Posts Under: Nieuws

De kwaliteit van informatievoorziening hét fundament is voor interne beheersing

De kwaliteit van informatievoorziening hét fundament is voor interne beheersing

Posted on by in Nieuws with no comments

Een vergelijking tussen de boekenkast, de ballenbak en de bunker – deel 1/2

Door Bart Suers, MScBA

Digitale informatie wordt door overheidsorganisaties steeds vaker gebruikt om te dienen als bewijs om gevraagd of ongevraagd verantwoording af te leggen over het handelen van de organisatie. Zo wordt digitale informatie bijvoorbeeld gebruikt om de mate van interne beheersing aan te tonen. Dan is het dus extra belangrijk dat er ook aantoonbare grip is op de uitvoeringskwaliteit van het informatiebeheer. Het organiseren van de kwaliteit van informatiebeheer kent natuurlijk vele verschijningsvormen. Het is telkens weer onderwerp van het gesprek dat ik voer met overheidsorganisaties over integrale interne beheersing. In een tweetal blogartikelen behandel ik drie van deze verschijningsvormen en benoem een aantal aspecten die van belang zijn als het gaat om het organiseren van de kwaliteit van informatiebeheer.

De Boekenkast

Wat hebben een boekenkast, ballenbak en bunker met elkaar gemeen? In feite zijn het 3 objecten waar je iets in wilt bewaren. De eigenschappen kennen voor- en nadelen en zijn weer afhankelijk van wát je precies wilt bewaren. Te beginnen bij de boekenkast. De boekenkast is een overzichtelijke maar ook bewerkelijke manier om informatie te organiseren. Iedereen kan zich een boekenkast voorstellen en iedereen snapt ook waar die voor dient. Alle informatie wordt netjes geordend en vindt een plaats aan de hand van een vooraf bepaalde of volgtijdelijk te creëren routestructuur. Die routestructuur is leidend om informatie op te slaan, te beheren en te vinden. Dus in zekere zin is de boekenkast laagdrempelig en toegankelijk in gebruik. Natuurlijk kan er ook nog een deur voor die boekenkast dus er is zeker aandacht voor toegang en autorisatie. Het is alleen niet altijd duidelijk wie in de boekenkast kijkt en welke informatie er wordt aangepast. Het is dus lastig om in een boekenkast informatie te bewaren die je wilt gebruiken als onweerlegbaar bewijs om de interne beheersing van je bedrijfsprocessen aan te tonen. Om informatie als onweerlegbaar bewijs te kunnen gebruiken werden in het analoge tijdperk dergelijke boekenkasten niet alleen afgesloten maar zelfs in een aparte ruimte gezet; de archiefruimte. Op die manier kon er toezicht en controle worden uitgeoefend over de informatie die aanwezig is, wie toegang wilde tot bepaalde informatie, wanneer en waarom.

SharePoint

Tegenwoordig hebben we een digitale boekenkast; SharePoint. Voor veel organisaties een fijne plek om informatie te beheren en te delen. Een organisatie overstijgende versie van de Windows verkenner. Natuurlijk ik chargeer een beetje. Maar net als die fysieke boekenkast geldt dat het bewaren van onweerlegbare bewijslast een aanzienlijk risico is. De kracht van SharePoint is de laagdrempelige toegang voor iedereen. En met iedereen bedoel ik niet alleen menselijke gebruikers, vergeet ook de systemen /softwareapplicaties niet, die ook naar hartenlust gebruik maken van SharePoint voor de neerslag van hun informatie. Al die toegang en bewerking door mensen én systemen geeft te denken. Want wie heeft nu de regie over de integriteit van informatie op welk moment? De integriteit van de database in SharePoint kan niet aantoonbaar autonoom gecontroleerd worden door SharePoint zelf. Dat is ook niet de bedoeling van SharePoint; het gaat om laagdrempelig en toegankelijk gebruik. Natuurlijk kun je het toegangsbeleid regelen en zelfs het versiebeheer echter het inregelen van toegang, autorisaties en gecontroleerd versiebeheer vereist ook weer extra beheer en toezicht op dat beheer. En vergeet de toename van de auditlast niet die het gevolg is van meer controlewerkzaamheden om de integriteit van een informatieobject aan te tonen indien het in SharePoint is opgeslagen en aangevoerd wordt als onweerlegbare auditbewijslast.

Informatie integriteit

De grootste beperking van die digitale boekenkast zoals SharePoint is wat mij betreft daarmee dat de integriteit van informatie niet kan worden gegarandeerd. Vorm, inhoud, structuur en samenhang van informatieobjecten (documenten, afbeeldingen ed.) dienen in toegankelijke staat te zijn. Het komt er dus op neer dar ze vindbaar, bruikbaar, toegankelijk en authentiek zijn. En juist dat laatste is lastig aantoonbaar als je een digitale boekenkast als SharePoint gebruikt. Want SharePoint functioneert het beste door te werken met muteerbare informatieobjecten. Het zijn dus meestal bewerkbare formaten zoals docx, niet de archiefformaten zoals PDF/A. En dat terwijl archiefwet- en regelgeving dit wel expliciet voorschrijven; een duurzaam te bewaren bestand dat voorzien is van een duidelijke beschrijving van dat bestand, metadatering dus!

Metadatering?

Het gaat dus om gegevens over gegevens simpel gezegd. Metadata voor archiefwaardige informatieobjecten zijn essentieel voor het behoud van de authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid van archiefbescheiden Metadata zorgen ervoor dat archiefwaardige informatieobjecten gevonden, leesbaar gemaakt, geïnterpreteerd, beheerd en duurzaam toegankelijk worden. En juist die metadatering is belangrijk omdat je daarmee geen vooraf bepaalde of volgtijdelijk te creëren boekenkaststructuur nodig hebt om informatie te vinden of op te slaan. En dat is een belangrijk aspect om de integriteit van informatie te waarborgen. En dus is een proces van interne beheersing van de kwaliteit van informatiebeheer essentieel. Een proces waarin wordt aangetoond hoe het zit met de opslag, het beheer en de toegang tot informatieobjecten. En waarin onweerlegbaar kan worden aangetoond dat informatieobjecten worden gebruikt waaruit het versiebeheer blijkt, er sprake is van vastlegging van de waardering (bewaar- en vernietigingstermijnen) en -niet onbelangrijk- inzichtelijk is wie, wanneer en wáárom toegang heeft tot wat. SharePoint voldoet op meerdere aspecten standaard niet aan Nederlandse wet- en regelgeving. Denk bijvoorbeeld aan de NEN2082 /ISO16175 normeringen. Uiteraard zijn er mogelijkheden om dit alsnog te organiseren door de SharePoint omgeving in uw organisatie hiervoor specifiek te laten inrichten. Dit is echter een IT-project op zich met veel configuratiewerk en maatwerk. Maar dan bent u er nog niet. Daarna dient u uw zwaarbevochten inrichting van SharePoint voor uw organisatie ook nog eens apart te laten certificeren. Dit om de kritische beoordeling van uw IT-auditor en de goedkeuring van uw archiefinspecteur te kunnen verkrijgen.

Conclusie

Elke organisatie heeft behoefte aan een digitale boekenkast. SharePoint is een prima instrument om informatie te delen en te beheren maar niet om onweerlegbare informatie zoals audit bewijslast nodig voor het aantonen van interne beheersing te bewaren. Kiest uw organisatie hier toch voor bedenk dan dat u ook zult moeten kiezen voor een extra last. Namelijk structureel hogere auditkosten, of extra investering in inrichting en certificering. En dan laat ik de extra investering bij upgrade van uw gekoesterde inrichting maar even buiten beschouwing. Hoe dan ook als het gaat om het aantonen van de integriteit van informatie zoals bij audit bewijslast zult u een stevige discussie hebben met uw IT-auditor én archiefinspecteur. De integriteit van de informatieobjecten in de database kan namelijk niet worden gegarandeerd omdat deze van buitenaf benaderd kan worden door (systeem)gebruikers. En dus zal een auditor meer controles moeten uitvoeren om daadwerkelijk die integriteit van de bewijslast expliciet vast te stellen.

In de volgende blog ga ik daarom nader in op een andere verschijningsvorm; de ballenbak. Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

Nieuw algemeen telefoonnummer

Nieuw algemeen telefoonnummer

Posted on by in Nieuws with no comments

Per 2 januari 2020 verandert ons algemene telefoonnummer, ons nieuwe nummer is vanaf dan 085-0761515. Voor de rest blijft alles bij het oude.

We zijn bereikbaar op het nieuwe nummer tussen 9:00 en 17:00. Zowel binnen als buiten de genoemde tijden zijn we ook bereikbaar via e-mail:

Vragen over onze applicaties – [email protected]

Vragen over facturatie, abonnement, projecten, etc. – [email protected]

Generieke vragen – [email protected]

Wist u dat wij uw vragen over onze applicaties zoveel mogelijk via e-mail afhandelen, ons ticketing systeem vangt al uw vragen op. Hierna kunnen wij geautomatiseerd een antwoord versturen of op een antwoord op maat terugkoppelen. Indien uw vraag telefonisch is binnen gekomen, maken wij alsnog een vraag in ons ticketing systeem aan voor de borging van de historie van al uw vragen. In het Kenniscentrum vindt u uiteraard ook allerlei andere nuttige informatie over onze applicaties.

Wij verwijzen u verder graag naar onze blog over hoe u een zo compleet mogelijke vraag kunt stellen: https://kenniscentrum.key2control.nl/blog

Wij wensen u fijne feestdagen en een gezond en succesvol 2020!

Team Key2Control

De meerwaarde van three lines of defence (3LOD)

De meerwaarde van three lines of defence (3LOD)

Posted on by in Nieuws with no comments

door Gerrit Goud

De discussie over de rechtmatigheidsverantwoording brengt eveneens de rolverdeling op basis van 3LOD in het kader van interne beheersing ter sprake. 3LOD bestaat al vele jaren en is een krachtig en breed geaccepteerd model, maar in de praktijk komt dit model bij gemeenten niet echt tot wasdom. Wat is hiervan de oorzaak en hoe kunnen gesignaleerde drempels vermeden worden?

Je zou toch in eerste instantie denken dat 3LOD niet zo’n ingewikkeld model is. De 1e verdedigingslijn is nadrukkelijk ingebed in de operationele bedrijfsprocessen en de leidinggevenden zijn hiervoor als eigenaar verantwoordelijk. De 2e verdedigingslinie is voornamelijk een staffunctie ten dienste van de 1e lijn en heeft een adviserende en monitoringrol op de risicoprofielen van bedrijfsprocessen en vervult hiermee de rol van poortwachter. De 3e verdedigingslinie heeft een controlerende functie gericht op het toetsen van de effectiviteit van de 1e en 2e verdedigingslinies. Dus wat is het probleem?

The missing link

Het probleem is dat het fundament voor een effectief 3LOD niet of deels aanwezig is. Veel organisaties missen namelijk een actieve betrokkenheid en aansluiting van de 1e lijn op het beheersingsmodel. En door deze missing link valt het hele fundament van 3LOD in elkaar. Met 2 verdedigingslinies kan een organisatie weliswaar een veldslag winnen, maar geen ‘oorlog’, omdat de grootste klappen voorkomen moeten worden door het treffen van beheersmaatregelen in de operationele processen. Een belangrijke oorzaak is dat bij de implementatie van 3LOD voortgeborduurd is op bestaande structuren en rollen (uit de 20e eeuw). Eigenaarschap in de 1e lijn voorzien van rugnummers en daarbij behorende verantwoordelijkheden, is simpelweg niet benoemd. Ja, natuurlijk… leidinggevenden zijn verantwoordelijk voor hun bedrijfsprocessen wat zo’n beetje in elk beleidsdocument staat, maar krijgen we daarmee de organisatie in beweging?

Een andere oorzaak is dat de 2e lijn allerlei beheerstaken naar zich toe heeft getrokken die gewoon bij de 1e lijn behoren te liggen. Dit is mede veroorzaakt door de alsmaar toenemende regeldruk van de afgelopen jaren. Daardoor is de focus in de 2e lijn gelegd op risicomanagement en compliance met de daarbij vereiste transparantie om er voor te zorgen dat vooral toezichthouders en accountants tevreden zijn. Er werd echter niet gekeken naar de behoefte van de 1e lijn, die bleef buiten schot en daardoor is een kloof ontstaan met als gevolg dat de 1e verdedigingslinie niet tot wasdom is gekomen en de beheersorganisatie constant achter de feiten aanloopt en in een stroperig beheersingsproces is beland. Dat is een ernstige zaak, omdat het merendeel van de organisatie (> 90%) onder de 1e verdedigingslinie valt.

Naast regeldruk zijn ook andere thema’s op het toneel verschenen zoals privacybescherming en informatiebeveiliging die ook te maken hebben met interne beheersing. Het vervelende is echter dat deze thema’s eigen eilandjes vormen in het landschap van interne beheersing en dat leidt tot verkokering gemanaged in aparte silo’s.

Al deze ontwikkelingen zorgden ervoor dat risicomanagement en compliance op zich zelf staande doelen zijn geworden in plaats van activiteiten die gerelateerd zijn aan primaire doelstellingen en daardoor de afstand tussen 1e en 2e lijn alsmaar groter werd. De samenhang en het overzicht van risicogebieden is nagenoeg foetsie en organisaties hebben hiermee onbedoeld een onbeheersbaar ‘monster’ gecreëerd met een hoog gehalte aan schijnzekerheid en overhead waarvan het resultaat niet breed gedragen wordt.

Het hier geschetste beeld is ook een van de redenen waarom de VIC geen aansluiting heeft met de rest van de organisatie. Adviezen uit VIC-rapporten worden nauwelijks opgevolgd simpelweg omdat de afstand tot de 1e lijn te groot is en leidinggevenden niet de toegevoegde waarde zien van VIC. En helaas leidt dit in alle verdedigingslinies tot frictie en frustratie en dat draagt niet bij tot een gezonde samenwerking.

Hoe impasse doorbreken?

Een effectief beheersingsmodel gebaseerd op 3LOD vereist visie, ambitie en onderlinge afstemming. Dat begint in de top (directie en bestuur) waarbij de concerncontroller degene is die dit initiatief naar zich kan toetrekken en de directie en bestuur kan overtuigen van de noodzaak en urgentie. Een eerste stap hiervoor is het opstellen van een visiedocument integrale interne beheersing uitmondend in beleid. De scope van dit beleid behelst alle thema’s die de gemeente wenst te beheersen zoals privacybescherming, informatiebeveiliging en rechtmatigheid. Dan gaat het dus niet om de inhoud, maar om het algeheel intern beheersingsproces.

Aandachtspunten zijn uiteraard de taken en verantwoordelijkheden in het kader van 3LOD met vermelding van eigenaarschap en het benoemen van kaders en uitgangspunten waarmee rekening dient te worden gehouden bij het vormen van integrale interne beheersing. Daaronder vallen ook spelregels zoals een handhavingsmechanisme ingeval spelregels worden overschreden. Een sprekend voorbeeld is het volgende: leidinggevenden zijn weliswaar verantwoordelijk maar dat geeft hen geen vrijbrief zelf te bepalen welk niveau van interne beheersing toereikend is. Dat mogen ze bepalen binnen de kaders en uitgangspunten die hierop van toepassing zijn. Indien een leidinggevende (bewust) een lager niveau van interne beheersing toepast dat niet in lijn is met het vastgestelde risicoprofiel dan behoort de 2e lijn als poortwachter in te grijpen. Indien in zo’n situatie een impasse dreigt te ontstaan tussen de 1e en 2e lijn dan moet het mogelijk zijn dat de gemeentesecretaris binnen zijn bevoegdheden ingrijpt. Dit is ook een van de redenen dat de directie gepositioneerd is in de 2e verdedigingslinie. Dit voorbeeld lijkt vanzelfsprekend maar is bij veel organisaties niet geregeld.

Normenkaders/doelstellingenmodellen

Uitvoering van het beleid is een andere uitdaging. Hoe zorg je ervoor dat de 1e lijn actief betrokken raakt? Dat gaat natuurlijk niet vanzelf. De eerste stap is dat leidinggevenden zich bewust worden van hun rol in de 1e verdedigingslinie en van de meerwaarde van de 2e en 3e lijn door hen een handreiking te geven om laagdrempelig deel te nemen aan het interne beheersingsproces. Het houden van workshops is hiervoor een beproefd middel.

Leidinggevenden moeten inzicht krijgen in hoeverre hun 1e verdedigingslinie toereikend is ofwel hun bedrijfsprocessen voldoen aan de vereiste beheersdoelstellingen. We kijken dan niet met de 1e lijn naar operationele risico’s want die zijn er genoeg, maar meer naar het ‘fort’ dat er vanuit interne beheersing behoort te staan en voldoende robuust moet zijn. Vooraf is al bepaald aan welke eisen dit ‘fort’ moet voldoen. Dat is namelijk gedaan tijdens een inventarisatie en risicoanalyse in de 2e lijn uitmondend in een normenkader/doelstellingenmodel. Daarmee creëert de 2e lijn toegevoegde waarde voor de verantwoordelijke leidinggevende. Een voorbeeld van een landschap van doelstellingenmodellen voor een gemeente is hieronder grafisch geïllustreerd.

Elk ‘blokje’ in het landschap bevat een eigen normenkader/doelstellingenmodel. Door te meten in hoeverre voldaan is aan beheersdoelstellingen, ontstaat vanzelf een beeld hoe de fortificatie in het landschap ervoor staat. Dat meten gaat vrij snel en geeft inzicht en een schat aan informatie die met elkaar besproken kan worden. Dat is de verbinding tussen de 1e en 2e lijn en awareness ten top om op een constructieve wijze verbeteringen door te voeren. Leidinggevenden raken met deze aanpak vertrouwd met hun beheersdoelstellingen en zijn daardoor beter in staat de bevindingen en adviezen uit VIC-rapporten in de juiste context te plaatsen waardoor de kans op acceptatie groter wordt. Dit laatste vereist wel dat VIC gebruik maakt van de reeds vastgestelde beheersdoelstellingen in het kader van hun werkzaamheden. En zo hoort het ook, immers de werkzaamheden van VIC zijn gericht op het toetsen aan vastgestelde normen en die normen ga je niet zelf bedenken als deze al zijn vastgesteld.

Met deze aanpak versterkt de gemeente het fundament van 3LOD als basis voor integrale interne beheersing met het doelstellingenmodel als gemene deler. Het doelstellingenmodel als ‘praatplaat’ levert namelijk toegevoegde waarde voor de 1e lijn en zorgt voor een betere aansluiting en afstemming van activiteiten vanuit de 2e en 3e lijn op de behoefte van leidinggevenden. En daarmee komen de 3 verdedigingslinies beter in balans.

Tot Slot

Ons GRC-platform ondersteunt het gebruik van doelstellingenmodellen en stimuleert daarmee de adoptie onder leidinggevenden en hun medewerkers om hen actief te betrekken in het interne beheersingsproces. Zij zijn de belangrijkste dragers van het hele fundament van interne beheersing en daar ligt ook de basis voor een In control Statement (ICS). Voor de 2e en 3e lijn biedt het doelstellingenmodel een opening voor samenwerking en een betere afstemming met de 1e lijn.

Zoals eerder aangegeven begint het proces van interne beheersing met inzicht om met elkaar te komen tot continue verbeteringen. Voor veel gemeentelijke bedrijfsprocessen hebben wij inmiddels doelstellingenmodellen beschikbaar. Dat levert een aanzienlijke tijdbesparing op voor de 2e lijn en onze doelstellingenmodellen kunnen direct worden ingezet om te meten en de 1e lijn actief te betrekken in het intern beheersingsproces.

Wilt u meer weten over onze visie en aanpak over integrale interne beheersing en/of bent u geïnteresseerd in onze doelstellingenmodellen, neem dan gerust contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

AP legt focus in toezicht op digitale overheid

AP legt focus in toezicht op digitale overheid

Posted on by in Nieuws with no comments

De AP legt de komende jaren extra nadruk op het toezicht in drie focusgebieden datahandel, AI en algoritmes en Digitale overheid. Dit is nodig om de bescherming van persoonsgegevens in Nederland te borgen. Dat maakt de AP recent bekend in haar nieuwe visiedocument. Tot en met 2023 geven de focusgebieden onder meer richting aan de uitvoering van de wettelijke taken van de AP.

Steeds meer apparaten en diensten verzamelen persoonsgegevens waardoor ze steeds meer van ons weten. Dit gebeurt zonder dat we altijd precies weten wat er met die gegevens gebeurt en wie er toegang toe heeft. Dit maakt ons en onze democratische rechtstaat kwetsbaar. Misbruik of onverantwoordelijk gebruik van persoonsgegevens kan bijvoorbeeld leiden tot foutieve beslissingen, uitsluiting van mensen en discriminatie.

De AP ziet drie grote trends die van invloed zijn op de bescherming van persoonsgegevens:

·        Doorgroei van de datasamenleving

·        Toename van digitaal onrecht

·        Toename van privacy-bewustzijn

 

Focusgebieden

Digitale overheid is één van de drie focusgebieden waar extra toezicht op komt want centrale en lokale overheden, uitvoeringsorganisaties en politie en justitie beschikken over een grote hoeveelheid – vaak gevoelige en bijzondere – persoonsgegevens. De overheid werkt gericht aan het inzetten van persoonsgegevens. Het is van belang dat de overheid verantwoordelijk omgaat met persoonsgegevens, zodat mensen niet onnodig in de knel kunnen komen. De AP kan hier het verschil maken door grenzen te markeren ten aanzien van wat er wel en niet kan onder de AVG. De focusgebieden geven onder meer richting aan de uitvoering van onze wettelijke taken.

 

Risicogestuurd toezicht

De AP is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt. Het toezichtveld is omvangrijk: internationale en nationale bedrijven en organisaties, de gehele overheid, inclusief politie en justitie en ook verenigingen, scholen, stichtingen en individuele burgers. De AP houdt daarom risico gestuurd toezicht, ze spitsen zich op onderwerpen met een groot risico voor burgers.

 

Bron: privacy-web

ISMS en het gebruik van GRC-tooling

ISMS en het gebruik van GRC-tooling

Posted on by in Nieuws with no comments

Een BIO-logische ontwikkeling naar integrale interne beheersing

door drs. Gerrit Goud RE RA

Om maar gelijk met de deur in huis te vallen: een GRC-tooling is geen ISMS ofwel een informatiemanagementsysteem voor informatiebeveiliging. Een GRC-tooling ondersteunt wel het intern beheersingsproces rond informatiebeveiliging dat een belangrijk onderdeel is van het ISMS evenals voor privacybescherming, de financiële rechtmatigheid of voor welk ander thema dan ook. En daarmee komt een GRC-oplossing in relatie tot informatiebeveiliging opeens in een ander en veel breder daglicht te staan. In deze blog gaan we in op de vraag wat nu eigenlijk GRC is en wat de toegevoegde waarde is van een GRC-tooling?

Wat is GRC?

Het acroniem GRC staat voor Governance, Risk & Compliance en die vertegenwoordigen drie belangrijke bouwstenen van interne beheersing. In eerdere blogs is het begrip interne beheersing al eens uitgediept. Eigenlijk zou het acroniem GRCIPE moeten zijn, waarbij de ‘I’ staat voor internal control, de ‘P’ voor perfomance en ‘E’ voor ethics & culture. Alleen dat bekt niet. Dus vandaar GRC.

Het GRC-denken vindt zijn oorsprong vanuit de financiële wereld en de interne beheersing daaromheen. GRC is de afgelopen decennia uitgegroeid tot integrale interne beheersing in een organisatiebreed perspectief. Dus niet enkel het financieel domein, maar ook voor elk ander thema dat een organisatie wenst te beheersen, zoals informatiebeveiliging, privacybescherming en informatiebeheer. GRC wil dus niet zeggen dat alles geautomatiseerd is, nee. GRC is een ‘way of life’ voor een organisatie; een manier van denken, organiseren en handelen (samenwerken, verbinden) gericht op het realiseren van betrouwbare doelstellingen waarbij onzekerheden worden aangepakt en integer gehandeld wordt. Belangrijke drivers om dit te willen realiseren zijn naast doelrealisatie, kwaliteitsverhoging en (aanzienlijke) kostenbesparing op de interne beheersing door onder meer het bevorderen van integratie en het voorkomen van verzuiling.

GRC is dus heel sterk gericht op de principes (bouwstenen) van integrale interne beheersing om grip te behouden op elke gewenst thema.

Wat is GRC-tooling?

GRC-tooling ondersteunt het GRC-denken en is gericht op functionaliteit die:

  • de principes van interne beheersing bevordert,
  • toegevoegde waarde biedt op het gebied van interne beheersing in termen van kwaliteitsverbetering en kostenbesparing voor elk thema,
  • gericht is op het voorkomen van versnippering van beheersingsinformatie en
  • een deugdelijke audittrail bevat voor auditors en toezichthouders (data-integriteit).

Dit impliceert dat een GRC-tooling die alleen gericht is op informatiebeveiliging of privacy leidt tot een vorm van suboptimalisatie als het gaat om integrale interne beheersing. En dat druist nu juist in tegen het GRC-denken (verzuiling). Gebruikers die beheersingsinformatie moeten leveren, haken dan uiteindelijk af vanwege het versnipperde geautomatiseerde GRC-landschap en het niet kunnen delen van beheersingsinformatie vanuit verschillende thema’s.

 

Een ander belangrijke functionaliteit voor een GRC-tooling is een deugdelijke audittrail die onlosmakelijk verbonden is met interne beheersing. Immers beheersingsinformatie moet betrouwbaar zijn en is niet alleen bedoeld voor de eigen organisatie maar ook voor toezichthouders en auditors. Zij moeten kunnen steunen op een deugdelijke audittrail anders heeft beheersingsinformatie weinig toegevoegde waarde. Het kan dus niet zo zijn dat uitkomsten die niet bevallen, kunnen worden verwijderd zonder een spoor achter te laten door een simpele druk op de knop of dat gegevens in de database kunnen worden aangepast zonder een spoor achter te laten in de applicatie. Dit past ook niet vanuit het principe van integriteit (integer handelen) dat een wezenlijk onderdeel is van interne beheersing.

Visie en ambitie

Het gebruik van GRC-tooling vereist visie en ambitie vanuit de top gericht op integrale interne beheersing. Dan gaat het in eerste instantie niet over de inzet van tooling, want dat is slechts een middel, maar over de wijze hoe de organisatie de kwaliteit van interne beheersing wenst te vergroten en tegelijkertijd hierop kosten kan besparen. Zoals in een eerdere blog is aangegeven, ligt die uitdaging bij de concerncontroller. Die gaat immers over het brede domein van interne beheersing. De top dient het fundament te leggen voor integrale interne beheersing die van toepassing is op alle thema’s die de organisatie wenst te beheersen. Als dit fundament er is dan biedt dit een duurzame oplossing voor de concerncontroller, CISO, privacy officer en alle andere ‘poortwachters’ om hun thema’s vanuit interne beheersing verder uit te bouwen.

Noodzaak GRC-tooling

De noodzaak tot het borgen van beheershandelingen wordt versterkt door de alsmaar toenemende druk vanuit extern toezicht en het afleggen van (niet-financiële) verantwoording op allerlei thema’s. Veel gemeenten roepen dan via de bekende weg dat extra capaciteit (fte’s) nodig is om hieraan tegemoet te komen. Vanuit die benadering zullen eveneens de kosten voor interne beheersing toenemen en dat is voor vele organisaties ongewenst. Een betere en duurzame oplossing is de inzet van GRC-tooling met de juiste functionaliteit waarbij de focus gericht is op integrale interne beheersing. Het zoveel mogelijk standaardiseren van het proces interne beheersing door gebruik te maken van GRC-tooling kan zelfs de huidige kosten van interne beheersing aanzienlijk beperken (>100k) en tegelijk de kwaliteit van interne beheersing doen toenemen. Organisaties worden hierdoor minder kwetsbaar als belangrijke spelers in het veld van interne beheersing uitvallen wat regelmatig gebeurt. Het GRC-platform draait immers gewoon door met bestaande en eventuele nieuwe spelers en taken kunnen eenvoudig worden overgeheveld. Ook kennis en informatie blijft behouden bij vertrek van belangrijke spelers vanwege eerdere vastleggingen in de GRC-tooling. Alleen dit facet biedt al aanzienlijke besparingen op.

Heroriëntatie over interne beheersing in combinatie met visie en ambitie zoals eerder vermeld biedt volop kansen voor een verbeterslag en kostenbesparing.

Wat is een ISMS?

De IBD omschrijft een ISMS[1] als het continu beoordelen of beveiligingsmaatregelen passend en effectief zijn, en of deze bijgesteld moeten worden. Het helpt de gemeenten onder andere om risico’s te beheersen, passende beveiligingsmaatregelen te treffen, lering te trekken uit incidenten en daarmee de betrouwbaarheid van de informatievoorziening en bedrijfscontinuïteit te waarborgen. Voor het opzetten, implementeren en onderhouden van een ISMS hanteert de IBD de volgende 10-stappenplan.

  1. Inzicht verkrijgen in de gemeentelijke organisatie en haar context
  2. Vaststellen doelstelling van het ISMS
  3. Vaststellen scope van de ISMS-invoering
  4. Verkrijgen van steun van het management van de gemeente
  5. Het definiëren van een methode van risicobeoordeling
  6. Inzicht verkrijgen in de risico’s
  7. Opstellen jaarlijks informatiebeveiligingsplan
  8. Het opstellen van aanvullend beleid voor het beheersen van risico’s
  9. Het toewijzen van middelen, opleidingen en training
  10. Bewaken van de invoering van het ISMS

Het gaat hier om beheershandelingen die ondersteund kunnen worden met GRC-tooling als het gaat om beheersingsinformatie. De principes van interne beheersing zijn uit de omschrijving van de IBD in grote lijnen te herleiden.

De vraag is nu wat voor functionaliteit dan beschikbaar moet zijn in een GRC-tooling die het thema informatiebeveiliging ondersteunt. Daarover zijn de meningen behoorlijk verdeeld. De een vindt dat functionaliteit voor contractenbeheer of incidentenbeheer beschikbaar moet zijn, de ander vindt dat dataclassificatie inclusief baselinetoets ondersteund moet worden. En natuurlijk zijn dit belangrijke zaken, maar als je zo doorredeneert en hierbij ook direct aanpalende thema’s zoals privacy en informatiebeheer erbij betrekt dan is de kans groot dat het spreekwoordelijke ‘kind met een waterhoofd’ ontstaat dat uiteindelijk in schoonheid sterft. Voor een deel heeft dit te maken met onbekendheid van het GRC-denken bij CISO’s, privacy officers en FG’s. Dat is op zich wel begrijpelijk omdat kennis van interne beheersing meer ontplooit is in het financieel domein. Daarnaast druist dit in op het GRC-denken die juist gericht is op het bevorderen van integratie en dat lukt niet als voor elk thema aanvullende functionaliteit wordt toegevoegd.

Als we bovenstaande zouden vergelijken met een formule 1 racewagen dan weten we dat deze wagen ontwikkeld is om een race te winnen. Dan gaan we er geen trekhaak aan bevestigen, ook geen knipperlichten, koplampen, airbag, navigatiesysteem of een reserveband voorzien van een krik, toch? Datzelfde principe geldt eveneens voor een GRC-tooling. Die is gebouwd voor integrale interne beheersing en als je wel toegeeft aan al dat soort extra functionaliteit dan is de kans groot dat de applicatie wordt ervaren als te complex, te ingewikkeld, te veel beheer en niet gebruikersvriendelijk en uiteindelijk niet (meer) wordt gebruikt.

De weg naar integrale interne beheersing

Opvallend is dat GRC-tooling bij veel gemeenten geïntroduceerd is vanuit informatiebeveiliging en niet zozeer vanuit het financieel domein waar je dit eerder zou verwachten. Daarin gaat verandering komen vanwege de rechtmatigheidsverklaring vanaf 2021. Er zal behoefte ontstaan naar de inzet van GRC-tooling die in staat is integrale interne beheersing te ondersteunen waarbij eigenaarschap in de 1e verdedigingslijn een cruciale rol vervult. En laat nou net dat eigenaarschap eveneens een cruciale rol spelen bij de implementatie van de Baseline Informatiebeveiliging voor Overheden (BIO) en privacybescherming en dan zie je de meerwaarde van het GRC-denken. Door de concerncontroller in positie te brengen om het eigenaarschap gemeentebreed te regelen vanuit een visie en aanpak over integrale interne beheersing, wordt daarmee tegelijk het pad vereffend voor de CISO en privacyofficer. Het spreekwoordelijk gezegde “alleen ga je sneller, samen kom je verder” is hierop geheel van toepassing. Dat geldt eveneens voor de inzet van een GRC-tooling die integrale interne beheersing ondersteunt.

GRC-platform van Key2Control

De aanleiding van deze blog was het gebruik van GRC-tooling in relatie tot ISMS. Uiteengezet is wat GRC inhoudt en dat functionaliteit van GRC-tooling gericht is op integrale interne beheersing met als doel kwaliteitsverbetering en kostenbesparing door het realiseren van integratie en het voorkomen van verzuiling. De behoefte naar integrale interne beheersing neemt steeds meer toe en daarvoor is GRC-tooling nodig die daarop aansluit. Maar zo’n tooling behoort wel aan een aantal minimale eisen te voldoen waaronder een deugdelijke audittrail.

Onze klanten die op dit moment het GRC-platform van Key2Control inzetten voor informatiebeveiliging en/of privacy kunnen eenvoudig opschalen naar andere thema’s zoals financiële rechtmatigheid met als groot voordeel dat alle thema’s geborgd worden volgens dezelfde principes van interne beheersing. Voor concerncontrollers reden te meer om kennis te maken met ons GRC-platform.

Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

[1] Zie versie IBD 2.1, juli 2019

Waarop nadruk leggen en hoe verder?

Waarop nadruk leggen en hoe verder?

Posted on by in Nieuws with no comments

Welke bouwstenen van interne beheersing zijn relevant in het kader van rechtmatigheid?

 

door drs Gerrit Goud RE RA 

 

Vanaf het boekjaar 2021 zijn gemeenten zelf verantwoordelijk voor het afgeven van een rechtmatigheidsverklaring aan de gemeenteraad. Deze rechtmatigheidsverklaring dient ondertekend te worden door het college van B&W als onderdeel van de jaarlijkse verantwoording die de huisaccountant beoordeelt. Het boekjaar 2021 lijkt nog ver weg maar als je terug redeneert wat daarvoor nodig is, dan is er voor veel gemeenten werk aan de winkel. Niet voor niets dat de VNG het advies geeft nu al te starten met het treffen van voorbereidingen.

Vanuit Key2Control zijn we nadrukkelijk over dit thema in gesprek met diverse gemeenten. Menig concerncontroller is zich inmiddels aan het oriënteren om een beeld te krijgen van de impact van de rechtmatigheidsverklaring op de gemeentelijke organisatie. In een serie van 3 blogs delen wij graag onze visie en aanpak op hoofdlijnen over het borgen van rechtmatigheid. In de vorige blogs hebben we stilgestaan bij de afbakening van rechtmatigheid en zijn we nader ingegaan op de bouwstenen van interne beheersing in relatie tot rechtmatigheid. In de 3e en laatste blog gaan we nader in op de vraag waarop de nadruk moet worden gelegd in het kader van de voorbereiding op de rechtmatigheid.

 

Wat hebben we uit de vorige blogs geconstateerd?

Rechtmatigheid is een compliance vraagstuk op operationeel niveau waarbij een heldere rolverdeling in de governance nodig is gebaseerd op het principe van three line of defence (3LOD). Vanuit de governance komt de nadruk vooral te liggen op het actief betrekken van de 1e verdedigingslijn in het intern beheersingsproces. Daar ligt de verantwoordelijkheid voor het afgeven van een in control statement (ICS) en die verantwoordelijkheid ligt niet bij de concerncontroller en Verbijzonderde interne controle (VIC). Het afgeven van alleen een auditrapport VIC biedt onvoldoende basis voor het verstrekken van een rechtmatigheidsverklaring omdat responsibilty (ICS) en accountability (rechtmatigheidsverklaring) in elkaars verlengde behoren te liggen. De 1e verdedigingslijn zal dus echt in positie moeten worden gebracht.

De PDCA-cyclus is de drijvende kracht voor het kunnen verstrekken van een rechtmatigheidsverklaring en het plannen en bewaken van alle beheersactiviteiten die nodig zijn voor het jaarlijks opleveren van dit eindproduct. Het beheer van deze activiteiten ligt voornamelijk in de 2e verdedigingslijn.

Vanuit performance management speelt het doelstellingenmodel voor elk proces dat onder de rechtmatigheid valt een cruciale rol. Door periodiek te meten op beheersingsdoelstellingen ontstaat inzicht in normen waaraan niet of deels wordt voldaan en waarop verbeteracties in gang gezet kunnen worden in overleg met de verantwoordelijke manager. Normen waaraan wordt voldaan behoeven vanuit het principe van ‘management by exception’ geen verdere aandacht. Deze vorm van procesbeheersing speelt zich af in de 1e verdedigingslijn met ondersteuning vanuit de 2e verdedigingslijn en is de basis voor het kunnen afgeven van een in control statement (ICS).

De VIC kan eveneens gebruikmaken van de vastgestelde doelstellingenmodellen en bepaalt op basis daarvan welke beheersingsdoelstellingen in een boekjaar in aanmerking komen voor nader onderzoek (auditplan). Op deze wijze toetst de VIC achteraf de werking van de ingezette beheersmaatregelen in de 1e verdedigingslijn en rapporteert hierover in de vorm van een intern auditrapport. Dat rapport geeft eveneens input voor verbetering op operationeel niveau. Het hier geschetste samenspel van beheersactiviteiten is de basis voor een rechtmatigheidsverklaring waarbij de 2e verdedigingslijn een coördinerende en faciliterende rol vervult voor het tijdig en zorgvuldig opleveren van het eindproduct.

Hoe zit het dan met ethics & culture als onderdeel van interne beheersing?
Uiteraard speelt de ‘zachte kant’ van interne beheersing een belangrijke rol beginnend met de ‘tone at the top’. Dan gaat het om visie en ambitie op directie en bestuurlijk niveau. Maar de ‘zachte kant’ speelt eveneens een rol bij het actief betrekken van de 1e verdedigingslijn in het interne beheersingsproces. Te snel draaien aan deze knop voor het omhoog stuwen van het volwassenheidsniveau veroorzaakt vaak onomkeerbare ongewenste gevolgen. Zorgvuldigheid is dan ook geboden vanwege de impact op het DNA van de organisatie. De eerste stap in deze richting is te beginnen met een afgestemde dosis aan bewustwording.

Valkuilen

Zoals in de blog 1 is aangegeven zijn er gemeenten die vol gaan op risicomanagement (kans * impact). In blog 2 is beargumenteerd dat dit instrument meerwaarde heeft op tactisch en strategisch niveau. Op operationeel niveau waar rechtmatigheid zich afspeelt kan de inzet van risicomanagement (kans * impact) een averechtse werking hebben met als gevolg veel overhead en weinig resultaat. Een betere benadering voor grip op rechtmatigheid en dit aantoonbaar te maken is de inzet van een PDCA-cyclus in combinatie met performance management (meten is weten) gericht op borgen en continu verbeteren en optimaliseren. Deze cyclische benadering bevat voldoende afwegingsmomenten voor het bepalen van de juiste keuzes (= risicoanalyse) en bevordert de onderlinge samenwerking en afstemming tussen de verschillende verdedigingslijnen.

De nadruk leggen op de inrichting van de VIC is verleidelijk voor concerncontrollers. Immers dat ligt in de comfortzone en het gaat in de regel om hooguit 1 á 3 medewerkers die eenvoudig aangestuurd kunnen worden, echter daar zit doorgaans niet de pijn. Daarnaast is de bijdrage van VIC onvoldoende voor het afgeven van een rechtmatigheidsverklaring. De VIC geeft immers geen ICS af, maar een intern auditrapport dat weliswaar van belang is voor een rechtmatigheidsverklaring, maar niet geheel de lading dekt. En ook het VIC-deel kan altijd beter en is voor een concerncontroller eenvoudiger te regelen dan het activeren van de 1e verdedigingslijn waar de echte uitdaging voor de concerncontroller ligt.

Hoe nu verder?

De VNG geeft advies voor het treffen van voorbereidingen. Dat begint met het vormen van een eigen visie en ambitie en dit te borgen in beleid. Daarvoor is uiteraard tijd nodig, maar zorg ervoor dat dit beleid in 2019 geregeld is. Op basis van dit beleid kan voor 2020 een implementatieplan worden opgesteld voor het aanscherpen van het intern beheersingsproces zoals het actief betrekken van de 1e verdedigingslijn in dit proces. De inzet van de concerncontroller bij de implementatie als verbindende en coördinerende factor zal voor een groot deel bepalend zijn voor het succes.

GRC-oplossing als springplank naar succes

De omvang van interne beheersing en het managen van alle relevante beheersactiviteiten in een jaarlijks terugkomend cyclisch proces vereist een effectieve en efficiënte benadering waarbij de inzet van een professioneel geautomatiseerde GRC-oplossing met de juiste functionaliteit onvermijdelijk is. Er zijn simpelweg te veel beheersactiviteiten verdeeld over diverse medewerkers in de organisatie die gestroomlijnd behoren te worden en dan is werken in Excelachtige omgevingen ondoenlijk en kostenverhogend nog even los van het moeizaam combineren en delen van informatie.

Wij vanuit Key2Control bieden een zeer gebruikersvriendelijke GRC-oplossing en beschikken voor de 1e verdedigingslijn over doelstellingenmodellen (performance) voor gemeenten die vanuit een PDCA-engine gemanaged worden. Voor het sociaal domein zijn doelstellingenmodellen beschikbaar voor de WMO, Jeugdzorg, re-integratie en bijstand. En daarnaast zijn er doelstellingenmodellen beschikbaar voor subsidies, grondexploitaties, inkoop en aanbesteding, crediteuren en betalingen, verbonden partijen en personeel en salarissen en daarmee zijn de belangrijkste uitgaven van een gemeente afgedekt. Voor de komende tijd zal de inkomstenkant van gemeenten in beeld worden gebracht. Onze beheersingsdoelstellingen kunnen eveneens vanuit een auditmodule ingezet worden ter ondersteuning van de 3e verdedigingslijn. Het beheer van het hele PDCA-proces kan vanuit de 2e verdedigingslijn geregeld worden. Onze software biedt aldus een gestructureerde basis voor onderlinge samenwerking en afstemming tussen de 3 verdedigingslijnen en levert real time informatie op waaruit blijkt dat de organisatie aantoonbaar in control is.

Naast interne beheersing versus rechtmatigheid biedt onze GRC-oplossing een platform voor informatiebeveiliging (BIO), privacybescherming (AVG) en archiefbeheer (KIDO) volgens hetzelfde beheersingsprincipe en dat biedt mogelijkheden tot vergaande standaardisatie ofwel lagere beheerskosten tegen een hoger kwaliteitsniveau en wie wil dat nu niet!

Tot slot

In de serie van 3 blogs hebben wij een kader geschetst voor interne beheersing in relatie tot rechtmatigheid. Daarin zit de visie en aanpak die Key2Control hanteert en faciliteert via onze GRC-oplossing. Uiteraard is onze software een middel voor organisaties voor het op een effectieve en efficiënte wijze realiseren van haar doelen op het gebied van interne beheersing. Wij kunnen u daarbij met onze kennis en expertise begeleiden in het groeitempo dat u wenst.

Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

 

De bouwstenen van interne beheersing

De bouwstenen van interne beheersing

Posted on by in Nieuws with no comments

Een nadere uiteenzetting in relatie tot rechtmatigheid

 

door drs Gerrit Goud RE RA 

 

Vanaf het boekjaar 2021 zijn gemeenten zelf verantwoordelijk voor het afgeven van een rechtmatigheidsverklaring aan de gemeenteraad. Deze rechtmatigheidsverklaring dient ondertekend te worden door het college van B&W als onderdeel van de jaarlijkse verantwoording die de huisaccountant beoordeelt. Het boekjaar 2021 lijkt nog ver weg maar als je terug redeneert wat daarvoor nodig is, dan is er voor veel gemeenten werk aan de winkel. Niet voor niets dat de VNG het advies geeft nu al te starten met het treffen van voorbereidingen.

Vanuit Key2Control zijn we nadrukkelijk over dit thema in gesprek met diverse gemeenten. Menig concerncontroller is zich inmiddels aan het oriënteren om een beeld te krijgen van de impact van de rechtmatigheidsverklaring op de gemeentelijke organisatie. In een serie van 3 blogs delen wij graag onze visie en aanpak op hoofdlijnen over het borgen van rechtmatigheid. In de vorige blog hebben we stilgestaan bij de afbakening van rechtmatigheid en de bouwstenen van interne beheersing waarbij alvast een inkijk is gegeven in het belang van de PDCA-cyclus. In de 2e blog gaan we nader in op de overige bouwstenen.

 

1.     Governance

Bij governance gaat het om de belanghebbenden (stakeholders) en hun rolverdeling in het kader van interne beheersing. Het zogenaamde ‘three lines of defence’ model (3LOD) ondersteunt deze rolverdeling. Zo bestaat de 1e verdedigingslijn uit leidinggevenden en managers die primair verantwoordelijk zijn voor hun operationele processen. De 2e verdedigingslijn zijn stafleden zoals de concerncontroller, de CISO (informatiebeveiliging) of de privacy officer. Zij fungeren voornamelijk als ‘poortwachter’ op hun eigen terrein (deskundig) en ondersteunen en faciliteren waar mogelijk de 1e verdedigingslijn. De verbijzonderde interne controle (VIC) of interne auditfunctie (IAF) vertegenwoordigt de 3e verdedigingslijn en is belast met het periodiek toetsen van de werking van ingezette beheersmaatregelen in de 1e verdedigingslijn op effectiviteit.

De concerncontroller behoort in dit rollenspel in positie te worden gebracht en waakt ervoor dat de bouwstenen van interne beheersing in balans blijven in relatie tot het beoogde doel. De grootste uitdaging in het kader van rechtmatigheid is het actief betrekken van de 1e verdedigingslijn in het beheersingsproces vanwege het in control statement (ICS) dat vanuit deze lijn behoort te worden verstrekt. Daar ligt immers de focus als het gaat om rechtmatigheid.

 

2.     Risk

De inzet van risicomanagement (kans * impact) is effectief op tactisch en strategisch niveau en niet op operationeel niveau. Sterker nog, in dat geval kan het effect van risicomanagement (kans * impact) zelfs averechts werken en een forse onbalans veroorzaken in het intern beheersingsproces. Je kunt immers wel duizenden risico’s benoemen op operationeel niveau en daar wordt niemand vrolijk van met als gevolg weinig resultaat en draagvlak. En natuurlijk worden risico’s gelopen op operationeel niveau waarvan de belangrijkst is dat gemaakte afspraken niet worden nageleefd. Dat los je niet op met ‘kans * impact’, maar wel door de inzet van een PDCA-cyclus als sturings- en correctiemechanisme in combinatie met het periodiek meten van beheersingsdoelstellingen (performance). Het gaat immers op de werkvloer om het managen van zekerheden en niet van onzekerheden en dan is meten op basis van beheersingsdoelstellingen en daarop bijsturen een effectieve combinatie van procesbeheersing.

De meerwaarde van risicomanagement komt het beste tot uiting op tactisch en strategisch niveau, bijvoorbeeld in de situatie hoe de alsmaar stijgende kosten van jeugdzorg kan worden beperkt. Dit kan bijvoorbeeld beperkt worden door de toestroom naar jeugdzorg te beteugelen door het treffen van preventieve maatregelen in het veldwerk. Dat heeft weinig met rechtmatigheid te maken op operationeel niveau maar meer met het vormen van nieuw beleid dat op directie en bestuurlijk niveau besproken wordt. Dus een manager die vraagt wat de risico’s zijn bedoelt dus eigenlijk wat de risico’s op tactisch en strategisch niveau zijn. Op operationeel niveau zou de vraag moeten zijn aan welke eisen het proces moet voldoen.

 

3.     Compliance

Compliance richt zich op naleving van wet- en regelgeving en interne regels en richtlijnen ingebed in het operationele proces. In de kern is sprake van het managen van zekerheden ofwel het creëren van voorspelbaar gedrag door het treffen van beheersmaatregelen in de vorm van onder meer procedures, handboeken, regels en richtlijnen, training en opleidingen, functiescheiding, bevoegdheden en vastleggingen. Procesbeheersing is hierbij het kernwoord waarbij het proces alle details (inhoud) behoort te borgen die vanuit wet- en regelgeving moeten worden nageleefd. De focus is aldus gericht op naleving van gemaakte afspraken en niet zozeer op de details. De details behoren namelijk te zijn geborgd in het proces. Zo is het van belang dat materie- en juridische kennis in het proces is geborgd waarop gesteund kan worden. Zoals reeds in de 1e blog is aangegeven is compliance het terrein van de rechtmatigheid.

 

4.     Internal control

Internal control richt zich zowel op het treffen van passende beheersmaatregelen in de operationele processen (1e verdedigingslijn) als op het inrichten van de VIC of interne auditfunctie (3e verdedigingslijn) die gericht is op het toetsen van de effectieve werking van de ingezette beheersmaatregelen. Het treffen van passende beheersmaatregelen in de 1e verdedigingslijn is preventief en procesgericht zoals bijvoorbeeld het treffen van toereikende functiescheiding, het gebruik van standaard (digitale) formulieren bij een intake of het vastleggen van een genomen besluit.

De VIC voert werkzaamheden uit volgens een auditplan dat op tactisch niveau tot stand is gekomen op basis van een risicoafweging. Ook voor dit onderdeel kan het doelstellingenmodel ten behoeve van de 1e verdedigingslijn toegevoegde waarde leveren voor het vormen van het auditplan. Het model geeft immers een totaal beeld van alle relevante beheersingsdoelstellingen die zijn vastgesteld. Aangezien de werkzaamheden van VIC gericht zijn op het toetsen aan vastgestelde normen ligt hier een prima basis voor de audit. Dat wil niet zeggen dat alle beheersingsdoelstellingen geraakt moeten worden bij de uitvoering, maar wel betrokken zijn in het afwegingsproces op tactisch niveau. Veelal is de uitvoering van een auditplan gericht op data- en geldstromen (follow the money) op transactieniveau zoals factuurcontrole en/of dossieronderzoeken. Daarmee kunnen diverse beheersingsdoelstellingen in een keer geraakt worden. Deze aanpak met gebruikmaking van dezelfde beheersingsdoelstellingen draagt bij tot een betere afstemming en samenwerking tussen de verschillende verdedigingslijnen en dat bevordert de slagkracht van interne beheersing. Een ander interessant aspect is dat de inzet van VIC beoordeeld kan worden doordat eveneens duidelijk is welke beheersingsdoelstellingen niet geraakt worden.

 

5. Performance

Bij performance management is de insteek gericht op het meten van te realiseren doelstellingen. Vanuit het financieel domein is dat geregeld via de begroting, voortgangsrapportage en jaarrekening en wellicht met gebruikmaking van een balanced scorecard. Bij rechtmatigheid gaat het om meetbare beheersingsdoelstellingen zoals eerder in deze blog is aangegeven. Ook het in control statement (ICS) is onderdeel van performance en gebaseerd op de resultaten van het meten van beheersingsdoelstellingen en het managen van afwijkingen volgens de PDCA-cyclus.

Het opstellen van een doelstellingenmodel vindt overigens plaats op tactisch niveau en is het resultaat van een gedegen inventarisatie van een operationeel proces (understanding the business) en een daarop gebaseerde risicoanalyse. Een doelstellingenmodel bestaat uit een samenhangende set van meetbare normen/beheersdoelen waarvan elke norm voorzien is van stuurvragen die tijdens een meting beantwoord worden met Ja, Nee, Deels of Onbekend met eventueel een toelichting hierop. De inzet van een doelstellingenmodel is laagdrempelig, vergt weinig tijd en biedt daarmee een opmaat voor het actief betrekken van de 1e verdedigingslijn in het beheersingsproces dat zo belangrijk is in het kader van de rechtmatigheid.

 

6. Ethics & culture

Tot nu toe is vooral gekeken naar de harde kant van interne beheersing. Ethics & culture gaan over de zachte kant (soft controls) ofwel de mensfactor die in het kader van interne beheersing een belangrijke factor is en vaak is onderbelicht. Belangrijk is te beseffen dat groeien en verbeteren namelijk niet zozeer in de organisatie zit, maar vooral in de mensen die samen de organisatie maken. Het gaat dan om termen als bedrijfscultuur, integriteit, normen en waarden en de ‘tone at the top’. Veelal is de ‘zachte kant’ van interne beheersing evolutionair bepaald en is gewenste verandering niet zomaar door te voeren. Een belangrijke graadmeter voor inzicht in ethics & culture is het bepalen van het volwassenheidsniveau van een organisatie door het meten van menselijk handelen in relatie tot interne beheersing.

Te snel draaien aan deze knop voor het omhoog stuwen van het volwassenheidsniveau veroorzaakt vaak onomkeerbare ongewenste gevolgen. Zorgvuldigheid op basis van een doordacht plan voor verandering is dan ook essentieel. Vanuit rechtmatigheid ligt het in de verwachting dat deze ‘zachte kant’ een belangrijke rol gaat spelen bij het naleven van spelregels in het kader van governance, het accepteren van eigenaarschap vanuit de 1e verdedigingslijn en daarbij behorende verantwoordelijkheid.

In de volgende blog geven we aan welke bouwstenen relevant zijn in het kader van rechtmatigheid en gaan we nader in op valkuilen en op de te nemen stappen om op 2021 gereed te zijn voor de rechtmatigheidsverklaring.

Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

 

 

Interne beheersing als basis voor rechtmatigheid

Interne beheersing als basis voor rechtmatigheid

Posted on by in Nieuws with no comments

door drs Gerrit Goud RE RA

Vanaf het boekjaar 2021 zijn gemeenten zelf verantwoordelijk voor het afgeven van een rechtmatigheidsverklaring aan de gemeenteraad. Deze rechtmatigheidsverklaring dient ondertekend te worden door het college van B&W als onderdeel van de jaarlijkse verantwoording die de huisaccountant beoordeelt. Het boekjaar 2021 lijkt nog ver weg maar als je terug redeneert wat daarvoor nodig is, dan is er voor veel gemeenten werk aan de winkel. Niet voor niets dat de VNG het advies geeft nu al te starten met het treffen van voorbereidingen.

Vanuit Key2Control zijn we nadrukkelijk over dit thema in gesprek met diverse gemeenten. Menig concerncontroller is zich inmiddels aan het oriënteren om een beeld te krijgen van de impact van de rechtmatigheidsverklaring op de gemeentelijke organisatie. In een serie van 3 blogs delen wij graag onze visie en aanpak op hoofdlijnen over het borgen van rechtmatigheid. Deze 1e blog staat in het teken van de afbakening rechtmatigheid en de bouwstenen van interne beheersing die in min of meerdere mate van invloed zijn op de rechtmatigheid.

In het kader van interne beheersing zijn er gemeenten die de nadruk leggen op integraal risicomanagement of op de verbijzonderde interne controle (VIC) en de vraag is of dit in lijn is met het oog op rechtmatigheid. Zet je hiermee het juiste instrument in positie of is het niet beter te focussen op andere onderdelen van interne beheersing?

Om hierop antwoord te geven is enerzijds inzicht nodig wat we onder rechtmatigheid verstaan en anderzijds in de bouwstenen van interne beheersing. Op basis daarvan is het mogelijk aan te geven welke onderdelen van interne beheersing relevant zijn in het kader van de rechtmatigheidsverklaring.

Afbakening rechtmatigheid

Met rechtmatigheid wordt bedoeld het naleven van beheershandelingen in overeenstemming met relevante wet- en regelgeving waaruit financiële gevolgen voortkomen die als baten, lasten en/of balansmutaties worden verantwoord. Er is aldus een relatie met financieel beheer en het speelt zich af op operationeel niveau ofwel op de werkvloer, en in de kern is het een compliance vraagstuk. Het gaat dan om operationele processen zoals de WMO, jeugdzorg, bijstand, subsidies, inkoop en aanbesteding, personeel en salarissen, maar ook gemeentelijke belastingen en leges. Voor het borgen van alle specifieke wettelijke eisen en regels die van toepassing zijn op het proces, speelt procesbeheersing een belangrijke rol. Dan gaat het om naleving van gemaakte afspraken in de vorm van functiescheiding, procedures, richtlijnen, instructies, bevoegdheden, vastleggingen en afstemmingen. En de vraag hierbij is hoe deze naleving kan worden vastgesteld.

Rechtmatigheid is aldus een compliance vraagstuk dat zich afspeelt op operationeel niveau en niet op tactisch en strategisch niveau en dat is een belangrijke constatering die impact heeft op de in te zetten beheersinstrumenten waarop we in blog 2 terugkomen.

Afleggen verantwoording

Voor het afgeven van een rechtmatigheidsverklaring op bestuurlijk niveau is ambtelijke garantie nodig. Die garantie behoort te komen vanuit de verantwoordelijke leidinggevenden van operationele processen die onder de rechtmatigheid vallen. De basis daarvoor is een ‘in control statement’ (ICS), ofwel een ambtelijke verklaring waaruit blijkt in hoeverre de operationele processen in control zijn (procesbeheersing). Dan is niet alleen het ondertekenen van zo’n verklaring van belang, maar ook het verstrekken van bewijslast vanuit het operationeel proces door onder meer periodiek te meten op te realiseren beheersingsdoelstellingen. Naast deze verklaring speelt de VIC een belangrijke rol door het leveren van meer zekerheid op de werking van de ingezette beheersmaatregelen op operationeel niveau door periodiek te toetsen. Dat toetsen vindt doorgaans op transactieniveau plaats zoals factuurcontrole of dossieronderzoeken. Het intern auditrapport van de VIC waarin bevindingen en aanbevelingen zijn opgenomen is eveneens input voor de rechtmatigheidsverklaring als het gaat om gesignaleerde rechtmatigheidsfouten en onzekerheden.

Het mag duidelijk zijn dat dit verantwoordingstraject behoort te zijn ingebed in het intern beheersingsproces van de gemeente. Van belang is te realiseren dat het ICS los staat van de uitspraken van de VIC. Je kunt prima in control zijn waarbij VIC diverse rechtmatigheidsfouten signaleert als onderdeel van het intern beheersingsproces. Wat hieruit eveneens naar voren komt is dat het afgeven van alleen een auditrapport VIC onvoldoende is voor het verstrekken van een rechtmatigheidsverklaring. Responsibilty en accountability behoren namelijk in elkaars verlengde te liggen.

Bouwstenen interne beheersing

Onder interne beheersing verstaan wij het vermogen dat een organisatie in staat stelt betrouwbare doelstellingen te realiseren, onzekerheden aan te pakken en integer te handelen. Als we hierop nader inzoomen dan gaat het om de bouwstenen zoals gevisualiseerd in de kop van de inleiding.

Centraal staat de PDCA-cyclus ofwel de deming cirkel die als verbindende factor en drijvende kracht het intern beheersingsproces in gang houdt en borgt met als doel continu verbeteren en optimaliseren. De PDCA-cyclus is als het ware de motor waarvan het vermogen bepaald wordt door de slagkracht vanuit de governance die vertaald is naar de beheersorganisatie en -activiteiten en gericht is op het realiseren van doelstellingen.

De uitdaging is om alle bouwstenen van interne beheersing in balans te brengen en te houden in relatie tot de te bereiken doelen. En juist hier ligt een belangrijke afstemmingstaak voor de concerncontroller.

In de 2e blog gaan we nader in op de overige bouwstenen van interne beheersing en geven we aan welke daarvan relevant zijn in het kader van rechtmatigheid.

Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

 

Van BIG naar BIO in een paar dagen

Van BIG naar BIO in een paar dagen

Posted on by in Nieuws with no comments

Concrete roadmap voor overheden

De klok loopt en u heeft nog 14 weken. Vanaf 2020 is de baseline informatiebeveiliging overheden (BIO) van toepassing voor alle bestuurslagen en bestuursorganen van de overheid en daarmee kunne alle afzonderlijke normenkaders zoals de BIG, BIR, IWI en BIWA de prullenbak in. Een goede ontwikkeling want dat bevordert de harmonisatie en het onderlinge vertrouwen in de publieke sector bij het uitwisselen van informatie. De BIO is gebaseerd op de internationale standaard voor informatiebeveiliging, te weten de ISO/NEN 27001/2, versie 2017 waarop doorgaans wordt gecertificeerd.

Het jaar 2019 geldt voor gemeenten als overgangsperiode waarbij de ENSIA-vragenlijst nog gebaseerd is op de BIG. De vraag is dan hoe gemeenten zich gaan voorbereiden op de BIO? Er is natuurlijk al de nodige ervaring opgedaan met de BIG en de uitdaging is om de transitie naar de BIO zo natuurlijk mogelijk te laten plaatsvinden.

Tijdens onze gesprekken met gemeenten over die transitie van BIG naar BIO merken we dat gemeenten bewust vanaf het tweede half jaar 2019 de BIG negeren en zich alleen richten op datgene wat noodzakelijk is vanuit ENSIA. Dat doen ze door gebruik te maken van reeds beschikbare informatie en ervoor te zorgen dat aan de verplichte eisen voor Suwinet en DigiD wordt voldaan. Daarmee creëren zij ruimte voor de introductie van de BIO en dat is op zich geen onlogische gedachte. Immers waarom zou je nog investeren in een normenkader dat in de prullenbak verdwijnt?

De BIO is overigens een logisch vervolg in de doorontwikkeling van de internationale standaard voor informatiebeveiliging op basis van nieuwe ontwikkelingen. Denk bijvoorbeeld aan nieuwe toepassingen en dreigingen, inzichten en de stand van de techniek. Daarnaast is er nog de vergaande digitalisering. En niet te vergeten ketensamenwerking en onderlinge uitwisseling van informatie met derden. De basis voor interne beheersing van informatiebeveiliging is in principe hetzelfde als in de BIG, zij het dat meer nadruk wordt gelegd op risicomanagement en op de governance door expliciet het eigenaarschap te benoemen bij leidinggevenden en managers.

Risicomanagement
Risicomanagement is een afwegingsproces voor het beheersen van onzekerheden en is onderdeel van de PDCA-cyclus waarop de BIO steunt. De inzet van risicomanagement is voorkomen dat informatie en informatiesystemen te licht of te zwaar worden beveiligd. Er zit aldus een beveiligings- en kostenaspect aan vast en dat vereist balanceren.

Vanuit de BIO behoort het resultaat van risicomanagement te leiden tot een basisbeveiligingsniveau. De BIO hanteert hiervoor 3 niveaus, te weten BBN1, 2 en 3 met een minimum aan beveiliging indien sprake is van BBN1. Het uitgangspunt is dat BBN2 standaard van toepassing is tenzij aangetoond kan worden dat BBN1 toereikend is. Voor gemeenten ligt het in de verwachting dat BBN3 ofwel het zwaarste beveiligingsniveau niet of nauwelijks zal voorkomen. Dat niveau is meer van toepassing op de rijksoverheid.

De insteek van de BIO is dat van elk relevant bedrijfsproces en informatiesysteem (wij noemen dat objecten) een basisbeveiligingsniveau wordt vastgesteld met bijbehorende set van (verplichte) beveiligingsmaatregelen. Veel beveiligingsmaatregelen in de BIO hebben overigens een generiek karakter. Dat wil zeggen dat deze maatregelen organisatiebreed van toepassing zijn en dus ook voor alle objecten. Een voorbeeld van een generieke maatregel is het ondertekenen van een geheimhoudingsverklaring. Dat is een activiteit die bij HRM ligt en als eenmaal is vastgesteld dat hieraan is voldaan dan geldt dit eveneens voor de objecten waarop deze maatregel van toepassing is. Daarnaast zijn er maatregelen die per object beoordeeld behoren te worden zoals bijvoorbeeld de toegangsbeveiliging van informatiesystemen op niveau BBN2. Als er 40 informatiesystemen zijn op basisbeveiligingsniveau 2, dan zal dit per object vastgesteld moeten worden. Wij beschouwen deze systemen als de kroonjuwelen van de organisatie. Dat wil niet zeggen dat dit jaarlijks moet geschieden, maar wel bijvoorbeeld per kroonjuweel in een cyclische periode van 3 jaar. Alleen een procedure toegangsbeveiliging hebben, is te kort door de bocht. Je zult moeten vaststellen dat deze procedure ook werkt net zoals dat thans geldt voor Suwinet.

Governance

De BIO onderscheidt 3 hoofdrollen in het kader van de governance van informatiebeveiliging, te weten de gemeentesecretaris, de proceseigenaren en dienstenleveranciers.

De BIO geeft aan dat de gemeentesecretaris eindverantwoordelijk is voor de integrale beveiliging en de inrichting en werking van de beveiligingsorganisatie. In de BIG kwam deze verantwoordelijkheid niet zo nadrukkelijk in beeld. Deze nuancering impliceert eveneens dat bij het ontbreken van een proceseigenaar om wat voor reden dan ook, het eigenaarschap automatisch bij de gemeentesecretaris komt te liggen. De gedachte hierachter is dat de gemeentesecretaris vanuit zijn bevoegdheid dan zelf een eigenaar aanwijst. Deze benadering kan overigens een behoorlijke impact hebben op de governance bij gemeenten. Waarbij de slagingskans voor een groot deel afhankelijk is van de ‘tone at the top’ en bedrijfscultuur. Interessant is dat de vraag naar eigenaarschap eveneens speelt in het privacydomein en in het kader van de financiële rechtmatigheid. Daarover binnenkort een serie blogs.

Een proceseigenaar is een lijnmanager of leidinggevende en is verantwoordelijk voor de beveiliging van zijn/haar objecten (processen / informatiesystemen).

Met dienstenleverancier wordt bedoeld de leverancier die belast is met beveiligingstaken namens de gemeentesecretaris of proceseigenaren. Dit kunnen zowel interne als externe leveranciers zijn zoals de afdeling ICT of intern rekencentrum, facilitaire zaken, HRM maar ook externe partijen zoals serviceproviders.

Hoe nu beginnen
1. Stel een jaarplan BIO op

Het opstarten van de BIO begint met meten aan de hand van de beveiligingsdoelstellingen (controls) en bijbehorende beveiligingsmaatregelen. Van elke maatregel kan worden bepaald in hoeverre wel, deels of niet is voldaan waarbij ons advies is niet te veel aandacht aan te besteden. Een scherp beeld is namelijk niet nodig, maar de meting moet wel voldoende informatie opleveren voor vervolgstappen. Bij twijfel of een maatregel wel of niet is geïmplementeerd kan dan beter het antwoord ‘onbekend’ gegeven worden. Dat wordt dan voorlopig geparkeerd en later uitgezocht. Punt is namelijk dat we de PDCA-cyclus in gang willen brengen gericht op continu verbeteren en dat vereist discipline en een normale doorstroom zonder vertraging. Punten die nu niet opgepakt worden, komen dan in de volgende cyclus aan bod.

Het resultaat van de meting leidt tot een gap-analyse waarbij keuzes gemaakt worden welke verbeteringen gepland kunnen worden. Er vindt aldus een afwegingsproces (lees risicomanagement) plaats dat zich uit in prioritering in de wetenschap dat niet elke tekortkoming direct opgepakt hoeft te worden. Dat is immers niet realistisch. Het gaat erom dat de juiste keuzes worden gemaakt binnen hetgeen wat haalbaar. Er zijn nu eenmaal beperkingen die zich kunnen uiten in bijvoorbeeld een laag ambitieniveau, krappe capaciteit en een gering absorptievermogen van de organisatie. En ook dat zijn factoren waarmee in het afwegingsproces rekening dient te worden gehouden.

Uiteindelijk behoort de gap-analyse inclusief prioritering te zijn opgenomen in een jaarplan BIO. Deze zijn voorzien van de nodige stuurinformatie zoals de geplande verbeterpunten voor de komende periode. De directie behoort dit jaarplan formeel vast te stellen, enerzijds om daarmee hun betrokkenheid voor informatiebeveiliging aan te tonen, anderzijds het mandaat te geven aan de CISO voor het uitvoeren van het jaarplan. Zonder mandaat is het niet aan te bevelen om als CISO het veld in te gaan voor het doorvoeren van verbeteringen.

2. Bepaal het basisbeveiligingsniveau

De BIO geeft aan dat proceseigenaren het basisbeveiligingsniveau bepalen. Ook dat gaat niet vanzelf en daarvoor zijn nadere afspraken nodig met alle belanghebbenden. Allereerst is vooraf inzicht nodig in de belangrijkste bedrijfsprocessen en informatiesystemen en moet duidelijk zijn welke proceseigenaren daaraan gerelateerd worden. Als dit eenmaal in beeld is, is een planning nodig voor de uitrol. Daarnaast behoren proceseigenaren te worden geïnformeerd en gewezen op hun rol en verantwoordelijkheid. Daarbij is het niet uitgesloten dat enige weerstand bij proceseigenaren tot uiting komt. Kortom, voorbereiding, planning en mandaat is hierbij geboden. Voor het mandaat is een formele procedure nodig over de wijze waarop het basisbeveiligingsniveau en bijbehorende maatregelen worden bepaald. Houdt hierbij rekening met rugdekking van de gemeentesecretaris als vangnet ingeval er sprake is opkomende weerstand bij proceseigenaren.

Naast het bepalen van beveiligingsniveaus is het ook belangrijk dat alle verplichte maatregelen zoals opgenomen in de BIO zijn voorzien van een eigenaar.

3. Bundel de slagkracht door samenwerking

De CISO is het centrale aanspreekpunt als het gaat om vraagstukken op het gebied van informatiebeveiliging en zich inzet op naleving van de BIO. Dat laatste kan de CISO niet alleen en daarom zijn gelijkgezinden nodig verdeeld in de organisatie die de ‘voelsprieten’ zijn van de CISO. Op het niveau van de CISO zijn er ook andere ‘poortwachters’ die soortgelijke belangen hebben zoals de privacy officer, de functionaris gegevensbescherming (FG) en de concerncontroller voor de financiële rechtmatigheid. Net zoals de CISO streven zij ernaar dat proceseigenaren hun verantwoordelijkheid nemen als het gaat om naleving van de privacywetgeving en financiële rechtmatigheid (compliance).

Op dat niveau liggen kansen voor het bundelen van krachten en voor het onderling delen van informatie vanwege de overlappingen die er zijn. Zo is privacybescherming nauw verbonden met informatiebeveiliging evenals financiële rechtmatigheid als het gaat om bedrijfsprocessen en informatiesystemen. Het in teamverband optrekken en het met elkaar delen van informatie bevordert tevens de slagkracht en continuïteit als team voor ondersteuning en voorkomt verzuiling (meer van hetzelfde).

4. Introduceer een GRCoplossing voor ISMS

De omvang van alle jaarlijkse relevante beheersactiviteiten in het kader van informatiebeveiliging vereist een effectieve en efficiënte benadering. Het inzetten van een professioneel geautomatiseerde GRC-oplossing als managementinformatiesysteem voor informatiebeveiliging (ISMS) is onvermijdelijk geworden. Er zijn simpelweg te veel beheersactiviteiten verdeeld over diverse medewerkers in de organisatie die gestroomlijnd behoren te worden. Dat lukt niet meer in Excelachtige omgevingen evenals het combineren, delen en actueel houden van informatie in het kader van informatiebeveiliging. Key2Control biedt een zeer gebruikersvriendelijke GRC-oplossing voor ISMS die eveneens ingezet kan worden voor privacybescherming en financiële rechtmatigheid. Daarmee wordt de basis gelegd voor een integraal platform voor interne beheersing. Dat heeft als voordeel dat met 1 systeem alle relevante beheersactiviteiten op welk thema dan ook kunnen worden gemanaged. En dat biedt mogelijkheden tot integratie, kwaliteitsverbetering en efficiencyvoordelen (lees kostenbesparing) voor overheden op het gebied van interne beheersing.

Wilt u meer weten over onze aanpak ten aanzien van de BIO en/of over onze GRC-oplossing, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

Key2Control betrekt nieuw kantoor in Maastricht

Key2Control betrekt nieuw kantoor in Maastricht

Posted on by in Nieuws with no comments

Softwarebedrijf Key2Control, gespecialiseerd in het organiseren van integrale interne beheersing, neemt per 2 september haar intrek in il Fiore aan de Avenue Ceramique in Maastricht. Deze verhuizing is een logische stap die onderdeel uitmaakt van de verdere groei en professionalisering van de organisatie.

Het pand is zeer centraal gelegen tegenover het Bonnefantenmuseum en is duidelijk herkenbaar aan de markante ronde façades en het gebruik van glas. Het gebouw biedt voldoende faciliteiten en flexibiliteit in het gebruik om bedrijven in staat te stellen optimaal te kunnen groeien.

Arie Hartog, algemeen directeur is verheugd met deze stap. “De afgelopen jaren heeft Key2Control bij meer dan 60 overheidsorganisaties bewezen dat onze software en aanpak goed meebewegen met de verwachtingen, behoeften en ambities van onze klanten. Het continu doorontwikkelen van onze software blijft natuurlijk een kernactiviteit. Alleen werd het ook tijd om onze organisatie daarop aan te passen. Met het aantrekken van een aantal nieuwe medewerkers en uitbreiding van de directie in het eerste kwartaal, hebben het tweede kwartaal benut om onze interne organisatie verder te professionaliseren. Dit alles om goede voorwaarden te creëren voor verdere groei. Dit nieuwe kantoor is voor Key2Control de komende jaren een uitstekende uitvalsbasis voor onze medewerkers en tegelijk een representatieve locatie om klanten en business partners te kunnen ontvangen.”

 

Over Key2Control

Key2Control (2013) is gespecialiseerd in het organiseren van integrale interne beheersing. In onze aanpak combineren we eigen ontwikkelde oplossingen op het gebied van Governance, Riskmanagement & Compliance (GRC) met een hands-on resultaatgerichte aanpak. Door op elk moment van de dag inzicht te hebben in, en verantwoording af te kunnen leggen vanuit, inzichtelijke beheersprocessen zijn klanten van Key2Control in staat