Den Haag – Stond bij de Rijksdienst Caribisch Nederland eerst de achterdeur van het IT-systeem wagenwijd open en was er onvoldoende zicht op de toewijzing van uitkeringen, nu blijkt er van alles mis met het gebruikersbeheer van de financiële administratie.
In een interim-rapportage die minister van BZK De Jonge vandaag naar de Tweede Kamer heeft gestuurd, stelt de Auditdienst Rijk (ADR) dat er sprake is van misbruik- en frauderisico omdat er te weinig toezicht is op de rechtmatigheid van betalingen
De schrijft de ADR over de Shared Service Organisatie van RCN
In 2022 hebben we geconstateerd dat de informatiebeveiliging bij SSO Caribisch Nederland (CN) in opzet is verbeterd. De werking van de getroffen maatregelen zullen wij in het najaar onderzoeken als de organisatie is gevorderd met de uitvoering van de verbetermaatregelen.
In onze interim-controle hebben we verder de general IT-controls (GITC) onderzocht, en hebben wij medio 2023 verbetering geconstateerd in het wijzigingsbeheer, beveiliging van componenten en back-up en recovery.
In het gebruikersbeheer van SAP zijn te ruime rechten aangetroffen, zonder maatregelen (onder andere in het financieel beheer) die erop toe zien dat deze rechten juist worden gebruikt. Hiermee loopt de organisatie risico op misbruik van verhoogde rechten met als mogelijk gevolg financiële schade (frauderisico).
Verder was in 2022 sprake van verouderde software van specifieke klant applicaties, die SSO-CN verhinderden om de juiste beveiligingsmaatregelen te treffen. Hierbij hebben we het belang aangegeven van het in gezamenlijkheid bespreken van de eisen en wensen op het gebied van IT-security en de samenhang op het gehele beveiligingsstelsel te bewaken. SSO-CN heeft onlangs maatregelen getroffen om dit risico te borgen. In het najaar zullen wij deze onderwerpen nader onderzoeken.
SSO-CN is bezig met het onderzoeken van de noodzaak en waar nodig intrekken van ruime rechten. Wij adviseren de toekenning van rechten zoveel als mogelijk te beperken. Verder adviseren wij het gebruik van ruime rechten actief te monitoren om risico’s op misbruik te mitigeren. Tot implementatie van deze monitoring adviseren wij SSO-CN om gerichte controles op de betalingen uit te voeren, om de rechtmatigheid van de betalingen te borgen en mogelijke financiële schade als gevolg van misbruik/fraude te voorkomen.