Kamerstuk 35200-VII-7

Lijst van vragen en antwoorden, gesteld aan de Algemene Rekenkamer, over het rapport Resultaten verantwoordingsonderzoek 2018 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (VII)

Dossier: Jaarverslag en slotwet Ministerie van Binnenlandse Zaken en Koninkrijksrelaties 2018

Gepubliceerd: 5 juni 2019
Indiener(s): Erik Ziengs (VVD)
Onderwerpen: begroting financiƫn
Bron: https://zoek.officielebekendmakingen.nl/kst-35200-VII-7.html
ID: 35200-VII-7

Nr. 7 LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 5 juni 2019

De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen voorgelegd aan de Algemene Rekenkamer over de brief van 15 mei 2019 inzake het rapport Resultaten verantwoordingsonderzoek 2018 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (VII) (Kamerstuk 35 200 VII, nr. 2).

De Algemene Rekenkamer heeft deze vragen beantwoord bij brief van 4 juni 2019. Vragen en antwoorden zijn hierna afgedrukt.

De voorzitter van de commissie, Ziengs

De griffier van de commissie, Roovers

Vraag 1

Waarom verschillen rapporteringstoleranties voor de verschillende toeslagen?

Uit de door de Minister van Financiën vastgestelde Rijksbegrotingsvoorschriften volgt dat de rapporteringstoleranties afhankelijk zijn van de financiële omvang van de financiële stroom (het begrotingsartikel) waar de toeslagen deel vanuit maken en van de totale omvang van een begroting (totaal van alle begrotingsartikelen). Om te voorkomen dat in verhouding kleine financiële stromen relatief te intensief moeten worden gecontroleerd, is er een differentiatie aangebracht.

Zo geldt voor een begrotingsartikel van minder dan € 250 miljoen een tolerantiegrens van 10%. Bij een begrotingsartikel van € 250 miljoen tot € 500 miljoen geldt een vaste tolerantiegrens van € 25 miljoen. Bij een begrotingsartikel van meer dan € 500 miljoen geldt een tolerantiegrens van 5%.

Voor de totalen van een jaarverslag/begroting bestaan vier grenzen. Bij een totale omvang van een begroting van minder dan € 250 miljoen geldt een tolerantiegrens van 10%. Bij een totale omvang van een begroting van € 250 miljoen tot € 1,25 miljard geldt een vaste tolerantiegrens van € 25 miljoen. Bij een totale omvang van een begroting van € 1,25 miljard tot en met € 50 miljard geldt een grens van 2%. Wanneer het totaal van de begroting meer dan € 50 miljard bedraagt, geldt een vaste ondergrens van € 1 miljard.

Vraag 2

Waarom geldt voor de huurtoeslag een tolerantie van 2% terwijl voor de overige toeslagen een ruimere norm van 5% wordt gehanteerd?

Voor het rapporteren van fouten en onzekerheden geldt de strengste norm. Dit betekent in het geval van de huurtoeslag dat de tolerantie voor het jaarverslag wordt gehanteerd, omdat die strenger is dan de tolerantie voor het artikel. Bij de andere departementen is dat niet aan de orde, omdat de financiële omvang van het totaal van die jaarverslagen vele malen hoger ligt dan die van het begrotingsartikel waarop de toeslagen worden verantwoord. Dit is het best te illustreren aan de hand van de realisatiecijfers 2018. We doen dit voor de huurtoeslag en de zorgtoeslag.

Huurtoeslag: Binnenlandse Zaken en Koninkrijksrelaties

De omvang van begrotingsartikel 3 Woningmarkt (uitgaven + ontvangsten) bedraagt € 5.476,0 miljoen. Daarvoor geldt op basis van de afgesproken grenzen een percentage van 5% als tolerantiegrens. Dat is een grens van € 273,8 miljoen.

Het totaal van uitgaven en ontvangsten waarover BZK zich verantwoordt is € 7.294,9 miljoen. Daarvoor geldt een rapporteringstolerantie van 2%. Dat is een grens van € 145,9 miljoen. Deze grens is in dit geval de strengste grens. Voor de huurtoeslag geldt dus een ondergrens van € 145,9 miljoen – dat is 2,7 procent van totaal artikel 3 Woningmarkt.

Zorgtoeslag: Volksgezondheid, Welzijn en Sport

De omvang van begrotingsartikel 8 Tegemoetkoming specifieke kosten (uitgaven + ontvangsten) bedraagt € 6.011,5 miljoen. Daarvoor geldt op basis van de afgesproken grenzen een percentage van 5% als tolerantiegrens. Dat is een grens van € 300,6 miljoen.

Het totaal van de uitgaven en ontvangsten waarover VWS zich verantwoordt is € 16.212,54 miljoen. Daarvoor geldt een rapporteringstolerantie van 2%. Dat is een grens van € 324,2 miljoen.

In dit geval is de tolerantiegrens voor het begrotingsartikel het strengst en voor de Zorgtoeslag geldt dus de ondergrens van € 300,6 miljoen – dat is 5% van totaal artikel 8 Tegemoetkoming specifieke kosten.

Vraag 3

Op welke wijze kan het perverse effect waardoor de huurtoeslag intensiever wordt gecontroleerd door de Auditdienst Rijk (ADR) dan de andere toeslagen weggewerkt worden?

Dit zou kunnen door uw Kamer het verzoek te laten doen aan de Minister van Financiën om met de vakministers de afspraak te maken dat voor alle toeslagen dezelfde grens geldt en deze afspraak vervolgens op te nemen in de Rijksbegrotingsvoorschriften.

Vraag 4

In hoeverre zijn de fouten en onzekerheden met betrekking tot de uitbetaling van de huurtoeslag te herleiden op foutieve informatie die door de aanvrager is verstrekt?

De Staatssecretaris van Financiën die verantwoordelijk is voor de uitvoering van de huurtoeslag kan deze vraag uitvoeriger beantwoorden. Uit de rapportages die wij voor ons onderzoek gebruiken blijkt dat de fouten en onzekerheden in de uitbetaalde huurtoeslagen voornamelijk komen door onjuiste huur-, object- en inkomensgegevens en door onjuiste informatie over de bewonerssamenstelling. De aanvrager dient er zorg voor te dragen dat de juiste gegevens worden aangeleverd.

We verwijzen u ook naar ons verantwoordingsonderzoek 20131 waarin we het systeem van zorgtoeslagen uitvoerig hebben bestudeerd, en tot de conclusie kwamen dat de Belastingdienst verbeteringen in het proces maar ten dele zelf in de hand heeft. We concludeerden ook dat «beleidskeuzes Staten-Generaal en beleidsdepartementen de Belastingdienst parten [spelen] bij toeslagen».

Vraag 5

Kunt u nader specificeren in welke mate de genoemde oorzaken van fouten en onzekerheden in de uitbetaalde huurtoeslag zijn gevonden?

Wij hebben hier geen nadere analyse op uitgevoerd.

Vraag 6

Wat zijn de redenen dat afnemers meestal niet om de resultaten van de audits, uitgevoerd door SSC-ICT, vragen en wat gebeurt er dan met de resultaten?

Wij hebben geen onderzoek verricht naar de redenen waarom afnemers meestal niet om de resultaten vragen en ook niet onderzocht wat er wel met de resultaten van de audits gebeurt. Het is aan de Minister van BZK om deze vraag te beantwoorden.

Door het laten uitvoeren van audits naar het IT-beheer en door het kennisnemen van de resultaten hiervan, kunnen alle betrokken actoren (eigenaar, uitvoerder, opdrachtgevers en de controlerend accountant) op een uniforme en efficiënte wijze zekerheid krijgen over de kwaliteit van het gevoerde IT-beheer en hun eigen verantwoordelijkheid bewaken ten aanzien van het IT-beheer.

Vraag 7

Wat is de reden van de nauwelijks geconstateerde vooruitgang op het gebied van IT-beheer in 2018 ten opzichte van 2017 voor het Ministerie van BZK?

We hebben ten opzichte van het vorige verantwoordingsonderzoek scherper zicht gekregen op het IT-beheer, onder meer door audits van de Auditdienst Rijk en door eigen onderzoek bij meerdere uitvoeringsorganisaties. In de Staat van de rijksverantwoording 2018 concluderen we: «Al met al is ons beeld van het IT-beheer bij de ministeries negatief: de rijksoverheid heeft op de meeste (financiële) IT-systemen nog onvoldoende grip. De slotsom is dat niet duidelijk is in hoeverre de continuïteit, betrouwbaarheid, vertrouwelijkheid en integriteit van de IT-systemen die de financiële processen van de rijksoverheid ondersteunen, zijn gewaarborgd. Het beheer vertoont in 8 situaties zodanig grote tekortkomingen, dat we die als onvolkomen moeten kwalificeren. We signaleren daarmee 3 onvolkomenheden meer dan in voorgaande jaren.»2

Aanvullend hierop is het van belang te melden dat we de Minister van BZK in het verantwoordingsonderzoek 20173 aanbevalen om de IT-organisaties die binnen de rijksoverheid verantwoordelijk zijn voor het beheer van kritische financiële informatiesystemen, verantwoording te laten afleggen over het gevoerde IT-beheer op basis van assurancerapportages. Aan de hand van deze rapportages kunnen alle betrokken actoren (eigenaar, uitvoerder, opdrachtgevers en de controlerend accountant) op een uniforme en efficiënte wijze zekerheid krijgen over de kwaliteit van het gevoerde IT-beheer en kunnen zij hun eigen verantwoordelijkheid bewaken ten aanzien van het IT-beheer. We constateerden dat in 2018 er niet meer assurancerapportages zijn opgesteld dan daarvoor: niet uit eigen beweging van de uitvoeringsorganisaties en ook niet naar aanleiding van een vraag vanuit opdrachtgevende Ministers. Oftewel: opdrachtgevende Ministers stelden nauwelijks eisen aan de beheeractiviteiten die zij aan deze organisaties hadden uitbesteed en zij waren onvoldoende op de hoogte van in hoeverre de uitbestede beheerprocessen in control waren. Verantwoording werd hoogstens gegeven in de vorm van een In Control Verklaring (ICV), wat al vereist was.

Vraag 8

Wat moet er gebeuren zodat het Rijk meer inzicht krijgt in de tekorten voor gekwalificeerd personeel bij het Rijk?

In de Staat van de rijksverantwoording 20184 geven wij aan dat het van groot belang is dat de rijksoverheid weet hoeveel personeel met welke kwalificaties zij op termijn nodig heeft. Wat dat betreft kunnen de meerjarige personeelsplannen, die de ministeries op dit moment maken, perspectief bieden. De ministeries zelf zouden immers het beste moeten weten wat zij nodig hebben en hoe zij daarop kunnen anticiperen. Daarbij hoort ook het maken van plannen voor wat te doen als het aanbod van voldoende gekwalificeerd personeel achterblijft bij de vraag. Alle organisatieonderdelen (ministeries en uitvoeringsorganisaties) binnen het Rijk moeten eind 2019 een actuele meerjarige personeelsplanning (MPP) hebben.

Vorig jaar benadrukten wij in het verantwoordingsonderzoek Wonen & Rijksdienst het belang van het verkrijgen van inzicht in de omvang en ontwikkeling van personeelstekorten, specifiek voor ICT’ers, inkoop- en financiële deskundigen5. Wij geven u in overweging om bij de Minister van BZK navraag te doen naar de stand van zaken rond dit vraagstuk.

Vraag 9

Sinds wanneer was de Minister bekend dat een aantal van de verbetermaatregelen waar P-Direkt en SSC-ICT in 2018 mee zijn gestart pas eind 2018 of begin 2019 geëffectueerd zou kunnen worden?

Het is aan de Minister van BZK om deze vraag te beantwoorden.

Vraag 10

Welke (nieuwe) bevoegdheden zijn voor de Minister van BZK onmisbaar om haar rol van het bevorderen van rijksbrede informatiebeveiliging uit te voeren?

Wij verwachten dat de Minister van BZK de grenzen van haar huidige bevoegdheden opzoekt. In ons rapport bij het jaarverslag van BZK over het jaar 2018 wijzen wij op de wenselijkheid om de bevoegdheden van de Minister van BZK in lijn te brengen met die van de Minister van Financiën6. De Minister van Financiën dient de doelmatigheid van het financieel beheer van het Rijk te bevorderen (art. 4.11 Comptabiliteitswet) en heeft 3 verschillende bevoegdheden: bezwaar, instemming/goedkeuring en aanwijzing. Dit type bevoegdheden kan de Minister van BZK meer mandaat geven om haar coördinerende rol met betrekking tot informatiebeveiliging goed uit te oefenen.

De bevoegdheid van bezwaar zou betekenen dat de Minister van BZK de informatiebeveiliging van een ministerie kan agenderen of zelfs kan escaleren naar de ministerraad. Met de bevoegdheid voor instemming zou de Minister toestemming geven voordat een andere Minister mag handelen. De bevoegdheid om een aanwijzing te geven, betekent dat een andere Minister moet handelen volgens aanwijzing van de Minister van BZK. Dit is van belang om op het hoogste niveau de status van de informatiebeveiliging bespreekbaar te maken en zo te kunnen verbeteren.

De bevoegdheden van de Minister van BZK op het gebied van informatiebeveiliging zijn sinds oktober 2018 verhelderd met bijvoorbeeld het wijzigen van het coördinatiebesluit7. De Minister van BZK heeft met het gewijzigde coördinatiebesluit op het gebied van informatiebeveiliging meer bevoegdheden gekregen om haar coördinerende taak voortvarend uit te kunnen voeren. Het is nu van belang deze bevoegdheden te koppelen aan concrete acties. Hierbij valt te denken aan het formaliseren en toekennen van mandaat van de Minister van BZK in het proces rondom de «In Control Verklaring» van de ministeries. Er wordt in het proces van de ICV’s door de Minister van BZK informatie opgevraagd betreffende het «in control» zijn van een ministerie. De Minister van BZK ontvangt echter niet alle informatie die wij van belang achten om haar coördinerende taak goed te kunnen uitvoeren.

Vraag 11

Wanneer de Minister niet één generiek GRC-kader voor Rijksbreed IT-beheer wil invoeren, wat is dan een andere oplossing om hetzelfde doel te bereiken?

Governance, Risk en Compliance (GRC) verwijst naar de gecoördineerde strategie van een organisatie voor het beheer van de brede kwesties van corporate governance, enterprise risk management (ERM) en of organisaties werken in overeenstemming met de geldende wet- en regelgeving.

Een IT-GRC-kader is een kader waarmee geborgd kan worden dat de belangrijkste IT-risico’s en eisen vanuit wet- en regelgeving worden ondervangen. Het schrijft per beheerproces beheersingsdoelstellingen voor en daarnaast toetsmaatregelen om vast te stellen dat de beheersmaatregelen zijn geïmplementeerd en werken.

Uit ons verantwoordingsonderzoek blijkt dat daadwerkelijk behoefte is aan kaders voor het IT- beheer. Zo heeft SSC-ICT in 2019 te maken met 7 departementen die ieder eigen eisen en wensen inbrengen. Een standaard GRC-kader dat rijksbreed wordt gehanteerd, zou de variëteit in eisen en wensen beperken en tevens de uniforme inrichting van IT-beheerorganisaties binnen de rijksoverheid bevorderen. Het IT-beheer binnen de rijksoverheid kan daarmee efficiënter en effectiever worden beheerst.

Het gaat ons niet om het implementeren van specifiek een «GRC-kader», maar de elementen die in een dergelijk kader zijn opgenomen zijn allemaal wel van wezenlijk belang voor adequaat IT-beheer. In ons nawoord bij het verantwoordingsonderzoek BZK 2018 schrijven we hierover het volgende: «Voor «Governance» betekent dit bijvoorbeeld integriteitsrichtlijnen, voor «Risk» ingebedde risicoanalyses en voor «Compliance» het voldoen aan de Algemene verordening gegevensbescherming (AVG) en de BIR. Deze elementen kunnen worden betrokken bij de door de Minister geïnitieerde, reeds lopende verkenning naar standaarden voor rijksbreed IT-beheer.»8

Binnen bovenstaand gedachtegoed zijn verschillende uitwerkingen mogelijk. Het is aan de Minister om hier invulling aan te geven. Onze aanbeveling benadrukt het belang van een gecoördineerde en uniforme aanpak gericht op risico’s en passende beheersingsmaatregelen.