ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

Transcriptie

1 ENSIA en Assurance Van concept naar praktijk Drs. ing. Peter D. Verstege RE RA 31 oktober 2017

2 Agenda Traject tot 31 oktober 2017 Assurance 2017 Stip aan de horizon Organisatie aan de zijde van NOREA Status Guidance Assurance: Van direct reporting naar assertion based reporting Oordeelsvorming Overige auditvraagstukken 2

3 ENSIA 3

4 ENSIA - aanleiding Informatieveiligheid is wens van burgers Overheid reageert met regelgeving In de praktijk sprake van incidenten Overheid reageert met regelgeving inclusief audits VNG reageert (2013) Resolutie Informatieveiligheid een randvoorwaarde voor professionele dienstverlening Implementatie Baseline Informatieveiligheid Gemeenten (BIG) Visitatiecommissie Verklaring in het jaarverslag voor de gemeenteraad Stroomlijnen van (departementale) audit- en verantwoordingslast 4

5 ENSIA van idee naar realisatie ENSIA = Eenduidige Normatiek Single Information Audit Stroomlijnen verantwoordingsproces(-sen) en betrekken alle stakeholders: Verticaal: gemeenten aan mede-overheden Horizontaal: raad en burger Stroomlijnen controlewerkzaamheden / beperken controlelast NOREA Gedragen initiatief: VNG / gemeenten Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Ministerie van Infrastructuur en Milieu Ministerie van Sociale Zaken en Werkgelegenheid 5

6 ENSIA van idee naar realisatie de praktijk Realisatie complex: Nieuw stelsel Tooling Tijdpad Begrippen / kaders Normering Opleiding Gebruikers Gemeenten inclusief samenwerkingsverbanden en leveranciers Auditors 6

7 ENSIA van idee naar realisatie de praktijk - vervolg Fasering: Eigenstandige verantwoording college aan gemeenteraad (dus (nog) niet via jaarrekening) Beperkt aantal regelingen: DigID Suwinet Leerjaar 2017: Gemeenten: Selfassessment Tooling / documentatie Verantwoording Auditors: Nieuw proces 7

8 Assurance 2017 Assurancerapport bij Collegeverklaring 2017 Collegeverklaring over: DigID Suwinet Collegeverklaring: Hoofdtekst Bijlagen DigID Bijlage Suwinet 8

9 ENSIA - Stip aan de horizon Meer regelingen: BRP PUN BAG BGT BIG (als drager) Uniforme benadering door gebruikers Van zelfstandige verantwoording naar onderdeel jaarrekening 9

10 ENSIA Organisatie aan zijde NOREA Bestuur (portefeuillehouder W. Nanninga) Vaktechnische Commissie (portefeuillehouder F. Kossen) Bureau (W. Olthof) Werkgroep ENSIA (brede samenstelling) Indirect: Adviseur Ministerie van Binnenlandse Zaken (ADR J. Roodnat) Project KING (o.a. P. van Dijk) Klankbordgroep gemeenten (o.a. B. de Wit) 10

11 ENSIA Organisatie aan zijde NOREA Bestuurlijk overleg VNG/KING operationaliseren gemeenten Ministerie van Binnenlandse Zaken en Koninkrijksrelaties bestuurlijk NOREA Operationaliseren Assurance Werkgroep ENSIA Guidance vaktechnisch (Website) Voorlichting / opleiding auditors Vraagbaak (FAQ) Bemiddeling auditvraagstukken tussen auditors en auditors en opdrachtgevers 11

12 ENSIA Status Guidance Guidance kent status Handreiking : Comply or explain Guidance: Versie 1: 31 oktober 2017 Versie 2: zodra hiertoe noodzaak is op basis praktijkervaringen Volgende versies: minimaal jaarlijks zeker bij uitbreiding aantal objecten Auditors moeten zich bewust zijn van: Verstrekken assurance Risicoprofiel Kwaliteitsborging Dossiervorming 12

13 ENSIA aandachtspunten assurance Van direct reporting naar assertion based auditing Wezenlijk verschil voor opdrachtgevers Wezenlijk verschil in einddoel auditors / opdrachtgevers (verminderen auditlasten) Eerste jaar (2017): Ondersteunen gemeenten proefaudits / trainen selfassessment / etc. Eerste ervaring ENSIA-systematiek / -tooling Toevoegen Suwinet specifiek Aandacht voor samenwerkingsverbanden Vaktechnisch correcte benadering Noodzaak zoeken aanvaardbare oplossingen 13

14 ENSIA aandachtspunten assurance Tijdpad 31 oktober Guidance beschikbaar 1 november Start proefaudits gemeenten 31 december Selfassessment gemeenten gereed / tool gevuld (evidence)/ status definitief 1 januari Opstellen concept collegeverklaring 1 januari Start audit Januari / maart - auditwerkzaamheden / bijstellen collegeverklaring Februari / maart - Opleveren voor behandeling college en gemeenteraad 31 mei Collegeverklaring en bijlagen / assurancerapport in tool 14

15 ENSIA - Oordeelvorming Geen guidance weging complexiteit / diversiteit vraagstukken Centraal oordeel over Collegeverklaring en bijlagen Oordeel bij sterk onvoldoende informatiebeveiliging gemeente: Goed / transparant verwoord in Collegeverklaring goedkeuren / paragraaf ter benadrukking van aangelegenheden Foutief verwoord in collegeverklaring beperking / afkeuring Overige (problematiek samenwerkingsverbanden / evidence) aangepast oordeel 15

16 Bedankt Voor meer informatie kun je contact opnemen met: [ Peter Verstege ] [ ] [ pversege@deloitte.nl ] NOREA 31 oktober 2017