In dit hoofdstuk gaan we in op een aantal ontwikkelingen in 2016 die betrekking hebben op de interne beheersingsmaatregelen, interne controles en de auditbevindingen.

Nieuwe controlewerkzaamheden bij P-Direkt door POV

Het kernpunt van het programma Optimaal verbinden (POV) was de overdracht van departementale HRO-taken aan P-Direkt. Met deze bundeling van werkzaamheden is een efficiëntiebesparing beoogd. Daarnaast draagt deze bundeling ook bij aan een meer uniforme rijksbrede procesinrichting.

Bonnencontrole

Bonnencontrole

Een onderdeel dat bij een aantal processen opspeelt, is de verplichting om bewijsstukken (of ‘bonnen’) in te dienen (onder andere bij IKAP-aanvragen, reiskostendeclraties, studiekostendelcaratiescandere medische declaraties.). P-Direkt heeft daarbij de taak te controleren op aanwezigheid en juistheid van bewijsstukken (tenaamstelling, bedrag en aard). Hoewel hier voorheen nooit expliciet besluitvorming over heeft plaatsgevonden, zijn deze werkzaamheden als onlosmakelijk onderdeel van het bredere proces 'meegelopen' en ‘as is’ overgekomen.

In het algemeen zien we dat het principe ‘eerst betaling, daarna onderbouwing’ tot veel ‘najagen’ van ontbrekende bewijsstukken en uiteindelijk zelfs tot terugvordering leidt.

Inzoomend op de werkwijze, blijkt vervolgens een grote diversiteit in hoe vóór de taakovergang naar P-Direkt invulling werd gegeven aan de bonnencontrole. Per ministerie, per dienst en vaak ook per proces golden sterk verschillende werkwijzen. Ten eerste in de wijze waarop aan de controletaak invulling werd gegeven. Maar ook in het bestaan van heel veel afwijkende en nog altijd wijzigende afspraken. Per individu, per proces, per dienst, gelden vrijstellingen voor het inleveren van bewijsstukken, dan wel in de termijnen waarin dat moet. Hoewel P-Direkt zoveel mogelijk heeft aangesloten bij deze verschillende werkwijzen, leidt dit gebrek aan uniformiteit tot een significante kans op fouten in de uitvoering. Dit zorgt voo veel irritatie bij gebruikers en managers als hierover gerappelleerd wordt, dan wel tot terugvordering wordt overgaan.

Resumerend leidt dit tot de conclusie dat het huidig ontworpen procesmaterieel onuitvoerbaar is gebleken. Om die reden zijn er voorstellen gedaan om op korte termijn te komen tot aanpassing in het proces, dan wel regelgeving, die wèl tot een uitvoerbaar traject leiden. Als uitgangspunt voor de toekomstige procesinrichting hebben we voorgesteld: geen bewijsstuk, geen betaling.

P-Direkt heeft dit in december 2016 voorgelegd aan de Interdepartementale Commissie Organisatie & Personeelsbeleid (ICOP) en deze heeft de uitwerking van de nieuwe werkwijze goedgekeurd.

SSC-ICT

IC over de keten

Ook heeft P-Direkt als uitvloeisel van POV in 2016 voor het overgrote deel van de ministeries een belangrijk deel van de verbijzonderde interne controles op de personele processen overgedragen gekregen. In de opstart hiervan hebben we vertraging opgelopen, maar deze is ultimo 2016 ingelopen. De controles tot en met september 2016 zijn zoals afgesproken eind december uitgevoerd. De kwaliteit van de uitgevoerde controles is voldoende, maar er zijn nog verbeteringen mogelijk, zo stelt ook de Audit Dienst Rijk (ADR) vast. Deze pakken we op in 2017, samen met de P-controllers van de ministeries.
Ondanks de uitbesteding van de IC over de keten blijft het ministerie zelf eindverantwoordelijk voor het beheer van de personele uitgaven. Het is hierdoor noodzakelijk dat het ministerie de bevindingen van P-Direkt nader analyseert en eventueel actie onderneemt.

Verbetertrajecten beheersing IT-processen 2016

De Auditdienst Rijk (ADR) heeft in de controle over 2015 een aantal verbeterpunten gesignaleerd op IT-processen die we in 2016 hebben opgepakt. Het betreft hier de processen problem- en incidentmanagement, changemanagement en gebruikers- en autorisatiebeheer.

In 2016 hebben we enkele projecten gestart om te zorgen voor extra aandacht voor de verbetering van de beheersing van deze processen. Aan het einde van het jaar zijn belangrijke verbeteringen doorgevoerd, maar heeft de ADR tijdens de controle over 2016 vastgesteld dat de verbeteracties rondom de processen gebruikers- en autorisatiebeheer nog niet zijn afgerond. 

Deze bevindingen van de ADR zouden kunnen leiden tot risico’s voor de juiste verantwoording van de personele uitgaven bij de ministeries. P-Direkt heeft gezorgd voor voldoende aanvullende interne controlemaatregelen, waardoor dit risico is teruggebracht.

Bevindingen ADR over 2016

De ADR voert in het kader van haar wettelijke taak voor de controle van de jaarverantwoording van de ministeries een rijksbreed onderzoek naar de personele uitgaven, waarbij de ADR in teamverband werkt met IT-auditors en financial auditors, die onderdeel uitmaken van rijksbrede en departementale auditteams.

Overall kunnen zij stellen dat in 2016 het beheer bij P-Direkt t.o.v. 2015 van gelijk niveau is geweest. Het kijken met meer diepgang heeft ertoe geleid dat we beter zicht hebben gekregen op de kwaliteit van het beheer van P-Direkt. Het huidige niveau van beheer maakt dat we in voldoende mate kunnen steunen op het P-Direktsysteem.

Zij hebben op basis van hun controle de volgende zaken bevonden:

Verbeterpunten gebruikersbeheer opgepakt, maar nog niet opgelost

De aandachtspunten uit 2015 inzake het gebruikersbeheer, met name gericht op autorisaties, zijn in 2016 opgepakt, maar nog niet opgelost. In september 2016 heeft P-Direkt een Project Initiatie Document (PID) goedgekeurd om de aanbevelingen projectmatig op te pakken. In de loop van 2016 is extra capaciteit aan dit project toegewezen, toen bleek dat de technische complexiteit groter was dan voorzien. De verwachting is dat de aanbevelingen uit de PID per juli 2017 volledig zijn opgevolgd.
Op basis van het (vervolg-)onderzoek van de ADR over 2016 heeft P-Direkt de PID aangevuld met nieuwe bevindingen met betrekking tot het gebruikersbeheer vanuit de GIT Controls. De geconstateerde tekortkomingen in het gebruikersbeheer over 2016 leidde tot het risico dat gebruikers ruimere rechten toegekend kunnen krijgen dan benodigd voor hun functie. Ingeregelde functiescheidingen binnen processen kunnen daardoor onbewust doorbroken worden.

Afspraken P-Direkt en SSC-ICT nog niet geformaliseerd

Een van de onderdelen van het uitvoeringsprogramma ‘Compacte Rijksdienst’ is het programma ‘Consolidatie Datacenters’ dat met een bestuurlijk besluit heeft geleid tot de afspraak dat P-Direkt als één van de eerste organisaties migreert naar het Overheidsdatacenter (ODC) in Rijswijk. De P-Direktapplicaties worden in 5 tranches gemigreerd in 2016 en 2017.

Op 25 november 2016 heeft de migratie van SAP-Payroll van Match naar ODC/SSC-ICT (tranche 4) succesvol plaatsgevonden. Een aantal formele punten voor tranche 4, waaronder het aantoonbaar voldoen aan de Baseline Informatiebeveiliging Rijksdienst (BIR), waren echter nog niet uitgewerkt. Daartoe is als extra maatregel voor en na de livegang een kwetsbaarhedenscan uitgevoerd. SSC-ICT heeft aan P-Direkt toegezegd dat het ODC klaar is voor de huisvesting van de productiedata van P-Direkt (inclusief SAP-Payroll), indien vanaf de start gewerkt wordt volgens de richtlijnen van de BIR en de afspraken met P-Direkt worden nagekomen. Het risico dat tranche 4 niet BIR-compliant is, wordt door de programmamanager en de systeemeigenaar P-Direkt als beperkt ingeschat, aangezien tranche 3 recent BIR-compliant is verklaard en tranche 4 op dezelfde wijze gebouwd is als tranche 3.

Eind februari 2017 is de raamovereenkomst en Service Level Agreement (DienstenNiveau Overeenkomst) met ODC/SSC-ICT ten behoeve van de housing, hosting en het technisch applicatiebeheer van de SAP systemen nog niet opgesteld. Het risico bestaat dat P-Direkt hierdoor onvoldoende zicht heeft op de geleverde dienstverlening (waaronder de informatiebeveiliging en continuïteit van zijn systemen). P-Direkt verwacht dat de aantoning van de BIR-compliancy, de raamovereenkomst en de SLA vóór 1 april 2017 is opgesteld en gerealiseerd.

Achterstanden overname ‘IC over de keten’ ingelopen en aanpassing proces bonnencontrole biedt perspectief

Met ingang van 1 januari 2016 hebben alle ministeries (m.u.v. BZK en FIN) de verbijzonderde interne controles op de personele processen overgedragen aan P-Direkt.

Na overname van de controles door P-Direkt is gebleken dat sprake is van per ministerie sterk afwijkende werkwijzen. Tezamen met de beperkte overdracht van personele capaciteit heeft dit geleid tot vertraging in de uitvoering van de controles in 2016. P-Direkt heeft in het najaar van 2016 actie ondernomen en de achterstand is ultimo 2016 ingelopen.
De kwaliteit van de uitgevoerde controles is voldoende. Wij hebben nog enkele verbeteringen aangedragen die P-Direkt zal meenemen in het P-controllersoverleg en daar waar mogelijk afspraken zal maken met de ministeries.

Met de overgang van de HRO-plustaken taken van de ministeries naar P-Direkt is ook de controle op declaraties waarvoor een bon benodigd is, overgegaan naar P-Direkt. Evenals bij de IC over de keten is in deze zogenaamde bonnencontrole door diverse oorzaken in 2016 een aanzienlijke achterstand ontstaan. Door extra inspanning en een verandering in de controlefilosofie is ook deze achterstand per eind 2016 nagenoeg ingelopen. Inmiddels heeft het ICOP ingestemd met een nieuwe werkwijze van afdoen van ingediende declaraties (alleen met bon uitbetalen), wat tot een aanzienlijke verbetering van het declaratieproces zal leiden. De ingangsdatum van deze wijziging is nog niet bekend.

Opdracht onderzoek verantwoording SSO’s

De overheidsorganisatie is verantwoordelijk voor de kwaliteit van de uitgevoerde taken. Deze verantwoordelijkheid wijzigt niet op het moment dat besloten wordt een bepaalde taak uit te besteden of deze samen met een andere organisatie uit te voeren. Samenwerking kan ook in ketens plaatsvinden.

Per type samenwerkingsverband zijn afspraken nodig over de kwaliteit van de uitvoering van taken en de wijze van verantwoording, die hierover wordt afgelegd. In 2017 gaat de ADR in nauwe samenwerking met de geselecteerde SSO’s binnen de rijksdienst en met hun belanghebbenden in kaart brengen welke informatie de verantwoording minimaal dient te bevatten om invulling te geven aan leveranciersmanagement en om vast te stellen of de SSO voldoet aan de volgende wet- en regelgeving: de Comptabiliteitswet, de Rijksbegrotingsvoorschriften, de Baseline Informatiebeveiliging Rijksdienst (BIR), de wet Bescherming Persoonsgegevens en de meldplicht datalekken.

P-Direkt is zo’n ketenpartner en maakt gebruik van SSO’s en levert diensten aan de ministeries. Wij willen onze verantwoording en controle in de keten effectief en doelmatig inrichten en daarom hebben we deze opdracht in 2016 samen met DGOO, BZK FEZ en de ADR geformuleerd en zullen we als geselecteerde SSO volop meedoen in het onderzoek.

Blockchain

Blockchain

De technologie achter de crypto currency Bitcoin houdt de gelederen binnen de financiële sector steeds meer bezig. Dit is een digitaal, gedeeld grootboek waarin voor het hele netwerk de bitcointransacties worden bijgehouden. Deze nieuwe technologie belooft transparant te zijn, fraudebestendig, veilig, robuust en het voorkomen van ‘double spending’ maar is ook voor andere (transactie)toepassingen te gebruiken, zoals eigendommen of personeelsuitgaven.

De Algemene Rekenkamer (AR) heeft vanuit haar toezicht- en controletaken interesse in dit onderwerp en er is in 2016 een samenwerkingsverband tussen de AR en P-Direkt ontstaan om gezamenlijk kennis op te doen. De AR heeft voor dit samenwerkingsverband met P-Direkt gekozen, omdat voor de personele processen geldt dat:

  • het beheer en de controle bij verschillende partijen ligt;
  • het controleproces overzichtelijk en tegelijkertijd complex is;
  • het gaat over uitwisseling van informatie, over transacties en financiële zaken+
  • er wordt gewerkt met vast omschreven personeelsbeleid en beheersactiviteiten.

Een eerste exercitie is gedaan met een IKAP-proces. De pilot wordt vervolgd en nader uitgewerkt, P-Direkt wacht de verdere ontwikkeling af en staat open voor nieuwe initiatieven.

De resultaten van deze pilot en de pilots van andere deelnemende partijen zijn eind november aan de digicommissaris Bas Eenhoorn aangeboden en na te lezen op de website www.blockchainpilots.nl.