Resultaten verantwoordingsonderzoek 2020 Ministerie van Algemene Zaken

De Algemene Rekenkamer heeft onderzoek gedaan naar het Jaarverslag 2020 en de bedrijfsvoering van het Ministerie van Algemene Zaken.

Onze conclusies

Het ministerie van Algemene Zaken (AZ) is een kleine organisatie, die gegeven de aard van de taken wel aan grote risico’s bloot staat, bijvoorbeeld op het gebied van informatievoorziening en -beveiliging. We zien dat door gebeurtenissen buiten de reguliere werkzaamheden om (zoals de uitbraak van het nieuwe coronavirus en de verhuizing) de reguliere bedrijfsvoering en de doorlooptijd van vernieuwingsprojecten onder druk komen te staan. Het Ministerie van AZ is hierin kwetsbaar. We vragen daarom aandacht van de minister van Algemene Zaken voor continuïteit en kwaliteit van de bedrijfsvoeringsprocessen.

Lifecyclemanagement Ministerie van Algemene Zaken behoeft aandacht

Het beheerst en planmatig onderhoud van het IT-landschap wordt ook wel lifecyclemanagement (LCM) genoemd. Een goed ingericht lifecyclemanagementproces verkleint het risico dat niet-functionerende of verouderde IT-systemen de dienstverlening aan burgers en bedrijven verstoren. De departementale chief information officer (CIO) is de belangrijkste adviseur van de minister op het gebied van het IT-landschap van het ministerie. Planmatig en beheerst onderhoud van het IT-landschap begint met het hebben van inzicht: welke applicaties en software zijn binnen het ministerie in gebruik en wanneer zijn deze aan vervanging toe? Welke kosten zijn daarmee gemoeid? Het inzicht dat de CIO van het Ministerie van Algemene Zaken heeft in het IT-landschap van Algemene Zaken is thans niet volledig en behoeft aandacht. Met beter inzicht in de status van het IT-landschap en de financiële aspecten kan de CIO gerichter sturen op onderhoud van IT en daarmee op de continuïteit van de processen binnen het ministerie.

Informatiebeveiliging grotendeels op orde

Voor informatiebeveiliging bij het Ministerie van Algemene Zaken deden wij in het in het verantwoordingsonderzoek 2019 een aanbeveling om het incidentmanagement verder te verbeteren. De minister van Algemene Zaken heeft deze aanbeveling deels opgevolgd. Gecombineerd met de bevindingen over de werking van het risico- en incidentmanagement voor Webex en WhatsApp concluderen we dat de risico’s op informatiebeveiliging voldoende worden beheerst door het ministerie. Wel vragen we aandacht voor het expliciet afwegen van informatiebeveiligingsrisico’s bij de introductie van nieuwe applicaties binnen het Ministerie van Algemene Zaken. Wij herhalen daarnaast de aanbeveling uit het verantwoordingsonderzoek 2019: Maak helder welke procesbeschrijvingen gehanteerd moeten worden bij het incidentmanagement, zodat de werking geëvalueerd en verbeterd kan worden in de Plan-Do-Check-Act-cyclus (PDCA-cyclus).

AZ oordeel

Verder in het rapport

  • Hoofdstuk 2 Feiten en cijfers
  • Hoofdstuk 3 Financiële informatie
  • Hoofdstuk 4 Bedrijfsvoering
  • Hoofdstuk 5 Beleidsresultaten
  • Hoofdstuk 6 Reactie minister en nawoord Algemene Rekenkamer