Rijksbreed IT-beheer vergt lange termijn aanpak met CxO raden

De Jonge meldt: In de onderstaande tabel zijn de onvolkomenheden, die zijn gerapporteerd in het Verantwoordingsonderzoek 2022, gerangschikt naar de te verwachten termijn van oplossen. Hiervoor is dezelfde categorisering aangehouden die de afgelopen drie jaar is gebruikt. Per categorie zal na de tabel voor iedere onvolkomenheid nader worden toegelicht hoe in de opvolging is voorzien.

1. Beschouwd als opgelost
   

De onvolkomenheid SSC-ICT beveiliging IT-componenten wordt beschouwd als opgelost omdat alle verbetermaatregelen al waren uitgevoerd in 2022, waarvan alleen de werking nog in 2023 moet worden aangetoond. De IT-systemen die SSC-ICT beheert kennen onderliggende componenten, zoals databases, die beveiligd moeten zijn tegen ongeautoriseerde toegang, wijzigingen of dataverlies. In 2022 zijn nog openstaande bevindingen van de Auditdienst Rijk opgelost en een aantal specifieke maatregelen vanuit het verbeterproject ‘Hardening’ voltooid. Het doel van ‘hardening’ is om zo veel mogelijk veiligheidsrisico’s te elimineren. In 2022 is verder gewerkt aan het systematisch versterken van het stelsel van interne controle en beheersing door de implementatie van het In Control Framework. De werking van het In Control Framework wordt in 2023 geëvalueerd en doorontwikkeld. In 2023 gaat het er nog om dat de monitoring aantoonbaar moet functioneren.

Dit jaar oplosbaar

Met dit jaar oplosbaar wordt bedoeld dat de voorziene verbetermaatregelen dit jaar in opzet worden geïmplementeerd. De vervolgstap is dat ook de werking van die verbetermaatregelen aantoonbaar moet zijn. Het kan zijn dat pas over het jaar 2024 die werking aantoonbaar wordt gevonden door de AR.

• De onvolkomenheid Voorschottenbeheer agentschappen categoriseerde ik vorig jaar als opgelost, omdat de verbetermaatregelen in 2021 al waren geïmplementeerd.

Om voorschotten van BZK aan de agentschappen binnen het Rijk voldoende te onderbouwen en monitoren, waren in 2021 verbeteringen doorgevoerd in de processen, de werkinstructies en de monitoring. In 2022 is opnieuw dossieronderzoek gedaan door de directie Financieel Economische Zaken (FEZ) en de Auditdienst Rijk (ADR) om inzicht te krijgen in de werking van de verbeteringen, met een aanvullend dossieronderzoek later in het jaar. Hieruit blijkt dat de aangescherpte werkinstructies effect hebben en er geen sprake is van parkeren van begrotingsgeld in de geanalyseerde periode.
Om een kwaliteitsslag te maken zodat het proces van het verstrekken van voorschotten aan de agentschappen beter gemonitord en beheerst kan worden, wordt vanaf 2022 een nieuwe tool ontwikkeld. Dit zorgt voor meer inzicht in de voorwaarden en afspraken over de voorschotverlening aan agentschappen. Deze automatiseringsslag, die nog doorloopt in 2023, vormt het sluitstuk voor het structureel monitoren van de voorschotten. Vanuit dat oogpunt wordt deze automatiseringsslag als laatste verbetermaatregel gezien en dat verklaart waarom hij nu als ‘dit jaar oplosbaar’ is gecategoriseerd.

• Om in de tussentijd, totdat de tool geïmplementeerd is, de voorschotten goed te kunnen monitoren, is ervoor gekozen om naast de maandelijkse overleggen van Financieel Beheer met de beleidsdirecties (die de opdrachten verstrekken aan de agentschappen), in 2023 tijdelijk te werken met een checklist. Uit een onlangs uitgevoerde dossiertoets is gebleken dat deze checklist nog consequenter toegepast kan worden.
• De Rijksdienst voor Identiteitsgegevens (RvIG) ontvangt jaarlijks assurance rapportages waarmee de juistheid en de volledigheid van de berichtenaantallen uitgewisseld tussen klant en de Basisregistratie Personen (BRP) kan worden aangetoond. Voor één van de assurance onderzoeken 2022 is met een beperkte reikwijdte gerapporteerd, waardoor het juist tot stand komen van de opbrengsten van RvIG over 2022 niet volledig aantoonbaar was.
• Er is een verbeterplan opgesteld om de bevindingen uit het assurance onderzoek 2022 op te lossen. De voortgang van de uitvoering van de verbetermaatregelen wordt op maandbasis gerapporteerd door de leverancier aan RvIG. De uitbreiding van taken, en de beschikbare capaciteit bij de betreffende leverancier zorgen ervoor dat RvIG moet prioriteren. Hierdoor lopen verbeteracties door in 2024. RvIG neemt in overleg met de leverancier in 2023 maatregelen om de restrisico’s te beperken. Over de prioritering vinden gesprekken plaats met de opdrachtgever BZK.
• De afgelopen twee jaar werd in deze brief toegezegd dat de onvolkomenheid van RvIG dat jaar oplosbaar zou zijn. Voor controlejaar 2023 is de verwachting dat de assurance rapportages begin 2024 beschikbaar zullen zijn die ook inzicht geven in de effectiviteit van beheersmaatregelen. Daarmee zijn alle punten uit het plan van aanpak voor de onvolkomenheid gerealiseerd. Ondanks de ambitie om de onvolkomenheid op te lossen, bestaat de kans dat herprioritering effect heeft op de assurance rapportage en het kunnen oplossen van de onvolkomenheid.
• Over 2022 heeft de AR tekortkomingen geconstateerd in het inhuurproces van SSC-ICT voor externen, waardoor er niet in alle gevallen voldaan is aan de hiervoor geldende eisen.
• Daarom worden er in 2023 aanvullende verbijzonderde interne controlemaatregelen opgenomen in het inkoopproces. Daarmee komt het proces in 2023 op orde. Daarnaast worden er verbeteringen in de inkoopsystemen doorgevoerd, die zeer waarschijnlijk nog niet in 2023 effectief zullen zijn.
• Het verbetertraject om de onvolkomenheid IT-beheer SSO-CN op te lossen is sinds eind 2021 in de nodige versnelling gekomen. Over 2022 zag de AR voortgang in het verbeteren van de informatiebeveiliging, en IT-beheer in het algemeen. SSO-CN gaat in 2023 verder met de resterende verbeterpunten en is voornemens de verbetermaatregelen in 2023 af te ronden. SSO-CN is zich bewust van de risico’s die de AR daarbij voorziet, te weten het personeelsverloop in het management en mogelijke veranderingen in de wensen van afnemers.
  Tijdens het wetgevingsoverleg op 27 juni 2023 over het jaarverslag en de slotwet 2022 Koninkrijksrelaties en het BES-fonds heeft de staatssecretaris toegezegd u aan het einde van dit jaar te informeren over de stappen die zijn gezet voor de onvolkomenheid van SSO-CN. Dat zal dus ook nog gebeuren

• Langere termijn

Binnen de categorie ‘langere termijn’ valt de onvolkomenheid Rijksbreed IT-beheer waarvoor de aanpak om deze op te lossen langer nodig heeft dan het lopende jaar. Het afronden van de verbetermaatregelen loopt namelijk door tot in 2024. De staatssecretaris werkt aan een algemene herziening van het CIO-stelsel om de toezichthoudende rol steviger in te kunnen vullen. Dit houdt in dat er in het eerste kwartaal van 2024 een update komt op het besluit CIO-stelsel. Met deze update wordt een aantal punten toegevoegd zoals:

• Het toevoegen van onderraden aan het CIO-beraad, gedacht wordt aan bijvoorbeeld de CTO-raad (Chief Technology Officer), Architectuur-raad, CPO-raad (Chief Privacy Officer) en de CDO-raad (Chief Data Officer)

• Herzien van het functioneren van de onder(raden) van het CIO-Beraad.

Er wordt een evaluatie van het huidige CIO-stelsel uitgevoerd door de ADR. De resultaten van dit onderzoek worden in het voorjaar van 2024 verwacht, waarna deze kunnen worden meegenomen in de noodzakelijke versterking van het stelsel.
Voor de onvolkomenheid Rijksbreed IT-beheer constateert de Algemene Rekenkamer dat in 2022 stappen zijn gezet om de rijksbrede rol van BZK in het CIO-stelsel beter in te vullen. De AR geeft daarbij aan dat de kaderstellende rol verder wordt ingevuld, maar dat de toezichthoudende rol nog onvoldoende is ingevuld. De openstaande actiepunten komen daarom ook terug in de vervolgaanpak voor deze onvolkomenheid. In 2023 en 2024 zullen de verbetermaatregelen verder worden geïmplementeerd.

De volgende twee belangrijke maatregelen worden genomen:

1. Door een jaarlijks terugkerend inzicht in de volwassenheid van het IT-beheer kan actief gestuurd worden op het verbeteren van het IT beheer waar nodig. Deze sturing zal voornamelijk gedaan worden via dezelfde methode die nu gebruikt wordt voor de informatiebeveiliging binnen het CISO-stelsel (CIO-, en CISO-gesprekken en de hieraan gerelateerde interdepartementale overleggen).

De C-functionarissen gaan jaarlijks in gesprek over de departementale plannen om de bedrijfsvoering te verbeteren en rapporteren daarover aan CIO Rijk. De CIO Rijk zal ze in het jaarlijkse gesprek aanspreken als blijkt dat er onvoldoende inzicht of voortgang is.

1. De door CIO Rijk beheerde kaders met betrekking tot IT-beheer zullen in een jaarlijkse cyclus worden beoordeeld door de departementen. Deze beoordeling zal gebruikt worden om procesmatig bestaande kaders, zoals het handboek lifecyclemanagement (LCM), aan te passen of nieuwe toe te voegen,. Deze kaders zijn gericht op de continuïteit (onderhouden, beveiligen en vernieuwen) van IT-systemen.

Deze tweede maatregel zal in 2023 worden geïmplementeerd en in 2024 de eerste jaarlijkse cyclus doorlopen. Voor de eerste maatregel, de uitvraag om inzicht te kunnen krijgen in de volwassenheid van IT beheer, is in 2023 de basis gelegd door een nulmeting uit te voeren bij de departementen en een aantal interne dienstverleners. Via het Informatiestatuut wordt vastgelegd dat vanaf 2024 hierover jaarlijks wordt gerapporteerd. De nulmeting vormt de input voor de eerste uitvraagcyclus die verder uitgewerkt moet worden. Daarom loopt de maatregel door in 2024.

1. Proactief handelen

Net als voor de onvolkomenheden, is ook voor de aandachtspunten uit het Verantwoordingsonderzoek een plan van aanpak opgesteld en wordt de opvolging daarvan ook door de Monitoringscommissie bewaakt. Dit doen we om te voorkomen dat deze aandachtspunten verslechteren. Daarom wil mijn ministerie hier proactief op handelen.