Preview document (🔗 origineel)

---

Met veel belangstelling hebben wij kennisgenomen van het ‘Interim-auditrapport 2025 ministerie van Justitie en Veiligheid (VI)’ met kenmerk 2025-0000464898, dat wij woensdag 8 oktober van u hebben mogen ontvangen.

Vanaf het verantwoordingsjaar 2025 heeft het ministerie van Asiel en Migratie (AenM) een separaat (interim-)auditrapport en, als gevolg, een separate managementreactie. Voorheen werden bevindingen en ontwikkelingen met asiel- en migratieonderwerpen gerapporteerd in de (interim) auditrapporten en managementreacties van het ministerie van Justitie en Veiligheid (JenV). Voor de bevindingen op het terrein van AenM verwijs ik u door naar de managementreactie op het interim-auditrapport 2025 van het ministerie van Asiel en Migratie.

Uw jaarlijkse interim-controle is voor het ministerie van Justitie en Veiligheid (in het vervolg JenV) van toegevoegde waarde, omdat u voor het einde van het lopende jaar inzicht geeft in uw zorgpunten, mogelijke risico’s, belangrijke ontwikkelingen, eventuele handelingsperspectieven en potentiële bevindingen die voor JenV van belang kunnen zijn. Uw tussentijdse beeld geeft weer waar wij nog (structureel) aan moeten werken.

Algemeen beeld

Wij herkennen uw bevindingen en aanbevelingen in het interim-auditrapport en er zijn geen discussiepunten of verschillen van inzicht. In algemene zin constateert u wederom dat JenV een positieve trend volgt ten aanzien van de door u beoordeelde bevindingen.

Naast de bovengenoemde bevindingen, ziet u veel ontwikkelingen die mogelijk van invloed zijn op het financieel beheer van JenV. Het is onze verantwoordelijkheid om de gevolgen van deze ontwikkelingen goed te beheersen. Het vergt tijd, capaciteit en prioritering om de positieve trend voort te zetten dat JenV het financieel beheer op orde heeft.

Bevindingen 2024

Wij onderschrijven uw tussentijdse beeld met betrekking tot de bevindingen Informatiebeveiliging, factuurverwerking & inkoopbeheer DJI en prestatieonderbouwing agentschappen zonder controleverklaring.

U constateert dat er bij alle bevindingen een zichtbare verbetering is opgetreden ten opzichte van jaareinde 2024. Wij blijven ons inspannen om de verbeteringen voort te zetten. De reeds ingezette verbetermaatregelen zullen gecontinueerd worden in de rest van 2025. Er zullen aanvullende verbetermaatregelen ingezet worden om de bevindingen verder te verhelpen.

Informatiebeveiliging

De ADR constateert dat JenV verbetering laat zien op het onderwerp informatiebeveiliging, maar dat er ook nog aandachtspunten zijn. Zo blijft de informatiedeling over en bewustwording rond informatiebeveiliging een aandachtspunt. Hier wordt aan gewerkt, onder andere door het proces informatiedeling aan te scherpen en nader uit te werken.

Daarnaast wordt het onderwerp informatiebeveiliging steeds vaker geagendeerd in de bestuurlijke driehoeksoverleggen, waarbij de CIO en de CISO direct betrokken zijn. Het streven blijft om jaarlijks een 80% deelname aan de weerbaarheidstrainingen te realiseren, om de bewustwording binnen het ministerie verder te vergroten. Hiervoor wordt blijvend aandacht gevraagd van management en medewerkers.

Er is een verbeterplan opgesteld voor de opvolging van aanbevelingen uit redteamonderzoeken. Dit voorziet onder andere in het structureel borgen van redteamonderzoeken door de lijnorganisatie. Ook de opvolging van aanbevelingen wordt beter geborgd, door de uitwerking van de voorgestelde driejaarlijkse kwaliteitsaanpak op redteamonderzoeken. Het programma Informatiebeveiliging 2.0 kent een transitiejaar (2026) waarin onder meer redteamonderzoeken structureel in de lijn belegd worden. Hiermee kunnen dit onderdeel en het programma als geheel eind 2026 worden afgebouwd, afgerond en overgedragen aan de lijnorganisatie.

U constateert daarbij dat JenV gestart is met de aanpak van achterstanden op accreditatie. Ondanks de personele uitbreiding is er nog onvoldoende capaciteit voor het inlopen van de achterstand in accreditaties. Hier zal aanvullende aandacht aan worden besteed in 2026.

Factuurverwerking en inkoopbeheer DJI

Wij (h)erkennen de bevindingen en zijn verheugd dat alle inspanningen hebben geleid tot zichtbare verbeteringen in het proces van de factuurverwerking; en specifiek het prestatieverklaren. Tegelijkertijd zien wij dat er nog werk te doen is.

Voor zowel de interne controles omtrent Somatische Zorg als voor de leasekosten is een controleplan opgesteld. Wij zullen in samenspraak met de uitvoerende organisatieonderdelen de komende maanden verder inzetten op het verbeteren van de uitvoering van het controleplan Somatische Zorg. Het controleplan van de leasekosten is in 2025 gestart, eind 2025 zullen de mate en kwaliteit van de uitvoering worden geëvalueerd. De eindafrekening van RBL-facturen betreft een Rijksbreed probleem, waar DJI niet de lead in heeft. Er lopen gesprekken om dit probleem op te lossen. De evaluatie van de factuurselectie voor de tariefcontrole die het FDC namens DJI uitvoert, heeft plaatsgevonden. Vervolgstappen zullen doorgevoerd worden.

Er is binnen DJI een beleidstraject in afronding over hoe om te gaan met het inhuren van psychologen/psychiaters, naar aanleiding van de geconstateerde onrechtmatigheid vanwege het niet Europees aanbesteden en in het licht van de ontwikkelingen op de Wet DBA. Als resultaat zijn er veel psychologen en psychiaters in dienst getreden. Hierdoor wordt de geconstateerde onrechtmatigheid voor 2026 gedecimeerd ten opzichte van 2025. Op basis van de nieuwe ontstane situatie, en de geleerde lessen hiervan, wordt er een inkoopstrategie bepaald en eventueel marktconsultatie opgestart.  

Het IUC heeft begin dit jaar herhalingsessies voor het tegenlezen van inkoopdossiers georganiseerd voor alle inkoopadviseurs. Daarnaast is dit een prominenter onderdeel geworden binnen de onboarding van nieuwe medewerkers. Ook is er actief aandacht voor de opvolging van feedback voortkomend uit het tegenlezen van inkooptrajecten vanuit het verbeterplan Optimalisatie Inkoopkwaliteit IUC.

Ten slotte worden al uw constateringen op het gebied van tegenlezen, teruggekoppeld en opgepakt met de Senior Adviseurs Inkoop (SAI) van de teams waar de opmerkingen betrekking op hebben.

Het IUC zal volgens afspraak tot eind 2025 rapporteren op basis van spend, deze zullen aan het eind van het jaar omgerekend worden naar verplichtingen. Daarnaast is er afgesproken dat DFEZ met DI&I gaat onderzoeken op welke wijze het structureel rapporteren op basis van verplichtingen ingericht kan worden.

Financieel-administratieve verwerking van beleidsprocessen

U constateert dat zichtbare verbetering opgetreden is bij het prestatieverklaren bij de agentschappen NFI, Justid, Justis en JIO. Door middel van de eerder geïmplementeerde trainingen en informatiesessies worden medewerkers zich meer bewust van het belang van volledige en betrouwbare prestatieverklaringen. Daarnaast wordt de data-analysetool waarmee de tijdigheid, volledigheid en kwaliteit van de prestatieverklaringen bewaakt wordt, door steeds meer medewerkers gebruikt.

Wij zullen doorgaan met het verspreiden van de tool, zodat ieder agentschap zonder controleverklaring deze zal gebruiken. De verwachting is daarmee dat de verbetering van de kwaliteit in de Administratieve Organisatie/Interne Bedrijfsvoering (AO/IB) van de 1^e lijn zal doorzetten in 2025, met als gevolg een vermindering van de controledruk.

Daarnaast zijn de agentschappen bezig met het implementeren van uw handelingsperspectieven. De laatste stand van zaken zal toegelicht worden door de agentschappen in het najaar 2025.

Ontwikkelingen

De onderstaande ontwikkelingen hebben volgens uw onderzoek mogelijk invloed op het financieel- en materieel beheer van JenV (en in een aantal gevallen AenM):

• Beveiliging Subsidieportaal moet snel beter

• Het subsidieproces bevat hiaten

• Inbreuk ICT OM

• Projectgelden agentschappen

• Indexatie tarieven en bijdragebrieven

• Oplevering jaarstukken vraagt op onderdelen aandacht

Wij spannen ons in om deze ontwikkelingen te beheersen en waken ervoor dat deze ontwikkelingen niet evolueren tot bevindingen of onrechtmatigheden. Daarnaast monitort JenV de bovenstaande ontwikkelingen.

U constateert met betrekking tot de beveiliging van het Subsidieportaal dat alle gebruikers over ruime autorisaties beschikken, waardoor de gebruikers veel gegevens kunnen aanpassen. Daarnaast constateert u dat er niet geborgd was welke applicatiebeheersmaatregelen geïmplementeerd zijn. JenV herkent uw constateringen over de beveiliging van het Subsidieportaal. Wij hebben actie ondernomen aan de hand van de door u gegeven adviezen. Gezien de beperkte, faciliterende rol van de applicatie, achten wij de risico’s voor het subsidieproces gering.

Ter verbetering van het autorisatiebeheer, hebben wij de gebruikerslijst opgeschoond en zijn de afspraken over het gebruik van beheeraccounts opnieuw vastgesteld. Het afdelingshoofd van Subsidieportaal zal periodiek de toegekende autorisaties controleren.

Daarbij concludeert u dat het Subsidieproces hiaten bevat, u constateert dat er geen actuele subsidieprocesbeschrijving is en dat het accountantsprotocol niet COPRO-proof is. Wij hebben dit zorgvuldig bekeken en met betrokkenen besproken, er zijn verbeteracties opgezet: De bestaande procesbeschrijving wordt geactualiseerd en zal een geheel gaan vormen met de andere deelprocessen.

De rollen en verantwoordelijkheden zullen nogmaals geagendeerd worden in het opdrachtgeversoverleg en met de verantwoordelijke beleidscollega’s zal er besproken worden welke aanvullende maatregelen nodig voor de verantwoording. Daarbij heeft COPRO inmiddels gereageerd op het accountantsprotocol. In afstemming met NBA zal het protocol afgerond worden.

In juli 2025 heeft het OM tijdelijk de systemen afgesloten in verband met de ICT-inbreuk. Dit heeft grote impact gehad op de primaire processen van het OM en de ketenpartners, met achterstanden als gevolg. Een onafhankelijk commissie zal onderzoek doen naar de ICT-inbreuk en de resulterende impact op de strafrechtketen.

Met vriendelijke groet,

Directeur Financieel Economische Zaken

Ministerie van Justitie en Veiligheid