Samenvattend auditrapport - Rijksoverheid.nl...2017/03/15 · Samenvattend auditrapport 2016...

Samenvattendauditrapport2016Ministerie vanVeiligheid enJustitie (vi)

Samenvattend auditrapport 2016 Ministerie van Veiligheid en Justitie (vi)

15 maart 2017

Kenmerk2017-0000034523

InlichtingenAuditdienst RijkPostbus 202012500 EE Den Haag

Inhoud

1 Samenvatting 5

2 Goedkeurende controleverklaring 82.1 Financiële overzichten akkoord bevonden 82.1.1 Toelichting financiële overzichten behoeft verbetering 82.2 Andere informatie in het departementale jaarverslag 82.3 Overschrijding van rapporteringstoleranties 92.4 Proces van periodieke afsluitingen financiële administratie vraagt impuls 92.5 Wet normering topinkomens goed uitgevoerd 9

3 Tempo verbeteringen financieel beheer is wisselend en op een aantal onderwerpen beperkt 113.1 Bevindingen lichter dan in 2015 113.2 Wisselend tempo van verbeteringen beheer in 2016 123.3 Gebruik financiële informatiesystemen vraagt aandacht 123.3.1 Autorisatie beheer op orde; aandacht nodig voor ‘vakantieregels’ 123.3.2 Crediteuren stambeheer centraal ingericht en daarmee goed belegd 123.3.3 Financiering Agentschappen geformaliseerd met opdrachtbrieven 133.3.4 Administratief beheer verbeterd, met aandachtspunten 133.3.5 Ontbreken van nadere regelgeving leidt tot gebrekkig inzicht in derdenrekeningen 133.4 Inkoopbeheer in opzet toereikend, werking blijft op onderdelen nog achter 133.4.1 Inkoopbeheer DJI op orde gebracht 143.4.2 Kwaliteit totstandkoming rechtmatigheidsrapportages wisselend 143.4.3 Verlengingen (ICT-) inhuurcontracten leidt tot onrechtmatigheden 143.4.4 Problemen bij overgang naar IUC, onrechtmatigheden dalen niet 143.4.5 Stijging onrechtmatigheden door specifieke casuïstiek bij aanbestedingen 153.4.6 Inkoop NFI grotendeels onrechtmatig 153.5 Subside- en bijdrage beheer vragen om duurzaamheid 163.5.1 Voorafgaand toezicht FEZ op subsidiebeheer werkt maar leidt niet tot

structurele verbetering 163.5.2 Toezichtcylus bijdragebeheer niet sluitend 163.5.3 Cyclus inzake toezicht bijdragebeheer: risicoanalyse nog niet goed ingebed 163.5.4 Risicoanalyses opgesteld, uitwerking naar beheersmaatregelen onvoldoende 163.5.5 Achterstallig onderhoud accountantsprotocollen 173.5.6 Aantal onjuiste boekingen duidelijk afgenomen 173.5.7 Beleid voor vorming van vermogen en voorzieningen bijdragen in voorbereiding 173.6 Fundament personeelsbeheer is ingericht, de uitvoering vraagt blijvend aandacht 173.7 Kosten Forensische zorg particuliere zorgaanbieders beheersbaar,

DBBC administratie Rijksinstellingen niet op orde 193.7.1 Kosten forensische zorg van particuliere zorgaanbieders beheersbaar gemaakt 193.7.2 DBBC-administratie Rijks Psychiatrische Centra nog niet op orde 193.8 Kansen voor verdere verbetering informatiebeveiliging en privacywetgeving in

verandertraject VenJ 193.8.1 Informatiebeveiliging vraagt op onderdelen meer aandacht op centraal niveau 193.8.2 Aandacht nodig voor privacywetgeving 20

3.9 Overige punten financieel en materieelbeheer 213.9.1 Introductie Vpb-plicht goed opgepakt 213.9.2 Overdrachtsmomenten in de afpak-keten werken niet goed 223.10 Stabiele basis voor bedrijfsvoering ontbreekt bij NFI 243.11 Materieel Beheer vraagt aandacht 243.11.1 Aangescherpte voorschriften Materieel beheer niet in 2016 geïmplementeerd 243.11.2 Bruikleenregisters niet juist en volledig 243.11.3 Activa-inventarisaties DJI zijn van onvoldoende niveau 243.12 Betaalgedrag voldoet niet aan de rijksbrede norm 243.13 Implementatie nieuwe procedures integriteitschendingen monitoren 25

4 Deugdelijk totstandkoming beleids- en bedrijfsvoeringsinformatie 274.1 Beleidsinformatie komt deugdelijk tot stand 274.2 Tijdigheid aanlevering input ten behoeve van bedrijfsvoeringsparagraaf

voor verbetering vatbaar 27

5 Overige onderwerpen 295.1 Risico’s in de transitiefase project herinrichting controlfunctie 295.2 Op weg naar continuous monitoring met behulp van IT-systemen 29

Bijlage Controleverklaring van de onafhankelijke accountant 33

Noten 36

Samenvattend auditrapport 2016 | Ministerie van Veiligheid en Justitie (vi) | 5

1 Samenvatting

Doel en doelgroepenIn dit rapport doen wij verslag van de uitkomsten van onze controles en onderzoeken in hetkader van onze wettelijke taak1 over 2016 bij het ministerie van Veiligheid en Justitie. Dit rapportis opgesteld voor de minister, de staatssecretaris en de secretaris-generaal en wordt ook verstrekt aan de leden van het audit committee en de directeur Financieel-Economische Zakenvan het ministerie van Veiligheid en Justitie. Het rapport wordt verder toegezonden aan deminister van Financiën en de president van de Algemene Rekenkamer.

Financiële overzichtenWij hebben een goedkeurende controleverklaring afgegeven bij het jaarverslag 2016 van het ministerie van Veiligheid en Justitie (begrotingshoofdstuk VI). Dat houdt in dat de in dit jaarverslag opgenomen financiële overzichten een getrouw beeld geven van de uitkomsten vande begrotingsuitvoering.

Wisselend tempo verbeteringen in het financieel en materieelbeheerHet departement heeft op alle door de Auditdienst Rijk (ADR) en de Algemene Rekenkamer (AR)over 2015 gerapporteerde bevindingen respectievelijk onvolkomenheden verbeteringen bereikt.Het tempo van deze verbeteringen is wisselend en op een aantal onderwerpen beperkt. De energie waarmee richting wordt gegeven aan het verandertraject van de controlfunctie vinden wij positief. Dit is een belangrijke basis voor een efficiënter en effectiever financieelbeheer. Wij vragen aandacht voor de voortgang van dit traject.De directies Financieel Economische Zaken (DFEZ) en Personeel en Organisatie (DP&O) hebbenzich inmiddels nadrukkelijk als concerncontrollers gepositioneerd. Het beoogde tweelaags control model biedt naar onze mening ook voor de directie Informatisering en Inkoop (DI&I)kansen voor eenzelfde positionering. Daarvoor zou naar onze mening de personele capaciteitmoeten worden uitgebreid.Als positieve ontwikkelingen zien wij verder het verbeterde beheersinstrumentarium van de inkoopfunctie, de vorderingen die zijn gemaakt in het voldoen aan de Baseline Informatie -beveiliging Rijksdienst (BIR), de doorontwikkeling van het financiële systeem Leonardo en hetverbeterde beheer van de keten forensische zorg in relatie met de particuliere zorgaanbieders.

Het inkoopbeheer binnen VenJ is structureel op orde gebracht en daarmee in opzet toereikendingericht. Beter inkoopmanagement, scherpere interne controles en spendanalyses hebbengeleid tot het detecteren van meer onrechtmatigheden; het is van belang dat daar een leereffectvan uitgaat waardoor deze in de toekomst worden voorkomen. Bij de Dienst Justitiële Inrichtingen (DJI) hebben deze inspanningen in 2015 en 2016 een zichtbaar positief effect gehaden is na jaren van verbeteractiviteiten het inkoopbeheer nu op orde.Specifieke casuïstiek heeft in 2016 geleid tot onrechtmatige inkoopuitgaven. In dit verband noemen wij het onjuist verlengen van bestaande inhuurcontracten door Inkoop UitvoeringsCentra (IUC’s). Dit is opvallend omdat juist daar een hogere kwaliteitsborging zou mogen worden verwacht. Overigens blijven dienstonderdelen te allen tijde zelf verantwoordelijk voorinkoop, ook indien zij gebruik maken van de diensten van de IUC’s. Van belang is dat dit nietleidt tot een zekere mate van vrijblijvendheid als het gaat om inschakelen van de IUC’s.Een ander casus betreft de huidige werkwijze met betrekking tot de inhuur van tolken door de Immigratie en Naturalisatie Dienst (IND), het Openbaar Ministerie (OM) en Nationale Politie(NP) (waarvan de kosten rechtstreeks worden verantwoord in de begroting van VenJ). Dezewerkwijze blijkt na uitgebreid en zorgvuldig intern onderzoek bij VenJ niet meer te voldoen aande in 2016 aangepaste aanbestedingsregels. De departementale leiding heeft het initiatiefgenomen om een passend aanbestedingstraject in gang te zetten.

6 | Samenvattend auditrapport 2016 | Ministerie van Veiligheid en Justitie (vi)

VenJ heeft in er 2016 bewust voor gekozen de inhuur van ICT personeel voor organisatie- enbeleidsadvies te laten verlopen via een Dynamisch Aankoop Systeem (DAS). Dit syteem is binnen VenJ juridisch getoetst, als instrument geschikt bevonden om tot een rechtmatige aanbesteding van de inhuur van ICT personeel en personeel voor organisatieadvies te komen en zorgvuldig voorbereid en in de markt gezet.De ADR is van mening, dat mondelinge communicatie met aanbieders geen deel mag uitmakenvan deze procedure en daarom deze op dit punt niet voldoet aan de aanbestedingswet.

Het vanaf 1 november 2016 ingestelde voorafgaand toezicht van FEZ op het subsidiebeheerheeft geleid tot verbeteringen; naar onze mening zijn deze niet duurzaam. Het aantal tekort -komingen blijft met uitzondering van de Dienst Terugkeer en Vertrek (DT&V) hoog en de uitvoering is over veel medewerkers met beperkte kennis gespreid. Dit laatste heeft als consequentie dat medewerkers weinig specifieke ervaring opdoen en dat daarmee het tempovan verbeteringen laag is. Een zekere mate van centralisatie van het subsidiebeheer is een interessante optie om te verkennen, die naar onze mening ook past in de ontwikkeling naar een tweelaags controlmodel.

Het departement heeft in de afgelopen jaren zodanige maatregelen getroffen op zowel concernniveau als bij de dienstonderdelen dat het personeelsbeheer in opzet aan de eisen voldoet. Dat neemt niet weg, dat bij de invoer van mutaties procedures nog niet goed wordennageleefd en dat dit in een aantal gevallen ook leidt tot financiële fouten en onzeker heden. Ons beeld is dan ook dat een aantal verbeteringen pas in 2017 zal worden gerealiseerd.

Doorkijkend naar 2017 kan naar onze mening een verdere professionalisering in de control -functie worden bereikt op basis van de voortschrijdende kwaliteit van de automatiserings -organisatie. Er is sprake van een toenemend niveau van betrouwbaarheid van de financiële systemen Leonardo en Exact, en van een aantal primaire processystemen binnen VenJ. Dezeontwikkeling sluit goed aan bij de ambitie die het departement heeft voor de doorontwikkelingvan de financiële functie. Dit past ook in het perspectief van de DG Rijksbegroting omtrent continuous monitoring vanuit de controlfunctie met behulp van ICT.

Totstandkoming informatie over beleid en bedrijfsvoeringIn het proces van totstandkoming van de informatie over het gevoerde beleid en bedrijfsvoeringzijn voldoende maatregelen getroffen die de reconstrueerbaarheid van dit proces waarborgen.Dit proces steunt in toenemende mate op geautomatiseerde (primaire proces) systemen. De bedrijfsvoeringsparagraaf voldoet aan de eisen van de Rijksbegrotingsvoorschriften 2017 en sluit aan op ons eigen beeld.

LeeswijzerDit rapport is als volgt ingedeeld:• De controle van de financiële overzichten (hoofdstuk 2).• Het onderzoek naar het gevoerde financieel en materieelbeheer en de ten behoeve van

dat beheer bijgehouden administraties (hoofdstuk 3).• Het onderzoek naar de totstandkoming van de informatie over het gevoerde beleid en

de bedrijfsvoering (hoofdstuk 4).• Overige onderwerpen (hoofdstuk 5).• De controleverklaring (bijlage).

OpenbaarmakingDe ADR is de interne auditdienst van het Rijk. Onze rapporten zijn primair bestemd voor de opdrachtgevers met wie wij een opdracht zijn overeengekomen. De ministerraad heeft op 19 februari 2016 een beleidslijn vastgesteld voor het openbaar maken van rapporten van de ADR. Op grond daarvan zal de minister van Veiligheid en Justitie dit samenvattende audit-rapport op of na verantwoordingsdag, 17 mei 2017, plaatsen op de website van de Rijksoverheid(www.rijksoverheid.nl).2


2 Goedkeurende controleverklaring

InleidingAls eerste onderdeel van onze wettelijke taak controleren wij of de in het jaarverslag opgenomen financiële overzichten een getrouw beeld geven van de uitkomsten van debegrotings uitvoering en zijn opgesteld in overeenstemming met de geldende verslaggevings-voorschriften.3

De in 2016 gerealiseerde uitgaven bedroegen € 13.192 mln. (2015: € 12.718 mln.), de aangeganeverplichtingen € 13.251 mln. (2015: € 12.831 mln.) en de ontvangsten € 2.375 mln. (2015: € 1.377 mln.).Wij plannen en voeren onze controle zodanig uit dat wij een redelijke mate van zekerheid verkrijgen dat de financiële overzichten geen afwijkingen van materieel belang bevatten. Het materieel belang is bepalend voor de strekking van het oordeel in de controleverklaring. De materialiteit voor de verantwoordingsstaten en de saldibalans als geheel bedraagt 1% voorfouten en 3% voor onzekerheden. Wij zijn er bij onze controle van uitgegaan dat de voor -gestelde wijzigingen in de slotwet de goedkeuring van de wetgever zullen krijgen.

Voorts hebben wij onderzocht of de in het departementale jaarverslag opgenomen andereinformatie (buiten de financiële overzichten) niet strijdig is met de in het jaarverslag opgeno-men financiële overzichten en geen materiële afwijkingen bevat. Ook zijn wij nagegaan dat het jaarverslag alle voorgeschreven informatie bevat.

Hieronder gaan wij in op de belangrijkste bevindingen van onze controle.

2.1 Financiële overzichten akkoord bevondenWij hebben een goedkeurende controleverklaring afgegeven bij het jaarverslag 2016 van hetministerie van Veiligheid en Justitie (hoofdstuk VI). Deze verklaring is opgenomen als bijlage in dit rapport.

2.1.1 Toelichting financiële overzichten behoeft verbeteringDe financiële toelichtingen in het departementaal jaarverslag betreffen veelal de budgettaire(begrotings-)mutaties, die gericht zijn op de financiering van wijzigingen in het uitgavenpatroonvan het departement. De wijzigingen zelf ten opzichte van de (initiële)begroting alsmede deanalyse van de oorzaken daarvan, worden in veel mindere mate toegelicht. Logischerwijs dienen eerst deze verschillen inzichtelijk te worden gemaakt en verklaard, waarna volgtijdelijkdient te worden ingegaan op de wijze waarop hiervoor financiële dekking is verkregen. Hier ligtwat ons betreft een verbeterpunt.

2.2 Andere informatie in het departementale jaarverslagNaast de financiële overzichten omvat het departementale jaarverslag andere informatie, die bestaat uit: • Het deel algemeen (verzoek tot dechargeverlening en leeswijzer).• De in het beleidsverslag opgenomen informatie over het gevoerde beleid en de

bedrijfsvoering.• De voorgeschreven bijlagen.

Wij hebben de andere informatie gelezen en hebben op basis van onze kennis en ons begrip,verkregen vanuit de controle van de financiële overzichten of anderszins, overwogen of deandere informatie materiële afwijkingen bevat.4

Wij zijn van mening dat de andere informatie:• Niet strijdig is met de in het departementale jaarverslag opgenomen financiële overzichten

en geen materiële afwijkingen bevat.• Alle informatie bevat die is vereist op grond van de verslaggevingsvoorschriften die zijn

opgenomen in de Comptabiliteitswet 2001 en de daaruit voortvloeiende regelgeving, waaronder de Regeling rijksbegrotingsvoorschriften 2017.

2.3 Overschrijding van rapporteringstoleranties In de bedrijfsvoeringsparagraaf van het departementale jaarverslag rapporteert de ministerover de comptabele rechtmatigheid van de uitkomsten van de begrotingsuitvoering over 2016.In de bedrijfsvoeringsparagraaf zijn de rechtmatigheidsfouten en -onzekerheden gemeld diehebben geleid tot overschrijding van de voorgeschreven rapporteringstoleranties.5

2.4 Proces van periodieke afsluitingen financiële administratie vraagt impulsHet proces van periodieke afsluitingen kenmerkt zich door een weinig risicogerichte uitvoeringvan de werkzaamheden, een nog te beperkte diepgang van de uitgevoerde analyses en ontoereikende onderbouwingen van cijfers. Voorts is niet altijd na te gaan hoe een totaal isopgebouwd uit welke transacties en omgekeerd hoe de transactie is opgenomen in het totaal(audittrail). Wij beoordelen het positief dat er bij VenJ een zekere routine is ontstaan in het uitvoeren van 4-maandelijkse afsluitmomenten van de financiële administratie (tertaal -afsluitingen). Tegelijkertijd zien we het risico dat er steeds minder wordt nagedacht over het doel van deze afsluiting, namelijk te borgen dat de organisatie het hele jaar door kanbeschikken over managementinformatie die voldoende actueel en betrouwbaar is en dat waar nodig tijdig kan worden bijgestuurd.

2.5 Wet normering topinkomens goed uitgevoerd Wij hebben de opgave in het financieel jaarverslag op grond van de Wet Normering Topinkomens beoordeeld en geconstateerd dat deze volledig en juist is. Er is binnen het ministerie van Veiligheid en Justitie één topfunctionaris die meer dan de WNTnorm uitbetaald heeft gekregen. Deze overschrijding ten opzichte van de WNT norm dient conform de wet teruggevorderd te worden. De opgave van de topfunctionarissen bij de ZBO’s zonder rechtspersoonlijkheid en de opgavevan de niet-topfunctionarissen zijn volledig en er zijn geen ontslagvergoedingen uitbetaaldboven de norm van € 75.000, anders dan op basis van afgesproken sociaal beleid bij reorganisatie.

In de toelichting bij de WNT-verantwoording is uiteengezet dat volledige uitvoering van deopenbaarmakingsplicht op grond van artikel 4.2 van de WNT ten aanzien van betalingen aanmobiliteitsbureaus over de verslagjaren tot en met 2016 niet mogelijk is. In de BeleidsregelsWNT 2017 (Staatscourant 2016, nr. 70032) is bepaald dat in dat geval geen toezicht op de naleving van deze openbaarmakingsverplichting zal worden uitgeoefend en evenmin hand havend zal worden opgetreden bij niet-naleving van die verplichting. Daarom zijn debetreffende betalingen niet opgenomen in de WNT-verantwoording en zijn deze ook buiten de reikwijdte van onze controle gebleven.


3 Tempo verbeteringen financieel beheer is wisselend en op een aantal onderwerpen beperkt

InleidingAls tweede onderdeel van onze wettelijke taak onderzoeken wij of de geselecteerde processenvan financieel en materieelbeheer voldoen aan de normen uit de comptabele weten regel -geving.6 Op het hoogste niveau geldt dat het financieel en materieelbeheer moet voldoen aande eisen van rechtmatigheid, ordelijkheid, controleerbaarheid en overigens zo doelmatig mogelijk moet worden ingericht.

Bij de evaluatie van onze bevindingen hanteren wij drie categorieën:licht, gemiddeld en ernstig.Dit onderscheid geeft de impact van de bevinding weer op basis van gewicht en frequentie. Aldeze bevindingen verdienen aandacht, waarbij aan de ernstige bevindingen het grootste belangdient te worden toegekend.

Ten behoeve van het selecteren van de te onderzoeken processen van financieel en materieel-beheer hebben wij de bedrijfsrisico’s en de daaraan gekoppelde processen in kaart gebracht. Opbasis van het belang van deze processen en de in die processen onderkende risico’s hebben wijin 2016 de volgende processen voor nader onderzoek geselecteerd: het verantwoordingsproces(inclusief de tussentijdse afsluitingen), het inkoopproces, het subsidie- en bijdrageproces en hetbeheer van autorisaties en stamgegevens van het centrale financiële systeem. Daarnaast beoor-delen wij het personeel beheer, de informatiebeveiliging en de naleving van de meldplicht data-lekken. Voorts besteden wij aandacht aan het beheer van materieel en de kosten van forensi-sche zorg.

In dit hoofdstuk behandelen wij de belangrijkste uitkomsten van ons onderzoek naar hetgevoerde financieel en materieelbeheer en de ten behoeve van dat beheer bijgehouden admini-straties.

De zwaarte van de bevindingen in onderstaande figuur 2 hebben wij in de betreffende paragraafuitgewerkt. Dit geeft een scherpe duiding van de specifieke bevindingen, waar naar onzemening nog verbeteringen nodig zijn en helpt daarmee het departement in de sturing hierop.

3.1 Bevindingen lichter dan in 2015

Figuur 1: Bevindingen naar impact (in aantallen)

0

2

4

6

8

10

12

14

16

18

20

2016201520142013

licht gemiddeld ernstig

4

4

2

32

46


3.2 Wisselend tempo van verbeteringen beheer in 2016

Figuur 2: Bevindingen in het beheer 2016

Bevinding Verantwoordelijk 2013 2014 2015 2016organisatieonderdeel

Gebruik financiële informatiesystemen VenJ

Inkoopbeheer VenJ

Subsidie- en bijdragebeheer VenJ

Personeelsbeheer VenJ

Forensische zorg VenJ

Informatiebeveiliging VenJ

licht gemiddeld ernstig √ opgelost

Het financieel beheer en de bedrijfsvoering is in 2016, ten opzichte van 2015 verder verbeterd, zij het dat het tempo van de verbeteringen wisselend is. Uit de bevindingen in bovenstaandefiguur kunnen niet zonder meer conclusies worden getrokken over de mate van verbetering van het financieel beheer. Daarvoor zijn de gehanteerde begrippen te breed. De bevindingenhebben daarvoor een langdurig karakter, die in de loop der jaren ook van aard zijn veranderd. In het vervolg van dit hoofdstuk treft u daarom een nadere duiding van onze bevindingen.

3.3 Gebruik financiële informatiesystemen vraagt aandachtIn het gebruik van financiële informatiesystemen zien wij op meerdere punten verbeteringen. In dit verband noemen wij het centraal beleggen van het crediteurenstambeheer, het autori -satiebeheer en het formaliseren van de financiering van Agentschappen door middel vanopdrachtbrieven. De zwaarte van de bevinding wordt ingegeven door het niet uniform en transparant gebruik vanderdenrekeningen. Het financieel belang van deze rekeningen is materieel, gelet op de omvangvan de VenJ begroting. Een goed beheer is daarom van belang.

3.3.1 Autorisatie beheer op orde; aandacht nodig voor ‘vakantieregels’Het autorisatiebeheer is op orde. Wij hebben onderzoek verricht naar het autorisatiebeheer van de belangrijkste financiële systemen, te weten: Leonardo, Exact bij het Centraal JustitieelIncasso Bureau (CJIB) en SAP bij de IND. Vooral het volgen van toegekende autorisaties en hettijdig opschonen hiervan in Leonardo zijn nog aandachtspunten. Ook hebben wij geconstateerddat regelmatig gebruik wordt gemaakt van het (tijdelijk) overdragen van systeemrechten aanandere medewerkers (‘vakantieregels’) met betrekking tot het gebruik van Leonardo. Dit heeftbij Leonardo in sommige gevallen geleid tot het doorbreken van functiescheidingen. Uit aan -vullend onderzoek door DFEZ is overigens gebleken dat zich hierbij geen onrechtmatighedenhebben voor gedaan, omdat de betrokken medewerkers hier integer mee zijn omgegaan.

Wij adviseren DFEZ te monitoren op de (tijdelijke) overdracht van systeemrechten en na tegaan of het systeemtechnisch mogelijk is hieruit voortvloeiende functiedoorbrekingen te voorkomen.

3.3.2 Crediteuren stambeheer centraal ingericht en daarmee goed belegdIn het samenvattend auditrapport van 2015 adviseerden wij om het crediteuren stambeheermet prioriteit centraal te beleggen. Het ministerie heeft dit in 2016 gerealiseerd. Het beheervoor het gehele ministerie wordt vanaf deze datum gevoerd door DJI en het Openbaar Ministerie (OM). Daarmee zijn de kwetsbaarheden inzake fraudegevoeligheid en de risico’s op mogelijke foutieve betalingen beheersbaar gemaakt.



3.3.3 Financiering Agentschappen geformaliseerd met opdrachtbrievenIn het samenvattend auditrapport 2015 hebben wij de directoraten-generaal (DG’s) geadviseerdde middelen aan de agentschappen formeel bij brief toe te kennen en de comptabele regelsgoed toe te passen. Over 2016 is nog niet gewerkt met opdrachtbrieven. Vanaf 2017 zijn de eerste opdrachtbrieven verstrekt aan de taakorganisaties. De jaarplannen 2017 van de DG’s zijnde basis voor deze opdrachten. Hiermee zijn de DG’s begonnen invulling te geven aan goed enduidelijk opdrachtgeverschap.

3.3.4 Administratief beheer verbeterd, met aandachtspuntenHet gebruik van de juiste kostensoorten in de financiële administratie is ten opzichte van voorgaande jaren verbeterd. Daarmee is de betrouwbaarheid van tussentijdse informatie inzakede begrotingsbelasting versterkt, hetgeen van belang is voor de sturing op de realisatie van debegroting.Tegelijkertijd zijn er aandachtspunten met betrekking tot de uitvoering van de administratievebasisprocessen zoals het beperken van het aantal handmatige boekingen, het zorgen voor actuele competentietabellen en betere toelichtingen met onderbouwende stukken bij (memoriaal)boekingen.

Wij adviseren DFEZ toe te zien op de kwaliteit van primaire vastleggingen en de onder -bouwingen daarvan

3.3.5 Ontbreken van nadere regelgeving leidt tot gebrekkig inzicht in derdenrekeningen Vanaf 2015 merken wij op dat het gebruik van derdenrekeningen niet uniform en niet transparant is. Het ontbreekt aan heldere uitgangspunten voor het gebruik van deze rekeningen. Beheerders van derdenrekeningen hebben zelf de vrijheid hoe een derdenrekeningte gebruiken.

Op derdenrekeningen worden gelden verantwoord die moeten worden afgewikkeld met anderepartijen en die dus niet ten laste of ten gunste van de begroting van VenJ komen. Het risicobestaat uit het onterecht niet belasten van de begroting. Ultimo 2016 is de stand op de gezamenlijke derdenrekening circa € 650 mln. Wij missen als kaderstelling een heldere normover de vraag wanneer een project of programma is afgerond en tot financiële afwikkeling moetkomen. Daarnaast vindt er onvoldoende tussentijdse analyse plaats gericht op de juistheid, volledigheid en tijdigheid van mutaties en de volledigheid en juistheid van de saldi van de derdenrekeningen. Belangrijke hulpmiddelen hierbij kunnen zijn prognoses en tussentijdse verantwoordingen van door derden gefinancierde projecten, programma’s en subsidies.Momenteel wordt in geval van analyses veelal gebruik gemaakt van overzichten die buiten Leonardo om worden bijgehouden.

Door onbekendheid met de regelgeving bleken de verplichtingen en voorschotten op derden -rekeningen niet of niet volledig vastgelegd, met als gevolg veel herstelacties ultimo boekjaar.

Wij adviseren DFEZ om per gebruiksdoel van de derdenrekeningen eenduidige verantwoor-dingsprincipes vast te stellen en helderheid te verschaffen over de wijze waarop derden -rekeningen moeten worden geanalyseerd en welke informatie hierbij dient te worden gebruikt.Het gebruik van eigen (handmatige) overzichten en registraties zou zo veel als mogelijk moetenworden teruggedrongen.

3.4 Inkoopbeheer in opzet toereikend, werking blijft op onderdelen nog achterHet inkoopbeheer binnen VenJ is structureel op orde gebracht en daarmee in opzet toereikendingericht. De kwalificering van onze bevinding wordt ingegeven doordat de werking van ditbeheer op de volgende punten achterblijft: • De wisselende kwaliteit van de totstandkoming van de rechtmatigheidsrapportages.• Inhuurcontracten voor ICT die niet altijd rechtmatig zijn verlengd.• Hoewel meer diensten zich hebben aangesloten bij de IUC, heeft dit nog niet geleid tot een

daling van de onrechtmatigheden bij deze diensten.


Daarnaast is in 2016 sprake van onrechtmatigheden door specifieke casuïstiek: • De huidige werkwijze met betrekking tot de inhuur van tolken blijkt na uitgebreid en zorg -

vuldig onderzoek niet meer te voldoen aan de in 2016 aangepaste aanbestedingsregels. • Als onderdeel van de brede bedrijfsvoeringsproblematiek bij het Nederlands Forensisch

Instituut (NFI) zijn de materiële uitgaven van deze dienst voor een substantieel deel onrechtmatig.

• De toepassing van het Dynamisch Aankoop Systeem (DAS) past niet geheel binnen de aanbestedingswetgeving.

3.4.1 Inkoopbeheer DJI op orde gebrachtDJI heeft de afgelopen jaren een totaalpakket aan maatregelen getroffen om het inkoopbeheerstructureel te verbeteren. Een specifieke maatregel in 2016 is de ‘taskforce beïnvloedbareonrechtmatigheden’ die het bedrag aan onrechtmatigheden actief omlaag brengt door tijdigherstelacties uit te voeren. Over 2016 zijn naar aanleiding hiervan de inkoopdossiers aangevuld.Deze acties hebben bovendien geleid tot structurele verbeteringen in het inkoopbeheer en hetborgen van kennis bij medewerkers. Het stelsel van beheersmaatregelen van het IUC DJI is vol-doende effectief om onrechtmatigheden te voorkomen dan wel tijdig te signaleren. Het bedragaan onrechtmatige inkopen bij DJI, goed voor een inkoopvolume van circa € 350 mln., daaltsinds 2015.

3.4.2 Kwaliteit totstandkoming rechtmatigheidsrapportages wisselendDe DI&I heeft in 2016 een project opgestart met als doel dat alle onderdelen van VenJ op gelijkewijze rapporteren over de kwaliteit van het inkoopproces, zodanig dat zowel voor de internebeheersing als voor de externe toetsing de juiste informatie beschikbaar is. Aanleiding hiervoorwas dat alle diensten uiteenlopende definities en werkwijzen hanteren bij het verantwoordenvan onrechtmatigheden aan DI&I. Daardoor hebben de door DI&I geconsolideerde periodiekerapportages aan de BR inzake onrechtmatigheden een bepaalde mate van onzekerheid. De ADR is positief over de opzet van de nieuwe werkwijze. Deze moet in 2017 het gewensteeffect krijgen.

3.4.3 Verlengingen (ICT-) inhuurcontracten leidt tot onrechtmatighedenWij troffen met name bij het Bestuursdepartement, de Justitiële Informatie Dienst (Justid) enhet Nederlands Forensisch Instituut (NFI) inhuurcontracten aan die verlengd waren zonder datdeze optie in de aanbesteding en in het initiële contract was opgenomen. Daardoor is feitelijksprake van een nieuw aan te besteden opdracht. Overeenkomsten worden soms ten onrechte verlengd na afloop van de looptijd van de betref-fende (raam)overeenkomst, dan wel nadat het maximaal aantal overeengekomen verlengingenreeds is bereikt. Beide varianten komen in 2016 vooral voor bij de verlengingen van inhuur -contracten met ICT-brokers. Naar aanleiding van de eerste signalen dat het verlengen van bestaande contracten mogelijkniet rechtmatig zou zijn, heeft het IUC VenJ een diepgaand onderzoek uitgevoerd. Dit heeftgeleid tot een kwantificering van de hiermee samenhangende financiële onrechtmatigheid vancirca € 7 mln.

Wij adviseren DI&I en de IUC’s de verlengingen van inhuurcontracten in het lopende projectvan het verbeteren van de kwaliteit van de rechtmatigheidsrapportages expliciet mee te nemen.Wij adviseren het lijnmanagement van VenJ om periodiek te evalueren of de inzet van externeinhuur op projecten nog voldoende effectief is. Verder adviseren wij de IUC’s om bij het verlengen van overeenkomsten in overleg met debetrokken projectleider te bezien of verlenging nog mogelijk is in relatie tot het onderliggendeprojectplan.

3.4.4 Problemen bij overgang naar IUC, onrechtmatigheden dalen niet In 2016 zijn het OM, de Raad voor de Kinderbescherming (RvdK) en het NFI aangesloten bij hetIUC van VenJ. Daarmee is de inkoopfunctie binnen het ministerie verder gecentraliseerd. Dezecentralisatie heeft bij het OM en het NFI in het eerste jaar vooralsnog niet geleid tot een dalingvan het aantal inkoop onrechtmatigheden. Dat wordt veroorzaakt door verschillende verwach-


tingen bij de betrokken partijen over de uitvoering van de gemaakte afspraken. Bij de RvdK iswel een daling zichtbaar.Overigens blijven dienstonderdelen te allen tijde zelf verantwoordelijk voor de eigen inkoop,ook indien zij gebruik maken van de diensten van de IUC’s. Van belang is dat dit niet leidt toteen zekere mate van vrijblijvendheid als het gaat om inschakelen van de IUC’s.

3.4.5 Stijging onrechtmatigheden door specifieke casuïstiek bij aanbestedingen Als gevolg van meerdere specifieke omstandigheden, is het aantal onrechtmatigheden bij VenJover 2016 toegenomen. Dit zijn de inhuur van tolken, de toepassing van een Dynamisch Aankoop Systeem (DAS) en de werkwijze bij het NFI. Deze worden hieronder nader toegelicht.

Implementatie nieuwe wijze aanbesteden van tolkdiensten in gang gezetDe huidige werkwijze met betrekking tot de inhuur van tolken door IND, OM en NP (waarvan de kosten rechtstreeks worden verantwoord in de begroting van VenJ) blijkt na uitgebreid enzorgvuldig onderzoek niet meer te voldoen aan de in 2016 aangepaste aanbestedingsregels. De departementale leiding heeft, op basis van een door de ABD Topconsult uitgevoerd onder-zoek het initiatief genomen om een passend aanbestedingstraject in gang te zetten. Daartoe iseen transitieprogramma opgestart dat naar verwachting in 2018 wordt voltooid.

Toepassing Dynamisch Aankoop Systeem (DAS) leidt tot onrechtmatighedenVenJ heeft in er 2016 bewust voor gekozen de inhuur van ICT personeel organisatie- en beleids-advies te laten verlopen via een Dynamisch Aankoop Systeem (DAS). Belangrijke overwegingenwelke ten grondslag liggen aan het inzetten van het DAS zijn:• Dat het goed inspeelt op de marktordening; het biedt alle marktpartijen, inclusief zzp’ers,

direct toegang tot overheidsopdrachten.• Dat het een transparant instrument is waarmee de aanbestedingsprocedure voor alle

potentiële aanbieders van diensten volstrekt helder is. • Dat het daarmee alle aanbieders van diensten gelijke kansen biedt.• Dat het kosteneffectief is; MKB’ers/ZZP’ers bieden hun diensten aan tegen een lager tarief.

Dit systeem is binnen VenJ juridisch getoetst, als instrument geschikt bevonden om tot eenrechtmatige aanbesteding van de inhuur van ICT personeel en personeel voor organisatieadvieste komen en zorgvuldig voorbereid in de markt gezet.

De ADR is van mening, nadat zij hiervoor advies heeft ingewonnen bij een externe deskundige,dat de systematiek van het DAS op één punt niet voldoet aan de aanbestedingswet. VenJ houdtals onderdeel van de aanbestedingsprocedure interviews met de top 3 (of 5) aanbieders. De ADR stelt zich op het standpunt dat mondelinge communicatie met aanbieders geen deelmag uitmaken van deze procedure. Het houden van een verificatiegesprek, na afloop van dezeprocedure, mag alléén plaatsvinden met de aanbieder die in de aanbestedingsprocedure hethoogste aantal punten scoort.

3.4.6 Inkoop NFI grotendeels onrechtmatigDe materiële uitgaven van NFI zijn voor een substantieel deel onrechtmatig. In 2016 heeft hetNFI tekortkomingen in de bedrijfsvoering geconstateerd en gemeld. Deze tekortkomingenbevinden zich mede op het inkoopproces. Naar aanleiding van de uitkomsten van een spendanalyse heeft het NFI een integrale controleuitgevoerd op de in 2016 betaalde facturen. Op basis hiervan rapporteert het NFI een bedragvan € 16,4 mln. als onrechtmatige en een bedrag van € 1,3 mln. als onzekere uitgaven.Het NFI heeft een verbeterprogramma op de bedrijfsvoering opgestart. Onderdeel hiervan is het in samenwerking met het IUC VenJ doorvoeren van verbeteringen in het inkoopproces.

Wij adviseren het NFI dit programma met prioriteit uit te voeren.


3.5 Subside- en bijdrage beheer vragen om duurzaamheid

3.5.1 Voorafgaand toezicht FEZ op subsidiebeheer werkt maar leidt niet tot structurele verbetering DFEZ heeft tot medio 2016 steekproefswijs subsidiedossiers gecontroleerd en geanalyseerd op tekortkomingen. De DG’en hebben deze zoveel als mogelijk hersteld. Ook nadien bleek de kwaliteit van de dossiers en uitgevoerde risicoanalyses niet voldoende op orde. Mede daaromvoert DFEZ met een multidisiplinair team (juridisch, financieel, praktijkexpertise) vanaf 1 november 2016 voorafgaand toezicht uit op het subsidiebeheer. Dit bestaat uit het beoordelenvan de concept brieven, de volledigheid van de hierbij behorende onderbouwingen en de volledigheid van de onderliggende dossiers.Wij zijn van mening dat het effect hiervan op de kwaliteit van het subsidiebeheer werkt, maarniet duurzaam is. De reden hiervoor is dat het aantal tekortkomingen hoog blijft en de uitvoe-ring over veel medewerkers is gespreid. Dit laatste heeft als consequentie dat medewerkersweinig specifieke kennis en ervaring opdoen en dat daarmee het tempo van verbeteringen laagis. Daarnaast vraagt de systematiek van voorafgaand toezicht veel capaciteit.De dossiers van de Dienst Terugkeer en Vertrek (DT&V) zijn van een goede kwaliteit. Hierbijspeelt mee dat het DT&V met een beperkt aantal medewerkers een aantal regelingen uitvoerten deze medewerkers dus sneller ervaring opbouwen.

Wij adviseren DFEZ om te verkennen of een zekere mate van centralisatie van het subsidie -beheer kan bijdragen aan de vakkundige ondersteuning van de lijnorganisatie. Deze gedachtekan naar onze mening ook passen in de ontwikkeling naar een tweelaags controlmodel.

3.5.2 Toezichtcylus bijdragebeheer niet sluitendIn het bijdragebeheer zien wij verbeteringen. Het aantal door de ADR gecorrigeerde onjuisteboekingen is afgenomen, risico’s zijn benoemd en het beleid inzake het vormen van vermogenen voorzieningen is voorbereid.De zwaarte van de bevinding wordt ingegeven door de volgende verbeterpunten:• De cyclus inzake het toezicht bijdragebeheer is bij de DG’en nog onvoldoende ingebed.• Het verbinden van concrete beheersmaatregelen aan risicoanalyses is nog onvoldoende

uitgewerkt.• Accountantsprotocollen kennen nog achterstalling onderhoud.• De toepassing van het door DFEZ gehanteerde standenregister heeft als controlemiddel

onvoldoende gewerkt.

3.5.3 Cyclus inzake toezicht bijdragebeheer: risicoanalyse nog niet goed ingebed Het financieel-economisch toezicht op de door VenJ bekostigde instellingen vormt een cyclischproces waarin risicoanalyses een belangrijk element vormen. Het actualiseren van risicoanalysesheeft nog geen vaste plaats gekregen in de planning & controlcyclus. Voor de meeste analysesgeldt dat deze pas na de daarmee samenhangende bijdragetoekenning 2017 is uitgevoerd. Ineen vijftal gevallen moet dit zelfs nog gebeuren. Het gevolg hiervan is dat de uitkomst van dezeanalyses niet aan de basis staat van de begrotingsaanschrijving en/of het vaststellen van de aande subsidieontvanger te stellen eisen inzake verantwoording en controle.Ook de doorvertaling van deze analyses naar benodigde aanpassingen in de betreffende wet-en regelgeving, informatie- en accountantsprotocollen is nog onvoldoende zichtbaar, terwijl erwel nadrukkelijk aanleiding voor is.

Wij adviseren DFEZ om er bij de bijdrageverlenende onderdelen op aan te dringen dat zij de risicoanalyse nadrukkelijker inbedden in de eigen planning & controlcyclus en een kritischerehouding aannemen voor wat betreft de actualiteit en kwaliteit van het bijdragearrangement.

3.5.4 Risicoanalyses opgesteld, uitwerking naar beheersmaatregelen onvoldoendeDe risicoanalyses voor de bijdragen 2016 zijn afgerond. De koppeling van concrete beheers-maatregelen aan de onderkende risico’s heeft in onvoldoende mate plaatsgevonden.

Wij adviseren DFEZ om in samenwerking met de directoraten-generaal verder te werken aande doorvertaling van de risicoanalyse naar concrete beheersmaatregelen.


3.5.5 Achterstallig onderhoud accountantsprotocollenDe gewenste zekerheid over de besteding van subsidies wordt niet altijd afgedekt door accountantscontrole. In ons rapport over 2015 hebben wij aangegeven dat de accountants -protocollen achterstallig onderhoud vertonen. Deze situatie is ook na het in werking treden van de voorschriften van DFEZ hierover nog vrijwel ongewijzigd. De protocollen geven in veel gevallen onvoldoende richting aan de werkzaamheden van deaccountant. De aandachtspunten voor de accountant sluiten veelal niet (meer) aan op de doorbeleidsdirecties geïnventariseerde risico’s en opdrachtverlening. Ook wordt in de meeste protocollen verwezen naar regelgeving die inmiddels niet meer bestaat. Door het laatste staatniet zonder meer vast of de accountant heeft vastgesteld dat de ontvangende organisatie deactuele weten regelgeving heeft nageleefd. DFEZ heeft aangegeven in 2017 extra capaciteit vrij te zullen maken voor de inhoudelijke ondersteuning van de bijdrageverlenende directies. Een planning voor het actualiseren van de accountantsprotocollen is in voorbereiding. Ook de ADR heeft toegezegd een bijdrage televeren.De bijdrage aan de Stichting Verslavingsreclassering GGZ is ook voor 2015 als onzeker aan -gemerkt (€ 65 mln.), omdat de naleving van de van belang zijnde wet en regelgeving niet doormiddel van de controleverklaring of anderszins is aangetoond. Met de Stichting Verslavings -reclassering GGZ en de Stichting Leger des Heils Jeugdbescherming & Reclassering zijn voor de verantwoording 2016 afspraken gemaakt over het verstrekken van een controleverklaringmet een rechtmatigheidsoordeel.

3.5.6 Aantal onjuiste boekingen duidelijk afgenomenHet aantal door de ADR geconstateerde onvolkomenheden bij het administreren van toe -gekende en afgerekende bijdragen is duidelijk afgenomen, zowel in aantallen als bedrag. De belangrijkste fout betreft het niet afboeken van het voorschot 2015 aan de Stichting Verslavingsreclassering GGZ (DGSenB) (circa € 65 mln.). Verder bleken de door de DT&V vanaf de derdenrekening betaalde voorschotten (circa € 6,8 mln.) niet in de voorschotten -administratie te zijn opgenomen.

DFEZ heeft accuratessefouten voor een bedrag van circa € 72 mln. niet gedetecteerd met behulpvan het door hen toegepaste standenregister.

3.5.7 Beleid voor vorming van vermogen en voorzieningen bijdragen in voorbereidingIn 2015 hebben wij geconstateerd dat ontvangers van bijdragen in toenemende mate en op wisselende wijze reserves en voorzieningen vormen en dat binnen de weten regelgeving vanVenJ niet altijd adequate bepalingen aanwezig zijn om hier effectief tegen op te treden. DFEZ heeft in de tweede helft van 2016 een kader opgesteld onder welke voorwaarden vermogensvorming is toegestaan en tot welke grenzen. Wij hebben DFEZ geadviseerd om ditkader op een aantal aspecten verder aan te vullen, maar vooral ook de bijdragearrangemententegen het licht te houden en de hierin voorkomende zwakke punten aan te pakken.

3.6 Fundament personeelsbeheer is ingericht, de uitvoering vraagt blijvend aandachtBij een grote personeel georiënteerde organisatie als het ministerie van VenJ (personele uitgaven circa € 2 mld.) is een goed personeelbeheer belangrijk. Het ministerie heeft in de afgelopen jaren zodanige maatregelen getroffen op zowel concern -niveau als bij de dienstonderdelen dat het personeelsbeheer in opzet aan de eisen voldoet. Demaatregelen betroffen onder meer de inrichting van een interne controlesysteem binnen hetministerie, de uitvoering van diverse controleplannen op deelonderwerpen en de inrichting van‘IC over de keten’ bij P-Direkt. Wij zijn dan ook van mening dat sprake is van een in opzet goedestructuur. Dat neemt niet weg dat in de uitvoering procedures nog niet goed worden nageleefden dat dit in een aantal gevallen ook leidt tot financiële fouten en onzekerheden. DP&O en ADRhebben een gedeeld beeld van de kwaliteit van het personeelsbeheer binnen het departement. Uit onze analyse blijkt dat het merendeel van de bevindingen veroorzaakt is bij de invoer vanmutaties in het systeem P-Direkt door het ministerie (en niet in de verwerking bij P-Direkt).

Deze constatering onderstreept het belang dat DP&O zowel sturend, controlerend en corrigerend toeziet op de voortgang en uitvoering van de door de sectoren opgestelde verbeterplannen. DP&O heeft mede om die reden haar capaciteit voor de controle op de naleving van het personeelsbeheer vergroot.

In 2016 is het aantal mutaties met terugwerkende kracht sterk afgenomen. De overige bevindingen in het personeelsbeheer bij de dienstonderdelen die wij hadden over 2015, doenzich nog steeds voor en zijn op bepaalde onderwerpen zelfs toegenomen. Bij circa 30% van dedoor ons onderzochte transacties is in meer of mindere mate sprake van procedurefouten. Meer dan in 2015 het geval was, heeft dit geleid tot fouten en onzekerheden met financiële consequenties.

Alhoewel de dienstonderdelen met gebruik van de door het departement vastgestelde norm inhet Basis controleplan in opzet de nodige vooruitgang hebben geboekt, is dat nog onvoldoendevertaald in de uitvoering van het personele beheer.• Bij 5 van de door ons gecontroleerde posten hebben wij incidentele fouten vastgesteld met

een financiële consequentie. • Bij 23 van de door ons gecontroleerde posten waren de personeeldossiers niet volledig.

Voorbeelden van belangrijke omissies zijn dat bij 8 van deze posten na 3 maanden nogsteeds de eed en belofte ontbrak, en ontslagbesluiten die pas 1 ½ tot 3 maanden na de ontslagdatum worden opgesteld.

• DP&O heeft extra inspanning ingezet op het juist toepassen van Artikel 8 mutaties (extrasalaristrede(n) boven de salarisschaal) en het corrigeren daarvan. Desalniettemin blijft dit een hardnekkig probleem en ontbreekt het ook bij nieuwe toepassingen aan een juistemotivering in het personeelsdossier.

• Onzorgvuldige uitgevoerde personeelsprocessen hebben geleid tot 5 dubbele dienst -verbanden met een financiële consequentie.

Interne controle over de KetenPer 1 januari 2016 heeft VenJ een belangrijk deel van de verbijzonderde interne controles op depersonele processen overgedragen aan P-Direkt. Bij P-Direkt is door diverse oorzaken in de loopvan 2016 vertraging opgetreden in de uitvoering van deze interne controles. De consequentiehiervan is dat VenJ in 2016 in een laat stadium werd geïnformeerd over de kwaliteit van deinterne beheersing op de personele processen en dat niet tijdig kon worden bijgestuurd als erafwijkingen in de personele processen waren. P-Direkt heeft in het najaar van 2016 actie onder-nomen en de achterstand is ultimo 2016 ingelopen. De controles tot en met september 2016waren eind december uitgevoerd. Dit is uiteindelijk conform de met het departement gemaakteafspraken.De kwaliteit van de door P-Direkt uitgevoerde controles is voldoende, tegelijkertijd zijn er verbeterpunten. P-Direkt is hierover geïnformeerd en zal betreffende punten bespreken metDP&O in het rijksbrede overleg.

Ondanks de uitbesteding van de IC over de Keten blijft het departement zelf eindverantwoorde-lijk voor het beheer van de personele uitgaven. DP&O heeft de interne controlerapportages van P-direct geanalyseerd en deze uitgezet naar de dienst onderdelen. Uit de, door de ADR gevraagde terugkoppeling bij deze onderdelen isgebleken dat de zij de bevindingen in deze rapportages hebben getoetst en waar nodig verbeteracties hebben uitgezet.



3.7 Kosten Forensische zorg particuliere zorgaanbieders beheersbaar, DBBC administratie Rijksinstellingen niet op orde

3.7.1 Kosten forensische zorg van particuliere zorgaanbieders beheersbaar gemaaktMet de bekostiging van deze forensische zorg is circa €550 mln. gemoeid. Daarin is niet begrepen de kosten van de Rijks Psychiatrische Centra. In 2016 zijn er binnen de keten forensisch zorg onder meer de volgende maatregelen getroffenom deze kosten beheersbaar te maken:• De DJI heeft het controleprotocol Omzetverantwoording Diagnose Behandel en Beveiligings

Combinaties (DBBC) aangepast in afstemming met de sectorcommissie voor de zorg (Coziek)van de Nederlandse Beroepsorganisatie van Accountants (NBA) en de ADR. Dit heeft geleidtot goedkeurende controleverklaringen bij de DBBC verantwoordingen bij alle particulierezorgaanbieders.

• De drie reclasseringsorganisaties (3RO) hebben een verbeterplan ‘realtime registreren’ opgesteld om de primaire registratie in het systeem Informatievoorziening Forensische Zorg(IFZO) te verbeteren.

• De DJI gestart met het uitvoeren van materiële en formele controles op de facturering van de zorgaanbieders.

Wij adviseren de DGSenB om de implementatie van het verbeterplan van de 3RO te monitorenen de effectiviteit hiervan te (laten) toetsen.

3.7.2 DBBC-administratie Rijks Psychiatrische Centra nog niet op ordeDe interne beheersing inzake de DBBC-administratie van de Rijks Psychiatrische Centra was in 2016 nog niet op orde. Het ontbreekt aan actuele en uniforme procesbeschrijvingen en werk-instructies, waardoor verschillend wordt omgaan met tijdregistratie van declareerbare zorg. De interne controles vinden niet gestructureerd plaats en controlebevindingen worden nietgedocumenteerd. Ook is de verantwoordelijkheidsverdeling tussen de verschillende partnersbinnen de forensische zorg niet helder.Door het ontbreken van koppelingen tussen systemen vindt dubbele invoer van gegevensplaats, zijn er veel handmatige handelingen om het onderhanden werk te bepalen en is hetnodig te werken met workarounds.

3.8 Kansen voor verdere verbetering informatiebeveiliging en privacywetgeving in verandertraject VenJIn 2016 zijn enkele beheersmatige verbeteringen doorgevoerd op centraal niveau voor de Informatiebeveiliging en privacy wetgeving. Als wij deze onderwerpen beschouwen als een proces (met een plan-do-check en act fase) die in continuïteit verbetering vraagt, signaleren wijdat op centraal niveau meer aandacht moet zijn voor de check en act-fase, zoals analyse op deaangeleverde kwaliteit van informatie van de onderbouwing van de ICV-BIR en risicokaart. Dit is passend binnen het ingezette verandertraject bij VenJ ten aanzien van de inrichting van deICT-controlfunctie.

De ICT-controlfunctie van VenJ zal in het tweelaags controlmodel dichter bij de organisatie -onderdelen komen te staan. Gegeven deze ontwikkeling, en door het toenemende belang van ICT binnen VenJ, zal dit vermoedelijk leiden tot een verzwaring van de DI&I portefeuillevoor de rol als concern I-controller. Daarvoor zou naar onze mening de personele capaciteit uitgebreid moeten worden.

3.8.1 Informatiebeveiliging vraagt op onderdelen meer aandacht op centraal niveauWij hebben rijksbreed onderzoek gedaan naar de implementatie van vijf thema’s van de Baseline Informatiebeveiliging Rijksdienst (BIR)7, aangevuld met de sturing op centraal niveau. Perministerie zijn twee kritieke systemen onderzocht. Bij VenJ is het Centraal Digitaal Depot (CDD)dit jaar geselecteerd en is een follow-up onderzoek uitgevoerd op de bevindingen uit 2015 op‘Mijn NFI’. Ten slotte hebben wij de totstandkoming van de ‘In Control’-Verklaring BIR op concern niveau op hoofdlijnen onderzocht. Wij wijzen erop dat de bevindingen gezien het grootaantal kritieke systemen bij VenJ slechts een beperkt beeld geven van de totale implementatievan de BIR.

Sturing op informatiebeveiligingVenJ is als organisatie federatief ingericht. Dit betekent voor informatiebeveiliging dat alleen op decentraal niveau, voor de eigen organisatie, inzicht bestaat in de stand van zaken van de informatiebeveiliging op maatregelniveau. Op basis van de informatie afkomstig van uitvoeringsorganisaties en DG-control wordt op concern niveau het inzicht in risico’s voorketens en kritieke informatiesystemen en voortgang implementatie BIR verkregen.

Naar de stand van december 2016 heeft VenJ 84 systemen als kritiek in de risicokaart aange-merkt. Het aanmerken van een informatiesysteem als kritiek is afhankelijk van de interpretatievan de verantwoordelijke lijnmanager. De kwaliteit van de risicokaart wordt daarmee bepaalddoor de input van deze manager. Een analyse of weging van deze input zou de kwaliteit kunnenverhogen. Deze taak sluit aan bij het ingezette verandertraject bij VenJ ten aanzien van deinrichting van de ICT-controlfunctie.

DI&I geeft in een rapportage ultimo 2016 aan dat van de geplande negen peer reviews, er ééngereed is. Volgens DI&I zullen vijf peerreviews, met enige vertraging in het eerste kwartaal 2017worden afgerond. De aanvrager van de peer review bepaalt welke uitkomsten binnen VenJ metandere dienstonderdelen worden gedeeld. Een breed leereffect voor VenJ als geheel is hiermeeafhankelijk van de beslissing van de aanvrager.

Onderzoek systemen in opdracht van CIO RijkDe resultaten van het BIR onderzoek geven aan dat door grote inspanningen bij de dienstonder-delen de implementatie verder is gevorderd. Voor verbeterpunten worden activiteiten ingezetdie betrekkingen hebben op het uitvoeren van periodieke pentesten op de ICT-infrastructuur en het analyseren van logging en monitoring. Momenteel wordt er binnen VenJ een SecurityIncident and Event Monitoring (SIEM) tool ingericht die, mits afgestemd op de behoefte van het dienstonderdeel, een deel van verbeterpunten kan wegnemen. Daarnaast is naar vorengekomen dat de integraal manager, die verantwoordelijk is voor de informatiebeveiliging,afhankelijk is van dienstverlening buiten zijn invloedssfeer, zoals bijvoorbeeld het gebruik vanJustitienet dat voor het departement centraal wordt ingekocht.

Voor de volledigheid merken wij op dat, naast de hierboven genoemde systemen, de ADRonderzoeken uitvoert naar IT-systemen waarbij beveiliging veelal een belangrijk aandachtspuntis.

‘In control’-verklaring Baseline Informatiebeveiliging RijksdienstDe departementale In Control Verklaring (ICV) BIR is ‘bottum-up’ opgebouwd en gebaseerd op de deelverklaringen van de afzonderlijke DG’en, die vervolgens mede gebaseerd zijn op dedeelverklaringen van de daaronder ressorterende organisatieonderdelen. De CIO-office van VenJ heeft, mede op basis van onze aanbeveling vorig jaar, een aantalbeheersmatige aanpassingen doorgevoerd ten opzichte van 2015. Dit betrof ondermeer hetopstellen van een checklist voor de dienstonderdelen om te komen tot een zo uniform moge-lijke invulling. Dit jaar is voor het eerst op centraal niveau een wegingsessie georganiseerd en ishet proces met bijbehorende uitkomsten vastgelegd. Door deze beheersmaatregelen is de uni-formiteit en transparantie van de opbouw van ICV verder verbeterd. Wij zullen steekproefsge-wijs de onderbouwing voor de ICV’s van de VenJ organisatie-onderdelen onderzoeken. Hieroverrapporteren wij in het interim-rapport van 2017.

3.8.2 Aandacht nodig voor privacywetgevingOp 1 januari 2016 is de uitbreiding op de Wet Bescherming Persoonsgegevens (Wbp), de Meldplicht Datalekken (MD) in werking getreden. Deze meldplicht houdt in dat bedrijven, over-heden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aande Autoriteit Persoonsgegevens (AP) en in bepaalde gevallen ook aan de betrokkene van wiepersoonsgegevens zijn gelekt. Om aan de MD te voldoen dient een stelsel van beheersmaat -regelen te zijn ingericht. In het najaar van 2016 hebben wij zowel op concern niveau als bij tweedienstonderdelen een onderzoek verricht naar de inrichting en implementatie van het stelselrondom de MD. De uitkomsten hiervan geven wij hieronder kort weer.



Voor het goed uitvoeren van de WMD is het van belang dat er een actueel inzicht bestaat in deverwerkingen van persoonsgegevens. Voor die verwerking waarvoor de decentrale onderdelenzelf verantwoordelijke zijn is dit inzicht aanwezig. Voor de verwerkingen waarin men de rol van bewerker heeft is dit inzicht niet altijd helder. Dit is van belang in verband met de keten -aansprakelijkheid. DI&I heeft een addendum opgesteld inzake privacy gerelateerde regelgevingen intern beschikbaar gesteld om, waar nodig de lopende dienstverleningscontracten aan tepassen aan de MD.

Op centraal niveau is de risicokaart uitgebreid. Deze bevat nu ook informatie over welke kritiekesystemen (privacygevoelige) persoonsgegevens verwerken. Data-verzamelingen met persoons-gegevens buiten kritische systemen zijn hierin niet opgenomen.

De bestaande VenJ-brede procedure voor de afhandeling van beveiligingsincidenten is aan -gevuld met aspecten uit de MD. Verder is er een handreiking opgesteld waarin een generiekproces voor het afhandelen van datalekken en ook een aantal scenario’s voor afhandeling zijnopgenomen. De verantwoordelijkheden voor de uitvoering van dit proces zijn zowel centraal alsdecentraal duidelijk belegd. Deze procedures zijn op decentraal niveau organisatiespecifiekgemaakt. Wij vragen aandacht voor het duidelijk beleggen van de verantwoordelijkheid metbetrekking tot het interne toezicht op de naleving.

Op centraal niveau is de impact van de nieuwe Europese Algemene Verordening Gegevens -bescherming (AVG) (deze moet uiterlijk 25 mei 2018 zijn geïmplementeerd) onderzocht bij zevenVenJ onderdelen. De uitkomsten van dit onderzoek zijn in december 2016 besproken in de CIORaad en worden als volgt opgevolgd: op centraal niveau zal de AVG implementatie gecoördi-neerd worden. De SBR heeft de VenJ onderdelen opgeroepen om een Privacy Officer te benoe-men gegeven de federale structuur van VenJ waarbij de rol van verantwoordelijke conform deWBP op dienstonderdeel is belegd. Deze decentrale Privacy Officers worden tegelijkertijd decontactpersonen voor de centraal gecoördineerde AVG implementatie.

Wij adviseren DI&I, met het oog op de aankomende verscherpte AVG aandacht te schenkenaan:• Een formele invullingen van de rol van verantwoordelijke op decentraal niveau.• Het inzichtelijk maken van de verwerkingen van persoonsgegevens en het actualiseren

van de daaronder liggende (bewerkers)overeenkomsten.• Het inzichtelijk en aantoonbaar maken van het stelsel van maatregelen ter waarborging

van de naleving.

3.9 Overige punten financieel en materieelbeheer

3.9.1 Introductie Vpb-plicht goed opgepaktDe introductie van de Vpb-plicht voor de rijksoverheid en de daarmee samenhangende administratieve verplichtingen is conform de door het ministerie van Financiën opgesteldeinstructie in de verantwoording verwerkt en toegelicht.In de komende periode wordt er gewerkt aan het beschrijven van het Tax Control Frameworkmet daarin onder meer: de bevoegdheden en verantwoordelijkheden, de procesbeschrijvingen,de wijze waarop de fiscale kennis wordt geborgd en een meldprocedure voor nieuwe activiteiten.

Per 1 januari 2016 is door modernisering van de Wet op de vennootschapsbelasting (Vpb) voorde overheid in bepaalde gevallen een Vpb-plicht ontstaan, met bijbehorende administratie- enaangifteplicht. De toets of sprake is van een Vpb-plicht vindt plaats op het niveau van de activiteiten.De belangrijkste doelstelling van deze wet is het realiseren van een fiscaal gelijk speelveld tussen overheid- en private ondernemingen. Dit betekent dat het ministerie van Veiligheid enJustitie mogelijk voor een deel van haar activiteiten belastingplichtig wordt voor de Vpb. Omvast te stellen of sprake is van een Vpb-plicht heeft het ministerie van VenJ de zogenaamde


ondernemingstoets uitgevoerd. Dit houdt in dat per activiteit is beoordeeld of er sprake is van: • Een duurzame organisatie van kapitaal en arbeid.• Deelname aan het economisch verkeer en of • Er voordelen worden beoogd of structurele overschotten worden behaald (winststreven).

Bij het uitvoeren van de ondernemingstoets is VenJ ervan uitgegaan dat het bij de Belasting-dienst ingediende beroep op de hardheidsclausule om de NP niet als een partij buiten de Staatte hoeven aanmerken zal worden gehonoreerd. De VPB last is, conform de aanwijzing van het ministerie van Financiën, in het departementaaljaarverslag opgenomen als niet uit de balans blijkende verplichtingen.

3.9.2 Overdrachtsmomenten in de afpak-keten werken niet goedHet afpakken van crimineel vermogen is een belangrijk thema van Veiligheid en Justitie. In deafpak-keten werken de NP, het OM, het CJIB, de Rechtspraak en de Domeinen Roerende Zakenvan het Ministerie van Financiën daarom met elkaar samen om crimineel vermogen af te pakken. Wij signaleren risico’s in deze keten ten aanzien van de overdracht en afwikkeling vanzaken. Met name op de overdrachtsmomenten en de daaraan gerelateerde afhankelijkhedenzijn er knelpunten.Als gevolg van lange doorlooptijden bestaat het risico dat vorderingen op criminelen oninbaarworden of dat vorderingen verminderd moeten worden. Overigens hebben wij niet vastgestelddat er middelen zoek zijn. Lange doorlooptijden kunnen ook leiden tot klaagprocedures. Verminderingsverzoeken en klaagprocedures zorgen uiteindelijk ook voor extra belasting vanmedewerkers in de keten. Hieronder geven wij de aandachtspunten in de afpakketen die wij hebben geconstateerd.

Proces van deponeren is risico voor tijdige afhandeling van beslagWij hebben vastgesteld dat het OM beslag meerdere malen niet kan afhandelen na een onherroepelijke beslissing van de Rechtspraak of het OM, omdat de NP het geld nog niet heeftgedeponeerd bij het OM. Het OM kan hierdoor afhankelijk van de beslissing de rechthebbendegeen bedrag terugbetalen of een bedrag boeken in de ontvangsten ten gunste van de staat. Ook zien wij nog een risico in de afstemming van in beslag genomen gelden tussen de NP en hetOM. Het gevolg is dat het OM niet altijd op de hoogte is van het geld dat de NP in beslag heeftgenomen en de grondslag ervan. Het OM en de NP zijn in 2016 gestart met een project om beterinzicht te krijgen in eventuele verschillen tussen het geldbeslag bij de NP en ingestroomde zakenbij het OM. De verwachting is dat medio 2017 beter inzicht is in de 2e analyse.

Monitoring afwikkeling beslag door OM onvoldoende betrouwbaar Het OM heeft nog niet voldoende geborgd dat in beslag genomen gelden zo snel mogelijk worden afgehandeld. Wij hebben vastgesteld dat er regelmatig geruime tijd verstrijkt tussen de definitieve beslissing inzake geldbeslag en de afwikkeling daarvan, zonder dat daar altijd een aanwijsbare reden voor is. Het risico is dat ontvangsten in het verkeerde jaar worden verantwoord of dat gelden relatief laat worden terugbetaald aan rechthebbenden. Een knelpunt is dat voor de periodieke financiële verantwoording een vergelijking gemaaktmoet worden tussen de financiële administratie en de zaken in de primaire processystemen.Voor 9500 posten moet onderzocht worden of het beslag nog terecht op de derdenrekeningstaat. De hiervoor benodigde informatie moet per post handmatig uit het primaire systeemworden gehaald. Het OM onderzoekt de mogelijkheden om te komen tot een effectiever procesom tijdig (en vooral sneller) tot de juiste informatie te komen ten behoeve van de financiële verantwoording.Het OM heeft dit jaar veel tijd besteed om de kwaliteit van de monitoringlijsten te verbeteren.Wij ervaren hierin een verbetering, maar moeten tegelijkertijd ook vaststellen dat de lijsten nogniet voldoende betrouwbaar zijn. Enerzijds is dit het gevolg van het moment van de bevraging.De lijst bevat bijvoorbeeld een status van eerder in het jaar, maar de status kan inmiddels perjaareinde zijn veranderd. Anderzijds is gebleken dat parketten niet altijd de juiste informatiehebben aangeleverd voor de monitoringslijsten.


Doorlooptijden overdracht ontnemingsmaatregelen van OM naar CJIB fluctueren sterkVolgens de aanwijzing executie dient het OM alle rechterlijke beslissingen, ontnemingsschikkin-gen en strafbeschikkingen, nadat deze onherroepelijk zijn geworden, zo snel als mogelijk aanhet CJIB over te dragen. Wij hebben vastgesteld dat de aanlevertijd van ontnemingsmaat -regelen waarbij de straf- en ontnemingszaak onherroepelijk zijn sterk fluctueert. Wij hebbenvastgesteld dat 1308 ontnemingsmaatregelen in 2016 zijn ingestroomd bij het CJIB. Hiervan zijn1200 ontnemingsmaatregelen binnen één jaar aangeleverd, 69 maatregelen hebben een aan -levertijd van meer dan één jaar en 39 meer dan twee jaar. Een kanttekening hierbij is dat eenlange aanlevertijd van een ontnemingsmaatregel mede veroorzaakt kan zijn door de late aan -levering van een zaaksdossier door de Rechtspraak.Het gevolg van een lange aanlevertijd kan zijn dat de vorderingen in de administratie van VenJ niet volledig zijn weergegeven omdat het CJIB pas een vordering kan opnemen als eenontnemingsmaatregel door het OM is overgedragen.

Gelet op de verjaringstermijn vormt een lange aanlevertijd bovendien een risico voor de inning,omdat het CJIB dan minder tijd overhoudt om bedragen te incasseren.

In 2016 hebben het OM en het CJIB onderling ontnemingsmaatregelen afgestemd om inzicht tekrijgen in de ontnemingsmaatregelen die executeerbaar zijn, maar nog niet zijn overgedragenaan het CJIB. Daaruit blijkt dat 208 zaken met een totaalbedrag van ruim € 127 miljoen per 31 december 2016 nog niet zijn overgedragen aan het CJIB, waarvan één hele grote zaak. DFEZheeft hiervoor inmiddels correcties doorgevoerd. Het OM en het CJIB zijn in 2016 een project gestart om de kwaliteit en tijdigheid van de aanlevering van ontnemingsmaatregelen te verbeteren.

Wij adviseren het OM samen met de ketenpartners een analyse uit te voeren naar de oorzakenvan de langere doorlooptijden. Daarnaast is ons advies om normen af te stemmen zodat deketen kan sturen op tijdige overdracht van zaken. Wij adviseren het OM periodiek vast te stellen of alle executeerbare ontnemingsmaatregelenzijn overgedragen.

Afhandeling Goederenbeslag OM verdient verscherpte en blijvende aandacht In augustus 2016 heeft de Nationale Ombudsman een rapport uitgebracht over de uitvoerings-praktijk van inbeslagname van voorwerpen. Conclusie van de ombudsman was dat ‘de burgeronvoldoende in beeld is bij het proces van in beslag nemen van voorwerpen’. Ter verbeteringzijn in het rapport verbetervoorstellen gedaan voor de informatieverstrekking, informatie -uitwisseling in de keten en de rechtsbescherming. Het OM heeft naar aanleiding hiervan verbeteracties doorgevoerd. Zo is de informatie -voorziening op de diverse relevante websites (bijvoorbeeld van OM en Domeinen) verbeterd enis voor de informatieverstrekking richting de burger een specifieke coördinatiedesk ingesteld.Verder is er continue aandacht voor de verbetering van de kwaliteit en de uitwisseling van informatie tussen ketenpartners via het zogenaamde beslagportaal (het centrale registratie -systeem van de ketenpartners voor in beslaggenomen voorwerpen). Wij stellen vast dat hetaantal af te handelen goederenbeslagen een stijgende trend laat zien. Dit wordt enerzijds ver-oorzaakt door meer focus op het in beslag nemen van goederen; anderzijds doordat de door-looptijden tussen inbeslagname en het nemen van een beslissing door het OM (onder meervanwege capaciteitsgebrek) oplopen.

Wij adviseren het OM een inhoudelijke expertrol en aanjaagfunctie te organiseren voor de tijdige afwikkeling van goederenbeslag.

3.10 Stabiele basis voor bedrijfsvoering ontbreekt bij NFIHet ontbreekt bij het NFI aan een stabiele basis om in continuïteit betrouwbare administratieste voeren en tot betrouwbare verantwoordingsinformatie te komen. De toegewezen formatie, is gelet op de omvang van de organisatie beperkt. Dit leidt tot de inzetvan externe medewerkers in de bedrijfsvoering, in een omvang die in onbalans is met de eigenbezetting. Hierdoor is onvoldoende gewaarborgd dat kennis structureel in de organisatie wordtopgebouwd. Dit effect wordt versterkt door de mate van verloop, zowel intern NFI, als bij deexterne inhuur.

Wij adviseren DFEZ en het NFI om op korte termijn keuzes te maken in de lopende afwegingenomtrent het uitbesteden van de financiële administratie.

3.11 Materieel Beheer vraagt aandacht De ADR heeft de wettelijke taak om het gevoerde materieel beheer en de daartoe bijgehoudenadministraties te onderzoeken. Wij hebben op basis van risico-analyse de volgende onderwerpen in ons onderzoek betrokken:• Kaderstelling / Voorschriften Materieel beheer DFEZ.• Activabeheer DJI.• Bruikleenregisters (’grijpgrage goederen‘).

3.11.1 Aangescherpte voorschriften Materieel beheer niet in 2016 geïmplementeerdIn 2016 heeft DFEZ de voorschriften materieel beheer geactualiseerd en aangescherpt. Deze nieuwe voorschriften worden eerst in 2017 geïmplementeerd. Hierdoor heeft het in 2016 ontbroken aan actuele kaderstelling voor het te voeren beheer.

3.11.2 Bruikleenregisters niet juist en volledig Binnen VenJ worden bruikleenregisters gehanteerd voor het administreren van courante (‘grijpgrage goederen’) zoals laptops, iron key gegevensdragers, tablets en smartphones. Deze bruikleenregisters bevatten bij alle door ons onderzochte organisatieonderdelen onvolkomenheden waardoor onvoldoende inzicht bestaat in welke activa iedere VenJ medewerker in zijn of haar bezit heeft. Dit verhoogt het risico op niet traceerbaar verlies of diefstal.

Wij adviseren DFEZ om een VenJ breed format en bijbehorende algemene werkinstructies op testellen om de juistheid en volledigheid van de bruikleenregisters binnen VenJ te waarborgen.

3.11.3 Activa-inventarisaties DJI zijn van onvoldoende niveauIn het kader van activabeheer hebben wij bij de DJI enkele activa-inventarisaties bijgewoond.Van circa 20% van de activa kon de DJI niet vaststellen welke activa op de inventarisatielijstenstaan. Dit wordt veroorzaakt doordat activa niet uniek genummerd zijn. Bovendien hebben wijvastgesteld dat de verstrekte inventarisatielijsten niet volledig zijn. Wij troffen activa aan dieniet op de tellijst stonden, terwijl deze wel tot de betreffende categorie behoorden. Daarnaastontbreekt een zichtbare aansluiting tussen de inventarisatielijsten en het grootboek, als basisvoor de volledigheid van de inventarisatie.

Wij adviseren de DJI een zichtbare aansluiting te maken tussen de inventarisatielijsten en het grootboek en te overwegen een nieuwe unieke barcodesystematiek voor de registratie vande activa in te voeren. Het introduceren van scanapparatuur kan overigens bijdragen tot hetefficiënt uitvoeren van de activa-inventarisatie.

3.12 Betaalgedrag voldoet niet aan de rijksbrede normIn de bedrijfsvoeringsparagraaf heeft het ministerie opgenomen dat zij niet voldoen aan de rijksbrede norm van 95% voor het tijdig binnen 30 dagen betalen van facturen. De wijze waarop het ministerie dit percentage meet, zijnde het verschil tussen moment waaropde facturen worden ingeboekt in Leonardo en het betaalmoment in Leonardo, geeft een verkeerd beeld. Deze methode werkt alleen als facturen bij binnenkomst op de postkamer worden gedateerd met een ontvangststempel, de facturen binnen één werkdag in Leonardo



worden geregistreerd en fout geadresseerde facturen direct worden terug gezonden. Daarnaastdient bij het betalen rekening gehouden te worden met de verwerkingstijd bij de bank. Uit onze analyse blijkt dat onvoldoende aandacht is besteed aan deze randvoorwaarden.

Wij adviseren DFEZ de naleving van de randvoorwaarden regelmatig te monitoren en te bewaken.

3.13 Implementatie nieuwe procedures integriteitschendingen monitorenIn 2016 is er binnen VenJ hard gewerkt aan het opstellen van een nieuwe model procedure en instructie met betrekking tot het melden en afhandelen van (vermoedens van) integriteit -schendingen. De aanleiding hiervan was dat er verschillen bestonden tussen de huidige procedures en instructies bij de diverse VenJ onderdelen en dat niet alle VenJ onderdelen een dergelijke procedure en instructie hadden. De tweede aanleiding was de noodzaak ombestaande procedures en instructies in lijn te brengen met de Wet Huis voor klokkenluiders en de Interne klokkenluidersregeling Rijk, Politie en Defensie. Met deze instrumenten is de verwachting dat de jaarrapportage ten behoeve van het rijksbrede beeld volledig en eenduidigwordt.Naast bovenstaande model meldprocedure en instructie is er binnen VenJ besloten een separate meldprocedure op te stellen voor de inbreuken met een financieel karakter die recentis vastgesteld. Deze meldprocedure dient vooral ter signalering van hiaten in de beheersing. In deze procedure wordt het begrip ‘substantiële schendingen’ geïntroduceerd: gekoppeld aan omvang, frequentie en impact. De praktijk zal moeten uitwijzen of dit begrip voldoendehanteerbaar is en of hiermee de juiste focus wordt bereikt.

Wij adviseren DFEZ en de Coördinator Integriteitsbeleid het gebruik en juiste toepassing van de aangepaste en nieuwe beheersmaatregelen strak te monitoren en hierover zonodig met hetmanagement in gesprek te gaan.


4 Deugdelijk totstandkoming beleids- en bedrijfsvoeringsinformatie

Als derde onderdeel van onze wettelijke taak onderzoeken wij of geselecteerde processengericht op de totstandkoming van informatie over het gevoerde beleid en de bedrijfsvoeringvoldoen aan de normen uit de comptabele weten regelgeving. Daartoe onderzoeken wij ofdeze niet-financiële verantwoordingsinformatie op een deugdelijke (dat wil zeggen ordelijke encontroleerbare) wijze tot stand is gekomen.8

De selectie van de te onderzoeken processen gericht op de totstandkoming van informatie over het gevoerde beleid en de bedrijfsvoering is afhankelijk van de omvang van de risico’s diedaarbij worden onderkend. Op basis daarvan hebben wij in 2016 de volgende totstandkomings-processen voor nader onderzoek geselecteerd: beleidsinformatie en bedrijfsvoeringinformatie.

4.1 Beleidsinformatie komt deugdelijk tot standIn het totstandkomingsproces van de informatie over het gevoerde beleid zijn voldoende maatregelen getroffen die de reconstrueerbaarheid van dit proces waarborgen. Gebleken is dathet totstandkomingsproces in toenemende mate steunt op geautomatiseerde (primaire proces)systemen. Wij hebben dit vastgesteld door van 15 indicatoren, die betrekking hebben op niet-financiëleinformatie, te onderzoeken of deze op een deugdelijke (dat wil zeggen op ordelijke en controleerbare) wijze tot stand zijn gekomen. De normen hiervoor zijn verder uitgewerkt in deRegeling rijksbegrotingsvoorschriften 2017.

4.2 Tijdigheid aanlevering input ten behoeve van bedrijfsvoeringsparagraaf voorverbetering vatbaarDFEZ heeft verbeteringen aangebracht om het proces van de totstandkoming van de bedrijfs-voeringsparagraaf (BVP) te objectiveren. Daarmee is invulling gegeven aan een kaderstelling,die voorziet in een piramidale en onderbouwde opbouw van de bedrijfsvoeringsparagraaf. De bedrijfsvoeringsparagraaf in het jaarverslag van VenJ wordt samengesteld vanuit demanagementparagrafen van de dienstonderdelen, input van de accountteams van DFEZ endoor de concernstaven aangeleverde informatie. DFEZ heeft de afwegingen over de onderwerpen van de BVP expliciet zichtbaar gemaakt in eenwegingsverslag. Dit geldt ook voor de dienstonderdelen, maar niet voor de concernstaven.Wij hebben onze waarnemingen over de managementparagrafen gebaseerd op onderzoek bijde DG Straffen en Beschermen, de Nationaal Coördinator Terrorismebestrijding en Veiligheid,het OM en het Schadefonds Geweldsmisdrijven (SGM). Het voorgeschreven kader is gehan-teerd. De onderzochte organisatieonderdelen hebben voortgangsrapportages, jaarplannen en eigen kennis en ervaring gebruikt om de managementparagraaf en het wegingsverslag op te stellen. Met uitzondering van het SGM is het proces bij deze onderdelen transparant verlopen. Overigens is van het OM geen wegingsverslag ontvangen. Het SGM heeft, omdat de aanschrijving in het geheel niet ontvangen was, gebruik gemaakt van andere beschikbareinformatie om de managementparagraaf alsnog op te stellen.De betrokken organisatieonderdelen zijn veelal niet in staat de informatie binnen de daarvoorgestelde tijdkaders aan DFEZ op te leveren. Wij vragen daarvoor aandacht.


5 Overige onderwerpen

5.1 Risico’s in de transitiefase project herinrichting controlfunctieIn ons rapport bij het jaarverslag 2015 hebben wij aangegeven dat de herinrichting van de controlfunctie en de herijking van de eindverantwoordelijkheid van de Secretaris Generaal (SG)de uniformiteit kan bevorderen in de aansturing van de uitvoerende organisaties. Het ministerieheeft dit opgepakt via twee uitwerkingsrichtingen:• Het herbeleggen van het eigenaarschap van de V&J-organisaties.• Het creëren van een tweelaags controlmodel; de huidige inrichting van het drielaags model

met DG control komt daarmee te vervallen.

Hiermee beoogt het ministerie een betere borging van de financiële beheersing van VenJ inorganisatorische zin, een versterking van de financiële functie en een inrichting van de (financieel) beheersmatige sturing en het toezicht op de verschillende organisaties (agent -schappen, zbo's, politie, overige uitvoeringsorganisaties, rechtspraak en OM) voor zover mogelijk conform de eisen in de van toepassing zijnde rijksbrede weten regelgeving (o.a. Regeling agentschappen).

De ADR onderschrijft de ambities van het departement en deelt de opvatting van het departement dat de procesmatige en organisatorische veranderingen leiden tot een versterkingvan de financiële functie en het toezicht. Het tweelaags controlmodel geeft bijvoorbeeld eendirectere relatie tussen concerncontrol en de uitvoering.

Gelet op het belang dat door de leiding van het ministerie wordt gehecht aan het tijdig voltooien van het transitieproces, vragen wij aandacht van de voortgang. In dit kader wijzen wij op de volgende risico’s in de implementatie:• De loyaliteit van medewerkers: veel controllers en toezicht medewerkers krijgen een andere

functie en/of een andere werkplek. Dit kan leiden tot een afwachtende houding en een verminderde betrokkenheid bij de huidige werkzaamheden. Dit heeft alles te maken met (het creëren van) draagvlak.

• Voor 2016 heeft de departementale leiding de ambitie om de onvolkomenheden van de ARen de bevindingen van de ADR zo veel mogelijk weg te nemen. Dit vraagt veel extra aandachten inzet van de financiële functie. Het doen van een beroep op de financiële functie in tijdenvan verandering en reorganisatie geeft spanning en daarmee risico’s op een tijdige realisatievan deze verbeteringen.

5.2 Op weg naar continuous monitoring met behulp van IT-systemen Informatie voor sturing en beheersing komt bij VenJ in toenemende mate tot stand met behulpvan geautomatiseerde systemen. Dit geldt zowel voor de primaire- als de bedrijfsvoerings -processen. Deze ontwikkeling heeft gevolgen voor, en biedt kansen aan de werkwijze zowelvoor de controlfunctie als voor de auditfunctie. In de eerste plaats betekent dit dat van eengegevens gerichte controle benadering kan worden overgegaan naar een meer systeemgerichte benadering.


Deze ontwikkeling en benadering hebben wij in onderstaand figuur gevisualiseerd.

Figuur 3: Het 4-kwadrantenmodel

De essentie van dit model is dat de mate waarin kan worden gesteund op een systeem afhankelijk is van een aantal aspecten, dit betreft de General IT-controls, het autorisatiebeheeren de application controls. Het betrouwbaar functioneren van deze elementen beïnvloedt uiteindelijk de mate waarin aandacht moet worden besteed aan de controls in de organisatiezelf (de zogenaamde user-controls).

Een gedegen inrichting van de General IT-controls en Functiescheidingen zien wij als randvoor-waardelijk om op een systeem te kunnen steunen. Onder general IT-controls verstaan wij dealgemene beheersmaatregelen van een IT-systeem. Daarbij is voor ons primair van belang omvast te stellen dat er geen ongecontroleerde wijzigingen op het systeem of de onderliggendedata kunnen worden doorgevoerd en dat de beveiliging van het systeem op orde is.Met autorisatiebeheer wordt de functiescheiding geborgd. Functiescheiding is het zorgdragendat vanuit beheersoverwegingen taken, verantwoordelijkheden en bevoegdheden wordengesplitst over verschillende functionarissen.

Application controls zijn controles die in het systeem zijn ingebouwd, voorbeelden hiervan zijncontroles op een juiste of volledige invoer, verbandscontroles en redelijkheidscontroles. Dezecontroles hebben vanuit beheersperspectief veelal de voorkeur boven user controls (controlesuitgevoerd door een medewerker), omdat effectief ingerichte application controls foutieveinvoer en verwerking van informatie voorkomen, terwijl user controls zijn gericht op het detecteren en analyseren van fouten. In zijn algemeenheid geldt dat hoe meer maatregelen inhet systeem zijn opgenomen en hoe meer gesteund kan worden op het systeem, hoe effectieveren efficiënter de controlfunctie en de auditfunctie kan worden uitgevoerd.

Verder biedt de geautomatiseerde gegevensverwerking mogelijkheden om actief gebruik temaken van technieken als data-analyse en IT tooling. Als randvoorwaarde dienen de hiervoorbeschreven aspecten uit het kwadrantenmodel te functioneren.

Het is van belang dat de belangrijkste maatregelen binnen de verschillende aspecten van het 4-kwadrantenmodel aantoonbaar functioneren. Hiervoor dienen sturingsmiddelen te worden ingezet (periodieke controle met bijhorende rapportage en verantwoordingsstructuuren periodieke evaluaties) om dit te borgen en continue verbeteringen mogelijk te maken. Wenemen waar dat een aantal dienstonderdelen op dit gebied acties ontplooien; zo heeft Justiseen extern onderzoek laten uitvoeren naar het volwassenheidsniveau van de Informatie Voorziening en beziet DFEZ in samenspraak met SSC-ICT op welke wijze de rapportages en verantwoording en over het functioneren van Leonardo verder kunnen worden aangescherpt.

Betrouwbaarheidsysteem

IT Generalcontrols

Applicationcontrols

Segregationof duties

Usercontrols

Business processes

User organization IT organization


We signaleren dat voor een aantal systemen we in belangrijke mate zicht hebben op aspectenuit het vier kwadrantenmodel en dat op deze systemen ook data-analyse kan worden toege-past. Zo hebben wij in 2016 nadrukkelijk aandacht besteed aan de General IT-Controls van Leonardo en de functiescheidingen binnen Leonardo. Zoals reeds gemeld in onze interim -rapportage 2016 zijn deze aspecten van Leonardo grotendeels op orde. Zodra de door onsgesignaleerde resterende aandachtspunten zijn verholpen biedt dit mogelijkheden voor eenmeer systeemgerichte benadering, waarbij optimaal gebruik gemaakt kan worden van data-analyse. Vooruitlopend hierop hebben wij het gebruik van data-analyse op het inkoop procesverder uitgebreid. De focus op de aspecten uit het vierkwadranten-model en de inzet van data-analyse heeft dit jaar reeds zijn meerwaarde bewezen: wij hebben risico’s gesignaleerd die meteen meer traditionele aanpak niet gesignaleerd konden worden. DFEZ heeft naar aanleiding vandeze bevindingen aanvullende werkzaamheden verricht waaruit overigens is gebleken dat derisico’s zich niet hebben geëffectueerd.In 2017 zullen wij waar mogelijk ook voor de andere systemen een vergelijkbare werkwijze gaantoepassen.

Bijlage

Bijlage Controleverklaring van de onafhankelijke accountant

Aan: de minister van Veiligheid en Justitie

A Verklaring over de in het departementale jaarverslag 2016 opgenomen financiële overzichten

Ons oordeelWij hebben de financiële overzichten die deel uitmaken van het departementale jaarverslag2016 van het ministerie van Veiligheid en Justitie gecontroleerd. Naar ons oordeel geven dezefinanciële overzichten een getrouw beeld van de uitkomsten van de begrotingsuitvoering vanhet ministerie van Veiligheid en Justitie over 2016 in overeenstemming met de verslaggevings-voorschriften die zijn opgenomen in de Comptabiliteitswet 2001 en de daaruit voortvloeienderegelgeving, waaronder de Regeling rijksbegrotingsvoorschriften 2017.

De financiële overzichten bestaan uit:• de departementale verantwoordingsstaat over 2016 met de financiële toelichtingen daarbij; • de samenvattende verantwoordingsstaat over 2016 betreffende de baten-lasten -

agentschappen met de toelichting daarbij; • de departementale saldibalans per 31 december 2016 met de toelichting daarbij;• de in de bedrijfsvoeringsparagraaf opgenomen rapportage over de comptabele

rechtmatigheid van de uitkomsten van de begrotingsuitvoering over 2016;• de overzichten over 2016 met de gegevens als bedoeld in de artikelen 4.1 en 4.2 van de Wet

normering bezoldiging topfunctionarissen publieke en semipublieke sector (WNT).

De basis voor ons oordeelWij hebben onze controle uitgevoerd volgens het Nederlands recht, waaronder ook de Nederlandse controlestandaarden en het Controleprotocol WNT vallen. Onze verantwoordelijk-heden op grond hiervan zijn beschreven in de sectie ‘Onze verantwoordelijkheden voor de controle van de financiële overzichten’.

Wij zijn onafhankelijk van het ministerie van Veiligheid en Justitie zoals vereist in de Verordening inzake de onafhankelijkheid van accountants bij assurance-opdrachten (ViO) enandere voor de opdracht relevante onafhankelijkheidsregels in Nederland. Verder hebben wijvoldaan aan de Verordening gedrags- en beroepsregels accountants (VGBA).

Wij vinden dat de door ons verkregen controle-informatie voldoende en geschikt is als basisvoor ons oordeel.

Paragraaf inzake overige aangelegenhedenDe accountantscontrole van de financiële verantwoordingen van de Nationale Politie, de Raadvoor de Rechtspraak, de Raad voor de Rechtsbijstand en het Centraal Orgaan opvang asiel -zoekers wordt uitgevoerd door openbare accountantskantoren. Wij voeren op verzoek reviewsuit op de kwaliteit van deze controles. Omdat deze controles worden afgerond na 15 maart 2017,vinden onze reviews plaats na de datum van onze controleverklaring bij de departementale verantwoording 2016. Onze reviewbevindingen zijn dan ook eerst na deze datum bekend enhebben derhalve geen weerslag in deze verklaring. Onze reviewbevindingen over 2015 zijn welmeegewogen.



B Verklaring over de in het departementale jaarverslag 2016 opgenomen andere informatie

Naast de financiële overzichten omvat het departementale jaarverslag andere informatie, die bestaat uit:• het deel algemeen (verzoek tot dechargeverlening en leeswijzer);• de in het beleidsverslag opgenomen informatie over het gevoerde beleid en de bedrijfs -

voering;• de voorgeschreven bijlagen.

Op grond van onderstaande werkzaamheden zijn wij van mening dat de andere informatie:• niet strijdig is met de in het departementale jaarverslag opgenomen financiële overzichten

en geen materiële afwijkingen bevat;• alle informatie bevat die is vereist op grond van de verslaggevingsvoorschriften die zijn

opgenomen in de Comptabiliteitswet 2001 en de daaruit voortvloeiende regelgeving, waaronder de Regeling rijksbegrotingsvoorschriften 2017.

Wij hebben de andere informatie gelezen en hebben op basis van onze kennis en ons begrip,verkregen vanuit de controle van de financiële overzichten of anderszins, overwogen of deandere informatie materiële afwijkingen bevat.9

Met onze werkzaamheden hebben wij voldaan aan de vereisten in artikel 66, zesde lid, onder d,van de Comptabiliteitswet 2001 en de Nederlandse Standaard 720. Deze werkzaamheden hebben niet dezelfde diepgang als onze controlewerkzaamheden bij de financiële overzichten.

De minister is verantwoordelijk voor het opstellen van de andere informatie in overeenstem-ming met de verslaggevingsvoorschriften die zijn opgenomen in de Comptabiliteitswet 2001 ende daaruit voortvloeiende regelgeving, waaronder de Regeling rijksbegrotingsvoorschriften2017.

C Beschrijving van verantwoordelijkheden met betrekking tot de financiële overzichten

Verantwoordelijkheden van de minister voor de financiële overzichtenDe minister is verantwoordelijk voor het opmaken van de financiële overzichten die de uitkom-sten van de begrotingsuitvoering getrouw dienen weer te geven in overeenstemming met de verslaggevingsvoorschriften die zijn opgenomen in de Comptabiliteitswet 2001 en de daaruitvoortvloeiende regelgeving, waaronder de Regeling rijksbegrotingsvoorschriften 2017. In ditkader is de minister verantwoordelijk voor een zodanige interne beheersing die de ministernoodzakelijk acht om het opmaken van de financiële overzichten mogelijk te maken zonderafwijkingen van materieel belang als gevolg van fouten of fraude.

Onze verantwoordelijkheden voor de controle van de financiële overzichtenOnze verantwoordelijkheid is het zodanig plannen en uitvoeren van een controleopdracht datwij daarmee voldoende en geschikte controle-informatie verkrijgen voor het door ons af tegeven oordeel. Onze controle is uitgevoerd met een hoge mate maar geen absolute mate vanzekerheid waardoor het mogelijk is dat wij tijdens onze controle niet alle materiële fouten en fraude ontdekken. Afwijkingen kunnen ontstaan als gevolg van fraude of fouten en zijnmaterieel indien redelijkerwijs kan worden verwacht dat deze, afzonderlijk of gezamenlijk, vaninvloed kunnen zijn op de beslissingen die gebruikers op basis van deze financiële overzichtennemen. De materialiteit beïnvloedt de aard, timing en omvang van onze controlewerkzaam -heden en de evaluatie van het effect van onderkende afwijkingen op ons oordeel.

Wij hebben deze accountantscontrole professioneel kritisch uitgevoerd en hebben waar relevant professionele oordeelsvorming toegepast in overeenstemming met de Nederlandsecontrolestandaarden, ethische voorschriften en de onafhankelijkheidseisen. Onze controlebestond onder andere uit:• het identificeren en inschatten van de risico’s dat de financiële overzichten afwijkingen van

materieel belang bevatten als gevolg van fouten of fraude, het in reactie op deze risico’sbepalen en uitvoeren van controlewerkzaamheden en het verkrijgen van controle-informatiedie voldoende en geschikt is als basis voor ons oordeel. Bij fraude is het risico dat een afwij-king van materieel belang niet ontdekt wordt groter dan bij fouten. Bij fraude kan sprake zijnvan samenspanning, valsheid in geschrifte, het opzettelijk nalaten transacties vast te leggen,het opzettelijk verkeerd voorstellen van zaken of het doorbreken van de interne beheersing;

• het verkrijgen van inzicht in de interne beheersing die relevant is voor de controle met alsdoel controlewerkzaamheden te selecteren die passend zijn in de omstandigheden. Dezewerkzaamheden hebben niet als doel om een oordeel uit te spreken over de effectiviteit vande interne beheersing van het ministerie;10

• het evalueren van de geschiktheid van de gebruikte grondslagen voor financiële verslag -geving en het evalueren van de redelijkheid van schattingen door het ministerie en de toelichtingen die daarover bij de financiële overzichten zijn opgenomen;

• het evalueren van de presentatie, structuur en inhoud van de financiële overzichten en de daarbij opgenomen toelichtingen; en

• het evalueren of de financiële overzichten een getrouw beeld geven van de onderliggendetransacties en gebeurtenissen.

Wij communiceren met de leiding van het ministerie van Veiligheid en Justitie onder andereover de geplande reikwijdte en timing van de controle en over de significante bevindingen dieuit onze controle naar voren zijn gekomen, waaronder eventuele significante tekortkomingen in de interne beheersing.

Den Haag, 30 maart 2017 Auditdienst Rijk

J.P. Looman RA CIA



Noten

1 De wettelijke taak is omschreven in artikel 66 van de Comptabiliteitswet 2001.2 De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de

titels van de rapporten die de ADR heeft uitgebracht en plaatst dit overzicht op de websitevan de Rijksoverheid (www.rijksoverheid.nl).

3 De verslaggevingsvoorschriften zijn vastgelegd in de Comptabiliteitswet 2001 en de daaruitvoortvloeiende regelgeving, waaronder de Regeling rijksbegrotingsvoorschriften 2017.

4 Daarnaast behoort het tot onze wettelijke taak onderzoek te verrichten naar de totstand -koming van de informatie over het gevoerde beleid en de bedrijfsvoering, over de uitkomsten waarvan wij rapporteren in het samenvattende auditrapport.

5 De rapporteringstoleranties volgen uit de Regeling rijksbegrotingsvoorschriften 2017(model 3.24 en toelichting daarbij).

6 Deze eisen zijn verder uitgewerkt en samengevat in de Baseline financieel en materieel beheervan het ministerie van Financiën.

7 Dit zijn dezelfde vijf thema’s die wij ook de afgelopen jaren hebben onderzocht: patch -management, beveiliging van externe koppelvlakken, beheer van medewerkers en toegang,PDCA-cyclus (Plan-Do-Check-Act), logging en monitoring.

8 Deze normen zijn verder uitgewerkt in de Regeling rijksbegrotingsvoorschriften 2017.9 Daarnaast behoort het tot onze wettelijke taak onderzoek te verrichten naar de totstand -

koming van de informatie over het gevoerde beleid en de bedrijfsvoering, over de uitkomsten waarvan wij rapporteren in het samenvattende auditrapport.

10 Daarnaast behoort het tot onze wettelijke taak onderzoek te verrichten naar het gevoerdefinancieel en materieelbeheer en de ten behoeve van dat beheer bijgehouden administraties, over de uitkomsten waarvan wij rapporteren in het samenvattende auditrapport.

Auditdienst RijkPostbus 202012500 ee Den Haag(070) 342 77 00

Samenvattend auditrapport - Rijksoverheid.nl...2017/03/15 · Samenvattend auditrapport 2016...

Documents

Transcript of Samenvattend auditrapport - Rijksoverheid.nl...2017/03/15 · Samenvattend auditrapport 2016...