Posts By: ClientAdmin

Integrale interne beheersing ter voorbereiding op de rechtmatigheidsverantwoording. Pak die kans!

Integrale interne beheersing ter voorbereiding op de rechtmatigheidsverantwoording. Pak die kans!

Posted on by in Nieuws with no comments

De aankomende rechtmatigheidsverantwoording vanaf verslagjaar 2021 is bij uitstek geschikt om over te stappen naar integrale interne beheersing en afscheid te nemen van het denken en handelen in silo’s omdat silo’s tot verkokering leiden en nimmer tot een volwassen beheersorganisatie. Doorgaan met afzonderlijke silobeheersing betekent blijven aanmodderen met veelal hoge (verborgen) beheerskosten en dat past niet meer in deze tijd van vergaande digitalisering, complexe beheersvraagstukken, reputatieschade en toenemende verantwoordingsdruk op allerlei thema’s.

door drs. Gerrit Goud RA

Herkent u zich in bovenstaande tekst en in de pilaren zoals gevisualiseerd waarbij elke pilaar vanuit afzonderlijke beleidsdocumenten worden opgetuigd en niet in alle gevallen de aandacht krijgt die het werkelijk verdient? Zoals bijvoorbeeld de CISO die er alleen voor staat en worstelt met verantwoordelijkheden en eigenaarschap in de 1e verdedigingslijn, terwijl hetzelfde probleem zich voordoet bij de privacy officer en controller vanuit zijn (financiele) rechtmatigheidsdomein. Dat gaat de CISO in zijn eentje niet lukken. Daarvoor zijn krachten nodig vanuit een hogere macht.

Om die krachten te mobiliseren is vanuit interne beheersing een omslag nodig door niet meer te handelen vanuit afzonderlijke silo’s maar juist de verbinding en samenwerking te zoeken tussen de verschillende disciplines. De afzonderlijke ‘poortwachters’ in de 2e verdedigingslijn behoren te gaan samenwerken en hun krachten te bundelen door als team naar buiten te treden in plaats van afzonderlijke individuen. Als team sta je immers sterker en kan de boodschap waarom bepaalde beheersmaatregelen noodzakelijk zijn beter worden onderbouwd. Zo ook geldt dit voor bedrijfsprocessen die aan een of meerdere thema’s moeten voldoen en dan heeft een integrale benadering de voorkeur op een silobenadering. Voor de goede orde, verticaal themabeleid blijft noodzakelijk alleen als fundament voor interne beheersing is een horizontale benadering nodig en dat laatste ontbreekt bij veel gemeenten. Weliswaar is er een verordening financieel beleid bij gemeenten maar die is verticaal gericht en daarmee qua scope te beperkt.

Verandering vereist wel visie, ambitie en beleid vanuit de top gericht op integrale interne beheersing met een stip op de horizon. Daarvoor is voorbereiding en een zorgvuldige opbouw nodig om de top te overtuigen van nut en noodzaak ten aanzien van integrale interne beheersing. De focus is dan vooral gericht op een beheersorganisatie vanuit het principe van three lines of defence (3LOD) waarmee elk gewenst thema kan worden beheerst. En dan gaat het niet zozeer om de inhoud die verticaal geregeld is, maar juist om de bouwstenen van interne beheersing (zie eerdere blogs) en het daarmee in continuïteit borgen van deze inhoud. En die aanpak biedt kansen tot kwaliteitsverbetering en tot aanzienlijke kostenbesparingen op interne beheersing. Daarvoor is wel een integraal intern beheersingssysteem nodig om synergievoordelen te realiseren en is er geen ruimte voor verticale thema-oplossingen die hooguit leiden tot suboptimalisatie.

Uiteraard vergt dit investeringen maar die verdienen zich dubbel en dwars terug. Ga maar eens na hoeveel fte en externe inhuur zich thans bezighoudt met interne beheersing en in veel gevallen ingezet wordt om (helaas) achteraf te repareren in plaats van vooruit te kijken en continu te verbeteren. Dat kan beter, slimmer en goedkoper door onder meer gebruik te maken van onze GRC-software als integraal intern beheersingssysteem.

De voordelen van integrale interne beheersing zijn inmens maar komen niet vanzelf. Daarvoor is zoals eerder aangegeven visie, ambitie en beleid nodig en dat begint bij de top. Het interessante is dat de kans hiertoe fors is toegenomen vanwege de aankomende rechtmatigheidsverantwoording vanaf verslagjaar 2021 die behoorlijke gevolgen heeft op de beheersorganisatie. Ook het college en de directie zijn hierbij aan zet en die zoeken garantie dat de interne beheersing op orde is en dat dit als zodanig kan worden aangetoond. In dat kader is het van belang dat de concerncontroller vanuit zijn rol om vooruit te kijken het initiatief naar zich toetrekt. Vanuit dat initiatief kan de basis gelegd worden voor integrale interne beheersing en tegelijk het einde worden ingeluid van de silobenadering.

Wij hebben voor dit transitieproces een stappenplan opgesteld, te beginnen met een Quick Scan Rechtmatigheid (QSR) die we in een vorige blog onder de aandacht hebben gebracht en waarmee inmiddels diverse klanten hun voordeel doen. Wij kunnen u begeleiden in dit transitieproces met onze kennis en expertise op het gebied van intergrale interne beheersing.

 

 

Bent u geïnteresseerd in onze Quick Scan Rechtmatigheid en wilt u meer weten over onze aanpak over integrale interne beheersing, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

Op weg naar de rechtmatigheidsverantwoording via onze Quick Scan Rechtmatigheid (QSR)

Op weg naar de rechtmatigheidsverantwoording via onze Quick Scan Rechtmatigheid (QSR)

Posted on by in Nieuws with no comments

door drs. Gerrit Goud RA 

Vanaf 2022 dienen gemeenten via een rechtmatigheidsverklaring verantwoording af te leggen aan de gemeenteraad over het verslagjaar 2021. In mijn gesprekken met gemeenten krijg ik veel vragen zoals, hoe krijg ik snel in beeld waar mijn organisatie staat als het gaat om interne beheersing? Waar beginnen we? En vooral hoe pakken we het aan om op tijd klaar te zijn? Vorige maand heeft Key2Control daarom de QuickScan Rechtmatigheidsverantwoording (QSR) geïntroduceerd, speciaal voor gemeenten. Deze QSR geeft de afdeling concerncontrol inzicht op maat in hun eigen transitie naar rechtmatigheidsverantwoording en biedt direct een perspectief op basis van een stappenplan om dat tijdig te organiseren.

De QSR is opgebouwd uit ca 70 vragen. Deze vragen worden in een workshop van één dagdeel gezamenlijk besproken en beantwoord. Aan het einde van de workshop is direct een eerste resultaat (grafisch) zichtbaar waar de organisatie staat op het gebied van interne beheersing. Enkele dagen na de workshop wordt een managementrapportage opgeleverd met daarin een uitgebreide argumentatie op de scores voorzien van een eerste conclusie. Dit rapport is een belangrijke eerste stap naar de rechtmatigheidsverantwoording. Het rapport biedt voldoende aanknopingspunten voor vervolgstappen met aandacht voor de directie, het college en de raad en is voorzien van een heldere toelichting op de onderdelen van interne beheersing.

Afgelopen maand zijn direct al enkele QSR’s uitgevoerd en is de eerste rapportage al opgeleverd.

“De directe meerwaarde voor mij is dat ik nu iets in handen heb waarmee ik een concreet gesprek kan aangaan met directe en College om een visie en ambitiedocument op te stellen rondom interne beheersing.”

Concerncontroller (Gemeente 58.000 inwoners)

De voorbereidingen op de rechtmatigheidsverantwoording is het halve werk. De QSR stelt de concerncontroller in staat het tijdspad naar een implementatieplan te verkorten zodat meer tijd beschikbaar is voor de daadwerkelijke implementatie. Voor de concerncontroller waar het initiatief ligt voor het treffen van voorbereidingen, is de QSR bij uitstek een handig hulpmiddel. Bent u geïnteresseerd in onze QSR en ook in de te nemen vervolgstappen en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

Waarom de kwaliteit van informatievoorziening hét fundament is voor interne beheersing

Waarom de kwaliteit van informatievoorziening hét fundament is voor interne beheersing

Posted on by in Nieuws with no comments

Een vergelijking tussen de boekenkast, de ballenbak en de bunker – deel 2/2

Door Bart Suers, MScBA

Digitale informatie wordt door overheidsorganisaties steeds vaker gebruikt om te dienen als bewijs om gevraagd of ongevraagd verantwoording af te leggen over het handelen van de organisatie. Zo wordt digitale informatie bijvoorbeeld gebruikt om de mate van interne beheersing aan te tonen. Dan is het dus extra belangrijk dat er ook aantoonbare grip is op de uitvoeringskwaliteit van het informatiebeheer. Het organiseren van de kwaliteit van informatiebeheer kent natuurlijk vele verschijningsvormen. Het is telkens weer onderwerp van het gesprek dat ik voer met overheidsorganisaties over integrale interne beheersing In een tweetal blogartikelen behandel ik drie van deze verschijningsvormen en benoem een aantal aspecten die van belang zijn als het gaat om het organiseren van de kwaliteit van informatiebeheer. Vandaag deel 2.

 

De Ballenbak

Wat hebben een ballenbak, boekenkast en bunker met elkaar gemeen? In mijn eerste blog heb ik uiteengezet waarom SharePoint een boekenkast is die als digitaal opslagsysteem handig is maar wel forse beperkingen heeft als het gaat om het archiveren van aantoonbare onweerlegbare bewijslast. De ballenbak kent in tegenstelling tot de boekenkast geen ordening van informatie op basis van een bewerkelijke vooraf of volgtijdelijke te creëren routestructuur maar gaat uit van een metadataschema. Meer over wat metadata is en waarom dit belangrijk is in mijn vorige blog. Belangrijk om te vermelden is dat niet de plek waar informatie bewaard, beheerd of vindbaar is centraal staat maar de unieke eigenschappen van een informatieobject bepalen hoe informatie wordt bewaard, hoe lang en wie toegang heeft bijvoorbeeld. Stelt u zich de bekende ballenbak voor bij de Zweedse designmeubelenwinkel. Op elke bal (lees informatieobject) zijn een reeks stickers geplakt. Elke sticker is een metagegeven. Samen vormt een reeks stickers per bal een unieke combinatie. Ordening zoals in een boekenkast is niet nodig, het is een kwestie van graaien in de bak totdat je de juiste bal hebt gevonden. En om in die bak te komen moet je wel door een gecontroleerde ingang naar binnen.

 

Het RMA/DMS

Een Records Management Applicatie en Document Managementsysteem combineert de toegang, het bestickeren en beheren van die balen. Dat betekent dat elke gebruiker dus ook systeemgebruikers niet zelfstandig kunnen graaien in de ballenbak zijnde het RMA/DMS maar hun zoekvragen stellen aan de ingang van het RMA/DMS. In tegenstelling tot de boekenkast kent een RMA/DMS dus een loketfunctie om toegang te krijgen tot informatie. Een RMA/DMS wordt veelal als organisatiebreed systeem gebruikt voor de neerslag van alle (archiefwaardige) informatie. En deze loketfunctie visualiseert de governance die nodig is; de structuur voor de inrichting van een archiefwaardige opslag, en de compliance omdat er wordt voldaan aan Nederlandse wet- en regelgeving. Er is dus ook sprake van een duidelijke poortwachter die tot doel heeft om de informatie integriteit te waarborgen. En dat biedt een belangrijk voordeel als het gaat om het aantonen van de onweerlegbaarheid van de bewijslast. Informatie die van vitaal belang is om het handelen en presteren van de organisatie gevraagd of ongevraagd te beantwoorden, kan dus prima veilig in een RMA/DMS worden opgeborgen. De inspanning van de auditor kan zich beperken tot de poortwachter. Als er bij de poortwachter geen onrechtmatigheden worden gevonden door de auditor dan kunt u stellen dat uw organisatie voor wat betreft de interne beheersing van de kwaliteit van uw informatievoorziening al een flinke stap heeft gezet. Vaak is een extra maatwerk of configuratie en zelfs certificering overbodig als u kiest voor een leverancier die het RMA/DMS al heeft laten certificeren.

 

De Bunker

De Bunker is dan misschien de meest verheven vorm zult u denken? Tot op zekere hoogte want ook hier krijgen informatie integriteit en toegang weer extra aandacht. Het kenmerk van een bunker is natuurlijk dat het niet zoals een boekenkast (SharePoint) gebruiksvriendelijkheid centraal stelt of zoals bij een ballenbak (RMA/DMS) zich sterk richt op de aantoonbaarheid van informatie integriteit. De Bunker stelt de allerhoogste eisen als het gaat om behoud en integriteit van informatieobjecten die gebruikt worden voor een specifiek doel. Bij vitale informatie die te allen tijden als onweerlegbare auditbewijslast moet kunnen worden overlegd, gevraagd of ongevraagd kan geen twijfel bestaan over de mate waarin deze informatie continu toegankelijk, authentiek en bruikbaar is. Dat betekent dat de beveiliging van deze informatie moet voldoen aan de allerhoogste standaarden en dat zelfs de poortwachtersfunctie is teruggeschroefd van een loket naar een sleutel op de deur. Informatie wordt virtueel achter slot en grendel gelegd; alle informatieobjecten inclusief metadata worden versleuteld in een database opgeslagen. Zonder een juiste sleutel, geen toegang tot de data en ook geen mogelijkheid om met die data iets te doen mocht er ongewenst toegang worden verkregen tot die informatie. Daar waar het gaat om het beheren van onweerlegbare auditbewijslast is decentrale opslag van deze informatieobjecten de beste optie.

 

GRC-applicatie

Een GRC-applicatie wordt gebruikt om aantoonbaar in control te geraken over de kwaliteit van interne beheersprocessen. In deze blogreeks gaat het over het waarborgen van de kwaliteit van informatie en de plek waar je dit het beste kunt beheren. De GRC-applicatie kan als een bunker worden beschouwd daar waar het gaat om het auditproof dus onweerlegbaar kunnen aantonen van de bewijslast die nodig is om in control te zijn. Door informatie versleuteld te bewaren en te beheren wordt direct de auditlast verlaagt. En dat is nodig omdat de auditlast voor overheidsinstellingen alleen maar is toegenomen de afgelopen jaren. Denk aan de AVG (privacybescherming) en de BIO (informatiebeveiliging) bijvoorbeeld. Daarnaast verschijnt de Wet Open Overheid aan de audithorizon vermoedelijk volgend jaar en zal ook de rechtmatigheidsverantwoording in 2021 haar schaduw vooruitwerpen. Steeds meer overheidsorganisaties zien de noodzaak om de interne beheersing van de kwaliteit en verbetering van bedrijfsprocessen onder te brengen in een systeem waarin Governance, Risk en Compliance (GRC) integraal worden bediend voor de gehele organisatie. Die noodzaak komt dus primair vanuit de toename van de omvang van interne beheersing maar ook als gevolg van het moeten managen van alle relevante beheersactiviteiten. Daarbij komt ook nog een (jaarlijks) cyclisch proces waardoor je als overheidsorganisatie voldoende conditie moet opbouwen om in een ritme te komen waarin interne beheersing op een effectieve en efficiënte manier wordt benaderd.

 

Conclusie

Elke organisatie wil kunnen beschikken over vitale informatie om aantoonbaar in control te zijn over de eigen interne beheersprocessen. Het liefst integraal en ook tegen lagere kosten en hogere kwaliteit. Dan is de keuze voor het bewaren en beheren van informatie die gebruikt wordt als onweerlegbare bewijslast een keuze met grote impact. Bovenstaand is die impact schematisch nog eens samengevat.

Kiest u voor een organisatiebreed gebruikte ballenbak zoals een RMA/DMS of toch liever voor de taakspecifieke bunker van de GRC-applicatie om uw bewijslast te bewaren. In tegenstelling tot de conclusie uit mijn 1e blog is dit geen keuze tussen 2 kwaden maar een keuze die gemaakt moet worden vanuit uw eigen organisatiecontext; wat sluit het beste aan bij het volwassenheidsniveau én ambitie van uw organisatie als het gaat om de interne beheersing van de kwaliteit van informatiebeheer. Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Nieuwe kennismiddag Kwaliteitssysteem Informatiebeheer

Nieuwe kennismiddag Kwaliteitssysteem Informatiebeheer

Posted on by in Events with no comments

 

Integrale interne beheersing vraagt nadrukkelijk om samenwerking tussen de CISO, privacy officer /FG en informatieprofessional om gezamenlijk het hoofd te kunnen bieden aan de uitdagingen van digitale transformatie. Denk daarbij aan zaakgericht werken voor de Omgevingswet, de AVG in relatie tot bijvoorbeeld samenwerkingsverbanden, de voorbereiding op de BIO en de modernisering van de Archiefwet in relatie tot de Wet Open Overheid. Informatieveiligheid is nu een gedeelde verantwoordelijkheid voor iedereen binnen een overheidsorganisatie. Bestuurlijke nut en noodzaak wordt onderkend maar hoe zet je dit om in een mandaat mét prioriteit?

 

Na de succesvolle kennismiddag in Heerenveen op 22 november, organiseren Key2control en Doxis opnieuw deze kennismiddag ditmaal in samenwerking met provincie Utrecht op 24 maart aanstaande. Tijdens deze middag gaan we dieper in op hoe je deze uitdagingen integraal kunt organiseren. Er komen best-practices aan bod en we bespreken concreet onze adviezen en aanpak waardoor u handvatten heeft om direct de volgende dag toe te passen. De toezichthouder en tevens archiefinspecteur van de provincie Utrecht zal ook aanwezig zijn.

Deze middag geeft onder meer antwoord op vragen als

  • Hoe ontwikkel je organisatiebewustzijn (nut, noodzaak en urgentie) voor een succesvolle samenwerking tussen informatiebeveiliging, privacybescherming en informatiebeheer?
  • Hoe organiseer je de samenwerking tussen de CISO, privacy officer /Functionaris Gegevensbescherming en informatiebeheerder om te komen tot een integrale aanpak van informatiebeheer?
  • Hoe kun je met een Kwaliteitssysteem Informatiebeheer, gebaseerd op KIDO, snel aantoonbare kwaliteitsverbetering realiseren?
  • Hoe zorg je ervoor dat elke medewerker verantwoordelijkheid neemt voor correct digitaal informatiebeheer?

Antwoorden uit de praktijk

In een tijd waarin informatie hét belangrijkste kapitaal is kan de moderne informatieprofessional niet zonder een goed kwaliteitssysteem. Daarom organiseren Doxis en Key2Control in samenwerking met Provincie Utrecht een kennismiddag voor informatieprofessionals. Het programma bestaat uit een tweetal bijdragen van sprekers over de opzet en implementatie van een kwaliteitssysteem voor informatiebeheer en alles wat daarbij komt kijken. We sluiten af met een interactieve paneldiscussie.

De middag bestaat uit een gevarieerd programma met sprekers, een interactieve paneldiscussie en voldoende gelegenheid om te netwerken met vakgenoten.

Dit neem je mee naar huis

  • Je weet hoe je met een Kwaliteitssysteem Informatiebeheer, gebaseerd op bijvoorbeeld KIDO, snel aantoonbare kwaliteitsverbetering realiseert.
  • Je weet hoe je medewerkers slim kunt verleiden.
  • Verantwoordelijkheid te nemen voor correct digitaal informatiebeheer.
  • Je weet hoe je slim kunt samenwerken met de CISO en privacy officer/ Functionaris Gegevensbescherming om te komen tot een integrale aanpak van informatiebeheer.

Datum en locatie

Dinsdag 24 maart 2020, 13:00 – 16:00 uur met aansluitend een netwerkborrel, Provincie Utrecht, Archimedeslaan 6, 3508 TH Utrecht.

Voor wie?

Deze middag is bedoeld voor informatieprofessionals in de breedste zin van het woord. Informatiemanagers, beleidsadviseurs/ coördinatoren DIV, Recordmanagers, Functionarissen Gegevensbescherming, privacy officers en CISO’s. Deelname is gratis op basis van inschrijving vooraf. Deze bijeenkomst is niet bedoeld voor leveranciers. Naast kennisdeling is er genoeg ruimte om te netwerken onder meer tijdens de afsluitende borrel.

Inschrijven!

Deelname is alleen mogelijk op basis van voorinschrijving via onderstaand formulier. Het volledige programma ontvang je na inschrijving.

Wanneer je dit formulier gebruikt, ga je akkoord met de opslag en verwerking van jouw gegevens door deze website.

Key2Control en eSpecialisten bundelen kennis en expertise op ICT-gebied voor gemeenten.

Key2Control en eSpecialisten bundelen kennis en expertise op ICT-gebied voor gemeenten.

Posted on by in Nieuws with no comments

Softwarebedrijf Key2Control, gespecialiseerd in het organiseren van integrale interne beheersing van de kwaliteit van informatieveiligheid en financiële rechtmatigheid gaat nauw samenwerken met eSpecialisten, adviespartner voor overheden bij het organiseren van de kwaliteit van de organisatie, processen en ICT. Samen bieden eSpecialisten en Key2Control een totaaltraject waarmee overheidsorganisaties een aantoonbare interne beheersing en duurzame kwaliteitsverbetering van specifieke bedrijfsprocessen kunnen realiseren.

eSpecialisten en Key2Control introduceren twee doelstellingenmodellen voor het borgen van de interne beheersprocessen voor inkoop- en aanbesteding van ICT en ICT-leveranciersmanagement in de software van Key2Control. De software en normenkaders vormen samen 2 belangrijke bouwstenen voor interne beheersing. Samen wordt daar ook advies- en begeleiding aan gekoppeld om van papier naar praktijk te komen. Het traject levert een solide aanpak op die gemeenten zelf kunnen uitvoeren met als resultaat onweerlegbare bewijslast over de eigen interne beheersing en integrale kwaliteitsverbetering van beide processen.

 

Wij merken in al onze gesprekken dat overheidsorganisaties en in het bijzonder gemeenten, steeds meer moeite hebben om de interne beheersing van hun organisatie, processen en ICT te managen als gevolg van de vele institutionele-, maatschappelijke en technologische ontwikkelingen aldus Kees Groeneveld, directeur bij eSpecialisten. Wij werken net als Key2Control veel voor gemeenten en we ervaren beiden dat deze ontwikkelingen allemaal samen echt een verlammend effect hebben op het vermogen om dat allemaal goed te organiseren. Denk aan de Omgevingswet, Wet Open Overheid, Archiefwet 2021 en de Wet Verbijzonderde GGZ (WvGGZ) om er maar eens een paar te noemen. Er wordt nog altijd fors geïnvesteerd in mens en technologie en dan gaat het om publiek geld dat wel verantwoord moet worden.

Bart Suers, directeur publieke sector bij Key2Control vult aan. Uit het jaarlijks onderzoek door de Rijksoverheid over de uitkomsten van de verantwoording van gemeenten voor het verslagjaar 2018 blijkt, dat ruim 50 gemeenten geen goedkeurende verklaring kregen voor rechtmatigheid van hun accountant. Als je dan wat dieper inzoomt dan is de onderliggende oorzaak verassend genoeg niet altijd of alleen het sociaal domein. Bij 41 gemeenten bleek dat ze de regels voor Europese aanbestedingen niet correct hadden gevolgd, vaak zijn dit ook nog eens onrechtmatigheden in aanbestedingen van ICT. En dat is nogal wat als je beseft dat jaar op jaar de ICT-uitgaven per inwoner blijven stijgen. We praten nu al over ruim 1,5 miljard euro belastinggeld per jaar die gemeenten spenderen aan ICT.

Voor meer informatie:

Kees Groeneveld, [email protected]

Bart Suers, [email protected]

 

Over Key2Control
Key2Control stelt door haar aanpak en Cloud softwareoplossingen op het gebied van Governance, Riskmanagement & Compliance opdrachtgevers in staat zich continu én met succes aan te passen aan de snel veranderende wereld van morgen. Door op elk moment van de dag inzicht te hebben in, en verantwoording af te kunnen leggen vanuit, inzichtelijke interne beheersprocessen. Key2Control heeft haar jarenlange ervaring op het snijvlak van GRC, organisatiekennis, risicomanagement en techniek vertaald in concrete softwareoplossingen in de Cloud. Deze oplossingen ondersteunen elk gewenst beheersproces.

Over eSpecialisten
eSpecialisten is adviespartner voor overheden bij het organiseren van kwaliteit van de organisatie, processen en ICT op het gebied van ICT– standaarden, inkoop- en aanbesteden, leveranciersmanagement, impactanalyses en digitale duurzaamheid. Daarnaast levert eSpecialisten software voor blockchaintechnologie op het gebied van digitaal waarmerken en ondertekenen van documenten.

De kwaliteit van informatievoorziening hét fundament is voor interne beheersing

De kwaliteit van informatievoorziening hét fundament is voor interne beheersing

Posted on by in Nieuws with no comments

Een vergelijking tussen de boekenkast, de ballenbak en de bunker – deel 1/2

Door Bart Suers, MScBA

Digitale informatie wordt door overheidsorganisaties steeds vaker gebruikt om te dienen als bewijs om gevraagd of ongevraagd verantwoording af te leggen over het handelen van de organisatie. Zo wordt digitale informatie bijvoorbeeld gebruikt om de mate van interne beheersing aan te tonen. Dan is het dus extra belangrijk dat er ook aantoonbare grip is op de uitvoeringskwaliteit van het informatiebeheer. Het organiseren van de kwaliteit van informatiebeheer kent natuurlijk vele verschijningsvormen. Het is telkens weer onderwerp van het gesprek dat ik voer met overheidsorganisaties over integrale interne beheersing. In een tweetal blogartikelen behandel ik drie van deze verschijningsvormen en benoem een aantal aspecten die van belang zijn als het gaat om het organiseren van de kwaliteit van informatiebeheer.

De Boekenkast

Wat hebben een boekenkast, ballenbak en bunker met elkaar gemeen? In feite zijn het 3 objecten waar je iets in wilt bewaren. De eigenschappen kennen voor- en nadelen en zijn weer afhankelijk van wát je precies wilt bewaren. Te beginnen bij de boekenkast. De boekenkast is een overzichtelijke maar ook bewerkelijke manier om informatie te organiseren. Iedereen kan zich een boekenkast voorstellen en iedereen snapt ook waar die voor dient. Alle informatie wordt netjes geordend en vindt een plaats aan de hand van een vooraf bepaalde of volgtijdelijk te creëren routestructuur. Die routestructuur is leidend om informatie op te slaan, te beheren en te vinden. Dus in zekere zin is de boekenkast laagdrempelig en toegankelijk in gebruik. Natuurlijk kan er ook nog een deur voor die boekenkast dus er is zeker aandacht voor toegang en autorisatie. Het is alleen niet altijd duidelijk wie in de boekenkast kijkt en welke informatie er wordt aangepast. Het is dus lastig om in een boekenkast informatie te bewaren die je wilt gebruiken als onweerlegbaar bewijs om de interne beheersing van je bedrijfsprocessen aan te tonen. Om informatie als onweerlegbaar bewijs te kunnen gebruiken werden in het analoge tijdperk dergelijke boekenkasten niet alleen afgesloten maar zelfs in een aparte ruimte gezet; de archiefruimte. Op die manier kon er toezicht en controle worden uitgeoefend over de informatie die aanwezig is, wie toegang wilde tot bepaalde informatie, wanneer en waarom.

SharePoint

Tegenwoordig hebben we een digitale boekenkast; SharePoint. Voor veel organisaties een fijne plek om informatie te beheren en te delen. Een organisatie overstijgende versie van de Windows verkenner. Natuurlijk ik chargeer een beetje. Maar net als die fysieke boekenkast geldt dat het bewaren van onweerlegbare bewijslast een aanzienlijk risico is. De kracht van SharePoint is de laagdrempelige toegang voor iedereen. En met iedereen bedoel ik niet alleen menselijke gebruikers, vergeet ook de systemen /softwareapplicaties niet, die ook naar hartenlust gebruik maken van SharePoint voor de neerslag van hun informatie. Al die toegang en bewerking door mensen én systemen geeft te denken. Want wie heeft nu de regie over de integriteit van informatie op welk moment? De integriteit van de database in SharePoint kan niet aantoonbaar autonoom gecontroleerd worden door SharePoint zelf. Dat is ook niet de bedoeling van SharePoint; het gaat om laagdrempelig en toegankelijk gebruik. Natuurlijk kun je het toegangsbeleid regelen en zelfs het versiebeheer echter het inregelen van toegang, autorisaties en gecontroleerd versiebeheer vereist ook weer extra beheer en toezicht op dat beheer. En vergeet de toename van de auditlast niet die het gevolg is van meer controlewerkzaamheden om de integriteit van een informatieobject aan te tonen indien het in SharePoint is opgeslagen en aangevoerd wordt als onweerlegbare auditbewijslast.

Informatie integriteit

De grootste beperking van die digitale boekenkast zoals SharePoint is wat mij betreft daarmee dat de integriteit van informatie niet kan worden gegarandeerd. Vorm, inhoud, structuur en samenhang van informatieobjecten (documenten, afbeeldingen ed.) dienen in toegankelijke staat te zijn. Het komt er dus op neer dar ze vindbaar, bruikbaar, toegankelijk en authentiek zijn. En juist dat laatste is lastig aantoonbaar als je een digitale boekenkast als SharePoint gebruikt. Want SharePoint functioneert het beste door te werken met muteerbare informatieobjecten. Het zijn dus meestal bewerkbare formaten zoals docx, niet de archiefformaten zoals PDF/A. En dat terwijl archiefwet- en regelgeving dit wel expliciet voorschrijven; een duurzaam te bewaren bestand dat voorzien is van een duidelijke beschrijving van dat bestand, metadatering dus!

Metadatering?

Het gaat dus om gegevens over gegevens simpel gezegd. Metadata voor archiefwaardige informatieobjecten zijn essentieel voor het behoud van de authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid van archiefbescheiden Metadata zorgen ervoor dat archiefwaardige informatieobjecten gevonden, leesbaar gemaakt, geïnterpreteerd, beheerd en duurzaam toegankelijk worden. En juist die metadatering is belangrijk omdat je daarmee geen vooraf bepaalde of volgtijdelijk te creëren boekenkaststructuur nodig hebt om informatie te vinden of op te slaan. En dat is een belangrijk aspect om de integriteit van informatie te waarborgen. En dus is een proces van interne beheersing van de kwaliteit van informatiebeheer essentieel. Een proces waarin wordt aangetoond hoe het zit met de opslag, het beheer en de toegang tot informatieobjecten. En waarin onweerlegbaar kan worden aangetoond dat informatieobjecten worden gebruikt waaruit het versiebeheer blijkt, er sprake is van vastlegging van de waardering (bewaar- en vernietigingstermijnen) en -niet onbelangrijk- inzichtelijk is wie, wanneer en wáárom toegang heeft tot wat. SharePoint voldoet op meerdere aspecten standaard niet aan Nederlandse wet- en regelgeving. Denk bijvoorbeeld aan de NEN2082 /ISO16175 normeringen. Uiteraard zijn er mogelijkheden om dit alsnog te organiseren door de SharePoint omgeving in uw organisatie hiervoor specifiek te laten inrichten. Dit is echter een IT-project op zich met veel configuratiewerk en maatwerk. Maar dan bent u er nog niet. Daarna dient u uw zwaarbevochten inrichting van SharePoint voor uw organisatie ook nog eens apart te laten certificeren. Dit om de kritische beoordeling van uw IT-auditor en de goedkeuring van uw archiefinspecteur te kunnen verkrijgen.

Conclusie

Elke organisatie heeft behoefte aan een digitale boekenkast. SharePoint is een prima instrument om informatie te delen en te beheren maar niet om onweerlegbare informatie zoals audit bewijslast nodig voor het aantonen van interne beheersing te bewaren. Kiest uw organisatie hier toch voor bedenk dan dat u ook zult moeten kiezen voor een extra last. Namelijk structureel hogere auditkosten, of extra investering in inrichting en certificering. En dan laat ik de extra investering bij upgrade van uw gekoesterde inrichting maar even buiten beschouwing. Hoe dan ook als het gaat om het aantonen van de integriteit van informatie zoals bij audit bewijslast zult u een stevige discussie hebben met uw IT-auditor én archiefinspecteur. De integriteit van de informatieobjecten in de database kan namelijk niet worden gegarandeerd omdat deze van buitenaf benaderd kan worden door (systeem)gebruikers. En dus zal een auditor meer controles moeten uitvoeren om daadwerkelijk die integriteit van de bewijslast expliciet vast te stellen.

In de volgende blog ga ik daarom nader in op een andere verschijningsvorm; de ballenbak. Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

Nieuw algemeen telefoonnummer

Nieuw algemeen telefoonnummer

Posted on by in Nieuws with no comments

Per 2 januari 2020 verandert ons algemene telefoonnummer, ons nieuwe nummer is vanaf dan 085-0761515. Voor de rest blijft alles bij het oude.

We zijn bereikbaar op het nieuwe nummer tussen 9:00 en 17:00. Zowel binnen als buiten de genoemde tijden zijn we ook bereikbaar via e-mail:

Vragen over onze applicaties – [email protected]

Vragen over facturatie, abonnement, projecten, etc. – [email protected]

Generieke vragen – [email protected]

Wist u dat wij uw vragen over onze applicaties zoveel mogelijk via e-mail afhandelen, ons ticketing systeem vangt al uw vragen op. Hierna kunnen wij geautomatiseerd een antwoord versturen of op een antwoord op maat terugkoppelen. Indien uw vraag telefonisch is binnen gekomen, maken wij alsnog een vraag in ons ticketing systeem aan voor de borging van de historie van al uw vragen. In het Kenniscentrum vindt u uiteraard ook allerlei andere nuttige informatie over onze applicaties.

Wij verwijzen u verder graag naar onze blog over hoe u een zo compleet mogelijke vraag kunt stellen: https://kenniscentrum.key2control.nl/blog

Wij wensen u fijne feestdagen en een gezond en succesvol 2020!

Team Key2Control

De meerwaarde van three lines of defence (3LOD)

De meerwaarde van three lines of defence (3LOD)

Posted on by in Nieuws with no comments

door Gerrit Goud

De discussie over de rechtmatigheidsverantwoording brengt eveneens de rolverdeling op basis van 3LOD in het kader van interne beheersing ter sprake. 3LOD bestaat al vele jaren en is een krachtig en breed geaccepteerd model, maar in de praktijk komt dit model bij gemeenten niet echt tot wasdom. Wat is hiervan de oorzaak en hoe kunnen gesignaleerde drempels vermeden worden?

Je zou toch in eerste instantie denken dat 3LOD niet zo’n ingewikkeld model is. De 1e verdedigingslijn is nadrukkelijk ingebed in de operationele bedrijfsprocessen en de leidinggevenden zijn hiervoor als eigenaar verantwoordelijk. De 2e verdedigingslinie is voornamelijk een staffunctie ten dienste van de 1e lijn en heeft een adviserende en monitoringrol op de risicoprofielen van bedrijfsprocessen en vervult hiermee de rol van poortwachter. De 3e verdedigingslinie heeft een controlerende functie gericht op het toetsen van de effectiviteit van de 1e en 2e verdedigingslinies. Dus wat is het probleem?

The missing link

Het probleem is dat het fundament voor een effectief 3LOD niet of deels aanwezig is. Veel organisaties missen namelijk een actieve betrokkenheid en aansluiting van de 1e lijn op het beheersingsmodel. En door deze missing link valt het hele fundament van 3LOD in elkaar. Met 2 verdedigingslinies kan een organisatie weliswaar een veldslag winnen, maar geen ‘oorlog’, omdat de grootste klappen voorkomen moeten worden door het treffen van beheersmaatregelen in de operationele processen. Een belangrijke oorzaak is dat bij de implementatie van 3LOD voortgeborduurd is op bestaande structuren en rollen (uit de 20e eeuw). Eigenaarschap in de 1e lijn voorzien van rugnummers en daarbij behorende verantwoordelijkheden, is simpelweg niet benoemd. Ja, natuurlijk… leidinggevenden zijn verantwoordelijk voor hun bedrijfsprocessen wat zo’n beetje in elk beleidsdocument staat, maar krijgen we daarmee de organisatie in beweging?

Een andere oorzaak is dat de 2e lijn allerlei beheerstaken naar zich toe heeft getrokken die gewoon bij de 1e lijn behoren te liggen. Dit is mede veroorzaakt door de alsmaar toenemende regeldruk van de afgelopen jaren. Daardoor is de focus in de 2e lijn gelegd op risicomanagement en compliance met de daarbij vereiste transparantie om er voor te zorgen dat vooral toezichthouders en accountants tevreden zijn. Er werd echter niet gekeken naar de behoefte van de 1e lijn, die bleef buiten schot en daardoor is een kloof ontstaan met als gevolg dat de 1e verdedigingslinie niet tot wasdom is gekomen en de beheersorganisatie constant achter de feiten aanloopt en in een stroperig beheersingsproces is beland. Dat is een ernstige zaak, omdat het merendeel van de organisatie (> 90%) onder de 1e verdedigingslinie valt.

Naast regeldruk zijn ook andere thema’s op het toneel verschenen zoals privacybescherming en informatiebeveiliging die ook te maken hebben met interne beheersing. Het vervelende is echter dat deze thema’s eigen eilandjes vormen in het landschap van interne beheersing en dat leidt tot verkokering gemanaged in aparte silo’s.

Al deze ontwikkelingen zorgden ervoor dat risicomanagement en compliance op zich zelf staande doelen zijn geworden in plaats van activiteiten die gerelateerd zijn aan primaire doelstellingen en daardoor de afstand tussen 1e en 2e lijn alsmaar groter werd. De samenhang en het overzicht van risicogebieden is nagenoeg foetsie en organisaties hebben hiermee onbedoeld een onbeheersbaar ‘monster’ gecreëerd met een hoog gehalte aan schijnzekerheid en overhead waarvan het resultaat niet breed gedragen wordt.

Het hier geschetste beeld is ook een van de redenen waarom de VIC geen aansluiting heeft met de rest van de organisatie. Adviezen uit VIC-rapporten worden nauwelijks opgevolgd simpelweg omdat de afstand tot de 1e lijn te groot is en leidinggevenden niet de toegevoegde waarde zien van VIC. En helaas leidt dit in alle verdedigingslinies tot frictie en frustratie en dat draagt niet bij tot een gezonde samenwerking.

Hoe impasse doorbreken?

Een effectief beheersingsmodel gebaseerd op 3LOD vereist visie, ambitie en onderlinge afstemming. Dat begint in de top (directie en bestuur) waarbij de concerncontroller degene is die dit initiatief naar zich kan toetrekken en de directie en bestuur kan overtuigen van de noodzaak en urgentie. Een eerste stap hiervoor is het opstellen van een visiedocument integrale interne beheersing uitmondend in beleid. De scope van dit beleid behelst alle thema’s die de gemeente wenst te beheersen zoals privacybescherming, informatiebeveiliging en rechtmatigheid. Dan gaat het dus niet om de inhoud, maar om het algeheel intern beheersingsproces.

Aandachtspunten zijn uiteraard de taken en verantwoordelijkheden in het kader van 3LOD met vermelding van eigenaarschap en het benoemen van kaders en uitgangspunten waarmee rekening dient te worden gehouden bij het vormen van integrale interne beheersing. Daaronder vallen ook spelregels zoals een handhavingsmechanisme ingeval spelregels worden overschreden. Een sprekend voorbeeld is het volgende: leidinggevenden zijn weliswaar verantwoordelijk maar dat geeft hen geen vrijbrief zelf te bepalen welk niveau van interne beheersing toereikend is. Dat mogen ze bepalen binnen de kaders en uitgangspunten die hierop van toepassing zijn. Indien een leidinggevende (bewust) een lager niveau van interne beheersing toepast dat niet in lijn is met het vastgestelde risicoprofiel dan behoort de 2e lijn als poortwachter in te grijpen. Indien in zo’n situatie een impasse dreigt te ontstaan tussen de 1e en 2e lijn dan moet het mogelijk zijn dat de gemeentesecretaris binnen zijn bevoegdheden ingrijpt. Dit is ook een van de redenen dat de directie gepositioneerd is in de 2e verdedigingslinie. Dit voorbeeld lijkt vanzelfsprekend maar is bij veel organisaties niet geregeld.

Normenkaders/doelstellingenmodellen

Uitvoering van het beleid is een andere uitdaging. Hoe zorg je ervoor dat de 1e lijn actief betrokken raakt? Dat gaat natuurlijk niet vanzelf. De eerste stap is dat leidinggevenden zich bewust worden van hun rol in de 1e verdedigingslinie en van de meerwaarde van de 2e en 3e lijn door hen een handreiking te geven om laagdrempelig deel te nemen aan het interne beheersingsproces. Het houden van workshops is hiervoor een beproefd middel.

Leidinggevenden moeten inzicht krijgen in hoeverre hun 1e verdedigingslinie toereikend is ofwel hun bedrijfsprocessen voldoen aan de vereiste beheersdoelstellingen. We kijken dan niet met de 1e lijn naar operationele risico’s want die zijn er genoeg, maar meer naar het ‘fort’ dat er vanuit interne beheersing behoort te staan en voldoende robuust moet zijn. Vooraf is al bepaald aan welke eisen dit ‘fort’ moet voldoen. Dat is namelijk gedaan tijdens een inventarisatie en risicoanalyse in de 2e lijn uitmondend in een normenkader/doelstellingenmodel. Daarmee creëert de 2e lijn toegevoegde waarde voor de verantwoordelijke leidinggevende. Een voorbeeld van een landschap van doelstellingenmodellen voor een gemeente is hieronder grafisch geïllustreerd.

Elk ‘blokje’ in het landschap bevat een eigen normenkader/doelstellingenmodel. Door te meten in hoeverre voldaan is aan beheersdoelstellingen, ontstaat vanzelf een beeld hoe de fortificatie in het landschap ervoor staat. Dat meten gaat vrij snel en geeft inzicht en een schat aan informatie die met elkaar besproken kan worden. Dat is de verbinding tussen de 1e en 2e lijn en awareness ten top om op een constructieve wijze verbeteringen door te voeren. Leidinggevenden raken met deze aanpak vertrouwd met hun beheersdoelstellingen en zijn daardoor beter in staat de bevindingen en adviezen uit VIC-rapporten in de juiste context te plaatsen waardoor de kans op acceptatie groter wordt. Dit laatste vereist wel dat VIC gebruik maakt van de reeds vastgestelde beheersdoelstellingen in het kader van hun werkzaamheden. En zo hoort het ook, immers de werkzaamheden van VIC zijn gericht op het toetsen aan vastgestelde normen en die normen ga je niet zelf bedenken als deze al zijn vastgesteld.

Met deze aanpak versterkt de gemeente het fundament van 3LOD als basis voor integrale interne beheersing met het doelstellingenmodel als gemene deler. Het doelstellingenmodel als ‘praatplaat’ levert namelijk toegevoegde waarde voor de 1e lijn en zorgt voor een betere aansluiting en afstemming van activiteiten vanuit de 2e en 3e lijn op de behoefte van leidinggevenden. En daarmee komen de 3 verdedigingslinies beter in balans.

Tot Slot

Ons GRC-platform ondersteunt het gebruik van doelstellingenmodellen en stimuleert daarmee de adoptie onder leidinggevenden en hun medewerkers om hen actief te betrekken in het interne beheersingsproces. Zij zijn de belangrijkste dragers van het hele fundament van interne beheersing en daar ligt ook de basis voor een In control Statement (ICS). Voor de 2e en 3e lijn biedt het doelstellingenmodel een opening voor samenwerking en een betere afstemming met de 1e lijn.

Zoals eerder aangegeven begint het proces van interne beheersing met inzicht om met elkaar te komen tot continue verbeteringen. Voor veel gemeentelijke bedrijfsprocessen hebben wij inmiddels doelstellingenmodellen beschikbaar. Dat levert een aanzienlijke tijdbesparing op voor de 2e lijn en onze doelstellingenmodellen kunnen direct worden ingezet om te meten en de 1e lijn actief te betrekken in het intern beheersingsproces.

Wilt u meer weten over onze visie en aanpak over integrale interne beheersing en/of bent u geïnteresseerd in onze doelstellingenmodellen, neem dan gerust contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

AP legt focus in toezicht op digitale overheid

AP legt focus in toezicht op digitale overheid

Posted on by in Nieuws with no comments

De AP legt de komende jaren extra nadruk op het toezicht in drie focusgebieden datahandel, AI en algoritmes en Digitale overheid. Dit is nodig om de bescherming van persoonsgegevens in Nederland te borgen. Dat maakt de AP recent bekend in haar nieuwe visiedocument. Tot en met 2023 geven de focusgebieden onder meer richting aan de uitvoering van de wettelijke taken van de AP.

Steeds meer apparaten en diensten verzamelen persoonsgegevens waardoor ze steeds meer van ons weten. Dit gebeurt zonder dat we altijd precies weten wat er met die gegevens gebeurt en wie er toegang toe heeft. Dit maakt ons en onze democratische rechtstaat kwetsbaar. Misbruik of onverantwoordelijk gebruik van persoonsgegevens kan bijvoorbeeld leiden tot foutieve beslissingen, uitsluiting van mensen en discriminatie.

De AP ziet drie grote trends die van invloed zijn op de bescherming van persoonsgegevens:

·        Doorgroei van de datasamenleving

·        Toename van digitaal onrecht

·        Toename van privacy-bewustzijn

 

Focusgebieden

Digitale overheid is één van de drie focusgebieden waar extra toezicht op komt want centrale en lokale overheden, uitvoeringsorganisaties en politie en justitie beschikken over een grote hoeveelheid – vaak gevoelige en bijzondere – persoonsgegevens. De overheid werkt gericht aan het inzetten van persoonsgegevens. Het is van belang dat de overheid verantwoordelijk omgaat met persoonsgegevens, zodat mensen niet onnodig in de knel kunnen komen. De AP kan hier het verschil maken door grenzen te markeren ten aanzien van wat er wel en niet kan onder de AVG. De focusgebieden geven onder meer richting aan de uitvoering van onze wettelijke taken.

 

Risicogestuurd toezicht

De AP is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt. Het toezichtveld is omvangrijk: internationale en nationale bedrijven en organisaties, de gehele overheid, inclusief politie en justitie en ook verenigingen, scholen, stichtingen en individuele burgers. De AP houdt daarom risico gestuurd toezicht, ze spitsen zich op onderwerpen met een groot risico voor burgers.

 

Bron: privacy-web

ISMS en het gebruik van GRC-tooling

ISMS en het gebruik van GRC-tooling

Posted on by in Nieuws with no comments

Een BIO-logische ontwikkeling naar integrale interne beheersing

door drs. Gerrit Goud RE RA

Om maar gelijk met de deur in huis te vallen: een GRC-tooling is geen ISMS ofwel een informatiemanagementsysteem voor informatiebeveiliging. Een GRC-tooling ondersteunt wel het intern beheersingsproces rond informatiebeveiliging dat een belangrijk onderdeel is van het ISMS evenals voor privacybescherming, de financiële rechtmatigheid of voor welk ander thema dan ook. En daarmee komt een GRC-oplossing in relatie tot informatiebeveiliging opeens in een ander en veel breder daglicht te staan. In deze blog gaan we in op de vraag wat nu eigenlijk GRC is en wat de toegevoegde waarde is van een GRC-tooling?

Wat is GRC?

Het acroniem GRC staat voor Governance, Risk & Compliance en die vertegenwoordigen drie belangrijke bouwstenen van interne beheersing. In eerdere blogs is het begrip interne beheersing al eens uitgediept. Eigenlijk zou het acroniem GRCIPE moeten zijn, waarbij de ‘I’ staat voor internal control, de ‘P’ voor perfomance en ‘E’ voor ethics & culture. Alleen dat bekt niet. Dus vandaar GRC.

Het GRC-denken vindt zijn oorsprong vanuit de financiële wereld en de interne beheersing daaromheen. GRC is de afgelopen decennia uitgegroeid tot integrale interne beheersing in een organisatiebreed perspectief. Dus niet enkel het financieel domein, maar ook voor elk ander thema dat een organisatie wenst te beheersen, zoals informatiebeveiliging, privacybescherming en informatiebeheer. GRC wil dus niet zeggen dat alles geautomatiseerd is, nee. GRC is een ‘way of life’ voor een organisatie; een manier van denken, organiseren en handelen (samenwerken, verbinden) gericht op het realiseren van betrouwbare doelstellingen waarbij onzekerheden worden aangepakt en integer gehandeld wordt. Belangrijke drivers om dit te willen realiseren zijn naast doelrealisatie, kwaliteitsverhoging en (aanzienlijke) kostenbesparing op de interne beheersing door onder meer het bevorderen van integratie en het voorkomen van verzuiling.

GRC is dus heel sterk gericht op de principes (bouwstenen) van integrale interne beheersing om grip te behouden op elke gewenst thema.

Wat is GRC-tooling?

GRC-tooling ondersteunt het GRC-denken en is gericht op functionaliteit die:

  • de principes van interne beheersing bevordert,
  • toegevoegde waarde biedt op het gebied van interne beheersing in termen van kwaliteitsverbetering en kostenbesparing voor elk thema,
  • gericht is op het voorkomen van versnippering van beheersingsinformatie en
  • een deugdelijke audittrail bevat voor auditors en toezichthouders (data-integriteit).

Dit impliceert dat een GRC-tooling die alleen gericht is op informatiebeveiliging of privacy leidt tot een vorm van suboptimalisatie als het gaat om integrale interne beheersing. En dat druist nu juist in tegen het GRC-denken (verzuiling). Gebruikers die beheersingsinformatie moeten leveren, haken dan uiteindelijk af vanwege het versnipperde geautomatiseerde GRC-landschap en het niet kunnen delen van beheersingsinformatie vanuit verschillende thema’s.

 

Een ander belangrijke functionaliteit voor een GRC-tooling is een deugdelijke audittrail die onlosmakelijk verbonden is met interne beheersing. Immers beheersingsinformatie moet betrouwbaar zijn en is niet alleen bedoeld voor de eigen organisatie maar ook voor toezichthouders en auditors. Zij moeten kunnen steunen op een deugdelijke audittrail anders heeft beheersingsinformatie weinig toegevoegde waarde. Het kan dus niet zo zijn dat uitkomsten die niet bevallen, kunnen worden verwijderd zonder een spoor achter te laten door een simpele druk op de knop of dat gegevens in de database kunnen worden aangepast zonder een spoor achter te laten in de applicatie. Dit past ook niet vanuit het principe van integriteit (integer handelen) dat een wezenlijk onderdeel is van interne beheersing.

Visie en ambitie

Het gebruik van GRC-tooling vereist visie en ambitie vanuit de top gericht op integrale interne beheersing. Dan gaat het in eerste instantie niet over de inzet van tooling, want dat is slechts een middel, maar over de wijze hoe de organisatie de kwaliteit van interne beheersing wenst te vergroten en tegelijkertijd hierop kosten kan besparen. Zoals in een eerdere blog is aangegeven, ligt die uitdaging bij de concerncontroller. Die gaat immers over het brede domein van interne beheersing. De top dient het fundament te leggen voor integrale interne beheersing die van toepassing is op alle thema’s die de organisatie wenst te beheersen. Als dit fundament er is dan biedt dit een duurzame oplossing voor de concerncontroller, CISO, privacy officer en alle andere ‘poortwachters’ om hun thema’s vanuit interne beheersing verder uit te bouwen.

Noodzaak GRC-tooling

De noodzaak tot het borgen van beheershandelingen wordt versterkt door de alsmaar toenemende druk vanuit extern toezicht en het afleggen van (niet-financiële) verantwoording op allerlei thema’s. Veel gemeenten roepen dan via de bekende weg dat extra capaciteit (fte’s) nodig is om hieraan tegemoet te komen. Vanuit die benadering zullen eveneens de kosten voor interne beheersing toenemen en dat is voor vele organisaties ongewenst. Een betere en duurzame oplossing is de inzet van GRC-tooling met de juiste functionaliteit waarbij de focus gericht is op integrale interne beheersing. Het zoveel mogelijk standaardiseren van het proces interne beheersing door gebruik te maken van GRC-tooling kan zelfs de huidige kosten van interne beheersing aanzienlijk beperken (>100k) en tegelijk de kwaliteit van interne beheersing doen toenemen. Organisaties worden hierdoor minder kwetsbaar als belangrijke spelers in het veld van interne beheersing uitvallen wat regelmatig gebeurt. Het GRC-platform draait immers gewoon door met bestaande en eventuele nieuwe spelers en taken kunnen eenvoudig worden overgeheveld. Ook kennis en informatie blijft behouden bij vertrek van belangrijke spelers vanwege eerdere vastleggingen in de GRC-tooling. Alleen dit facet biedt al aanzienlijke besparingen op.

Heroriëntatie over interne beheersing in combinatie met visie en ambitie zoals eerder vermeld biedt volop kansen voor een verbeterslag en kostenbesparing.

Wat is een ISMS?

De IBD omschrijft een ISMS[1] als het continu beoordelen of beveiligingsmaatregelen passend en effectief zijn, en of deze bijgesteld moeten worden. Het helpt de gemeenten onder andere om risico’s te beheersen, passende beveiligingsmaatregelen te treffen, lering te trekken uit incidenten en daarmee de betrouwbaarheid van de informatievoorziening en bedrijfscontinuïteit te waarborgen. Voor het opzetten, implementeren en onderhouden van een ISMS hanteert de IBD de volgende 10-stappenplan.

  1. Inzicht verkrijgen in de gemeentelijke organisatie en haar context
  2. Vaststellen doelstelling van het ISMS
  3. Vaststellen scope van de ISMS-invoering
  4. Verkrijgen van steun van het management van de gemeente
  5. Het definiëren van een methode van risicobeoordeling
  6. Inzicht verkrijgen in de risico’s
  7. Opstellen jaarlijks informatiebeveiligingsplan
  8. Het opstellen van aanvullend beleid voor het beheersen van risico’s
  9. Het toewijzen van middelen, opleidingen en training
  10. Bewaken van de invoering van het ISMS

Het gaat hier om beheershandelingen die ondersteund kunnen worden met GRC-tooling als het gaat om beheersingsinformatie. De principes van interne beheersing zijn uit de omschrijving van de IBD in grote lijnen te herleiden.

De vraag is nu wat voor functionaliteit dan beschikbaar moet zijn in een GRC-tooling die het thema informatiebeveiliging ondersteunt. Daarover zijn de meningen behoorlijk verdeeld. De een vindt dat functionaliteit voor contractenbeheer of incidentenbeheer beschikbaar moet zijn, de ander vindt dat dataclassificatie inclusief baselinetoets ondersteund moet worden. En natuurlijk zijn dit belangrijke zaken, maar als je zo doorredeneert en hierbij ook direct aanpalende thema’s zoals privacy en informatiebeheer erbij betrekt dan is de kans groot dat het spreekwoordelijke ‘kind met een waterhoofd’ ontstaat dat uiteindelijk in schoonheid sterft. Voor een deel heeft dit te maken met onbekendheid van het GRC-denken bij CISO’s, privacy officers en FG’s. Dat is op zich wel begrijpelijk omdat kennis van interne beheersing meer ontplooit is in het financieel domein. Daarnaast druist dit in op het GRC-denken die juist gericht is op het bevorderen van integratie en dat lukt niet als voor elk thema aanvullende functionaliteit wordt toegevoegd.

Als we bovenstaande zouden vergelijken met een formule 1 racewagen dan weten we dat deze wagen ontwikkeld is om een race te winnen. Dan gaan we er geen trekhaak aan bevestigen, ook geen knipperlichten, koplampen, airbag, navigatiesysteem of een reserveband voorzien van een krik, toch? Datzelfde principe geldt eveneens voor een GRC-tooling. Die is gebouwd voor integrale interne beheersing en als je wel toegeeft aan al dat soort extra functionaliteit dan is de kans groot dat de applicatie wordt ervaren als te complex, te ingewikkeld, te veel beheer en niet gebruikersvriendelijk en uiteindelijk niet (meer) wordt gebruikt.

De weg naar integrale interne beheersing

Opvallend is dat GRC-tooling bij veel gemeenten geïntroduceerd is vanuit informatiebeveiliging en niet zozeer vanuit het financieel domein waar je dit eerder zou verwachten. Daarin gaat verandering komen vanwege de rechtmatigheidsverklaring vanaf 2021. Er zal behoefte ontstaan naar de inzet van GRC-tooling die in staat is integrale interne beheersing te ondersteunen waarbij eigenaarschap in de 1e verdedigingslijn een cruciale rol vervult. En laat nou net dat eigenaarschap eveneens een cruciale rol spelen bij de implementatie van de Baseline Informatiebeveiliging voor Overheden (BIO) en privacybescherming en dan zie je de meerwaarde van het GRC-denken. Door de concerncontroller in positie te brengen om het eigenaarschap gemeentebreed te regelen vanuit een visie en aanpak over integrale interne beheersing, wordt daarmee tegelijk het pad vereffend voor de CISO en privacyofficer. Het spreekwoordelijk gezegde “alleen ga je sneller, samen kom je verder” is hierop geheel van toepassing. Dat geldt eveneens voor de inzet van een GRC-tooling die integrale interne beheersing ondersteunt.

GRC-platform van Key2Control

De aanleiding van deze blog was het gebruik van GRC-tooling in relatie tot ISMS. Uiteengezet is wat GRC inhoudt en dat functionaliteit van GRC-tooling gericht is op integrale interne beheersing met als doel kwaliteitsverbetering en kostenbesparing door het realiseren van integratie en het voorkomen van verzuiling. De behoefte naar integrale interne beheersing neemt steeds meer toe en daarvoor is GRC-tooling nodig die daarop aansluit. Maar zo’n tooling behoort wel aan een aantal minimale eisen te voldoen waaronder een deugdelijke audittrail.

Onze klanten die op dit moment het GRC-platform van Key2Control inzetten voor informatiebeveiliging en/of privacy kunnen eenvoudig opschalen naar andere thema’s zoals financiële rechtmatigheid met als groot voordeel dat alle thema’s geborgd worden volgens dezelfde principes van interne beheersing. Voor concerncontrollers reden te meer om kennis te maken met ons GRC-platform.

Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

[1] Zie versie IBD 2.1, juli 2019