Posts Under: Nieuws

Integrale interne beheersing ter voorbereiding op de rechtmatigheidsverantwoording. Pak die kans!

De aankomende rechtmatigheidsverantwoording vanaf verslagjaar 2021 is bij uitstek geschikt om over te stappen naar integrale interne beheersing en afscheid te nemen van het denken en handelen in silo’s omdat silo’s tot verkokering leiden en nimmer tot een volwassen beheersorganisatie. Doorgaan met afzonderlijke silobeheersing betekent blijven aanmodderen met veelal hoge (verborgen) beheerskosten en dat past niet meer in deze tijd van vergaande digitalisering, complexe beheersvraagstukken, reputatieschade en toenemende verantwoordingsdruk op allerlei thema’s.

door drs. Gerrit Goud RA

Herkent u zich in bovenstaande tekst en in de pilaren zoals gevisualiseerd waarbij elke pilaar vanuit afzonderlijke beleidsdocumenten worden opgetuigd en niet in alle gevallen de aandacht krijgt die het werkelijk verdient? Zoals bijvoorbeeld de CISO die er alleen voor staat en worstelt met verantwoordelijkheden en eigenaarschap in de 1^e verdedigingslijn, terwijl hetzelfde probleem zich voordoet bij de privacy officer en controller vanuit zijn (financiele) rechtmatigheidsdomein. Dat gaat de CISO in zijn eentje niet lukken. Daarvoor zijn krachten nodig vanuit een hogere macht.

Om die krachten te mobiliseren is vanuit interne beheersing een omslag nodig door niet meer te handelen vanuit afzonderlijke silo’s maar juist de verbinding en samenwerking te zoeken tussen de verschillende disciplines. De afzonderlijke ‘poortwachters’ in de 2^e verdedigingslijn behoren te gaan samenwerken en hun krachten te bundelen door als team naar buiten te treden in plaats van afzonderlijke individuen. Als team sta je immers sterker en kan de boodschap waarom bepaalde beheersmaatregelen noodzakelijk zijn beter worden onderbouwd. Zo ook geldt dit voor bedrijfsprocessen die aan een of meerdere thema’s moeten voldoen en dan heeft een integrale benadering de voorkeur op een silobenadering. Voor de goede orde, verticaal themabeleid blijft noodzakelijk alleen als fundament voor interne beheersing is een horizontale benadering nodig en dat laatste ontbreekt bij veel gemeenten. Weliswaar is er een verordening financieel beleid bij gemeenten maar die is verticaal gericht en daarmee qua scope te beperkt.

Verandering vereist wel visie, ambitie en beleid vanuit de top gericht op integrale interne beheersing met een stip op de horizon. Daarvoor is voorbereiding en een zorgvuldige opbouw nodig om de top te overtuigen van nut en noodzaak ten aanzien van integrale interne beheersing. De focus is dan vooral gericht op een beheersorganisatie vanuit het principe van three lines of defence (3LOD) waarmee elk gewenst thema kan worden beheerst. En dan gaat het niet zozeer om de inhoud die verticaal geregeld is, maar juist om de bouwstenen van interne beheersing (zie eerdere blogs) en het daarmee in continuïteit borgen van deze inhoud. En die aanpak biedt kansen tot kwaliteitsverbetering en tot aanzienlijke kostenbesparingen op interne beheersing. Daarvoor is wel een integraal intern beheersingssysteem nodig om synergievoordelen te realiseren en is er geen ruimte voor verticale thema-oplossingen die hooguit leiden tot suboptimalisatie.

Uiteraard vergt dit investeringen maar die verdienen zich dubbel en dwars terug. Ga maar eens na hoeveel fte en externe inhuur zich thans bezighoudt met interne beheersing en in veel gevallen ingezet wordt om (helaas) achteraf te repareren in plaats van vooruit te kijken en continu te verbeteren. Dat kan beter, slimmer en goedkoper door onder meer gebruik te maken van onze GRC-software als integraal intern beheersingssysteem.

De voordelen van integrale interne beheersing zijn inmens maar komen niet vanzelf. Daarvoor is zoals eerder aangegeven visie, ambitie en beleid nodig en dat begint bij de top. Het interessante is dat de kans hiertoe fors is toegenomen vanwege de aankomende rechtmatigheidsverantwoording vanaf verslagjaar 2021 die behoorlijke gevolgen heeft op de beheersorganisatie. Ook het college en de directie zijn hierbij aan zet en die zoeken garantie dat de interne beheersing op orde is en dat dit als zodanig kan worden aangetoond. In dat kader is het van belang dat de concerncontroller vanuit zijn rol om vooruit te kijken het initiatief naar zich toetrekt. Vanuit dat initiatief kan de basis gelegd worden voor integrale interne beheersing en tegelijk het einde worden ingeluid van de silobenadering.

Wij hebben voor dit transitieproces een stappenplan opgesteld, te beginnen met een Quick Scan Rechtmatigheid (QSR) die we in een vorige blog onder de aandacht hebben gebracht en waarmee inmiddels diverse klanten hun voordeel doen. Wij kunnen u begeleiden in dit transitieproces met onze kennis en expertise op het gebied van intergrale interne beheersing.

Bent u geïnteresseerd in onze Quick Scan Rechtmatigheid en wilt u meer weten over onze aanpak over integrale interne beheersing, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

Op weg naar de rechtmatigheidsverantwoording via onze Quick Scan Rechtmatigheid (QSR)

door drs. Gerrit Goud RA 

Vanaf 2022 dienen gemeenten via een rechtmatigheidsverklaring verantwoording af te leggen aan de gemeenteraad over het verslagjaar 2021. In mijn gesprekken met gemeenten krijg ik veel vragen zoals, hoe krijg ik snel in beeld waar mijn organisatie staat als het gaat om interne beheersing? Waar beginnen we? En vooral hoe pakken we het aan om op tijd klaar te zijn? Vorige maand heeft Key2Control daarom de QuickScan Rechtmatigheidsverantwoording (QSR) geïntroduceerd, speciaal voor gemeenten. Deze QSR geeft de afdeling concerncontrol inzicht op maat in hun eigen transitie naar rechtmatigheidsverantwoording en biedt direct een perspectief op basis van een stappenplan om dat tijdig te organiseren.

De QSR is opgebouwd uit ca 70 vragen. Deze vragen worden in een workshop van één dagdeel gezamenlijk besproken en beantwoord. Aan het einde van de workshop is direct een eerste resultaat (grafisch) zichtbaar waar de organisatie staat op het gebied van interne beheersing. Enkele dagen na de workshop wordt een managementrapportage opgeleverd met daarin een uitgebreide argumentatie op de scores voorzien van een eerste conclusie. Dit rapport is een belangrijke eerste stap naar de rechtmatigheidsverantwoording. Het rapport biedt voldoende aanknopingspunten voor vervolgstappen met aandacht voor de directie, het college en de raad en is voorzien van een heldere toelichting op de onderdelen van interne beheersing.

Afgelopen maand zijn direct al enkele QSR’s uitgevoerd en is de eerste rapportage al opgeleverd.

“De directe meerwaarde voor mij is dat ik nu iets in handen heb waarmee ik een concreet gesprek kan aangaan met directe en College om een visie en ambitiedocument op te stellen rondom interne beheersing.”

Concerncontroller (Gemeente 58.000 inwoners)

De voorbereidingen op de rechtmatigheidsverantwoording is het halve werk. De QSR stelt de concerncontroller in staat het tijdspad naar een implementatieplan te verkorten zodat meer tijd beschikbaar is voor de daadwerkelijke implementatie. Voor de concerncontroller waar het initiatief ligt voor het treffen van voorbereidingen, is de QSR bij uitstek een handig hulpmiddel. Bent u geïnteresseerd in onze QSR en ook in de te nemen vervolgstappen en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

Waarom de kwaliteit van informatievoorziening hét fundament is voor interne beheersing

Key2Control en eSpecialisten bundelen kennis en expertise op ICT-gebied voor gemeenten.

Softwarebedrijf Key2Control, gespecialiseerd in het organiseren van integrale interne beheersing van de kwaliteit van informatieveiligheid en financiële rechtmatigheid gaat nauw samenwerken met eSpecialisten, adviespartner voor overheden bij het organiseren van de kwaliteit van de organisatie, processen en ICT. Samen bieden eSpecialisten en Key2Control een totaaltraject waarmee overheidsorganisaties een aantoonbare interne beheersing en duurzame kwaliteitsverbetering van specifieke bedrijfsprocessen kunnen realiseren.

eSpecialisten en Key2Control introduceren twee doelstellingenmodellen voor het borgen van de interne beheersprocessen voor inkoop- en aanbesteding van ICT en ICT-leveranciersmanagement in de software van Key2Control. De software en normenkaders vormen samen 2 belangrijke bouwstenen voor interne beheersing. Samen wordt daar ook advies- en begeleiding aan gekoppeld om van papier naar praktijk te komen. Het traject levert een solide aanpak op die gemeenten zelf kunnen uitvoeren met als resultaat onweerlegbare bewijslast over de eigen interne beheersing en integrale kwaliteitsverbetering van beide processen.

“Wij merken in al onze gesprekken dat overheidsorganisaties en in het bijzonder gemeenten, steeds meer moeite hebben om de interne beheersing van hun organisatie, processen en ICT te managen als gevolg van de vele institutionele-, maatschappelijke en technologische ontwikkelingen” aldus Kees Groeneveld, directeur bij eSpecialisten. “Wij werken net als Key2Control veel voor gemeenten en we ervaren beiden dat deze ontwikkelingen allemaal samen echt een verlammend effect hebben op het vermogen om dat allemaal goed te organiseren. Denk aan de Omgevingswet, Wet Open Overheid, Archiefwet 2021 en de Wet Verbijzonderde GGZ (WvGGZ) om er maar eens een paar te noemen. Er wordt nog altijd fors geïnvesteerd in mens en technologie en dan gaat het om publiek geld dat wel verantwoord moet worden.”

Bart Suers, directeur publieke sector bij Key2Control vult aan. “Uit het jaarlijks onderzoek door de Rijksoverheid over de uitkomsten van de verantwoording van gemeenten voor het verslagjaar 2018 blijkt, dat ruim 50 gemeenten geen goedkeurende verklaring kregen voor rechtmatigheid van hun accountant. Als je dan wat dieper inzoomt dan is de onderliggende oorzaak verassend genoeg niet altijd of alleen het sociaal domein. Bij 41 gemeenten bleek dat ze de regels voor Europese aanbestedingen niet correct hadden gevolgd, vaak zijn dit ook nog eens onrechtmatigheden in aanbestedingen van ICT. En dat is nogal wat als je beseft dat jaar op jaar de ICT-uitgaven per inwoner blijven stijgen. We praten nu al over ruim 1,5 miljard euro belastinggeld per jaar die gemeenten spenderen aan ICT.”

Voor meer informatie:

Kees Groeneveld, [email protected]

Bart Suers, [email protected]

Over Key2Control
Key2Control stelt door haar aanpak en Cloud softwareoplossingen op het gebied van Governance, Riskmanagement & Compliance opdrachtgevers in staat zich continu én met succes aan te passen aan de snel veranderende wereld van morgen. Door op elk moment van de dag inzicht te hebben in, en verantwoording af te kunnen leggen vanuit, inzichtelijke interne beheersprocessen. Key2Control heeft haar jarenlange ervaring op het snijvlak van GRC, organisatiekennis, risicomanagement en techniek vertaald in concrete softwareoplossingen in de Cloud. Deze oplossingen ondersteunen elk gewenst beheersproces.

Over eSpecialisten
eSpecialisten is adviespartner voor overheden bij het organiseren van kwaliteit van de organisatie, processen en ICT op het gebied van ICT– standaarden, inkoop- en aanbesteden, leveranciersmanagement, impactanalyses en digitale duurzaamheid. Daarnaast levert eSpecialisten software voor blockchaintechnologie op het gebied van digitaal waarmerken en ondertekenen van documenten.

De kwaliteit van informatievoorziening hét fundament is voor interne beheersing

Nieuw algemeen telefoonnummer

Per 2 januari 2020 verandert ons algemene telefoonnummer, ons nieuwe nummer is vanaf dan 085-0761515. Voor de rest blijft alles bij het oude.

We zijn bereikbaar op het nieuwe nummer tussen 9:00 en 17:00. Zowel binnen als buiten de genoemde tijden zijn we ook bereikbaar via e-mail:

Vragen over onze applicaties – [email protected]

Vragen over facturatie, abonnement, projecten, etc. – [email protected]

Generieke vragen – [email protected]

Wist u dat wij uw vragen over onze applicaties zoveel mogelijk via e-mail afhandelen, ons ticketing systeem vangt al uw vragen op. Hierna kunnen wij geautomatiseerd een antwoord versturen of op een antwoord op maat terugkoppelen. Indien uw vraag telefonisch is binnen gekomen, maken wij alsnog een vraag in ons ticketing systeem aan voor de borging van de historie van al uw vragen. In het Kenniscentrum vindt u uiteraard ook allerlei andere nuttige informatie over onze applicaties.

Wij verwijzen u verder graag naar onze blog over hoe u een zo compleet mogelijke vraag kunt stellen: https://kenniscentrum.key2control.nl/blog

Wij wensen u fijne feestdagen en een gezond en succesvol 2020!

Team Key2Control

De meerwaarde van three lines of defence (3LOD)

door Gerrit Goud

De discussie over de rechtmatigheidsverantwoording brengt eveneens de rolverdeling op basis van 3LOD in het kader van interne beheersing ter sprake. 3LOD bestaat al vele jaren en is een krachtig en breed geaccepteerd model, maar in de praktijk komt dit model bij gemeenten niet echt tot wasdom. Wat is hiervan de oorzaak en hoe kunnen gesignaleerde drempels vermeden worden?

Je zou toch in eerste instantie denken dat 3LOD niet zo’n ingewikkeld model is. De 1^e verdedigingslijn is nadrukkelijk ingebed in de operationele bedrijfsprocessen en de leidinggevenden zijn hiervoor als eigenaar verantwoordelijk. De 2^e verdedigingslinie is voornamelijk een staffunctie ten dienste van de 1^e lijn en heeft een adviserende en monitoringrol op de risicoprofielen van bedrijfsprocessen en vervult hiermee de rol van poortwachter. De 3^e verdedigingslinie heeft een controlerende functie gericht op het toetsen van de effectiviteit van de 1^e en 2^e verdedigingslinies. Dus wat is het probleem?

The missing link

Het probleem is dat het fundament voor een effectief 3LOD niet of deels aanwezig is. Veel organisaties missen namelijk een actieve betrokkenheid en aansluiting van de 1^e lijn op het beheersingsmodel. En door deze missing link valt het hele fundament van 3LOD in elkaar. Met 2 verdedigingslinies kan een organisatie weliswaar een veldslag winnen, maar geen ‘oorlog’, omdat de grootste klappen voorkomen moeten worden door het treffen van beheersmaatregelen in de operationele processen. Een belangrijke oorzaak is dat bij de implementatie van 3LOD voortgeborduurd is op bestaande structuren en rollen (uit de 20^e eeuw). Eigenaarschap in de 1^e lijn voorzien van rugnummers en daarbij behorende verantwoordelijkheden, is simpelweg niet benoemd. Ja, natuurlijk… leidinggevenden zijn verantwoordelijk voor hun bedrijfsprocessen wat zo’n beetje in elk beleidsdocument staat, maar krijgen we daarmee de organisatie in beweging?

Een andere oorzaak is dat de 2^e lijn allerlei beheerstaken naar zich toe heeft getrokken die gewoon bij de 1^e lijn behoren te liggen. Dit is mede veroorzaakt door de alsmaar toenemende regeldruk van de afgelopen jaren. Daardoor is de focus in de 2^e lijn gelegd op risicomanagement en compliance met de daarbij vereiste transparantie om er voor te zorgen dat vooral toezichthouders en accountants tevreden zijn. Er werd echter niet gekeken naar de behoefte van de 1^e lijn, die bleef buiten schot en daardoor is een kloof ontstaan met als gevolg dat de 1^e verdedigingslinie niet tot wasdom is gekomen en de beheersorganisatie constant achter de feiten aanloopt en in een stroperig beheersingsproces is beland. Dat is een ernstige zaak, omdat het merendeel van de organisatie (> 90%) onder de 1^e verdedigingslinie valt.

Naast regeldruk zijn ook andere thema’s op het toneel verschenen zoals privacybescherming en informatiebeveiliging die ook te maken hebben met interne beheersing. Het vervelende is echter dat deze thema’s eigen eilandjes vormen in het landschap van interne beheersing en dat leidt tot verkokering gemanaged in aparte silo’s.

Al deze ontwikkelingen zorgden ervoor dat risicomanagement en compliance op zich zelf staande doelen zijn geworden in plaats van activiteiten die gerelateerd zijn aan primaire doelstellingen en daardoor de afstand tussen 1^e en 2^e lijn alsmaar groter werd. De samenhang en het overzicht van risicogebieden is nagenoeg foetsie en organisaties hebben hiermee onbedoeld een onbeheersbaar ‘monster’ gecreëerd met een hoog gehalte aan schijnzekerheid en overhead waarvan het resultaat niet breed gedragen wordt.

Het hier geschetste beeld is ook een van de redenen waarom de VIC geen aansluiting heeft met de rest van de organisatie. Adviezen uit VIC-rapporten worden nauwelijks opgevolgd simpelweg omdat de afstand tot de 1^e lijn te groot is en leidinggevenden niet de toegevoegde waarde zien van VIC. En helaas leidt dit in alle verdedigingslinies tot frictie en frustratie en dat draagt niet bij tot een gezonde samenwerking.

Hoe impasse doorbreken?

Een effectief beheersingsmodel gebaseerd op 3LOD vereist visie, ambitie en onderlinge afstemming. Dat begint in de top (directie en bestuur) waarbij de concerncontroller degene is die dit initiatief naar zich kan toetrekken en de directie en bestuur kan overtuigen van de noodzaak en urgentie. Een eerste stap hiervoor is het opstellen van een visiedocument integrale interne beheersing uitmondend in beleid. De scope van dit beleid behelst alle thema’s die de gemeente wenst te beheersen zoals privacybescherming, informatiebeveiliging en rechtmatigheid. Dan gaat het dus niet om de inhoud, maar om het algeheel intern beheersingsproces.

Aandachtspunten zijn uiteraard de taken en verantwoordelijkheden in het kader van 3LOD met vermelding van eigenaarschap en het benoemen van kaders en uitgangspunten waarmee rekening dient te worden gehouden bij het vormen van integrale interne beheersing. Daaronder vallen ook spelregels zoals een handhavingsmechanisme ingeval spelregels worden overschreden. Een sprekend voorbeeld is het volgende: leidinggevenden zijn weliswaar verantwoordelijk maar dat geeft hen geen vrijbrief zelf te bepalen welk niveau van interne beheersing toereikend is. Dat mogen ze bepalen binnen de kaders en uitgangspunten die hierop van toepassing zijn. Indien een leidinggevende (bewust) een lager niveau van interne beheersing toepast dat niet in lijn is met het vastgestelde risicoprofiel dan behoort de 2^e lijn als poortwachter in te grijpen. Indien in zo’n situatie een impasse dreigt te ontstaan tussen de 1^e en 2^e lijn dan moet het mogelijk zijn dat de gemeentesecretaris binnen zijn bevoegdheden ingrijpt. Dit is ook een van de redenen dat de directie gepositioneerd is in de 2^e verdedigingslinie. Dit voorbeeld lijkt vanzelfsprekend maar is bij veel organisaties niet geregeld.

Normenkaders/doelstellingenmodellen

Uitvoering van het beleid is een andere uitdaging. Hoe zorg je ervoor dat de 1^e lijn actief betrokken raakt? Dat gaat natuurlijk niet vanzelf. De eerste stap is dat leidinggevenden zich bewust worden van hun rol in de 1^e verdedigingslinie en van de meerwaarde van de 2^e en 3^e lijn door hen een handreiking te geven om laagdrempelig deel te nemen aan het interne beheersingsproces. Het houden van workshops is hiervoor een beproefd middel.

Leidinggevenden moeten inzicht krijgen in hoeverre hun 1^e verdedigingslinie toereikend is ofwel hun bedrijfsprocessen voldoen aan de vereiste beheersdoelstellingen. We kijken dan niet met de 1^e lijn naar operationele risico’s want die zijn er genoeg, maar meer naar het ‘fort’ dat er vanuit interne beheersing behoort te staan en voldoende robuust moet zijn. Vooraf is al bepaald aan welke eisen dit ‘fort’ moet voldoen. Dat is namelijk gedaan tijdens een inventarisatie en risicoanalyse in de 2^e lijn uitmondend in een normenkader/doelstellingenmodel. Daarmee creëert de 2^e lijn toegevoegde waarde voor de verantwoordelijke leidinggevende. Een voorbeeld van een landschap van doelstellingenmodellen voor een gemeente is hieronder grafisch geïllustreerd.

Elk ‘blokje’ in het landschap bevat een eigen normenkader/doelstellingenmodel. Door te meten in hoeverre voldaan is aan beheersdoelstellingen, ontstaat vanzelf een beeld hoe de fortificatie in het landschap ervoor staat. Dat meten gaat vrij snel en geeft inzicht en een schat aan informatie die met elkaar besproken kan worden. Dat is de verbinding tussen de 1^e en 2^e lijn en awareness ten top om op een constructieve wijze verbeteringen door te voeren. Leidinggevenden raken met deze aanpak vertrouwd met hun beheersdoelstellingen en zijn daardoor beter in staat de bevindingen en adviezen uit VIC-rapporten in de juiste context te plaatsen waardoor de kans op acceptatie groter wordt. Dit laatste vereist wel dat VIC gebruik maakt van de reeds vastgestelde beheersdoelstellingen in het kader van hun werkzaamheden. En zo hoort het ook, immers de werkzaamheden van VIC zijn gericht op het toetsen aan vastgestelde normen en die normen ga je niet zelf bedenken als deze al zijn vastgesteld.

Met deze aanpak versterkt de gemeente het fundament van 3LOD als basis voor integrale interne beheersing met het doelstellingenmodel als gemene deler. Het doelstellingenmodel als ‘praatplaat’ levert namelijk toegevoegde waarde voor de 1^e lijn en zorgt voor een betere aansluiting en afstemming van activiteiten vanuit de 2^e en 3e lijn op de behoefte van leidinggevenden. En daarmee komen de 3 verdedigingslinies beter in balans.

Tot Slot

Ons GRC-platform ondersteunt het gebruik van doelstellingenmodellen en stimuleert daarmee de adoptie onder leidinggevenden en hun medewerkers om hen actief te betrekken in het interne beheersingsproces. Zij zijn de belangrijkste dragers van het hele fundament van interne beheersing en daar ligt ook de basis voor een In control Statement (ICS). Voor de 2^e en 3^e lijn biedt het doelstellingenmodel een opening voor samenwerking en een betere afstemming met de 1^e lijn.

Zoals eerder aangegeven begint het proces van interne beheersing met inzicht om met elkaar te komen tot continue verbeteringen. Voor veel gemeentelijke bedrijfsprocessen hebben wij inmiddels doelstellingenmodellen beschikbaar. Dat levert een aanzienlijke tijdbesparing op voor de 2^e lijn en onze doelstellingenmodellen kunnen direct worden ingezet om te meten en de 1^e lijn actief te betrekken in het intern beheersingsproces.

Wilt u meer weten over onze visie en aanpak over integrale interne beheersing en/of bent u geïnteresseerd in onze doelstellingenmodellen, neem dan gerust contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

AP legt focus in toezicht op digitale overheid

De AP legt de komende jaren extra nadruk op het toezicht in drie focusgebieden datahandel, AI en algoritmes en Digitale overheid. Dit is nodig om de bescherming van persoonsgegevens in Nederland te borgen. Dat maakt de AP recent bekend in haar nieuwe visiedocument. Tot en met 2023 geven de focusgebieden onder meer richting aan de uitvoering van de wettelijke taken van de AP.

Steeds meer apparaten en diensten verzamelen persoonsgegevens waardoor ze steeds meer van ons weten. Dit gebeurt zonder dat we altijd precies weten wat er met die gegevens gebeurt en wie er toegang toe heeft. Dit maakt ons en onze democratische rechtstaat kwetsbaar. Misbruik of onverantwoordelijk gebruik van persoonsgegevens kan bijvoorbeeld leiden tot foutieve beslissingen, uitsluiting van mensen en discriminatie.

De AP ziet drie grote trends die van invloed zijn op de bescherming van persoonsgegevens:

·        Doorgroei van de datasamenleving

·        Toename van digitaal onrecht

·        Toename van privacy-bewustzijn

Focusgebieden

Digitale overheid is één van de drie focusgebieden waar extra toezicht op komt want centrale en lokale overheden, uitvoeringsorganisaties en politie en justitie beschikken over een grote hoeveelheid – vaak gevoelige en bijzondere – persoonsgegevens. De overheid werkt gericht aan het inzetten van persoonsgegevens. Het is van belang dat de overheid verantwoordelijk omgaat met persoonsgegevens, zodat mensen niet onnodig in de knel kunnen komen. De AP kan hier het verschil maken door grenzen te markeren ten aanzien van wat er wel en niet kan onder de AVG. De focusgebieden geven onder meer richting aan de uitvoering van onze wettelijke taken.

Risicogestuurd toezicht

De AP is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt. Het toezichtveld is omvangrijk: internationale en nationale bedrijven en organisaties, de gehele overheid, inclusief politie en justitie en ook verenigingen, scholen, stichtingen en individuele burgers. De AP houdt daarom risico gestuurd toezicht, ze spitsen zich op onderwerpen met een groot risico voor burgers.

Bron: privacy-web

ISMS en het gebruik van GRC-tooling

Een BIO-logische ontwikkeling naar integrale interne beheersing

door drs. Gerrit Goud RE RA

Om maar gelijk met de deur in huis te vallen: een GRC-tooling is geen ISMS ofwel een informatiemanagementsysteem voor informatiebeveiliging. Een GRC-tooling ondersteunt wel het intern beheersingsproces rond informatiebeveiliging dat een belangrijk onderdeel is van het ISMS evenals voor privacybescherming, de financiële rechtmatigheid of voor welk ander thema dan ook. En daarmee komt een GRC-oplossing in relatie tot informatiebeveiliging opeens in een ander en veel breder daglicht te staan. In deze blog gaan we in op de vraag wat nu eigenlijk GRC is en wat de toegevoegde waarde is van een GRC-tooling?

Wat is GRC?

Het acroniem GRC staat voor Governance, Risk & Compliance en die vertegenwoordigen drie belangrijke bouwstenen van interne beheersing. In eerdere blogs is het begrip interne beheersing al eens uitgediept. Eigenlijk zou het acroniem GRCIPE moeten zijn, waarbij de ‘I’ staat voor internal control, de ‘P’ voor perfomance en ‘E’ voor ethics & culture. Alleen dat bekt niet. Dus vandaar GRC.

Het GRC-denken vindt zijn oorsprong vanuit de financiële wereld en de interne beheersing daaromheen. GRC is de afgelopen decennia uitgegroeid tot integrale interne beheersing in een organisatiebreed perspectief. Dus niet enkel het financieel domein, maar ook voor elk ander thema dat een organisatie wenst te beheersen, zoals informatiebeveiliging, privacybescherming en informatiebeheer. GRC wil dus niet zeggen dat alles geautomatiseerd is, nee. GRC is een ‘way of life’ voor een organisatie; een manier van denken, organiseren en handelen (samenwerken, verbinden) gericht op het realiseren van betrouwbare doelstellingen waarbij onzekerheden worden aangepakt en integer gehandeld wordt. Belangrijke drivers om dit te willen realiseren zijn naast doelrealisatie, kwaliteitsverhoging en (aanzienlijke) kostenbesparing op de interne beheersing door onder meer het bevorderen van integratie en het voorkomen van verzuiling.

GRC is dus heel sterk gericht op de principes (bouwstenen) van integrale interne beheersing om grip te behouden op elke gewenst thema.

Wat is GRC-tooling?

GRC-tooling ondersteunt het GRC-denken en is gericht op functionaliteit die:

• de principes van interne beheersing bevordert,
• toegevoegde waarde biedt op het gebied van interne beheersing in termen van kwaliteitsverbetering en kostenbesparing voor elk thema,
• gericht is op het voorkomen van versnippering van beheersingsinformatie en
• een deugdelijke audittrail bevat voor auditors en toezichthouders (data-integriteit).

Dit impliceert dat een GRC-tooling die alleen gericht is op informatiebeveiliging of privacy leidt tot een vorm van suboptimalisatie als het gaat om integrale interne beheersing. En dat druist nu juist in tegen het GRC-denken (verzuiling). Gebruikers die beheersingsinformatie moeten leveren, haken dan uiteindelijk af vanwege het versnipperde geautomatiseerde GRC-landschap en het niet kunnen delen van beheersingsinformatie vanuit verschillende thema’s.

Een ander belangrijke functionaliteit voor een GRC-tooling is een deugdelijke audittrail die onlosmakelijk verbonden is met interne beheersing. Immers beheersingsinformatie moet betrouwbaar zijn en is niet alleen bedoeld voor de eigen organisatie maar ook voor toezichthouders en auditors. Zij moeten kunnen steunen op een deugdelijke audittrail anders heeft beheersingsinformatie weinig toegevoegde waarde. Het kan dus niet zo zijn dat uitkomsten die niet bevallen, kunnen worden verwijderd zonder een spoor achter te laten door een simpele druk op de knop of dat gegevens in de database kunnen worden aangepast zonder een spoor achter te laten in de applicatie. Dit past ook niet vanuit het principe van integriteit (integer handelen) dat een wezenlijk onderdeel is van interne beheersing.

Visie en ambitie

Het gebruik van GRC-tooling vereist visie en ambitie vanuit de top gericht op integrale interne beheersing. Dan gaat het in eerste instantie niet over de inzet van tooling, want dat is slechts een middel, maar over de wijze hoe de organisatie de kwaliteit van interne beheersing wenst te vergroten en tegelijkertijd hierop kosten kan besparen. Zoals in een eerdere blog is aangegeven, ligt die uitdaging bij de concerncontroller. Die gaat immers over het brede domein van interne beheersing. De top dient het fundament te leggen voor integrale interne beheersing die van toepassing is op alle thema’s die de organisatie wenst te beheersen. Als dit fundament er is dan biedt dit een duurzame oplossing voor de concerncontroller, CISO, privacy officer en alle andere ‘poortwachters’ om hun thema’s vanuit interne beheersing verder uit te bouwen.

Noodzaak GRC-tooling

De noodzaak tot het borgen van beheershandelingen wordt versterkt door de alsmaar toenemende druk vanuit extern toezicht en het afleggen van (niet-financiële) verantwoording op allerlei thema’s. Veel gemeenten roepen dan via de bekende weg dat extra capaciteit (fte’s) nodig is om hieraan tegemoet te komen. Vanuit die benadering zullen eveneens de kosten voor interne beheersing toenemen en dat is voor vele organisaties ongewenst. Een betere en duurzame oplossing is de inzet van GRC-tooling met de juiste functionaliteit waarbij de focus gericht is op integrale interne beheersing. Het zoveel mogelijk standaardiseren van het proces interne beheersing door gebruik te maken van GRC-tooling kan zelfs de huidige kosten van interne beheersing aanzienlijk beperken (>100k) en tegelijk de kwaliteit van interne beheersing doen toenemen. Organisaties worden hierdoor minder kwetsbaar als belangrijke spelers in het veld van interne beheersing uitvallen wat regelmatig gebeurt. Het GRC-platform draait immers gewoon door met bestaande en eventuele nieuwe spelers en taken kunnen eenvoudig worden overgeheveld. Ook kennis en informatie blijft behouden bij vertrek van belangrijke spelers vanwege eerdere vastleggingen in de GRC-tooling. Alleen dit facet biedt al aanzienlijke besparingen op.

Heroriëntatie over interne beheersing in combinatie met visie en ambitie zoals eerder vermeld biedt volop kansen voor een verbeterslag en kostenbesparing.

Wat is een ISMS?

De IBD omschrijft een ISMS[1] als het continu beoordelen of beveiligingsmaatregelen passend en effectief zijn, en of deze bijgesteld moeten worden. Het helpt de gemeenten onder andere om risico’s te beheersen, passende beveiligingsmaatregelen te treffen, lering te trekken uit incidenten en daarmee de betrouwbaarheid van de informatievoorziening en bedrijfscontinuïteit te waarborgen. Voor het opzetten, implementeren en onderhouden van een ISMS hanteert de IBD de volgende 10-stappenplan.

1. Inzicht verkrijgen in de gemeentelijke organisatie en haar context
2. Vaststellen doelstelling van het ISMS
3. Vaststellen scope van de ISMS-invoering
4. Verkrijgen van steun van het management van de gemeente
5. Het definiëren van een methode van risicobeoordeling
6. Inzicht verkrijgen in de risico’s
7. Opstellen jaarlijks informatiebeveiligingsplan
8. Het opstellen van aanvullend beleid voor het beheersen van risico’s
9. Het toewijzen van middelen, opleidingen en training
10. Bewaken van de invoering van het ISMS

Het gaat hier om beheershandelingen die ondersteund kunnen worden met GRC-tooling als het gaat om beheersingsinformatie. De principes van interne beheersing zijn uit de omschrijving van de IBD in grote lijnen te herleiden.

De vraag is nu wat voor functionaliteit dan beschikbaar moet zijn in een GRC-tooling die het thema informatiebeveiliging ondersteunt. Daarover zijn de meningen behoorlijk verdeeld. De een vindt dat functionaliteit voor contractenbeheer of incidentenbeheer beschikbaar moet zijn, de ander vindt dat dataclassificatie inclusief baselinetoets ondersteund moet worden. En natuurlijk zijn dit belangrijke zaken, maar als je zo doorredeneert en hierbij ook direct aanpalende thema’s zoals privacy en informatiebeheer erbij betrekt dan is de kans groot dat het spreekwoordelijke ‘kind met een waterhoofd’ ontstaat dat uiteindelijk in schoonheid sterft. Voor een deel heeft dit te maken met onbekendheid van het GRC-denken bij CISO’s, privacy officers en FG’s. Dat is op zich wel begrijpelijk omdat kennis van interne beheersing meer ontplooit is in het financieel domein. Daarnaast druist dit in op het GRC-denken die juist gericht is op het bevorderen van integratie en dat lukt niet als voor elk thema aanvullende functionaliteit wordt toegevoegd.

Als we bovenstaande zouden vergelijken met een formule 1 racewagen dan weten we dat deze wagen ontwikkeld is om een race te winnen. Dan gaan we er geen trekhaak aan bevestigen, ook geen knipperlichten, koplampen, airbag, navigatiesysteem of een reserveband voorzien van een krik, toch? Datzelfde principe geldt eveneens voor een GRC-tooling. Die is gebouwd voor integrale interne beheersing en als je wel toegeeft aan al dat soort extra functionaliteit dan is de kans groot dat de applicatie wordt ervaren als te complex, te ingewikkeld, te veel beheer en niet gebruikersvriendelijk en uiteindelijk niet (meer) wordt gebruikt.

De weg naar integrale interne beheersing

Opvallend is dat GRC-tooling bij veel gemeenten geïntroduceerd is vanuit informatiebeveiliging en niet zozeer vanuit het financieel domein waar je dit eerder zou verwachten. Daarin gaat verandering komen vanwege de rechtmatigheidsverklaring vanaf 2021. Er zal behoefte ontstaan naar de inzet van GRC-tooling die in staat is integrale interne beheersing te ondersteunen waarbij eigenaarschap in de 1^e verdedigingslijn een cruciale rol vervult. En laat nou net dat eigenaarschap eveneens een cruciale rol spelen bij de implementatie van de Baseline Informatiebeveiliging voor Overheden (BIO) en privacybescherming en dan zie je de meerwaarde van het GRC-denken. Door de concerncontroller in positie te brengen om het eigenaarschap gemeentebreed te regelen vanuit een visie en aanpak over integrale interne beheersing, wordt daarmee tegelijk het pad vereffend voor de CISO en privacyofficer. Het spreekwoordelijk gezegde “alleen ga je sneller, samen kom je verder” is hierop geheel van toepassing. Dat geldt eveneens voor de inzet van een GRC-tooling die integrale interne beheersing ondersteunt.

GRC-platform van Key2Control

De aanleiding van deze blog was het gebruik van GRC-tooling in relatie tot ISMS. Uiteengezet is wat GRC inhoudt en dat functionaliteit van GRC-tooling gericht is op integrale interne beheersing met als doel kwaliteitsverbetering en kostenbesparing door het realiseren van integratie en het voorkomen van verzuiling. De behoefte naar integrale interne beheersing neemt steeds meer toe en daarvoor is GRC-tooling nodig die daarop aansluit. Maar zo’n tooling behoort wel aan een aantal minimale eisen te voldoen waaronder een deugdelijke audittrail.

Onze klanten die op dit moment het GRC-platform van Key2Control inzetten voor informatiebeveiliging en/of privacy kunnen eenvoudig opschalen naar andere thema’s zoals financiële rechtmatigheid met als groot voordeel dat alle thema’s geborgd worden volgens dezelfde principes van interne beheersing. Voor concerncontrollers reden te meer om kennis te maken met ons GRC-platform.

Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

[1] Zie versie IBD 2.1, juli 2019

Waarop nadruk leggen en hoe verder?

Welke bouwstenen van interne beheersing zijn relevant in het kader van rechtmatigheid?

door drs Gerrit Goud RE RA 

Vanaf het boekjaar 2021 zijn gemeenten zelf verantwoordelijk voor het afgeven van een rechtmatigheidsverklaring aan de gemeenteraad. Deze rechtmatigheidsverklaring dient ondertekend te worden door het college van B&W als onderdeel van de jaarlijkse verantwoording die de huisaccountant beoordeelt. Het boekjaar 2021 lijkt nog ver weg maar als je terug redeneert wat daarvoor nodig is, dan is er voor veel gemeenten werk aan de winkel. Niet voor niets dat de VNG het advies geeft nu al te starten met het treffen van voorbereidingen.

Vanuit Key2Control zijn we nadrukkelijk over dit thema in gesprek met diverse gemeenten. Menig concerncontroller is zich inmiddels aan het oriënteren om een beeld te krijgen van de impact van de rechtmatigheidsverklaring op de gemeentelijke organisatie. In een serie van 3 blogs delen wij graag onze visie en aanpak op hoofdlijnen over het borgen van rechtmatigheid. In de vorige blogs hebben we stilgestaan bij de afbakening van rechtmatigheid en zijn we nader ingegaan op de bouwstenen van interne beheersing in relatie tot rechtmatigheid. In de 3^e en laatste blog gaan we nader in op de vraag waarop de nadruk moet worden gelegd in het kader van de voorbereiding op de rechtmatigheid.

Wat hebben we uit de vorige blogs geconstateerd?

Rechtmatigheid is een compliance vraagstuk op operationeel niveau waarbij een heldere rolverdeling in de governance nodig is gebaseerd op het principe van three line of defence (3LOD). Vanuit de governance komt de nadruk vooral te liggen op het actief betrekken van de 1^e verdedigingslijn in het intern beheersingsproces. Daar ligt de verantwoordelijkheid voor het afgeven van een in control statement (ICS) en die verantwoordelijkheid ligt niet bij de concerncontroller en Verbijzonderde interne controle (VIC). Het afgeven van alleen een auditrapport VIC biedt onvoldoende basis voor het verstrekken van een rechtmatigheidsverklaring omdat responsibilty (ICS) en accountability (rechtmatigheidsverklaring) in elkaars verlengde behoren te liggen. De 1^e verdedigingslijn zal dus echt in positie moeten worden gebracht.

De PDCA-cyclus is de drijvende kracht voor het kunnen verstrekken van een rechtmatigheidsverklaring en het plannen en bewaken van alle beheersactiviteiten die nodig zijn voor het jaarlijks opleveren van dit eindproduct. Het beheer van deze activiteiten ligt voornamelijk in de 2^e verdedigingslijn.

Vanuit performance management speelt het doelstellingenmodel voor elk proces dat onder de rechtmatigheid valt een cruciale rol. Door periodiek te meten op beheersingsdoelstellingen ontstaat inzicht in normen waaraan niet of deels wordt voldaan en waarop verbeteracties in gang gezet kunnen worden in overleg met de verantwoordelijke manager. Normen waaraan wordt voldaan behoeven vanuit het principe van ‘management by exception’ geen verdere aandacht. Deze vorm van procesbeheersing speelt zich af in de 1^e verdedigingslijn met ondersteuning vanuit de 2^e verdedigingslijn en is de basis voor het kunnen afgeven van een in control statement (ICS).

De VIC kan eveneens gebruikmaken van de vastgestelde doelstellingenmodellen en bepaalt op basis daarvan welke beheersingsdoelstellingen in een boekjaar in aanmerking komen voor nader onderzoek (auditplan). Op deze wijze toetst de VIC achteraf de werking van de ingezette beheersmaatregelen in de 1^e verdedigingslijn en rapporteert hierover in de vorm van een intern auditrapport. Dat rapport geeft eveneens input voor verbetering op operationeel niveau. Het hier geschetste samenspel van beheersactiviteiten is de basis voor een rechtmatigheidsverklaring waarbij de 2^e verdedigingslijn een coördinerende en faciliterende rol vervult voor het tijdig en zorgvuldig opleveren van het eindproduct.

Hoe zit het dan met ethics & culture als onderdeel van interne beheersing?
Uiteraard speelt de ‘zachte kant’ van interne beheersing een belangrijke rol beginnend met de ‘tone at the top’. Dan gaat het om visie en ambitie op directie en bestuurlijk niveau. Maar de ‘zachte kant’ speelt eveneens een rol bij het actief betrekken van de 1^e verdedigingslijn in het interne beheersingsproces. Te snel draaien aan deze knop voor het omhoog stuwen van het volwassenheidsniveau veroorzaakt vaak onomkeerbare ongewenste gevolgen. Zorgvuldigheid is dan ook geboden vanwege de impact op het DNA van de organisatie. De eerste stap in deze richting is te beginnen met een afgestemde dosis aan bewustwording.

Valkuilen

Zoals in de blog 1 is aangegeven zijn er gemeenten die vol gaan op risicomanagement (kans * impact). In blog 2 is beargumenteerd dat dit instrument meerwaarde heeft op tactisch en strategisch niveau. Op operationeel niveau waar rechtmatigheid zich afspeelt kan de inzet van risicomanagement (kans * impact) een averechtse werking hebben met als gevolg veel overhead en weinig resultaat. Een betere benadering voor grip op rechtmatigheid en dit aantoonbaar te maken is de inzet van een PDCA-cyclus in combinatie met performance management (meten is weten) gericht op borgen en continu verbeteren en optimaliseren. Deze cyclische benadering bevat voldoende afwegingsmomenten voor het bepalen van de juiste keuzes (= risicoanalyse) en bevordert de onderlinge samenwerking en afstemming tussen de verschillende verdedigingslijnen.

De nadruk leggen op de inrichting van de VIC is verleidelijk voor concerncontrollers. Immers dat ligt in de comfortzone en het gaat in de regel om hooguit 1 á 3 medewerkers die eenvoudig aangestuurd kunnen worden, echter daar zit doorgaans niet de pijn. Daarnaast is de bijdrage van VIC onvoldoende voor het afgeven van een rechtmatigheidsverklaring. De VIC geeft immers geen ICS af, maar een intern auditrapport dat weliswaar van belang is voor een rechtmatigheidsverklaring, maar niet geheel de lading dekt. En ook het VIC-deel kan altijd beter en is voor een concerncontroller eenvoudiger te regelen dan het activeren van de 1^e verdedigingslijn waar de echte uitdaging voor de concerncontroller ligt.

Hoe nu verder?

De VNG geeft advies voor het treffen van voorbereidingen. Dat begint met het vormen van een eigen visie en ambitie en dit te borgen in beleid. Daarvoor is uiteraard tijd nodig, maar zorg ervoor dat dit beleid in 2019 geregeld is. Op basis van dit beleid kan voor 2020 een implementatieplan worden opgesteld voor het aanscherpen van het intern beheersingsproces zoals het actief betrekken van de 1^e verdedigingslijn in dit proces. De inzet van de concerncontroller bij de implementatie als verbindende en coördinerende factor zal voor een groot deel bepalend zijn voor het succes.

GRC-oplossing als springplank naar succes

De omvang van interne beheersing en het managen van alle relevante beheersactiviteiten in een jaarlijks terugkomend cyclisch proces vereist een effectieve en efficiënte benadering waarbij de inzet van een professioneel geautomatiseerde GRC-oplossing met de juiste functionaliteit onvermijdelijk is. Er zijn simpelweg te veel beheersactiviteiten verdeeld over diverse medewerkers in de organisatie die gestroomlijnd behoren te worden en dan is werken in Excelachtige omgevingen ondoenlijk en kostenverhogend nog even los van het moeizaam combineren en delen van informatie.

Wij vanuit Key2Control bieden een zeer gebruikersvriendelijke GRC-oplossing en beschikken voor de 1^e verdedigingslijn over doelstellingenmodellen (performance) voor gemeenten die vanuit een PDCA-engine gemanaged worden. Voor het sociaal domein zijn doelstellingenmodellen beschikbaar voor de WMO, Jeugdzorg, re-integratie en bijstand. En daarnaast zijn er doelstellingenmodellen beschikbaar voor subsidies, grondexploitaties, inkoop en aanbesteding, crediteuren en betalingen, verbonden partijen en personeel en salarissen en daarmee zijn de belangrijkste uitgaven van een gemeente afgedekt. Voor de komende tijd zal de inkomstenkant van gemeenten in beeld worden gebracht. Onze beheersingsdoelstellingen kunnen eveneens vanuit een auditmodule ingezet worden ter ondersteuning van de 3^e verdedigingslijn. Het beheer van het hele PDCA-proces kan vanuit de 2^e verdedigingslijn geregeld worden. Onze software biedt aldus een gestructureerde basis voor onderlinge samenwerking en afstemming tussen de 3 verdedigingslijnen en levert real time informatie op waaruit blijkt dat de organisatie aantoonbaar in control is.

Naast interne beheersing versus rechtmatigheid biedt onze GRC-oplossing een platform voor informatiebeveiliging (BIO), privacybescherming (AVG) en archiefbeheer (KIDO) volgens hetzelfde beheersingsprincipe en dat biedt mogelijkheden tot vergaande standaardisatie ofwel lagere beheerskosten tegen een hoger kwaliteitsniveau en wie wil dat nu niet!

Tot slot

In de serie van 3 blogs hebben wij een kader geschetst voor interne beheersing in relatie tot rechtmatigheid. Daarin zit de visie en aanpak die Key2Control hanteert en faciliteert via onze GRC-oplossing. Uiteraard is onze software een middel voor organisaties voor het op een effectieve en efficiënte wijze realiseren van haar doelen op het gebied van interne beheersing. Wij kunnen u daarbij met onze kennis en expertise begeleiden in het groeitempo dat u wenst.

Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.