NOREA, de beroepsvereniging van IT-auditors, werkt aan een IT-Auditverklaring waarmee de cyberweerbaarheid van bedrijven kan worden beoordeeld. Die verklaring kan straks nodig zijn wanneer bedrijven bijvoorbeeld krediet bij een bank willen aanvragen. Onze lead IT Auditor, Joep Janssen, is daar nauw bij betrokken. Hij legt uit dat zo’n verslag en verklaring ook nuttig is voor de overheid.
Een IT-verslag en een IT-Auditverklaring bij de overheid
We zien dat het bedrijfsleven en de overheid in hoog tempo digitaliseren. Zekerheid over de juiste werking van de informatietechnologie is daarbij van nationaal belang. Nederland is één van de meest gedigitaliseerde landen ter wereld en Amsterdam neemt een vooraanstaande positie in de wereld in als IT-hub. Het wordt daarom steeds meer een nationale zaak dat al die informatietechnologie binnen organisaties foutloos werkt en blijft functioneren. Zowel bij het bestuur als bij de toezichthouders zien we dat de behoefte om aantoonbaar ‘in control’ te zijn en te blijven van de informatietechnologie steeds groter wordt. Niet alleen voor de eigen organisatie maar ook voor de brede groep van stakeholders en ketenpartners. Deze hechten steeds meer belang aan zekerheid omtrent de juiste werking van informatietechnologie. We zie dat bij banken die kredieten moeten verstrekken, maar ook bij leveranciers, consumenten, ratingbureaus, toezichthouders en in brede zin het maatschappelijk verkeer. Een IT-verslag van de directie om dit uit te dragen, dan wel om ketenpartners en andere belanghebbenden hierover te informeren, is hiertoe bij uitstek geschikt.
VKA doet veel governance opdrachten in de publieke sector. Daar zien we dat volksvertegenwoordigers steeds meer geïnformeerd willen worden over de kwaliteit van de digitalisering en de weerbaarheid van de overheidsorganisaties tegen cyberaanvallen. Ook bij de realisatie van maatschappelijke doelen speelt digitalisering een niet meer weg te denken rol.
IT-incidenten bij overheidsorganisaties leiden vaak tot een spervuur van (kamer-) vragen en veel ad hoc rapportages (vaak ook erg technisch van aard) aan de volksvertegenwoordigers. Daardoor is een oerwoud aan rapporten, onderzoeken en feitenverslagen ontstaan waar door de bomen het bos niet meer zichtbaar is. Een goed samenhangend beeld van de stand van de digitalisering dat ook door niet technische toezichthouders begrepen kan worden bestaat gewoon niet.
Hier is dringend behoefte aan meer transparante en gestandaardiseerde verslaglegging. Dat vinden wij niet alleen. Ook de Algemene Rekenkamer heeft daar over gepubliceerd.
In het rapport ‘Grip op digitalisering: rode draden uit tien jaar Rekenkameronderzoek’ (maart 2020) stelt de Algemene Rekenkamer dat om te kunnen controleren of de overheid de digitale ambities ook waarmaakt allereerst de juiste informatie nodig. Informatie over wat digitale systemen kosten, wat ze opbrengen en hoe (goed) ze functioneren. Die informatie is volgens de Algemene Rekenkamer vaak onvolledig en de kwaliteit kan beter. Door een gebrek aan standaarden in deze informatie zijn vergelijkingen tussen overheidsorganisaties, en in de tijd bovendien niet te maken. Dat maakt het voor de Tweede Kamer lastig om te controleren en voor de overheid lastig om lessen te trekken en te verbeteren. Het risico daarvan is dat dezelfde fouten steeds opnieuw gemaakt worden.
De Algemene Rekenkamer stelt hier onomwonden over dat de informatievoorziening door ministeries en uitvoeringsorganisaties aan de Tweede Kamer op het gebied van ICT onvolledig is: informatie gaat veelal over grote vernieuwingsprojecten, terwijl informatie over beheer en onderhoud ontbreekt. Hierdoor wordt het parlement onvoldoende in staat gesteld om beslissingen te nemen op grond van een breed spectrum aan informatie.
De Algemene Rekenkamer vraagt ook aandacht voor het versterken van de governance door het werken volgens een groeimodel en onder strakke regie aan een geleidelijke harmonisatie, ook in wet- en regelgeving.
Naar onze mening is de scope van de veelal sterk op externe effecten en financiën georiënteerde jaarverslagen van overheidsorganisaties te beperkt om een adequaat beeld te kunnen vormen over de governance van het IT-beheer en de beheersing van de digitaliseringstrajecten. Laat staan dat in een financieel verslag voldoende ruimte is om bijvoorbeeld als organisatie verantwoording af te leggen of deze weerbaar is tegen cyberaanvallen en of de digitalisering voorbereid is op de nabije toekomst. Een nieuwe rapportagevorm in de vorm van een IT-verslag is dringend gewenst om de governance op de digitale overheid te versterken.
Een IT-verslag en een IT-Auditverklaring leveren veel voordelen op
Een IT-verslag en een IT Auditverklaring biedt de overheidsorganisatie een uitstekende mogelijkheid om op een gestructureerde en geïntegreerde wijze verslag te doen van het IT-beheer en de beheersing van de digitalisering, de groeifase waarin de organisatie zich bevindt en welke uitdagingen er nog zijn. Nadrukkelijk is het bestuur van de organisatie hier aan zet. Vervolgens is het aan de auditor om hier met een verklaring te bevestigen dat het geschetste beeld daadwerkelijk overeenkomt met de werkelijkheid. Met een dergelijke geïntegreerde en gestructureerde werkwijze wordt voorkomen dat steeds weer bij ieder incident een aparte verantwoording moet worden afgelegd en een onsamenhangend en mogelijk zelfs ongenuanceerd beeld ontstaat van de beheersing van de digitalisering.
Op dit moment bestaan er vele specifieke wettelijke verantwoordingsverplichtingen van overheidsorganisaties en bestuurslagen, waarbij vaak over een groot aantal dezelfde onderwerpen en beheersingsmaatregelen verantwoording moet worden afgelegd. Hier kan enorme efficiency en kwaliteitswinst geboekt worden als overgegaan wordt naar een gestandaardiseerde vorm van verslaglegging. Er zullen nog wel flinke stappen gezet moeten worden om tot een breed gedragen standaard te komen.
Randvoorwaarden aan een IT-verslag en de IT-Auditverklaring
Veel organisaties zijn nog niet zo ver dat zij en totaalbeeld kunnen geven van allen digitaliseringsactiviteiten. Daarom zal het nog een flinke inspanning vergen van de organisaties om een integraal IT-verslag op te stellen. Hier zal veelal in een project opgetuigd moeten worden met de nodige interne en externe deskundigen. Ook de inzet van een onafhankelijke interne of externe auditor vraagt inspanning en het maken van kosten.
Aan de andere kant hoeft de invoering van een IT-Verslag en een IT-auditverklaring in de praktijk ook weer niet al te ingewikkeld te zijn. In de huidige praktijk wordt in het kader van de jaarrekening controle het IT beheer van financiële systemen immers al door de IT auditor gecontroleerd. De IT-auditor kan de scope van het onderzoek verbreden van alleen financiële aspecten naar de volledige IT-organisatie.
Voorkomen moet wel worden dat ketenpartijen, die in een afsprakenstelsel met elkaar samenwerken, van elkaar verantwoording gaan eisen. Verantwoording moet primair gericht zijn aan de volksvertegenwoordigers (horizontale verantwoording).
Daar waar verschillende overheidslagen samenwerking, zoals in afsprakenstelsels, kan het zijn dat het Rijk voor haar wettelijke toezicht mede steunt op de horizontale verantwoording van de andere overheidslagen. Voor verticale toezichtdoeleinden kan dan gebruik gemaakt worden van de horizontale verantwoordingen en bijbehorende assurance van de ketenpartijen (publiek en privaat). Dit versterkt de eis / wens naar standaardisatie. We zien dat de huidige wetgeving vaak nog gedetailleerde en specifieke rapportages vereist. Om hier meer standaardisatie in aan te brengen zullen in veel gevallen wetswijzigingen nodig zijn. Dit is dan wel een meerjarentraject.
De invoering van een IT-verslag vraagt wel om een groeipad, waarbij niet direct alle strenge eisen van toepassing worden verklaard maar ruimte bestaat voor leren en ontwikkelen. Het is verstandig eerst te werken aan een goed IT-Verslag en als dit goed in elkaar zit daar een IT-Auditverklaring bij de geven. Dit geeft organisaties de mogelijkheid om te leren en te groeien in volwassenheid.
Voorkomen moet worden dat het IT-verslag gebruikt wordt om de organisatie ‘af te rekenen’ en te benutten voor politieke doeleinden. ‘Good governance’ vereist dat ‘politiek gebruik’ van het IT-verslag en ‘cherry picking’ tegen gegaan moet worden. In onze ogen kan dat door een sterke standaardisatie door te voeren in de verslaglegging en een gestandaardiseerde auditaanpak.
Inhoud IT-verslag
Een goed IT-verslag vermeldt hoe de beheersing van IT in het afgelopen jaar heeft plaatsgevonden en wat de organisatie heeft gedaan om herhaling van incidenten te voorkomen. Daarbij kunnen ook de leerervaringen en het groeipad aangeven worden. Het IT-verslag moet ook vertellen op welke wijze de IT binnen een organisatie toekomstbestendig is en welke digitaliseringstrajecten er lopen of worden gestart. Dat is voor de verschillende stakeholders immers het meest relevant. Het IT-verslag moet daarmee bestaan uit zowel generieke onderwerpen (zoals informatiebeveiliging en continuïteit) als uit onderwerpen die cruciaal zijn voor de sector waarin de organisatie opereert. Bij de overheid is het daarbij van belang dat het IT-verslag aangeeft op welke wijze de digitalisering bijdraagt aan het realiseren van de beleidsdoelen van de sector.
Deze onderwerpen kunnen in het IT-verslag worden vermeld:
- Vooruitblik (1-3 jaren)
- IT-strategie
- Gebruik moderne IT
- Belangrijke projecten
- Risicoanalyse gericht op de inzet van IT
- Patching
- Versiebeheer
- Continuïteit
- Toegangs-beveiliging
- Incident management
- Change Management
- Security
- Cybersecurity
- Uitbesteding
- Investeringen in IT
- Kwaliteit projectmanagement
- Kwaliteit systeemontwikkeling
- Afhankelijkheid derde partijen
- Innovatief vermogen
IT-Auditverklaring
De NOREA vindt de behoefte aan een onafhankelijke en deskundige toets uitvoert of een oordeel over zo’n IT-verslag niet meer dan logisch. Dat kan in de vorm van een assurance-rapport. De exacte invulling van de toets of oordeel en de te hanteren toetsingscriteria moet nog wel uitgewerkt worden.
Voor vragen over het IT-verslag of de IT-Auditverklaring kunt u contact opnemen met onze lead IT Auditor:
Drs. Joep GM Janssen RE MIM