IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

Transcriptie

1 IT Auditor en ENSIA Bijdrage Maarten Mennen 31 oktober 2017

2 IT auditor, auditproject IT auditor en zijn verantwoordelijkheid in het kader van ENSIA: (*) Centraal staat het adequaat voorbereiden en inrichten van zijn controle in de vorm van een auditproject. ENSIA is een audit project dat om een aangepaste voorbereiding vraagt. Onderdelen voor 2017 zijn DigiD en Suwinet: opzet en bestaan. Was: de methode van direct report (DigiD): de IT auditor is zelf in the lead en is voorbereiding in de vorm van het opvragen van stukken belangrijk. Wordt: de methode van assertion based : de gemeente die de voorbereiding en oplevering treft in de vorm van een assertion in de casu de collegeverklaring (*). De collegeverklaring ENSIA 2017 inzake Informatiebeveiliging van DigiD en Suwinet (hierna Collegeverklaring ENSIA 2017) omvat het op 31 december 2017 in opzet en bestaan voldoen van de beheersingsmaatregelen aan de geselecteerde normen DigID (Norm ICT-beveiligingsassessments DigiD versie 2.0, op het openbare deel van de websites van het ministerie van BZK) en Suwinet (Specifiek Suwinet normenkader Afnemers, versie 1.01 op website BKWI en bijlage 1 van de notitie verantwoordingsstelsel op website ENSIA voor de selectie van normen). 2

3 IT auditor, auditproject IT auditor, het object van onderzoek: De collegeverklaring is object van controle en de ingevulde en gedocumenteerde ENSIA tool is voor de IT auditor het basismateriaal; Documentatie separaat! Voert de risicoanalyse uit om de diepgang van zijn werkzaamheden te bepalen gegeven de veronderstelde kwaliteit van oplevering van dit basismateriaal. De collegeverklaring is dus onderbouwd met de ENSIA zelfevaluatie, waarin alle relevante normen voor IT Audit zijn aangewezen. De IT auditor richt daarbij zijn werkzaamheden op verantwoording en zelfevaluatie om het geheel te beoordelen (**). Het accent verschuift daarmee van het zelfstandig controleren op niveau norm (DigiD) naar een beoordeling van een het geheel (DigiD en Suwinet voor 2017). (**) Het doel van ENSIA is om verantwoording over informatieveiligheid af te leggen aan de gemeenteraad. ENSIA sluit aan op de gemeentelijke planning en controlcyclus voor informatiebeveiliging, neemt de Baseline Informatiebeveiliging Gemeenten (BIG) als uitgangspunt en maakt gebruik van een daarop ingerichte zelfevaluatie.. Zo structureert ENSIA ook de verticale verantwoording van gemeenten richting de rijksoverheid over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling Nederland (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Gezamenlijke Elektronische Voorzieningen Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet). 3

4 IT auditor, uitgelicht: procescontrole Het IT auditproject: bestaat uit het uitvoeren van tussentijdse procescontrole(s). De procescontroles geven de mogelijkheid ook -en met name tussentijds- te beoordelen of de opleverde resultaten voldoen aan daaraan te stellen eisen. Daarbij valt te denken aan de authenticiteit van evidence, de bruikbaarheid en de compleetheid van evidence bij de onderscheiden onderdelen. Het proces van verzamelen en verwerken door de ENSIA coördinator geeft al een goede indicatie op de bruikbaarheid van de uitkomsten zoals deze terugkomen in de ENSIA tool tezamen met bijbehorende gegevensverzamelingen (evidence). De vertaling daarvan naar de passage in de college verklaring is daarbij inbegrepen. Bij de procescontrole is de IT auditor gehouden vanuit zijn natuurlijke adviesfunctie aanwijzingen te geven ter verbetering indien aan de orde. Vanuit de procescontrole wordt de eindcontrole verder voorbereid. 4

5 IT auditor, uitgelicht: dossieropbouw De IT auditor blijft altijd objectief en onafhankelijk en stelt de gemeente tijdig in de gelegenheid om optimalisaties te realiseren. De IT auditor is daarbij niet inhoudelijk betrokken bij verbeteradviezen, dit ter voorkoming van zelftoetsing en neemt zijn eigen verantwoordelijkheid. De IT auditor bouwt altijd zelfstandig zijn eigen dossier op: dus registreert geen meningsuitingen, bewijsstukken etc in een eventueel aanwezig management control tool van de gemeente. en draagt zorgt voor eigen dossiervorming waar hij of zij ten allen tijden (te allen tijde) over kan beschikken. 5

6 IT auditor, uitgelicht: de risico analyse De IT auditor start zoals eerder aangegeven altijd met verschaffen van inzicht in de gemeentelijke beheersorganisatie van ENSIA, de complexiteit van de onderscheiden kaders en de kwaliteit van de eigen auditorganisatie. Hier spelen tenminste twee belangen. Ten eerste dient de IT Auditor zich altijd een beeld te vormen van de controle-omgeving om de controle strategie te formuleren, ook wel de considerans van de controle genoemd. Ten tweede moet hij mede gelet op economisch perspectief, niet meer werkzaamheden verrichten dan noodzakelijk is om te komen tot een oordeel. 6

7 IT auditor, uitgelicht: de risico analyse (ACR) Een veel gebruikt instrument is het auditor controle risico (ACR): ICT: kwaliteit van de beheersomgeving van de gemeente (ICR) bij de totstandkoming van zelfevaluaties; IHR: complexiteit van de te controleren objecten: DigiD, SuwiNet; DR: de kwaliteit van de eigen auditorganisatie en diepgang werkzaamheden om fouten te ontdekken. [maatstaf: H/M/L, respectievelijk Hoog, Midden en Laag risico] Om deze conceptuele benadering handen en voeten te geven wordt tzt nog een praktische handreiking voorbereid. 7

8 IT auditor, uitgelicht: de risico analyse (ICR) Op basis van de uitkomst (ACR= ICR,IHR,DR) bepaalt de auditor uiteindelijk de samenstel van werkzaamheden die hij nodig acht voor een deugdelijke onderbouwing van de assuranceverklaring behorend bij de collegeverklaring. In 2017 dus alleen voor DigiD en de BIG normen Suwinet. Inschatting eerste jaar: ACR moet L (risico op foutief oordeel is laag) zijn; ICR zal gemiddeld H zijn ( ENSIA beheersomgeving is niet optimaal, zeker niet nu in de startfase); De complexiteit van de objecten (Suwi / DigID) is gemiddeld, waardoor IHR wordt ingeschat op M ; Resultante is DR: moet daarom L zijn. Dat wil zeggen de IT auditor zal relatief nog veel werkzaamheden moet verrichten dit eerste jaar. Sowieso integraal alle normen beoordelen en met naar verwachting een behoorlijke diepgang. Dit om het detectierisico laag te houden (niet ontdekken van fouten), dus veel detailgerichte werkzaamheden. Want: ACR (L) = {H;M;L} De auditor dient deze overwegingen vast te leggen in zijn controledossier. 8

9 IT auditor, uitgelicht: samenwerkingsverbanden Bij uitbesteding door de gemeente aan een externe leverancier heeft het de voorkeur dat de leverancier een TPM of ISAE 3402 / SOC2 rapport verzorgt dat voldoet aan de gestelde normen. De auditor van de gemeente kan hier een lichte review toetst op uitvoeren, indien de auditor van de externe leverancier dezelfde auditinstructies hanteert als de auditor van de gemeente. Indien er geen TPM geleverd kan worden dan wordt in opdracht van de gemeente onderzoek gedaan naar de naleving van de normen bij de leverancier. Dit kan door de gemeente zelf gedaan worden of door de auditor. Een vorm van verantwoording en een assurancerapport van een RE is dan toch noodzakelijk. Dit kan ook voor Suwinet gelden. NB: Het streven moet wel zijn dat de leverancier tzt. een TPM of ISAE 3402 rapport kan leveren. Een ISO rapport is voor het doel van ENSIA onvoldoende. 9

10 IT auditor, uitgelicht: samenwerkingsverbanden Valkuilen: Grote diversiteit samenwerkingsverbanden, vb: openbaar lichaam GR (ketens en mandatering); Bij overdracht van taken aan een shared service organisatie binnen de overheid (in de vorm van mandatering aan een GR) zal vaak geen sprake zijn van een TPM of ISAE 3402 rapport of uitgewerkte verantwoordingsrichtlijnen. hierbij wordt meer gesteund op regievoering door de opdracht gevende gemeente en wordt in opdracht van de gemeente onderzoek gedaan naar de naleving van de normen bij de service organisatie. Risico s: De besturing en toezicht zijn vaak op afstand en gericht op begroting en financiële verantwoording en vaak niet of in veel mindere mate over bedrijfsvoering of op gebied IT; Bedenk dat dit een feit is dat dit niet op korte termijn gerepareerd kan worden (vereist veelal besluiten van gemeenteraden van alle deelnemende gemeenten). Tip: IT auditors gelieve dit dus vroegtijdig te bespreken met gemeenten en daar bij opzet en uitvoering werkzaamheden rekening mee te houden. 10

11 IT auditor, uitgelicht: OKB in kader Quality Control Gemeentes zijn per definitie high risk. Ter versteviging van kwaliteit is een opdracht gerichte kwaliteitsbeoordeling (OKB) daarom steeds noodzakelijk. ENSIA is voor gemeenten nieuw proces: zelfevaluatie / verantwoordelijkheid verzamelen en vastleggen evidence in tool gelet op vele vragen hoger dan normaal beroepsrisico (a) ENSIA is voor auditors een geheel nieuw proces: advies om e.e.a. in te schatten als hoger dan normaal beroepsrisico (b) Conclusies onder a. en b. nopen tot OKB invulling actief te regelen (of binnen kantoor of tussen ZZP-ers / ZZP-ers en kantoor in lijn met eigen procedures. NOREA zal actief gaan toetsen 11

12 IT auditor, uitgelicht sluitstuk werkzaamheden Onze assurance-opdracht wordt gerapporteerd en wel als volgt: het verkrijgen van kennis omtrent de collegeverklaring ENSIA 2017 en andere omstandigheden rond de opdracht waaronder het verkrijgen van kennis omtrent de interne beheersingsmaatregelen; het op basis van deze kennis inschatten van de risico's dat de collegeverklaring ENSIA 2017 onjuistheden van materieel belang bevat; het reageren op de ingeschatte risico's, waaronder het ontwikkelen van een algehele aanpak, en het bepalen van de aard, de tijdsfasering en de omvang van verdere procedures; het uitvoeren van verdere procedures die duidelijk zijn gekoppeld aan de gesignaleerde risico's, waarbij gebruik wordt gemaakt van een combinatie van inspectie, waarnemingen ter plaatse en inwinnen van inlichtingen; en het evalueren van de toereikendheid van de assurance-informatie. 12

13 IT auditor, uitgelicht upload in tool De gemeente moet 31/12/2017 de ingevulde ENSIA tool hebben geüpload (DigiD en Suwinet); De gemeente moet voor 1/05/2018 inleveren en uploaden in de tool; de collegeverklaring (CV) gewaarmerkt als gecontroleerd en bewaard door alle partijen: de voor DigiD bijlagen B en C worden eerste vanuit de tool gegenereerd en dienen te worden geëxporteerd in word, waarmerken als gecontroleerd en vervolgens in PDF gescand en bewaard door alle partijen (gemeente en audit organisatie); de ENSIA output komt niet automatisch uit de tool, en zal via Excel export in PDF worden gewaarmerkt en bewaard door alle partijen; de getekende rapportages (assurance rapport en TPM s) worden geupload. Logius krijgt CV en bijlage B en C; BKWI krijgt de ENSIA output en CV. 13

14 Bedankt Voor meer informatie kun je contact opnemen met: Maarten Mennen NOREA 31 oktober 2017