Waarom de kwaliteit van informatievoorziening hét fundament is voor interne beheersing
Een vergelijking tussen de boekenkast, de ballenbak en de bunker – deel 2/2
Door Bart Suers, MScBA
Digitale informatie wordt door overheidsorganisaties steeds vaker gebruikt om te dienen als bewijs om gevraagd of ongevraagd verantwoording af te leggen over het handelen van de organisatie. Zo wordt digitale informatie bijvoorbeeld gebruikt om de mate van interne beheersing aan te tonen. Dan is het dus extra belangrijk dat er ook aantoonbare grip is op de uitvoeringskwaliteit van het informatiebeheer. Het organiseren van de kwaliteit van informatiebeheer kent natuurlijk vele verschijningsvormen. Het is telkens weer onderwerp van het gesprek dat ik voer met overheidsorganisaties over integrale interne beheersing In een tweetal blogartikelen behandel ik drie van deze verschijningsvormen en benoem een aantal aspecten die van belang zijn als het gaat om het organiseren van de kwaliteit van informatiebeheer. Vandaag deel 2.
De Ballenbak
Wat hebben een ballenbak, boekenkast en bunker met elkaar gemeen? In mijn eerste blog heb ik uiteengezet waarom SharePoint een boekenkast is die als digitaal opslagsysteem handig is maar wel forse beperkingen heeft als het gaat om het archiveren van aantoonbare onweerlegbare bewijslast. De ballenbak kent in tegenstelling tot de boekenkast geen ordening van informatie op basis van een bewerkelijke vooraf of volgtijdelijke te creëren routestructuur maar gaat uit van een metadataschema. Meer over wat metadata is en waarom dit belangrijk is in mijn vorige blog. Belangrijk om te vermelden is dat niet de plek waar informatie bewaard, beheerd of vindbaar is centraal staat maar de unieke eigenschappen van een informatieobject bepalen hoe informatie wordt bewaard, hoe lang en wie toegang heeft bijvoorbeeld. Stelt u zich de bekende ballenbak voor bij de Zweedse designmeubelenwinkel. Op elke bal (lees informatieobject) zijn een reeks stickers geplakt. Elke sticker is een metagegeven. Samen vormt een reeks stickers per bal een unieke combinatie. Ordening zoals in een boekenkast is niet nodig, het is een kwestie van graaien in de bak totdat je de juiste bal hebt gevonden. En om in die bak te komen moet je wel door een gecontroleerde ingang naar binnen.
Het RMA/DMS
Een Records Management Applicatie en Document Managementsysteem combineert de toegang, het bestickeren en beheren van die balen. Dat betekent dat elke gebruiker dus ook systeemgebruikers niet zelfstandig kunnen graaien in de ballenbak zijnde het RMA/DMS maar hun zoekvragen stellen aan de ingang van het RMA/DMS. In tegenstelling tot de boekenkast kent een RMA/DMS dus een loketfunctie om toegang te krijgen tot informatie. Een RMA/DMS wordt veelal als organisatiebreed systeem gebruikt voor de neerslag van alle (archiefwaardige) informatie. En deze loketfunctie visualiseert de governance die nodig is; de structuur voor de inrichting van een archiefwaardige opslag, en de compliance omdat er wordt voldaan aan Nederlandse wet- en regelgeving. Er is dus ook sprake van een duidelijke poortwachter die tot doel heeft om de informatie integriteit te waarborgen. En dat biedt een belangrijk voordeel als het gaat om het aantonen van de onweerlegbaarheid van de bewijslast. Informatie die van vitaal belang is om het handelen en presteren van de organisatie gevraagd of ongevraagd te beantwoorden, kan dus prima veilig in een RMA/DMS worden opgeborgen. De inspanning van de auditor kan zich beperken tot de poortwachter. Als er bij de poortwachter geen onrechtmatigheden worden gevonden door de auditor dan kunt u stellen dat uw organisatie voor wat betreft de interne beheersing van de kwaliteit van uw informatievoorziening al een flinke stap heeft gezet. Vaak is een extra maatwerk of configuratie en zelfs certificering overbodig als u kiest voor een leverancier die het RMA/DMS al heeft laten certificeren.
De Bunker
De Bunker is dan misschien de meest verheven vorm zult u denken? Tot op zekere hoogte want ook hier krijgen informatie integriteit en toegang weer extra aandacht. Het kenmerk van een bunker is natuurlijk dat het niet zoals een boekenkast (SharePoint) gebruiksvriendelijkheid centraal stelt of zoals bij een ballenbak (RMA/DMS) zich sterk richt op de aantoonbaarheid van informatie integriteit. De Bunker stelt de allerhoogste eisen als het gaat om behoud en integriteit van informatieobjecten die gebruikt worden voor een specifiek doel. Bij vitale informatie die te allen tijden als onweerlegbare auditbewijslast moet kunnen worden overlegd, gevraagd of ongevraagd kan geen twijfel bestaan over de mate waarin deze informatie continu toegankelijk, authentiek en bruikbaar is. Dat betekent dat de beveiliging van deze informatie moet voldoen aan de allerhoogste standaarden en dat zelfs de poortwachtersfunctie is teruggeschroefd van een loket naar een sleutel op de deur. Informatie wordt virtueel achter slot en grendel gelegd; alle informatieobjecten inclusief metadata worden versleuteld in een database opgeslagen. Zonder een juiste sleutel, geen toegang tot de data en ook geen mogelijkheid om met die data iets te doen mocht er ongewenst toegang worden verkregen tot die informatie. Daar waar het gaat om het beheren van onweerlegbare auditbewijslast is decentrale opslag van deze informatieobjecten de beste optie.
GRC-applicatie
Een GRC-applicatie wordt gebruikt om aantoonbaar in control te geraken over de kwaliteit van interne beheersprocessen. In deze blogreeks gaat het over het waarborgen van de kwaliteit van informatie en de plek waar je dit het beste kunt beheren. De GRC-applicatie kan als een bunker worden beschouwd daar waar het gaat om het auditproof dus onweerlegbaar kunnen aantonen van de bewijslast die nodig is om in control te zijn. Door informatie versleuteld te bewaren en te beheren wordt direct de auditlast verlaagt. En dat is nodig omdat de auditlast voor overheidsinstellingen alleen maar is toegenomen de afgelopen jaren. Denk aan de AVG (privacybescherming) en de BIO (informatiebeveiliging) bijvoorbeeld. Daarnaast verschijnt de Wet Open Overheid aan de audithorizon vermoedelijk volgend jaar en zal ook de rechtmatigheidsverantwoording in 2021 haar schaduw vooruitwerpen. Steeds meer overheidsorganisaties zien de noodzaak om de interne beheersing van de kwaliteit en verbetering van bedrijfsprocessen onder te brengen in een systeem waarin Governance, Risk en Compliance (GRC) integraal worden bediend voor de gehele organisatie. Die noodzaak komt dus primair vanuit de toename van de omvang van interne beheersing maar ook als gevolg van het moeten managen van alle relevante beheersactiviteiten. Daarbij komt ook nog een (jaarlijks) cyclisch proces waardoor je als overheidsorganisatie voldoende conditie moet opbouwen om in een ritme te komen waarin interne beheersing op een effectieve en efficiënte manier wordt benaderd.
Conclusie
Elke organisatie wil kunnen beschikken over vitale informatie om aantoonbaar in control te zijn over de eigen interne beheersprocessen. Het liefst integraal en ook tegen lagere kosten en hogere kwaliteit. Dan is de keuze voor het bewaren en beheren van informatie die gebruikt wordt als onweerlegbare bewijslast een keuze met grote impact. Bovenstaand is die impact schematisch nog eens samengevat.
