiermee samenhangende kosten
Onvolkomenheden die zijn gebleken en informatie over de opvolging
Planning voor het komend jaar
Jaarplan met onder andere de afspraken met de eigenaar
Jaarverslagen Klantbeeld
Jaarlijkse tariefnota De KBA P-Direkt over
realisatie van beoogde baten
GTO ieder kwartaal met klanttevredenheid per
departement Samenwerkingsruimte
met onder andere de informatie uit het BO
Jaarrekening waaruit onder andere de naleving van de financiële wet- en
regelgeving blijkt Site van P-Direkt met
onder andere
veranderingen in wet- en regelgeving
Resultaten van de interne controles
Afnemers
Gewenste en
verstrekte
informatie
komen voor
een deel
overeen.
17 van 33 | Onderzoeksrapport Verantwoording SSO's
Gewenste informatie
Verstrekte informatie Verschil
opvolging Performance P-Direkt
en klantbeleving/klanttevr
edenheid departementsspecifiek
Planning voor het komend jaar
De met de eigenaar gemaakte afspraken en de resultaten daarvan
Informatie uit het Bestuurlijk Overleg
Naleving van wet- en regelgeving die betrekking heeft op de financiële informatie,
zoals de Aanbestedingswet
2012, sociale en belastingwetten, Staatssteunregels, ARAR, materiewetten t.a.v.
overdrachtsuitgaven en -ontvangsten en comptabele regelgeving als de CW 2001 en de nadere regelgeving daaromtrent
De naleving van relevante wet- en regelgeving en kaders als bijvoorbeeld Wbp, Wmd en BIR
Veranderingen in de
wet- en regelgeving (met name m.b.t. personeel en arbeidsvoorwaarden)
Nieuwe releases bij P-Direkt en de daarin verwerkte wet –en
regelgeving en opgave van de door het jaar ingeplande releases voorzien van een globale inhoud en planning
Resultaten van de
interne controles Een beheersverslag
over de uitvoering van processen bij P-Direkt Eventueel aangevuld met
assurance van een auditor over de juistheid en volledigheid van het beheersverslag.
18 van 33 | Onderzoeksrapport Verantwoording SSO's
Gewenste informatie
Verstrekte informatie Verschil
ADR / AR als
controleur
Het aantoonbaar
voldoen aan de huidige controledoelstellingen
Het beheer bij wijzigingen in het personeelsbestand en juiste bruto-
nettoberekeningen, (reis)declaraties en verlof
Een overzicht van het systeemlandschap en de gebruikte systemen
Het aantoonbaar
voldoen aan de General
IT Controls Resultaten van de
uitgevoerde interne controles. De controles betreffen (1) de volledigheid van de P-
dossiers, (2) controles op mutaties en (3) op de ingeleverde bonnen
ADR / AR als
controleur
Resultaten van de
uitgevoerde interne controles. De controles betreffen (1) de volledigheid van de P-dossiers, (2) controles op mutaties en (3) op de
ingeleverde bonnen
ADR / AR als
controleur
Bij P-Direkt is
voldoende
informatie
beschikbaar
om de
vereiste
controles uit
te voeren.
Wat is volgens stakeholders de minimaal benodigde informatie over
financieel beheer en ICT-beheer?
De eigenaar heeft behoefte aan informatie over de gezondheid en stabiliteit van
P-Direkt, de toereikendheid van de aangeboden informatie aan stakeholders en
management by exception: uitzonderingsrapportages als zaken niet goed lopen.
De opdrachtgever heeft in het bijzonder behoefte aan informatie over
klanttevredenheid, uitputting van budgetten en innovatie van de dienstverlening.
Het voldoen aan kaders, inclusief rechtmatigheidseisen, ziet de opdrachtgever als
een basisvoorwaarde. Als zij niet worden gevolgd dan zal dat blijken en moet het
worden opgelost.
De concerncontroller heeft behoefte aan informatie zoals die in de
viermaandsrapportages van de agentschappen/SSO’s terug te vinden zou
moeten zijn, voor wat betreft de generieke dienstverlening. Hierin is een
dashboard opgenomen t.b.v. adequate sturing. Voor de controller is het van
belang te weten wat de risico’s zijn. Zowel op het gebied van het budget als op
het gebied van de bedrijfsvoering.
P-Direkt levert standaard dienstverlening aan haar afnemers. Deze standaard
dienstverlening omvat onder andere de informatieverstrekking door P-Direkt over
de realisatie van de afgesproken dienstverlening. Per departement worden er
meerwerkafspraken gemaakt. Enkele afnemers geven aan dat de afgesproken
informatieverstrekking door P-Direkt de minimaal benodigde informatie afdekt.
Enkele afnemers gaan in navolging van SGO5 uit van een professioneel
opererende SSO en vertrouwen erop dat de SSO voldoet aan de voor haar
geldende kaders. Alleen afwijkingen van de kaders zoals beveiligingsincidenten,
klachten, verstoringen in het primaire proces van P-Direkt die van invloed
(kunnen) zijn op de bedrijfsvoering en datalekken willen deze afnemers
gerapporteerd hebben (management by exception).
19 van 33 | Onderzoeksrapport Verantwoording SSO's
De meeste geïnterviewde afnemers hebben de minimaal benodigde informatie in
detail aangegeven. De minimaal benodigde informatie die afnemers zien naast de
jaarplannen, de jaarverslagen, de realisatie van de afspraken, de opvolging van
onvolkomenheden en de geleverde specifieke diensten en de hiermee
samenhangende kosten, wisselt sterk en betreft op hoofdlijnen het volgende:
klantbeleving/ klanttevredenheid departementsspecifiek, de resultaten van de
uitgevoerde interne controles, de naleving van relevante wet- en regelgeving, de
rechtmatigheid en doelmatigheid van de salarisverwerking door P-Direkt en de
veranderingen in de wet- en regelgeving en de hiermee samenhangende nieuwe
releases bij P-Direkt.
Drie afnemers hebben behoefte aan assurance van een auditor over de door P-
Direkt verstrekte informatie:
Eén afnemer geeft aan dat assurance gewenst is over de juistheid en volledigheid
van de verantwoording van P-Direkt en de realisatie van de
dienstverleningsafspraken.
Eén afnemer geeft aan voor de accountantsverklaring ook afhankelijk te zijn van
het goed functioneren van P-Direkt. Voorheen kon gesteund worden op het
beheerverslag, maar dat wordt nu niet meer opgesteld en aan de afnemers
beschikbaar gesteld. Omdat deze afnemer nog niet kan vertrouwen op de
taakvolwassenheid van de P-Direkt blijft het beheerverslag, voorzien van
assurance van een auditor, volgens deze individuele afnemer nodig.
Eén afnemer geeft aan dat een SSO waaraan zij haar diensten uitbesteedt zich
dient te verantwoorden over de uitbestede processen door middel van een
beheerverslag. Hierin dient in het bijzonder het ingerichte stelsel van
maatregelen en procedures binnen de betreffende SSO en de werking daarvan
tot uitdrukking te komen.
Voor de controleur Auditdienst Rijk (ADR) is het aantoonbaar voldoen aan de
huidige controledoelstellingen en de general IT-controls (GITC) voldoende voor
een goede uitvoering van de wettelijke taak door de ADR. Ten aanzien van het
voldoen aan de huidige controledoelstelling wordt door de ADR gebruik gemaakt
van de resultaten van de door P-Direkt uitgevoerde interne controles. Voor de
GITC geldt dat deze zich met name richten op het wijzigingsbeheer en logische
toegangsbeveiliging voor systemen die voor de jaarrekeningcontrole relevant
zijn. Daarnaast geeft P-direkt zelf een ICV af. Mogelijk ontstaat hierdoor een
overlap tussen de GITC werkzaamheden van de ADR en de werkzaamheden die
de SSO uitvoert ten behoeve van de ICV.
De door P-Direkt aangereikte informatie hoeft niet per se gecertificeerd te zijn,
maar het ontbreken daarvan heeft dan wel gevolgen voor de werkzaamheden
van de controleur Algemene Rekenkamer (AR). Immers bij het ontbreken van
gecertificeerde informatie zal de controleur AR eigenstandig werkzaamheden
moeten verrichten om vast te stellen of de ontvangen informatie betrouwbaar en
bruikbaar is voor de controledoeleinden van de AR. Dat betekent in concreto:
zelfstandig onderzoek d.m.v. bijvoorbeeld documentstudie, interviews,
waarneming ter plaatse en reperformance.
De controleur AR geeft aan dat een 3402-verklaring (een van de vormen van
assurance die een IT-auditor kan verstrekken) primair de informatiebehoefte van
de afnemer van diensten van een SSO moet afdekken en niet primair de
behoefte van de controleur AR uit hoofde van de wettelijke taak: de 3402-
verklaring is namelijk bedoeld voor de afnemer, ten behoeve van het verkrijgen
van zekerheid (assurance) of de SSO de uitbestede werkzaamheden conform de
afspraken uitvoert. Daarnaast is een 3402-verklaring van belang voor de
accountant van de afnemer ten behoeve van de werkzaamheden van die
accountant voor de controle van de jaarrekening van de afnemer, voor zover de
20 van 33 | Onderzoeksrapport Verantwoording SSO's
werkzaamheden van de SSO’s van invloed zijn op de financiële informatie
waarover in het jaarverslag van de afnemer verantwoording wordt afgelegd. In
die situaties zal deze 3402-verklaring in beginsel (afhankelijk van de eisen die de
afnemer aan de 3402-verklaring stelt) ook voorzien in de informatiebehoefte van
de AR als controleur. Een 3402-verklaring (zelfs van type II) hoeft dus niet per
definitie de informatiebehoefte van de controleur AR af te dekken, maar vanuit
een effectief en efficiënt controlebestel verdient het volgens de AR aanbeveling
om bij het bepalen van de informatiebehoefte en de gevraagde assurance
middels een 3402-verklaring ook de eisen en wensen van de accountant van de
afnemer en die van de AR als controleur mee te nemen.
Welke informatie wordt reeds verstrekt door P-Direkt over financieel
beheer en ICT-beheer?
De eigenaar ontvangt viermaandsrapportages, jaarplannen en de jaarverslagen.
Ook krijgt hij informatie ten behoeve van de bepaling van het strategisch beleid
door interviews te houden binnen DGVBR en met de andere Bestuurlijke
Overleggen, SSO’s, de ICOP en met externe partijen. Tweewekelijks is er een
overleg tussen DGVBR en de directeuren van de SSO’s en wordt over de diverse
onderwerpen gesproken, ook hier gaat het soms over P-Direkt. De
incidentenrapportages (management by exception) en de informatie uit de
gesprekken worden door de eigenaar eigenlijk belangrijker gevonden dan de
viermaandsrapportages. Ook wordt door P-Direkt aan de eigenaar een In Control
Verklaring afgegeven over de generieke dienstverlening in relatie tot de VIR met
daarbij de BIR als inrichtingskader. Maandelijks heeft de centraal opdrachtgever
een gesprek met directeur van P-Direkt. Daarin wordt bijvoorbeeld gekeken naar
de vragen die bij afnemers leven.
De concerncontroller ontvangt viermaandsrapportages voor wat betreft de
generieke dienstverlening van P-Direkt. Hierbij wordt ook over de risico’ s
gerapporteerd. Tevens bestaat er een risicobeheersmatrix die geactualiseerd
wordt door de SSO’s en die periodiek wordt besproken in het Beheersoverleg van
BZK (voorzitter: SG). De controller is afhankelijk van wat de SSO zelf als risico’s
signaleert en rapporteert. Omdat niet alle risico’s uit de viermaandsrapportages
blijken, is periodiek een aanvullend gesprek altijd van belang. In deze
gesprekken worden pro-actief vragen gesteld, worden de belangrijke
vraagstukken geadresseerd en wordt vastgesteld of de SSO haar
informatievoorziening op orde heeft, vooral voor haar eigen bedrijfsvoering.
Indien er (AR-) onvolkomenheden zijn gebleken wenst de concerncontroller
informatie over de opvolging die de SSO geeft ter afwikkeling hiervan.
P-Direkt verstrekt aan afnemers informatie over de dienstverlening via
dienstverleningsrapportages. Over de bedrijfsvoering inclusief het financieel
beheer worden afnemers geïnformeerd via het jaarverslag. Het jaarverslag is
voor iedereen beschikbaar via www.p-direkt.nl. De dienstverleningsrapportages
met achterliggende informatie zijn voor de afnemers beschikbaar via de
samenwerkingsruimte. Ook wordt door P-Direkt een klantbeeld verstrekt. Het
klantbeeld geeft een samenhangend beeld van de dienstverlening zoals die
momenteel aan de afnemers wordt geleverd. Sturingsinformatie ten behoeve van
de eigen organisatie vindt een manager in het P-Direkt portaal waarin standaard
verschillende rapporten op te vragen zijn. Over de resultaten van de interne
controles bij P-Direkt worden de P-Controllers geïnformeerd via het IC over de
keten overleg. De afnemers worden ook geïnformeerd over de interne controles
via de dienstverleningsrapportage. Ook zijn er diverse overleggremia waarin
afnemers zijn vertegenwoordigd en waarin zij informatie ontvangen. Dit betreft
het Bestuurlijk Overleg, het Afnemersberaad, het P-Controllersoverleg, het
Eigenaarsoverleg en Relatiemanagement op strategisch, tactisch en operationeel
niveau.
21 van 33 | Onderzoeksrapport Verantwoording SSO's
Op basis van bij P-Direkt beschikbare informatie controleert de ADR de P-uitgaven over de gehele keten, inclusief P-Direkt. De informatie over de uitkomsten van deze controle wordt gedeeld met de klantclusters van de ADR.
Wat zijn de verschillen tussen de minimaal benodigde en reeds
verstrekte informatie over financieel beheer en ICT-beheer?
De eigenaar en de centraal opdrachtgever zijn tevreden over de ontvangen
informatie. De centraal opdrachtgever is daarentegen ontevreden over de
ontvangen informatie over de beheersing van de 27.000 uur die beschikbaar
wordt gesteld aan ontwikkelprojecten. Projectaanpak en planning van
ontwikkelprojecten moeten volgens de opdrachtgever verbeterd worden.
Afnemers geven aan de minimaal benodigde informatie voor een deel te
ontvangen. De meeste geïnterviewde afnemers geven aan ook een of meer
onderdelen van de minimaal benodigde informatie te missen. Wat dat is verschilt
per afnemer sterk. Ook geven afnemers soms aan dat zij verwachten dat deze
informatie wel aanwezig is maar dat deze niet bij hun doorkomt omdat de
informatie elders in de organisatie of bij de deelnemers in het ICOP blijft hangen.
De volgende door één of meerdere afnemers gewenste informatie wordt door P-Direkt niet verstrekt:
Systematische fouten en informatie over processen waarin vaak fouten worden gemaakt, procesinformatie over diverse mutaties in P-Direkt die interessant zijn om nader te onderzoeken en om te analyseren welke actoren bij de procesgang wanneer een rol hebben gespeeld en de soort vragen die het contactcenter krijgt en welke acties worden ondernomen.
De naleving van relevante wet- en regelgeving en kaders als bijvoorbeeld
Wbp, Wmd en BIR. Nieuwe releases bij P-Direkt en de daarin verwerkte wet –en regelgeving en
opgave van de door het jaar ingeplande releases, voorzien van een globale inhoud en planning.
Een beheerverslag over de uitvoering van processen bij P-Direkt, eventueel aangevuld met assurance van een auditor over de juistheid en volledigheid
van het beheersverslag.
Soms wensen afnemers een hogere frequentie waarmee informatie wordt
ontvangen. Dit betreft bijvoorbeeld een frequentere terugkoppeling over de
realisatie van de overeengekomen dienstverlening. Een ander voorbeeld hiervan
is de planning voor het komend jaar. Deze wordt door P-Direkt in oktober
bekendgemaakt. Vaak worden in de zomer plannen gemaakt voor het jaar
daarop, maar dan is er geen actuele informatie beschikbaar (P-Direkt geeft in
relatie tot voorgaande aan dat al voor de zomer de planning met de ICOP-leden
wordt afgestemd). Een hogere frequentie is daarom gewenst omdat hiermee ook
het Bestuurlijk Overleg van input wordt voorzien. Een enkele afnemer wenst
informatie over de status en de afhandeling van incidenten, datalekken en
klachten die specifiek zijn voor een afnemer.
Enkele afnemers hebben tijdens het onderzoek de voor hun ontbrekende dienstverlening aangegeven. Dit valt echter buiten de scope van ons onderzoek
omdat het geen verantwoordingsinformatie betreft. Het gaat hier om rapportages voor strategisch P-beleid, de brongegevens van medewerkers, vastleggen van verplaatsingen van FTE’s tussen buitengewesten, registratie van bovenformatieve FTE’s en uitbetaling van loonkosten in lokale valuta.
De concerncontroller (BZK) is tevreden over de ontvangen informatie. Bij P-
Direkt is de vereiste informatie aanwezig voor de door de controleurs uit te
voeren controles. Voor de controleur AR geldt dat bij het ontbreken van
gecertificeerde informatie de controleur AR eigenstandig werkzaamheden zal
22 van 33 | Onderzoeksrapport Verantwoording SSO's
moeten verrichten om vast te stellen of de ontvangen informatie betrouwbaar en
bruikbaar is.
Op welk niveau op het departement komt deze informatie terecht?
De eigenaar en opdrachtgever van P-Direkt ontvangen informatie via periodiek
overleg met de directeuren en via het Bestuurlijk Overleg. Ook krijgt de centraal
opdrachtgever informatie ten behoeve van de bepaling van het strategisch beleid
door overleg met andere Bestuurlijke Overleggen, met de SSO’s, met de
ICBR/ICOP en met externe partijen.
De informatie van P-Direkt bereikt via overleggremia en rapportages (zie
hierboven) de afnemers. Het sturingsmodel SGO5 voorziet in 2 soorten overleg:
het Bestuurlijk Overleg, dit is op hoog abstractieniveau en het Afnemersberaad,
dit is een overleg met klankbord/adviesfunctie waarin een aantal afnemers is
vertegenwoordigd. Daarnaast voert P-Direkt accountmanagementoverleg direct
met de dienstonderdelen van een afnemer. In de ICOP is onlangs besloten een
aantal overleggremia toe te voegen. Dit betreft de volgende overleggen: tussen
relatiemanagers, tussen accountmanagers P-Direkt en ICOP leden en het HR-
ketenoverleg.
Afnemers geven aan dat vanuit de overleggremia te beperkt informatie
beschikbaar komt. Informatie uit het Bestuurlijk Overleg wordt formeel niet met
hen gedeeld en van het accountmanagementoverleg vindt geen verslaglegging
plaats. Afnemers ervaren ook een gebrek aan informatie-uitwisseling tussen de
centraal opdrachtgever van P-Direkt en de individuele afnemer, ook tussen de
vertegenwoordiging van afnemers in het Bestuurlijk Overleg en de individuele
afnemer. Doordat er geen interdepartementale overleggen meer zijn, weet een
afnemer niet wat er speelt bij andere afnemers. Niet alle relevante casussen
komen volgens een afnemer door in het Bestuurlijk Overleg. Een voorbeeld is de
levering door P-Direkt van de TWK-rapportage. Na een change in het systeem
stopte deze levering plotseling zonder overleg. Ook beslist het Bestuurlijk
Overleg in de huidige constructie over de tarieven terwijl niet alle afnemers
daarover hun input kunnen geven.
Voor rapportages van P-Direkt is de directie P&O binnen het departement veelal
het aanspreekpunt P-Direkt rapporteert aan alle afnemers. Afnemers kunnen
bovendien kiezen voor “IC over de HR-keten”, dit houdt in dat P-Direkt controles
uitvoert t.b.v. die afnemers. Bijna alle rapportages van P-Direkt zijn terug te
vinden op www.P-direkt.nl en op de samenwerkingsruimte op intranet.
23 van 33 | Onderzoeksrapport Verantwoording SSO's
Bijlage 2: UBR/HIS
UBR/HIS: context en karakteristieken
Een aantal ministeries3 heeft de uitvoering van inkoop (gerelateerde) diensten in
één organisatie, het gezamenlijke inkoopuitvoeringscentrum, UBR|HIS,
geconcentreerd. Door deze krachtenbundeling kan UBR|HIS (hierna: HIS) ten
behoeve van de departementen efficiënter leveren, specialiseren en
professionaliseren.
Aan de hand van de realisatie in voorgaande jaren maakt de HIS een raming
voor de totale afname van de standaard diensten voor het komende jaar. Op
basis hiervan bepaalt de HIS haar capaciteit voor de dienstverlening. Aan het
einde van het jaar verrekent de opdrachtgever het voorschot met de werkelijk
gerealiseerde inzet4.
Informatiebehoefte
In onderstaande tabel is het totaaloverzicht opgenomen van de
informatiebehoefte van de stakeholders en de door HIS geleverde informatie. In
de laatste kolom is aangegeven wat het verschil is tussen de gewenste en de
verstrekte informatie en, indien dat het geval is, op welke punten de verstrekte
informatie afwijkt van de informatiebehoefte.
Gewenste info
Verstrekt Verschil
Eigenaar
Informatie over de
gezondheid en
stabiliteit SSO
Aangeboden informatie in lijn ook datgene wat verwacht mag worden.
Uitzonderingsrappor
tages als zaken niet goed lopen (management by exception)
Eigenaar
Viermaandsrapportages Jaarplannen
Jaarverslagen
Viermaandsrapportage Risico beheersmatrix Incidentenrapportages
(management by exception)
Tweewekelijks overleg
tussen DGVBR en de directeuren van de SSO’s
Interviews binnen DGVBR en met de andere Bestuurlijke Overleggen, SSO’s,
ICBR en met externe partijen ten behoeve van de bepaling van het strategisch beleid
Geen
Concerncontroller Viermaandsrapporta
Concerncontroller Viermaandsrapportage
3 Ministerie van Algemene Zaken, Binnenlandse Zaken en Koninkrijksrelaties, Buitenlandse Zaken, Financiën,
Sociale Zaken en Werkgelegenheid en Volksgezondheid, Welzijn en Sport. 4 Wanneer de afname aan bet eind van het boekjaar 90% tot 100% betreft van bet voorschot, crediteert
Opdrachtgever bet verschil tussen voorschot en afname. Een eventuele afname onder de 90% crediteert
Opdrachtgever niet. Afname van meer dan 100% brengt Opdrachtgever additioneel in rekening.
24 van 33 | Onderzoeksrapport Verantwoording SSO's
Gewenste info
Verstrekt Verschil
ge over generieke dienstverlening incl.
dashboard Risico’s op gebieden
van het budget en de bedrijfsvoering.
Opvolging van eventuele onvolkomenheden
over generieke dienstverlening, incl.
risico’s Periodiek gesprek: niet
alle risico’s blijken uit de viermaands rapportages, pro actief vragen, adressering van belangrijke vraagstukken vaststelling of de SSO
haar informatie-voorziening op orde heeft (vooral eigen bedrijfsvoering)
Opvolging van eventuele
onvolkomenheden
Geen
Afnemers
(Leveranciers
management)
Uitzonderings rapportages 5
Rapportage DVO Uitputting uren per
project Motivatie van
afwijkingen
Plan van aanpak met begroting kosten
Risico’s bij specifieke
aanbestedingen Eén afnemer
wenst een door accountant gecertificeerde verantwoording en DVO.
Afnemers
Rapportage DVO (tertaal rapportage) met
Uitputting uren per project
Projectplan 7 keys rapportage per
project (pilot)
Afnemers
Geen
ADR / AR als
controleur
Rechtmatigheid
van de inkooptransacties
ADR / AR als
controleur
stukken die samenhangen met de inkooptransacties
ADR / AR als
controleur
Geen
5 Afnemers verwachten dat rijksbrede kaders worden toegepast en wensen geïnformeerd te worden wanneer
hiervan (onbewust) is afgeweken. Wij hebben niet kunnen vaststellen dat deze aanwezig / volledig is. Immers
de rapportage over het toepassen van de kaders hebben wij niet gezien.
25 van 33 | Onderzoeksrapport Verantwoording SSO's
Wat is volgens stakeholders de minimaal benodigde informatie over
financieel beheer en ICT-beheer?
Het merendeel van de geïnterviewde afnemers vindt dat het financieel beheer en
de interne organisatie binnen de HIS op orde moeten zijn, maar gaat dat niet zelf
vaststellen. Afnemers verwachten dat rijksbrede kaders worden toegepast en
wensen geïnformeerd te worden wanneer hiervan wordt afgeweken.
Eén geïnterviewde afnemer vindt verantwoordingsinformatie van belang en dat
de SSO laat zien dat zij de zaken gedurende een langere periode op orde heeft.
De accountant zou moeten controleren of deze verantwoording juist en volledig
is. Dit is van toepassing ongeacht het vertrouwen in een SSO. Ook zou de
realisatie van de DVO gecontroleerd moeten worden door een accountant. Voorts
wenst deze afnemer geïnformeerd te worden over incidenten en welke acties er
genomen zijn. Bij eventuele bevindingen door het control systeem van de SSO
en/of bevindingen door de ADR zal het bestuurlijk overleg door de SSO
geïnformeerd moeten worden. Afhankelijk van de zwaarte zullen ook afnemers
geïnformeerd moeten worden.
Vanuit leveranciersmanagement vinden afnemers het belangrijk dat zij
geïnformeerd worden over de naleving van het afgesloten DVO. De juistheid en
volledigheid van de rekening moeten kunnen worden vastgesteld.
Voor elke aanbesteding maakt de HIS een plan van aanpak met daarin een
begroting van de te maken kosten. De afnemer wenst geïnformeerd te worden
over de voortgang en ook over dreigende begrotingsoverschrijdingen. Afnemers
vinden vooral de juistheid van de uitputting van de afgesproken uren per project
van belang. Ook is er behoefte aan een motivatie van eventueel gemaakte meer-
en minderkosten door de HIS. Tevens wil men geïnformeerd worden over de
risico’s die het departement loopt bij aanbestedingen. Wanneer een bepaalde
aanbestedingsmethode niet beproefd is of niet als prettig wordt ervaren door
(potentiële) leveranciers dan is het departement hiervan graag op de hoogte. Het
departement kan dan zelf tijdig vertalen naar politieke risico’s en een afweging
maken.
De concerncontroller heeft behoefte aan informatie zoals die, voor wat betreft de
generieke dienstverlening, in de viermaandsrapportages van de
agentschappen/sso’s terug te vinden zou moeten zijn. Tevens voorzien van een
dashboard, opgenomen t.b.v. adequate sturing. Voor de controller is het van
belang te weten waar de risico’s zijn. Zowel op het gebied van het budget als op
het gebied van de bedrijfsvoering.
De eigenaar heeft behoefte aan informatie:
- over de gezondheid en stabiliteit van de organisatie(s);
- of aangeboden informatie ook is wat de ambtenaar mag verwachten,
management by exception: uitzonderingsrapportages als zaken niet goed
lopen.
ADR stelt dat door de HIS de rechtmatigheid van de inkooptransacties moet
worden aangetoond. Voor het systeem DigiInkoop is het aantoonbaar voldoen
aan de Generieke ICT-controles vereist.
De AR als controleur stelt dat de rechtmatigheid van de inkopen geborgd dient te
zijn. Dit houdt in dat het stelsel van maatregelen en procedures (de AO) hierop
gericht dient te zijn en de afnemer geïnformeerd moet worden over de interne
beheersing en de rechtmatigheid van de inkopen en aanbestedingen.
De AR controleert vanuit de afnemer van een SSO. Dat wil zeggen dat het voor
de controle op de jaarverslaggeving door de afnemer van belang is dat er een
koppeling is tussen de financiële administratie van de opdrachtgever van de SSO
26 van 33 | Onderzoeksrapport Verantwoording SSO's
(bijvoorbeeld verplichtingenadministratie) en de administratie de SSO als
opdrachtnemer (bijvoorbeeld het contractenregister). Op dit moment zijn de
verplichtingennummers bij de departementen niet te herleiden naar de nummers
die de HIS hanteert.
Welke informatie wordt reeds verstrekt door UBR/HIS over financieel
beheer en ICT-beheer?
Aan de afnemers vindt geen expliciete rapportage plaats over financieel beheer
en ICT-beheer. Wel wordt gerapporteerd in het kader van
leveranciersmanagement. Opdrachtgevers ontvangen minimaal per tertaal een
standaardrapportage met hierin de urenrapportage per project en de KPI’s. Waar
mogelijk gaan de rapportages vergezeld van conclusies en adviezen. KPI’s maken
deel uit van de rapportage.
HIS geeft zelf aan dat er een pilot is geweest met ‘7 keys rapportages’. In juni
2017 is de pilot geëvalueerd en is dat besloten voor alle EU aanbestedingen de 7
key rapportage toe te passen. In deze rapportages staan 7 facetten van een
opdracht benoemd en deze worden besproken bij het aangaan van een opdracht.
Dit zijn bijvoorbeeld: risico’s en beleidsdoelstellingen. Per aanbesteding zal een
dergelijke rapportage gemaakt gaan worden. De HIS bespreekt dit met de
projectleider van de aanbesteding, evenals met de opdrachtgever. De
relatiemanager van de HIS die de contacten met de afnemer onderhoudt,
bespreekt alle rapportages maandelijks met de afnemer.
De concerncontroller ontvangt viermaands(tertaal)rapportages voor wat betreft
de generieke dienstverlening van de UBR|HIS. Hierbij wordt ook over de risico’ s
gerapporteerd. De controller is afhankelijk van wat de SSO zelf als risico’s
signaleert en rapporteert. Omdat niet alle risico’s uit de viermaandsrapportages
blijken, is periodiek een aanvullend gesprek altijd van belang. In deze
gesprekken worden proactief vragen gesteld, worden de belangrijke
vraagstukken geadresseerd en wordt vastgesteld of de SSO haar
informatievoorziening op orde heeft, vooral voor haar eigen bedrijfsvoering.
Indien er onvolkomenheden zijn gebleken wenst de concerncontroller informatie
over de opvolging die de SSO geeft ter afwikkeling hiervan.
De eigenaar ontvangt viermaandsrapportages, jaarplannen en het jaarverslag.
Ook krijgt hij informatie ten behoeve van de bepaling van het strategisch beleid
door interviews te houden binnen DGVBR en met de andere Bestuurlijke
Overleggen, SSO’s, ICBR en met externe partijen.
Tweewekelijks is er een overleg tussen DGVBR en de directeuren van de SSO’s
en wordt over de diverse onderwerpen gesproken ook hier gaat het soms over de
HIS. De incidentenrapportages (management by exception) en de informatie uit
de gesprekken worden door de eigenaar eigenlijk belangrijker gevonden dan de
viermaandsrapportages. Tevens is er een risico beheersmatrix die geactualiseerd
wordt door de SSO’s en die periodiek besproken in het Beheersoverleg van BZK
(voorzitter SG).
Wat zijn de verschillen tussen de minimaal benodigde en reeds
verstrekte informatie over financieel beheer en ICT-beheer?
Ten aanzien van de informatie van leveranciers management komt uit een
interview naar voren dat er getwijfeld wordt aan de juistheid van de doorbelaste
uren. Volgens mededeling zijn in het verleden de uren door de HIS niet altijd op
de juiste projecten geboekt.
27 van 33 | Onderzoeksrapport Verantwoording SSO's
Op welk niveau op het departement komt deze informatie terecht?
De informatie voor de afnemers komt terecht bij het organisatieonderdeel dat
verantwoordelijk is voor de bewaking van de naleving van het contract tussen
HIS en het departement. De 7 keys rapportage wordt verstrekt aan de afnemer
en de opdrachtgever.
De informatie voor de eigenaar en concerncontroller komt bij hen terecht.
28 van 33 | Onderzoeksrapport Verantwoording SSO's
Bijlage 3: DICTU
DICTU: context en karakteristieken
DICTU is een van de grotere ICT-dienstverleners binnen de Rijksoverheid en
maakt deel uit van het ministerie van Economische Zaken. De vestigingsplaatsen
zijn Den Haag, Assen en Zwolle. De werkzaamheden betreffen onder meer het
ontwikkelen en beheren van systemen en applicaties, het beheren van
datacenters en de dienstverlening voor ruim 14.000 werkplekken en 13.000
devices. Bij DICTU werken ongeveer 1.200 medewerkers. Naast dienstverlening
aan het ministerie van Economische Zaken en zijn agentschappen, kent DICTU
ook opdrachtgevers buiten dit ministerie. Zo werkt DICTU ook voor (onderdelen
van) de ministeries van VWS, BZK, I&M, SZW en Financiën. In voorliggend stuk
worden de opdrachtgevers van DICTU aangeduid als afnemers.
Informatiebehoefte
In onderstaande tabel is het totaaloverzicht opgenomen van de
informatiebehoefte van de stakeholders en de door DICTU geleverde informatie.
In de laatste kolom is aangegeven wat het verschil is tussen de gewenste en de
verstrekte informatie en, indien dat het geval is, op welke punten de verstrekte
informatie afwijkt van de informatiebehoefte.
Gewenste informatie Verstrekte informatie Verschil
Eigenaar
Managementrapporta
ges (maandelijkse financiële rapportage)
Incidenten met
betrekking tot ICT, Bedrijfsvoering, Financiën en portfolio (indien van toepassing), ten minste wekelijks.
Jaarrekening
ISO270001 certificaat
In-control-verklaring (ICV)
Eigenaar
Managementrapportag
es (maandelijkse financiële rapportage)
Incidenten met betrekking tot ICT,
Bedrijfsvoering, Financiën en portfolio (indien van toepassing), ten minste wekelijks.
ISO270001 certificaat In-control-verklaring
(ICV) meldingen van
datalekken en overige beveiligingsincidenten, bijvoorbeeld hackpogingen, aan de
BVA (indien van toepassing)
Geen
Concerncontroller Er is zekerheid
benodigd over de cijfers. Dit wordt gehaald uit het begrotingsproces en de
Concerncontroller Informatie m.b.t. de
rijksbegrotingscyclus Informatie over evt.
financiële risico’s Managementrapportag
es (maandelijkse
Geen
29 van 33 | Onderzoeksrapport Verantwoording SSO's
jaarrekeningcontrole. Informatie over evt.
financiële risico’s Managementrapporta
ges Opdrachtbrieven
projecten Rapportage
opvolging ADR aanbevelingen
financiële rapportage) Opdrachtbrieven
projecten Jaarrekening (incl.
verklaring ADR) Rapportage opvolging
ADR aanbevelingen Rapportage externe
inhuur
Afnemers
Informatie over de
tarievenstructuur /
opbouw van kosten,
incl. onderbouwing van meerkosten.
KPI rapportages
(prestaties DICTU)
Informatie over beheersmatige aspecten van de bedrijfsvoering zoals activabeheer, het volume van telefoongebruik en
dataverbruik, maar ook over bijvoorbeeld accounts (totaal aantal, aantal in
gebruik, aantal afgesloten etc.).
Effectiviteit en klanttevredenheid.
In-control-verklaring Mogelijkheid tot zelf
draaien van maatwerkrapportages o.b.v. query’s
Jaarlijkse verantwoording van DICTU dat de eigen systemen van de
opdrachtgever aantoonbaar het
gehele jaar veilig zijn geweest en hebben voldaan aan de BIR, aangevuld
met eventuele aanvullende maatregelen die uit risico-analyses naar voren zijn gekomen
Tussentijdse
Afnemers
een IB-verslag over de door DICTU beheerde
systemen t.b.v. de
afnemers binnen EZ (d.w.z. niet voor de externe klanten van DICTU)
In-control-verklaring (ICV) (niet naar
externe afnemers) Rapportage over
afgesproken dienstverlening (KPI-rapportage). Zowel informatie over de
generieke dienstverlening als over de projecten
Verantwoordingsinformatie over relevante BIR-normen
Stand van de
aanvullende maatregelen uit de risicoanalyse
Verbeterpunten uit de ISO27001 audit
Onderbou
wing
tarieven(s
tructuur)
ICV (t.b.v
externe
afnemers)
Verantwoo
rding BIR
specifiek
30 van 33 | Onderzoeksrapport Verantwoording SSO's
auditresultaten (evt.)
ADR / AR als
controleur
stukken die samenhangen met de door de afnemers aangegane verplichtingen en gedane betalingen
Het aantoonbaar voldoen aan de General IT Controls
stukken die samenhangen met de door de afnemers aangegane verplichtingen en gedane betalingen
Geen
Wat is volgens stakeholders de minimaal benodigde informatie over
financieel beheer en ICT-beheer?
De informatiebehoefte ten aanzien van financieel beheer is binnen EZ voor
DICTU niet anders dan voor andere agentschappen. Er is zekerheid benodigd
over de cijfers. Dit wordt gehaald uit het begrotingsproces en de
jaarrekeningcontrole. Hierbij is het van belang dat FEZ tijdig op de hoogte
gehouden wordt van zaken die mogelijk tot financiële risico’s kunnen leiden. Dit
gebeurt onder meer aan de hand van interne managementrapportages die DICTU
met FEZ deelt. Met betrekking tot ADR-bevindingen betreft de
informatiebehoefte met name rapportage over de opvolging van aanbevelingen
door DICTU. Bovenstaande wordt besproken in verschillende overleggen (zie
verderop).
Afnemers hebben een andere informatiebehoefte: zij geven aan behoefte te
hebben aan informatie over de tarievenstructuur/opbouw van kosten. In het
bijzonder ook de onderbouwing van meerkosten.
Ten aanzien van leveranciersmanagement noemen enkele afnemers dat hun
informatiebehoefte ligt op het gebied van de prestaties van DICTU in relatie tot
gemaakte afspraken. Deze afspraken zijn veelal opgenomen in een
leveringsovereenkomst. Zij willen hierover maandelijks op de hoogte gehouden
worden door middel van rapportages over met DICTU afgesproken KPI´s.
Daarnaast wordt ook onder andere beheerlast per systeem, aantal incidenten,
aantal in gebruik zijnde accounts en klanttevredenheid genoemd.
De afnemers geven allen aan een informatiebehoefte te hebben als het gaat om
ICT-beheer. De afnemers verschillen echter in de mate waarin zij informatie van
DICTU verwachten en de zekerheid die zij over deze informatie (willen)
verkrijgen door een derde partij. De informatiebehoefte verschilt van het
opvragen van de jaarlijkse ‘in-control-verklaring’ (ICV), eventueel aangevuld met
de mogelijkheid zelf maatwerk rapportages te genereren, tot aan de behoefte
aan jaarlijkse verantwoording van DICTU dat de eigen systemen van de
opdrachtgever aantoonbaar het gehele jaar veilig zijn geweest en hebben
voldaan aan de BIR, aangevuld met eventuele aanvullende maatregelen die uit
risico-analyses naar voren zijn gekomen. Mochten de bevindingen hiertoe
aanleiding geven, is aangegeven dat daarnaast tussentijdse audits wenselijk zijn.
Het voldoen aan de CW, de BIR, de VIR en de MD/AVG is voor de eigenaar de
vanzelfsprekende basis. Hij ontvangt als eigenaar voldoende informatie via
verantwoordingen van de DICTU, zoals de jaarrekening, het ISO27001 certificaat
31 van 33 | Onderzoeksrapport Verantwoording SSO's
en de ICV. De eigenaar geeft aan dat het niet wenselijk is dat “alles” standaard
wordt geaudit en dat de verantwoordingstoren minder zou kunnen. Dit is
gebaseerd op het gegeven dat de primaire verantwoordelijkheid voor financieel
en ICT-beheer en voor de sturing op een SSO bij de eigenaar ligt waar de SSO
onder ressorteert. Er mag uitgegaan worden van vertrouwen in de
werkzaamheden van de SSO’s en in de rol van de eigenaar daarbij, in de
wetenschap dat het goed functioneren van een SSO ook is geborgd in de eigen
PDCA-cyclus. De eigenaar ontvangt daarnaast ook financiële rapportages die in
verschillende overleggen worden besproken (zie verderop).
De ADR heeft voor de controle van de jaarrekening van de afnemers van DICTU
met name behoefte aan de stukken die samenhangen met de door de afnemers
aangegane verplichtingen en gedane betalingen. Deze worden via de
opdrachtgever verkregen. Verder is het aantoonbaar voldoen aan de general IT-
controls voldoende voor een goede uitvoering van de wettelijke taak door de
ADR.
Welke informatie wordt reeds verstrekt door DICTU over financieel
beheer en ICT-beheer?
DICTU rapporteert maandelijks aan de afnemers buiten EZ over de afgesproken
dienstverlening. Dit betreft zowel informatie over de generieke dienstverlening
(beheer) als over de projecten Met betrekking tot informatiebeveiliging verstuurt
DICTU geen ICV aan deze afnemers. Wel wordt aan hen de
verantwoordingsinformatie over relevante BIR-normen verstrekt, hebben zij
inzage in de stand van de aanvullende maatregelen uit de risicoanalyse en
verstrekt DICTU de verbeterpunten uit de ISO27001 audit.
Binnen EZ verstrekt DICTU de volgende informatie:
- maandelijkse financiële rapportage aan FEZ;
- alle informatie ten behoeve van de rijksbegrotingscyclus;
- de interne jaarrekening, hierin staat informatie over de rechtmatigheid van
de bestedingen. De interne jaarrekening wordt door de ADR voorzien van een
verklaring;
- rapportages over externe inhuur, deze informatie gaat via FEZ naar BZK
t.b.v. rapportage aan de Tweede Kamer;
- ISO27001 certificaat van DEKRA Dit certificaat wordt onder andere aan de
CIO Office ter beschikking gesteld;
- ICV op 2 niveaus: ieder dienstonderdeel stelt een ICV op die naar de CIO
Office gaat en vervolgens worden alle ICV’s door de CIO Office
geconsolideerd tot één integrale, EZ-brede ICV. DICTU geeft in haar ICV aan
welke informatiebeveiligingsmaatregelen zij heeft getroffen en dekt daarmee
een deel van de ICV van haar afnemers af;
- een IB-verslag over de door DICTU beheerde systemen t.b.v. de afnemers
binnen EZ (d.w.z. niet voor de externe klanten van DICTU). Dit verslag is
overigens niet voorzien van een verklaring van een auditor;
- indien van toepassing/ad hoc: meldingen van datalekken en overige
beveiligingsincidenten, bijvoorbeeld hackpogingen, aan de BVA.
Wat zijn de verschillen tussen de minimaal benodigde en reeds
verstrekte informatie over financieel beheer en ICT-beheer?
Uit de analyse komt naar voren dat er onder de stakeholders geen algemeen
gedeeld beeld is met betrekking tot de verstrekte informatie versus de minimaal
benodigde informatie. De stakeholders behorende tot het ministerie van EZ
geven aan dat de huidige informatie die door DICTU wordt verstrekt voorziet in
hun informatiebehoefte. De eigenaar geeft daarbij aan dat het redelijk is dat
DICTU deze informatie oplevert en hierbij niet wordt overvraagd.
32 van 33 | Onderzoeksrapport Verantwoording SSO's
De analyse van de informatiebehoefte van de externe afnemers laat een ander
beeld zien. Zij geven aan onvoldoende informatie te ontvangen over de
onderbouwing van de tarieven en de bedragen die in rekening worden gebracht.
Daarnaast geven zijn aan tenminste een ICV te willen ontvangen van DICTU.
Deze ontvangen zij momenteel niet. Ook in de behoefte aan een jaarlijkse
auditcyclus waarbij DICTU aantoont dat de systemen van de opdrachtgever ten
minste aan de BIR voldoen wordt momenteel niet voorzien.
DICTU geeft in zijn algemeenheid aan dat afnemers soms meer informatie
vragen dan kan worden geleverd. Bijvoorbeeld als zij meer details over projecten
willen weten dan op het niveau waarop DICTU projecten administreert.
Op welk niveau op het departement komt deze informatie terecht?
Zowel met de verschillende stakeholders binnen EZ als met de externe afnemers
vindt op verschillende niveaus periodiek overleg plaats, vaak aan de hand van de
door DICTU aangeleverde informatie (zie de vorige paragraaf).
Financiële aangelegenheden worden besproken in verschillende overleggen
tussen FEZ en DICTU. Dit betreft onder andere het CFO-gesprek, tussen het
afdelingshoofd FEZ/Sturing & Toezicht en de CFO van DICTU en het overleg
tussen directeur FEZ en CFO DICTU. Op het gebied van ICT is er de CIO raad,
waarin alle CIO’s van de dienstonderdelen van EZ en de eigenaar als CIO EZ
zitting hebben. Hierbij is ook FEZ aangesloten waarbij zij aandacht heeft voor de
financiële consequenties van ICT-ontwikkelingen. Daarnaast is er maandelijks
een BFI-overleg (Bedrijfsvoering, Financiën, ICT), dit is een overleg waarin,
naast DICTU, de eigenaar, FEZ en directie Bedrijfsvoering zitting hebben en
waarin de op dat moment spelende zaken worden besproken.
Overleg met afnemers vindt plaats in het DICTU-breed opdrachtgeversoverleg.
Hierin zijn de eigenaar, de directeur DICTU en de directeuren van alle interne- en
externe afnemers vertegenwoordigd. Hierbij komen onder andere de
ontwikkelingen bij de afnemers, nieuwe opdrachten, het portfolio en de
gemeenschappelijke ICT aan de orde. Ook de tarievenstructuur/kostprijs wordt
besproken en bekrachtigd in dit overleg. Aanvullende informatie kan worden
uitgewisseld tussen de projectleider aan DICTU-zijde en de projectleider aan de
zijde van de opdrachtgever.
Met de ADR vinden maandelijks zgn. tripartite overleggen plaats (ADR-DICTU-
FEZ). De stand van zaken rondom opvolging van bevindingen en (interim)
controles worden besproken. Ten tijde van de jaarrekeningcontrole wordt dit
overleg geïntensiveerd naar één keer per week.
Auditdienst Rijk
Postbus 20201
2500 EE Den Haag
(070) 342 77 00