Sinds de vorming van de 25 Nederlandse 3politieregio’s in 1994 is het financieel beheer wel verbeterd, maar nog niet goed genoeg. Dat geldt ook voor de financiële informatiesystemen die daarvoor van belang zijn, aldus de Algemene Rekenkamer in een rapport van eind 1998.
Op Amsterdam-Amstelland na, dat FMS-400 heeft, gebruiken alle politieregio’s het systeem Farao. Omdat een externe leverancier de systemen heeft ontwikkeld en onderhoudt, bezit geen enkele regio’s ontwerp- en testdocumentatie. Beide systemen doen niet meer dan de financiële administratie automatiseren. Omdat ze verouderd zijn, selecteert een landelijke werkgroep een vervangend systeem. Toch heeft de Rekenkamer nog een aantal zaken onderzocht: welke waarborgen er zijn voor de betrouwbaarheid en (toegangs)beveiliging van Farao en FMS bij de regio’s, hoe het is gesteld met de informatiebeveiliging, en of edp-auditors wel eens een systeem bekijken.
De procedures voor en de controle op toekenning, wijziging en intrekking van systeemautorisaties moeten worden aangescherpt, aldus de Rekenkamer. Voor informatiebeveiliging hebben alleen Groningen en Haaglanden een beleid dat gebaseerd is op risico-analyses. Zeven regio’s kennen een concept-beveiligingsbeleid, een plan van aanpak of een kaderdocument. De overige zestien hebben geen beleid. In bijna alle regio’s ontbreekt een overzicht van de maatregelen die betrouwbaarheid en beveiliging moeten waarborgen. Er is aandacht voor enkele essentiële beveiligingsmaatregelen, maar er zijn ook lacunes wat betreft calamiteitenplannen, backups en uitwijkvoorzieningen. Twaalf regio’s hebben nog nooit een edp-auditor ingeschakeld voor hun financieel systeem. Waar dat wel was gebeurd, kwamen ‘belangrijke tekortkomingen’ naar voren.