Samenvattend auditrapport 2016 - Rijksoverheid.nl · 3.3.3 Wijzigingsbeheer CODA nog niet volledig...

Samenvattend auditrapport 2016 Ministerie van Algemene Zaken (iii)

15 maart 2017

Kenmerk2017-0000038951

InlichtingenAuditdienst RijkPostbus 202012500 EE Den Haag

Inhoud

1 Samenvatting 5

2 Goedkeurende controleverklaring 72.1 Financiële overzichten akkoord bevonden 72.2 Geen overschrijding van rapporteringstoleranties 72.3 Contractovername door mobiliteitsbureaus niet opgenomen in de

WNT-verantwoording 7

3 Financieel en materieelbeheer verder verbeteren door actualiseren en documenteren 93.1 Bevindingen gelijk maar lager van impact 93.2 Twee bevindingen uit 2015 opgelost 103.2.1 Beheer materiële uitgaven: verbeteringen doorgevoerd, aandacht voor uitvoering 103.2.2 Bevinding beheer Museale stukken opgelost 103.3 Bevindingen in het beheer zijn licht qua impact 103.3.1 Betalingsorganisatie: de opzet vraagt om actualisatie en uitbreiding 103.3.2 Zicht op ICT middelen ontbreekt 113.3.3 Wijzigingsbeheer CODA nog niet volledig gedocumenteerd 113.4 Inkoopbeheer kent afhankelijkheden met derden 113.5 Baseline Informatiebeveiliging Rijksdienst (BIR) in beeld bij AZ 123.6 Meldplicht datalekken ingericht 123.7 Vpb-plicht bij AZ niet waarschijnlijk maar nog niet helemaal duidelijk 123.8 Agentschap Dienst Publiek en Communicatie (DPC) kent geen knelpunten 13

4 De totstandkoming bedrijfsvoeringsparagraaf niet helder onderbouwd 15

Bijlage Controleverklaring van de onafhankelijke accountant 17

Noten 20

Samenvattend auditrapport 2016 | Ministerie van Algemene Zaken (iii) | 5

1 Samenvatting

Doel en doelgroepenIn dit rapport doen wij verslag van de uitkomsten van onze wettelijke taak1 over 2016 bij hetministerie van Algemene Zaken (AZ). Dit rapport is opgesteld voor de minister en de secretaris- generaal en wordt tevens verstrekt aan de leden van het audit committee en de directeur Financieel-Economische Zaken van het ministerie van Algemene Zaken. Het rapport wordt verder toegezonden aan de minister van Financiën en de president van de Algemene Rekenkamer.

Financiële overzichtenWij hebben een goedkeurende controleverklaring afgegeven bij het jaarverslag 2016 van hetministerie van Algemene Zaken (III). Dat houdt in dat de in dit jaarverslag opgenomen financiëleoverzichten een getrouw beeld geven van de uitkomsten van de begrotingsuitvoering.

Financieel en materieelbeheerWij hebben 3 bevindingen in het beheer. Dit is vergelijkbaar met vorig jaar, maar de impact vande bevindingen is lager. Het beheer kent hiermee een verbetering ten opzichte van voorgaandejaren. Bij het ministerie zijn verbeteringen mogelijk in de zichtbare uitvoering en ordelijke documentatie van een aantal processen in het financieel en materieelbeheer.

Totstandkoming informatie over beleid en bedrijfsvoeringDe dossiervorming welke ten grondslag ligt aan de totstandkoming van de bedrijfsvoerings -paragraaf kan worden verbeterd. Het ontbreekt aan een procesbeschrijving en duidelijke afwegingen van gemaakte keuzes wat wel en wat niet op te nemen in de bedrijfsvoerings -paragraaf.

LeeswijzerDit rapport is als volgt ingedeeld:• de controle van de financiële overzichten (hoofdstuk 2);• het onderzoek naar het gevoerde financieel en materieelbeheer en de ten behoeve van dat

beheer bijgehouden administraties (hoofdstuk 3);• het onderzoek naar de totstandkoming van de informatie over het gevoerde beleid en de

bedrijfsvoering (hoofdstuk 4);• overige onderwerpen (hoofdstuk 5);• de controleverklaring (bijlage).

OpenbaarmakingDe ADR is de interne auditdienst van het Rijk. Onze rapporten zijn primair bestemd voor deopdrachtgevers met wie wij een opdracht zijn overeengekomen. De ministerraad heeft op 19 februari 2016 een beleidslijn vastgesteld voor het openbaar maken van rapporten van deADR. Op grond daarvan zal de minister van Algemene Zaken dit samenvattende auditrapport op of na verantwoordingsdag, 17 mei 2017, plaatsen op de website van de Rijksoverheid (www.rijksoverheid.nl).2


2 Goedkeurende controleverklaring

InleidingAls eerste onderdeel van onze wettelijke taak controleren wij of de in het jaarverslag opgenomen financiële overzichten een getrouw beeld geven van de uitkomsten van de begrotingsuitvoering en zijn opgesteld in overeenstemming met de geldende verslaggevings-voorschriften.3

De in 2016 gerealiseerde uitgaven bedroegen voor het ministerie van Algemene Zaken € 55,7 mln. (2015: € 57,0 mln), de aangegane verplichtingen € 55,7 mln. (2015: € 50,7 mln) en de ontvangsten € 4,1 mln. (2015: € 4,3 mln).De in 2016 gerealiseerde uitgaven en ontvangsten bedroegen voor het Kabinet van de Koning(KvdK) € 2,4 mln (2015: € 2,4 mln.). De gerealiseerde uitgaven voor de Commissie van Toezichtbetreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD) bedroegen € 1,3 mln (2015: € 1,3mln) en de ontvangsten € 0,02 mln (2015: € 0,07 mln).

Wij plannen en voeren onze controle zodanig uit dat wij een redelijke mate van zekerheid ver-krijgen dat de financiële overzichten geen afwijkingen van materieel belang bevatten. Het mate-rieel belang is bepalend voor de strekking van het oordeel in de controleverklaring. De materialiteit voor de verantwoordingsstaten en de saldibalans als geheel bedraagt 3% voor fouten en 3% voor onzekerheden. Wij zijn er bij onze controle van uitgegaan dat de voorgestelde wijzigingen in de slotwet de goedkeuring van de wetgever zullen krijgen.

Voorts hebben wij onderzocht of de in het departementale jaarverslag opgenomen andereinformatie (buiten de financiële overzichten) niet strijdig is met de in het jaarverslag opgenomen financiële overzichten en geen materiële afwijkingen bevat. Ook zijn wij nagegaandat het jaarverslag alle voorgeschreven informatie bevat.

Hieronder gaan wij in op de belangrijkste bevindingen van onze controle.

2.1 Financiële overzichten akkoord bevonden Wij hebben een goedkeurende controleverklaring afgegeven bij het jaarverslag 2016 van hetministerie van Algemene Zaken (III). Deze verklaring is opgenomen als bijlage in dit rapport.

2.2 Geen overschrijding van rapporteringstoleranties In de bedrijfsvoeringsparagraaf van het departementale jaarverslag rapporteert de ministerover de comptabele rechtmatigheid van de uitkomsten van de begrotingsuitvoering over 2016.Omdat geen rapporteringstoleranties zijn overschreden is dit voor het ministerie van AlgemeneZaken niet het geval.

2.3 Contractovername door mobiliteitsbureaus niet opgenomen in de WNT-verantwoordingIn de toelichting bij de WNT-verantwoording is uiteengezet dat volledige uitvoering van deopenbaarmakingsplicht op grond van artikel 4.2 van de WNT ten aanzien van betalingen aanmobiliteitsbureaus over de verslagjaren tot en met 2016 niet mogelijk is. In de BeleidsregelsWNT 2017 (Staatscourant 2016, nr. 70032) is bepaald dat in dat geval geen toezicht op de naleving van deze openbaarmakingsverplichting zal worden uitgeoefend en evenmin hand -havend zal worden opgetreden bij niet-naleving van die verplichting. Daarom zijn de betreffende betalingen niet opgenomen in de WNT-verantwoording en zijn deze ook buiten de reikwijdte van onze controle gebleven.


Uit onze werkzaamheden, gericht op de gesignaleerde risico’s, zijn geen onterechte betalingengebleken. Eén van de gesignaleerde risico’s was de beperkte functiescheiding.

Wij hebben de volgende bevindingen en aanbevelingen ten aanzien van het betalingsverkeer.• De procedures voor het betalingsverkeer zijn beschreven in werkinstructies. Deze werk -

instructies zijn na de overgang naar ING niet aangepast en daarmee niet meer actueel. • De overall autorisatiematrix met functiescheidingen in het financiële systeem en ING betaal-

software is niet actueel. Dit is nodig voor het kunnen beoordelen van verzoeken tot wijzigingen in de autorisaties.

• Twee medewerkers hebben in het ING pakket autorisaties voor het geven van de finale goedkeuring met daarnaast de beheerrol om autorisaties in het betaalpakket aan te passen.Wij vinden deze combinatie van autorisaties kwetsbaar en niet wenselijk. Wij adviseren om de beheerrol te beleggen bij medewerkers die niet in het operationele proces hun activiteiten uitvoeren, zodat een betere functiescheiding gecreëerd wordt.

3.3.2 Zicht op ICT middelen ontbreektMet de invoering van een eigen Topdesk voor AZ is het de intentie ook de IT-middelen administratie in 2017 te verbeteren. Momenteel is sprake van administratie verspreid overdiverse bronnen, zowel in Excel als in de CMDB (Configuration Management Database). Nainvoering van Topdesk zal er sprake zijn van maar één bron: Topdesk. Het beheer van de ICTmiddelen is in 2016 tussen wal en schip gevallen. De CMDB is niet meer volledig geactualiseerden in 2016 zijn de middelen niet geïnventariseerd. Hierdoor is het beeld van de in gebruik zijndemiddelen niet meer volledig en dient voor de invoering van Topdesk een aanvullende inventarisatie plaats te vinden.

3.3.3 Wijzigingsbeheer CODA nog niet volledig gedocumenteerdWij hebben in het kader van informatiebeveiliging van CODA de generieke procedures onder-zocht. In het algemeen hebben wij weinig bevindingen. Alleen ten aanzien van het wijzigings -beheer CODA rapporteren wij over een risico dat al onderkend was door de organisatie zelf. De functioneel beheerders voeren wijzigingen door in de parameters van het financiële systeem. Dit gebeurt op verzoek van anderen. Deze incidentele verzoeken (goedkeuringen voorwijzigingen) en de doorgevoerde wijzigingen worden nu niet gedocumenteerd. Dit leidt tot hetrisico van ongeautoriseerde en ongewenste aanpassingen in de parameters van het financiëlesysteem. De organisatie onderkent dit risico en werkt aan een oplossing. Het is de bedoeling dat in de toekomst wijzigingen aan de functioneel beheerders worden gestuurd via het call tracking systeem waardoor de grondslag en goedkeuring van elke wijziging zichtbaar wordtgemaakt. Met behulp van wijzigingen ten opzichte van een baseline kunnen vervolgens mutaties in parameters inzichtelijk worden gemaakt. Zolang dit nog niet is geregeld adviserenwij tussentijds maatregelen te nemen zodat de (goedgekeurde) wijzigingen gedocumenteerdzijn.

3.4 Inkoopbeheer kent afhankelijkheden met derdenVoor het controlejaar 2016 is afgesproken dat zowel de ADR als de Algemene Rekenkamer uitgaan van het afsprakenpakket over inkopen dat is vastgesteld door het SG-overleg. Zolangde Gids proportionaliteit niet is aangepast, is € 33.000 de grens waarboven de leveranciers selectiein het dossier moet worden gemotiveerd.5 Voor Europese aanbestedingen geldt dat de vereen-voudigde procedure voor 2B-diensten6 per 18 april 2016 is verdwenen, waardoor enkele voor-malige 2B-diensten voortaan onder het algemene regime voor Europese aanbestedingen vallen.Voor sociale en andere specifieke diensten bestaat per 1 juli 2016 een bijzonder (verlicht)regime.7

AZ koopt zelf in beperkte mate in. Voor inkopen boven de € 50.000 wordt zoveel mogelijkgebruik gemaakt van rijksbrede contracten en anders wordt voor de inkoop de inkoop -organisatie UBR/HIS (Haagse InkoopSamenwerking) ingeschakeld. Daarnaast lift AZ veelal meemet rijksbrede contracten afgesloten door andere organisatieonderdelen binnen het Rijk. Deuitbesteding van inkoopprocessen neemt niet weg dat AZ uiteindelijk verantwoordelijk blijftvoor eventuele rechtmatigheidsvraagstukken. Daarom is het van belang dat AZ aangeslotenblijft bij het volledige inkooptraject, ook als er sprake is van uitbesteding van een deel van hetproces.

12 | Samenvattend auditrapport 2016 | Ministerie van Algemene Zaken (iii)

Sinds 2014 besteden wij in het kader van ons onderzoek naar het gevoerde financieel en materieelbeheer extra aandacht aan inkoop en rechtmatigheid. Wij hebben dat ook over 2016gedaan. Wij hebben geen bijzondere risico’s onderkend.

3.5 Baseline Informatiebeveiliging Rijksdienst (BIR) in beeld bij AZWij hebben rijksbreed onderzoek gedaan naar de implementatie van vijf thema’s van de BaselineInformatiebeveiliging Rijksdienst (BIR).8 Per ministerie zijn daarbij voor twee kritieke systemen devoor deze vijf thema’s relevante maatregelen van de BIR getoetst. Dit betreft één systeem datwij ook in 2015 hebben onderzocht en één systeem dat niet eerder is onderzocht. Daarnaasthebben wij rijksbreed bij alle ministeries onderzoek gedaan naar de sturing op informatie -beveiliging.

Een managementsysteem voor informatiebeveiliging is een sluitend stelsel van processen waarmee volgens een eenduidige systematiek de informatiebeveiliging op basis van risico -beheer (departement)breed wordt geborgd. Dit managementsysteem wordt veelal ingedeeldnaar de onderkende (P)lan, (D)o, (C)heck, (A)ct fasen. Voor een effectief managementsysteem isnoodzakelijk dat alle fasen zijn ingericht en functioneren. Op basis van ons inventariserendeonderzoek hebben wij geconstateerd dat het managementsysteem voor informatiebeveiligingis ingericht. Daarnaast zijn BIR maatregelen rond onderzochte systemen ingericht.

3.6 Meldplicht datalekken ingerichtOp 1 januari 2016 is de meldplicht datalekken van toepassing geworden. De meldplicht houdt indat organisaties die persoonsgegevens verwerken datalekken moeten melden aan de AutoriteitPersoonsgegevens en in bepaalde gevallen ook aan de betrokkene van wie persoonsgegevenszijn gelekt. Om aan deze meldplicht te voldoen is een stelsel van beheersmaatregelen noodza-kelijk. Wij hebben bij alle ministeries onderzocht of hiervan sprake is. Dit geeft ons geen aanlei-ding tot het maken van opmerkingen. AZ start in het geval van een melding van een (potentieel)informatiebeveiligingsincident direct een onderzoek op om vast te stellen of er sprake is vaneen datalek. Deze werkwijze is volgens ons wenselijk om boetes door de Autoriteit Persoons -gegevens te voorkomen.

3.7 Vpb-plicht bij AZ niet waarschijnlijk maar nog niet helemaal duidelijkPer 1 januari 2016 is door modernisering van de Wet op de vennootschapsbelasting (Vpb) voorde overheid in bepaalde gevallen een Vpb-plicht ontstaan, met bijbehorende administratie- en aangifteplicht. De toets of sprake is van een Vpb-plicht vindt plaats op het niveau van deactiviteiten. AZ heeft de activiteiten, in het bijzonder van DPC, in beeld gebracht en gemotiveerdwaarom zij van mening is dat zij niet Vpb-plichtig zijn. In 2016 heeft AZ een verzoek tot vooroverleg bij de Belastingdienst ingediend. Uit het antwoord van de belastingdienst blijkt dat het Ministerie AZ / DPC met de activiteitmedia-inkoop geen onderneming drijft in de zin van artikel 2, lid 2 Wet Vpb. Tevens geeft deinspecteur aan dat de vrijstelling van Vpb-plicht alleen geldt voor de media activteiten en nietvoor clusterende activiteiten van AZ als geheel. Hoewel op basis van de overige omzetstromen het niet waarschijnlijk is dat er voor AZ een Vpb-plicht aanwezig is, geeft naar onze mening het antwoord van de inspecteur nog geen volledige duidelijkheid. Wij adviseren om nadere duidelijkheid over de overige activiteiten teverkrijgen.

3.8 Agentschap Dienst Publiek en Communicatie (DPC) kent geen knelpuntenHet agentschap DPC ontvangt separaat een auditrapport en controleverklaring bij deverantwoording van het agentschap. De belangrijkste bevindingen in het auditrapport van DPC zijn:• bij de interne jaarrekening van DPC is een goedkeurende controleverklaring verstrekt;• DPC heeft een verlies van € 0,4 mln geboekt. Het resultaat wordt verrekend met het eigen

vermogen van DPC;• in 2016 heeft DPC een stelselwijziging doorgevoerd voor de productgroep Media-inkoop. Het

resultaat uit de productgroep Media-inkoop verloopt nu niet meer via het eigen vermogenvan DPC. Eventuele financiële resultaten vanuit de productgroep Media-inkoop zullen vanafnu worden verrekend met de opdrachtgevers. De inzichtelijkheid van de resultaat berekeningis hiermee verbeterd;

• het contractenregister is in 2016 flink verbeterd. Contracten zijn beter terug te vinden en demotivatie van de objectieve leverancierskeuze heeft hier een plek gekregen voor inkopenboven de € 33.000.


4 De totstandkoming bedrijfsvoeringsparagraaf niet helder onderbouwd

Als derde onderdeel van onze wettelijke taak onderzoeken wij of geselecteerde processengericht op de totstandkoming van informatie over het gevoerde beleid en de bedrijfsvoeringvoldoen aan de normen uit de comptabele wet- en regelgeving. Daartoe onderzoeken wij ofdeze niet-financiële verantwoordingsinformatie op een deugdelijke (dat wil zeggen ordelijke encontroleerbare) wijze tot stand is gekomen.9

De selectie van de te onderzoeken processen gericht op de totstandkoming van informatie overhet gevoerde beleid en de bedrijfsvoering is afhankelijk van de omvang van de risico’s die daar-bij worden onderkend. Op basis daarvan hebben wij in 2016 de totstandkoming van de bedrijfs-voeringsparagrafen voor nader onderzoek geselecteerd.

In het jaarverslag zijn bedrijfsvoeringsparagrafen van AZ, KvdK en de CTIVD opgenomen. Voorde beoordeling van de totstandkoming van de bedrijfsvoeringsparagrafen is het van belang datdeze onderbouwd is met voldoende onderliggende documentatie. Daarnaast is het aan te beve-len om in het onderliggende dossier een afweging op te nemen wat wel en wat uiteindelijk nietopgenomen wordt in deze paragrafen. Op beide punten is hierin verbetering mogelijk. Daar-naast adviseren wij een korte procesbeschrijving te maken zodat helder is wie verantwoordelijkis voor de opstelling en vaststelling van de bedrijfsvoeringsparagrafen en de oplevering vanonderliggende documentatie.


Bijlage

Bijlage Controleverklaring van de onafhankelijke accountant

Aan: de minister van Algemene Zaken

A Verklaring over de in het departementale jaarverslag 2016 opgenomen financiële overzichten

Ons oordeelWij hebben de financiële overzichten die deel uitmaken van het departementale jaarverslag2016 van het ministerie van Algemene Zaken gecontroleerd. Naar ons oordeel geven deze financiële overzichten een getrouw beeld van de uitkomsten van de begrotingsuitvoering vanhet ministerie van Algemene Zaken over 2016 in overeenstemming met de verslaggevings -voorschriften die zijn opgenomen in de Comptabiliteitswet 2001 en de daaruit voortvloeienderegelgeving, waaronder de Regeling rijksbegrotingsvoorschriften 2017.

De financiële overzichten bestaan uit:• de departementale verantwoordingsstaat over 2016 met de financiële toelichtingen daarbij;• de verantwoordingstaten van het Kabinet van de Koning en de Commissie van Toezicht

betreffende de Inlichtingen- en Veiligheidsdiensten over 2016 met de financiële toelichtingendaarbij;

• de samenvattende verantwoordingsstaat over 2016 betreffende de baten-lasten -agentschappen met de toelichting daarbij;

• de departementale saldibalans per 31 december 2016 met de toelichting daarbij;• de saldibalansen per 31 december 2016 van het Kabinet van de Koning en de Commissie van

Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten met de financiële toelichtingendaarbij;

• de in de bedrijfsvoeringsparagrafen van het ministerie van Algemene Zaken, het Kabinet vande Koning en de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdienstenopgenomen rapportage over de comptabele rechtmatigheid van de uitkomsten van debegrotingsuitvoering over 2016;

• de overzichten over 2016 met de gegevens als bedoeld in de artikelen 4.1 en 4.2 van de Wetnormering bezoldiging topfunctionarissen publieke en semipublieke sector (WNT).

De basis voor ons oordeelWij hebben onze controle uitgevoerd volgens het Nederlands recht, waaronder ook de Neder-landse controlestandaarden en het Controleprotocol WNT vallen. Onze verantwoordelijkhedenop grond hiervan zijn beschreven in de sectie ‘Onze verantwoordelijkheden voor de controlevan de financiële overzichten’.

Wij zijn onafhankelijk van het ministerie van Algemene Zaken zoals vereist in de Verordeninginzake de onafhankelijkheid van accountants bij assurance-opdrachten (ViO) en andere voor deopdracht relevante onafhankelijkheidsregels in Nederland. Verder hebben wij voldaan aan deVerordening gedrags- en beroepsregels accountants (VGBA).

Wij vinden dat de door ons verkregen controle-informatie voldoende en geschikt is als basisvoor ons oordeel.



B Verklaring over de in het departementale jaarverslag 2016 opgenomen andere informatie

Naast de financiële overzichten omvat het departementale jaarverslag andere informatie, die bestaat uit:• het deel algemeen (verzoek tot dechargeverlening en leeswijzer);• de in het beleidsverslag opgenomen informatie over het gevoerde beleid en de

bedrijfsvoering;• de voorgeschreven bijlagen.

Op grond van onderstaande werkzaamheden zijn wij van mening dat de andere informatie:• niet strijdig is met de in het departementale jaarverslag opgenomen financiële overzichten

en geen materiële afwijkingen bevat;• alle informatie bevat die is vereist op grond van de verslaggevingsvoorschriften die zijn

opgenomen in de Comptabiliteitswet 2001 en de daaruit voortvloeiende regelgeving, waaronder de Regeling rijksbegrotingsvoorschriften 2017.

Wij hebben de andere informatie gelezen en hebben op basis van onze kennis en ons begrip,verkregen vanuit de controle van de financiële overzichten of anderszins, overwogen of deandere informatie materiële afwijkingen bevat.10

Met onze werkzaamheden hebben wij voldaan aan de vereisten in artikel 66, zesde lid, onder d,van de Comptabiliteitswet 2001 en de Nederlandse Standaard 720. Deze werkzaamheden hebben niet dezelfde diepgang als onze controlewerkzaamheden bij de financiële overzichten.

De minister is verantwoordelijk voor het opstellen van de andere informatie in overeen -stemming met de verslaggevingsvoorschriften die zijn opgenomen in de Comptabiliteitswet2001 en de daaruit voortvloeiende regelgeving, waaronder de Regeling rijksbegrotings -voorschriften 2017.

C Beschrijving van verantwoordelijkheden met betrekking tot de financiële overzichten

Verantwoordelijkheden van de minister voor de financiële overzichtenDe minister is verantwoordelijk voor het opmaken van de financiële overzichten die de uitkomsten van de begrotingsuitvoering getrouw dienen weer te geven in overeenstemmingmet de verslaggevingsvoorschriften die zijn opgenomen in de Comptabiliteitswet 2001 en dedaaruit voortvloeiende regelgeving, waaronder de Regeling rijksbegrotingsvoorschriften 2017.In dit kader is de minister verantwoordelijk voor een zodanige interne beheersing die de minister noodzakelijk acht om het opmaken van de financiële overzichten mogelijk te makenzonder afwijkingen van materieel belang als gevolg van fouten of fraude.

Onze verantwoordelijkheden voor de controle van de financiële overzichtenOnze verantwoordelijkheid is het zodanig plannen en uitvoeren van een controleopdracht datwij daarmee voldoende en geschikte controle-informatie verkrijgen voor het door ons af tegeven oordeel. Onze controle is uitgevoerd met een hoge mate maar geen absolute mate vanzekerheid waardoor het mogelijk is dat wij tijdens onze controle niet alle materiële fouten enfraude ontdekken. Afwijkingen kunnen ontstaan als gevolg van fraude of fouten en zijn materi-eel indien redelijkerwijs kan worden verwacht dat deze, afzonderlijk of gezamenlijk, van invloedkunnen zijn op de beslissingen die gebruikers op basis van deze financiële overzichten nemen.De materialiteit beïnvloedt de aard, timing en omvang van onze controlewerkzaamheden en deevaluatie van het effect van onderkende afwijkingen op ons oordeel.

Wij hebben deze accountantscontrole professioneel kritisch uitgevoerd en hebben waar relevant professionele oordeelsvorming toegepast in overeenstemming met de Nederlandsecontrolestandaarden, ethische voorschriften en de onafhankelijkheidseisen. Onze controlebestond onder andere uit:• het identificeren en inschatten van de risico’s dat de financiële overzichten afwijkingen van

materieel belang bevatten als gevolg van fouten of fraude, het in reactie op deze risico’sbepalen en uitvoeren van controlewerkzaamheden en het verkrijgen van controle-informatiedie voldoende en geschikt is als basis voor ons oordeel. Bij fraude is het risico dat een afwijking van materieel belang niet ontdekt wordt groter dan bij fouten. Bij fraude kansprake zijn van samenspanning, valsheid in geschrifte, het opzettelijk nalaten transacties vastte leggen, het opzettelijk verkeerd voorstellen van zaken of het doorbreken van de internebeheersing;

• het verkrijgen van inzicht in de interne beheersing die relevant is voor de controle met alsdoel controlewerkzaamheden te selecteren die passend zijn in de omstandigheden. Dezewerkzaamheden hebben niet als doel om een oordeel uit te spreken over de effectiviteit vande interne beheersing van het ministerie;11

• het evalueren van de geschiktheid van de gebruikte grondslagen voor financiële verslag -geving en het evalueren van de redelijkheid van schattingen door het ministerie en de toelichtingen die daarover bij de financiële overzichten zijn opgenomen;

• het evalueren van de presentatie, structuur en inhoud van de financiële overzichten en dedaarbij opgenomen toelichtingen; en

• het evalueren of de financiële overzichten een getrouw beeld geven van de onderliggendetransacties en gebeurtenissen.

Wij communiceren met de leiding van het ministerie van Algemene Zaken onder andere over degeplande reikwijdte en timing van de controle en over de significante bevindingen die uit onzecontrole naar voren zijn gekomen, waaronder eventuele significante tekortkomingen in deinterne beheersing.

Den Haag, 15 maart 2017

Auditdienst Rijk

auditrapport 2016 | Ministerie van Algemene Zaken (iii) | 19


Noten

1 De wettelijke taak is omschreven in artikel 66 van de Comptabiliteitswet 2001.2 De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de

titels van de rapporten die de ADR heeft uitgebracht en plaatst dit overzicht op de websitevan de Rijksoverheid (www.rijksoverheid.nl).

3 De verslaggevingsvoorschriften zijn vastgelegd in de Comptabiliteitswet 2001 en de daaruitvoortvloeiende regelgeving, waaronder de Regeling rijksbegrotingsvoorschriften 2017.

4 Deze eisen zijn verder uitgewerkt en samengevat in de Baseline financieel en materieel beheervan het ministerie van Financiën.

5 Het overleg van secretarissen-generaal van de ministeries heeft op 16 november 2016 het afsprakenpakket over inkopen voor 2017 vastgesteld. Hiermee wordt beoogd de professionaliteit van het rijksinkoopbeleid te borgen. Dit betekent onder meer:• dat het grensbedrag van € 10.000 voor de jaarlijkse analyse wordt verhoogd naar

€ 15.000;• dat het grensbedrag van € 33.000 voor schriftelijke motivering in het dossier van

de leveranciersselectie gehandhaafd blijft, totdat dit in de Gids proportionaliteit wordt verhoogd naar € 50.000 (streven is 1 juli 2017);

• dat elk ministerie op basis van een risicoprofiel een eigen beleid formuleert voor deobjectieve keuze van de leverancier voor opdrachten tot € 50.000; de toereikendheidvan dit beleid wordt getoetst door het ministerie voor Wonen en Rijksdienst en is vervolgens een gegeven voor de ADR en de Algemene Rekenkamer.

De toetsing van de in het pakket genoemde beheersmaatregelen zal plaatsvinden nadatdeze maatregelen zijn geïmplementeerd (vanaf 1 januari 2017).

6 Dit betreft diensten die geen bijdrage leveren aan de eenwording van de interne Europesemarkt, omdat deze diensten doorgaans door nationale dienstverleners worden uitgevoerd.Het gaat hierbij onder meer om maatschappelijke dienstverlening, gezondheidsdiensten,diensten op het gebied van cultuur, onderwijsdiensten en bepaalde juridische diensten.

7 In bijlage XIV van Richtlijn 2014/24/EU van het Europees Parlement en de Raad van de Europese Unie over het plaatsen van overheidsopdrachten (PB L 94 van 28 maart 2014, blz. 229-230) zijn alle diensten opgesomd die onder dit lichte regime vallen.

8 Dit zijn dezelfde vijf thema’s die wij ook de afgelopen jaren hebben onderzocht: patchmanagement, beveiliging van externe koppelvlakken, beheer van medewerkers entoegang, PDCA-cyclus (Plan-Do-Check-Act), logging en monitoring.

9 Deze normen zijn verder uitgewerkt in de Regeling rijksbegrotingsvoorschriften 2017.10 Daarnaast behoort het tot onze wettelijke taak onderzoek te verrichten naar de totstand -

koming van de informatie over het gevoerde beleid en de bedrijfsvoering, over de uitkomsten waarvan wij rapporteren in het samenvattende auditrapport.

11 Daarnaast behoort het tot onze wettelijke taak onderzoek te verrichten naar het gevoerdefinancieel en materieelbeheer en de ten behoeve van dat beheer bijgehouden administraties, over de uitkomsten waarvan wij rapporteren in het samenvattende auditrapport.

Samenvattend auditrapport 2016 - Rijksoverheid.nl · 3.3.3 Wijzigingsbeheer CODA nog niet volledig...

Documents

Transcript of Samenvattend auditrapport 2016 - Rijksoverheid.nl · 3.3.3 Wijzigingsbeheer CODA nog niet volledig...