Gateway review: een vorm van IT-(project) auditing?

Transcriptie

1 Gateway review: een vorm van IT-(project) auditing? HDit Het geven van zekerheid bij een IT-project kan op artikel gaat kort in op de historie van de Gateway Review-methode. verschillende manieren gebeuren. Traditioneel Daarna volgt een beschrijving van de trachten projectleiders en opdrachtgevers door Gateway Review-methode. Een voor (IT-)auditors interessante vraag is op middel van IT-audits en adviezen zekerheid te krijgen over de stappen die gezet zijn en die nog methode afwijkt van de IT-(project) welk vlak de Gateway Review- audit en wat de methode nog toevoegt aan de bestaande mogelijkhe- gezet moeten worden binnen IT-projecten. Het palet van mogelijkheden dat opdrachtgevers en den voor het verkrijgen van zekerheid bij IT-projecten. Om deze vraag te projectleiders gebruiken om zekerheid te verkrijgen beantwoorden, maken we in dit artikel ook een vergelijking tussen de bij projecten, is sinds enige tijd uitgebreid met de Gateway Review-methode en IT-(- Gateway Review-methode. project)auditing. Het artikel eindigt met een conclusie. Eind jaren negentig van de vorige eeuw vroeg de HAIKIE KWAK Engelse regering aan Peter Gershon, directeur van GEC Marconi, om onderzoek te doen naar aanbestedingen van de Engelse Rijksoverheid. Eén van de uitkomsten van het onderzoek was dat het ontbrak aan een goed proces voor het managen van aanbestedingen die groot, complex en niet standaard zijn. Vanuit deze bevinding heeft het Office of Government Commerce (OGC) de Gateway Review-methode ontwikkeld. In 2006 heeft de Gateway Review-methode haar intrede in Nederland gedaan. In eerste instantie betrof het een pilot waarbij drie projecten van de Rijksoverheid aan een Gateway Review onderworpen werden. Daartoe aangezet door ITprojecten die geheel of gedeeltelijke faalden, zoals het geval was bij de projecten Toeslagen, Samenwerking UWV/Belastingdienst en Wet administratieve lastenverlichting en vereenvoudiging in sociale verzekeringswetten1, heeft ook de minister van Binnenlandse Zaken (BZK) een prominente rol toegekend aan de Gateway Review-methode. Dit is door het ministerie van BZK vormgegeven met de oprichting van Bureau Gateway, onder wiens verantwoordelijkheid de Gateway Reviews worden uitgevoerd. DE GATEWAY REVIEW- METHODE Op basis van het in Engeland uitgevoerde onderzoek naar aanbestedingen kwam OGC tot de aanbeveling om een goed gedefinieerd proces te ontwikkelen voor het strategisch management op aanbestedingen die groot, complex en niet standaard zijn. Dit proces zou gebaseerd moeten zijn op de volgende principes: Projecten hebben fasen in hun levenscyclus. 8 de IT-Auditor nummer

2 De zogenaamde Gates tussen de fasen kunnen worden gekarakteriseerd aan de hand van een aantal producten zoals business case, aanbestedingsplan, project management plan, risk management plan. De opgeleverde producten dienen te worden beoordeeld door deskundige personen die onafhankelijk zijn van het project. Belangrijke Gates kunnen alleen gepasseerd worden als het oordeel van de deskundige personen positief is. In hoofdlijnen zijn er zes verschillende Gateway Reviews te onderscheiden, te weten: strategische beoordeling (Gateway 0); zakelijke rechtvaardiging (Gateway 1); verwerving- c.q. veranderstrategie (Gateway 2); investeringsbeslissing (Gateway 3); gereedheid voor dienstverlening (Gateway 4); evaluatie van de behaalde resultaten (Gateway 5). In deze beschrijving gaan we niet in op het moment dat een afzonderlijke Gateway Review uitgevoerd wordt, de doelen van de afzonderlijke Gateway Reviews noch de werkzaamheden die samenhangen met de diverse Gateway Reviews. Andere publicaties 2 gaan al uitgebreid in op deze onderwerpen. Wel gaat deze beschrijving van de Gateway Reviewmethode over een aantal aspecten van de Gateway Review-methode en ga ik dieper in op de bij de Gateway Review-methode te onderkennen pijlers: vertrouwelijkheid, onafhankelijkheid en de kwaliteit van de Gateway Review-methode. Ik sluit de beschrijving af met een opsomming van de voor- en nadelen van de Gateway Review-methode. Enkele aspecten van de Gateway Review-methode Hieronder volgt een beschrijving van de OGC Best Practice-werkboeken, de werkwijze en de af te geven statussen en adviezen. OGC Best Practice-werkboeken Voor de uitvoering van Gateway Reviews gelden de OGC Best Practice-werkboeken als basis. Deze werkboeken, vertaald door het Nederlandse Bureau Gateway, zijn de resultante van de uitwerking van de OGC Best Practices. Samengevat staan in de werkboeken de belangrijkste doelstellingen van de review, de uit de doelstelling voortvloeiende aandachtspunten en het bewijsmateriaal dat het reviewteam per aandachtspunt geacht wordt te verzamelen. Omdat vrijwel elk programma en project uniek is, heeft OGC ervoor gekozen om de werkboeken het karakter te geven van handreikingen. Expliciete kwaliteitseisen en de daaruit voortkomende normen zijn in de werkboeken niet terug te vinden. Voor de bepaling van risico s en de inschatting van hun urgentie vertrouwt OGC op de ervaring en expertise van het Gateway reviewteam. Uit de Best Practicewerkboeken blijkt dat een aantal onderwerpen, bij de zes te onderscheiden Gateway Reviews, steeds aan bod komt: de business case, risicoanalyse en risico s, benodigde middelen voor het project, beheersmaatregelen binnen de inrichting van het project en draagvlak bij de stakeholders zijn steeds terugkerende onderwerpen die worden onderzocht om de vraag te beantwoorden of een project klaar is om naar de volgende projectfase te gaan. Werkwijze Een reviewteam voert een Gateway Review uit in opdracht van de Senior Responsible Owner (SRO), oftewel de opdrachtgever. Deze SRO bepaalt de vraag die hij met de Gateway Review-methode bij een bepaalde Gate beantwoord wil hebben. De uitvoering van de Gateway Review-methode vindt plaats door drie à vier deskundigen. Deze deskundigen zijn collega-bestuurders, managers en andere deskundigen die meestal binnen de overheid werkzaam zijn. Na een voorbereiding, die soms enkele weken in beslag kan nemen, is de doorlooptijd van de feitelijke uitvoering van een Gateway Review vier à vijf dagen. Drie dagen besteedt het reviewteam aan het houden van interviews en het doornemen van documentatie. In dag vier en vijf van de review schrijft het reviewteam het rapport, dat vervolgens aan de SRO wordt gepresenteerd. De doorlooptijd is een boeiend element binnen de Gateway Reviewmethode. In de doorlooptijd wordt geen onderscheid gemaakt tussen grote complexe programma s en kleine relatief eenvoudige programma s. Grotere programma s en projecten kennen, ten opzichte van kleinere programma s en projecten, meestal een andere organisatorische structuur (hierbij kan onder meer gedacht worden aan het al dan niet aanwezig zijn van diverse overlegstructuren zoals opdrachtgeversoverleggen, stuurgroepen, bestuurlijke regiegroepen en ambtelijke regiegroepen). Dit biedt het reviewteam bij een Gateway Review de mogelijkheid om bij grote programma s gebruik te maken van overleg- en beslisstructuren die niet voorhanden zijn bij kleinere programma s en projecten. Tevens geldt in algemene zin dat grote complexe programma s meer mogelijkheden hebben om een goed intern beheersingssysteem in te richten, waarop het reviewteam kan steunen bij de uitvoering van een Gateway Review. Status en advies In het reviewrapport geeft het reviewteam het project een status. Met deze status brengt het reviewteam tot uitdrukking of een project gereed is om verder te gaan naar de volgende projectfase. Er is bij de Gateway Review-methode gekozen om de status aan te geven door middel van kleursymbolen. Status groen houdt in dat het reviewteam de verwachting heeft dat het project gereed is om de IT-Auditor nummer

3 naar de volgende projectfase te gaan en dat het project naar verwachting succesvol kan worden afgerond. Rood is de meest negatieve status die een project kan krijgen. Bij rood is het succesvol afronden van het project volgens het reviewteam uitgesloten. De SRO dient bij status rood in te grijpen om de noodzakelijke veranderingen aan te brengen om het project weer uitzicht te bieden op succesvolle voltooiing. Van status groen oplopend naar status rood is er een aantal statussen (oranje/groen, oranje en oranje/rood), dat het reviewteam kan toekennen, waarmee het reviewteam aangeeft in hoeverre een bemoeienis van de SRO noodzakelijk is om het project door te kunnen laten gaan naar de volgende projectfase en om succesvolle afronding van het project binnen bereik te houden. Naast de status vormen adviezen een belangrijk onderdeel van een review-rapport. Er zijn drie soorten adviezen te onderscheiden, te weten: kritiek, essentieel en tip. Deze kwalificaties sluiten aan bij de status rood (kritiek), oranje (essentieel) en groen (tip) waarmee een reviewteam aangeeft of een project geschikt is om naar de volgende projectfase te gaan. Adviezen die als kritiek benoemd zijn, resulteren in een status rood en zullen eerst opgevolgd moeten worden voordat het project gereed is om naar de volgende projectfase te gaan. De dynamiek van de pijlers van de Gateway Review-methode Een aantal pijlers, belangrijke resultaatbepalende onderdelen van de Gateway Review-methode, zorgt ervoor dat de Gateway Reviewmethode voor de SRO toegevoegde waarde heeft. Belangrijke te onderkennen pijlers zijn: vertrouwelijkheid, onafhankelijkheid en de kwaliteit van het reviewteam. Vertrouwelijkheid Om bij Gateway Reviews open gesprekken te krijgen, waarbij reviewers enerzijds en SRO en andere geïnterviewden anderzijds vrijuit met elkaar kunnen spreken, is vertrouwelijkheid noodzakelijk. Ook is vertrouwelijkheid voor de SRO van belang om te voorkomen dat het Gateway Review-rapport gaat fungeren als een verantwoordingsstuk. Om deze vertrouwelijkheid te waarborgen, geldt het uitgangspunt dat de Gateway Review-rapportages niet openbaar gemaakt worden. Met betrekking tot de confidentialiteit van Gateway Review-rapportage doet Bureau Gateway een beroep op artikel 11 van de Wet openbaarheid van bestuur. Artikel 11, lid 1 biedt de mogelijkheid om openbaarmaking van opgestelde documenten met persoonlijke beleidsopvattingen ten behoeve van intern beraad te voorkomen. Een tweede maatregel om de vertrouwelijkheid te garanderen, vormt de wijze van vastlegging van interviews. De Gateway Review-methode werkt met aantekeningen die niet te herleiden zijn naar individuele personen (in plaats van een gespreksverslag). In het verlengde hiervan geldt ook dat de inhoud van de Gateway Review-rapportage niet te herleiden mag zijn naar individuen. En ten slotte is er in het kader van de vertrouwelijkheid de maatregel dat de reviewteamleider na afloop van de review het reviewdossier vernietigt. In de afgelopen jaren heeft een aantal SRO's er voor gekozen om hun Gateway Reviewrapportages te publiceren (Modernisering Gemeentelijke Basisadministratie 3 en Nationale Uitvoeringsprogramma e-overheid 4 ). Wanneer er een trend zou ontstaan in het openbaar maken van Gateway Reviewrapportages komen ook SRO's die de Gateway Review-rapportage niet openbaar willen maken onder druk te staan. Zij kunnen geconfronteerd worden met stakeholders die negatieve conclusies verbinden aan het niet openbaar maken van de Gateway Reviewrapportage. Voor SRO's en bestuurders kan het niet openbaar maken van de Gateway Review-rapportage, door de mogelijk onterechte conclusies die verbonden worden aan het niet openbaar maken van de rapportage, meer schade veroorzaken dan het wel openbaar maken van de rapportage. Voor de betrokkenen bij de Gateway Review, dat wil zeggen SRO, reviewers en geïnterviewden kan het openbaar maken van de reviewrapportage ook een verandering teweegbrengen. Dit is het best te illustreren met het Gateway Reviewrapport over het Nationale Uitvoeringsprogramma e-overheid. Deze rapportage werd openbaar gemaakt. Het gevolg was dat de minister van BZK zich als opdrachtgever in de Tweede Kamer en media moest verantwoorden over het project. Het lijkt erop dat bij openbaarmaking van het Gateway Review-rapport sprake is van het afleggen van verantwoording. Dat openbaarmaking van het reviewrapport (of een deel daarvan) consequenties zal hebben staat vast. Het meest vergaande gevolg van openbaarmaking, is de afbrokkeling van de gehele Gateway Review-methode. In dat scenario zal de SRO in zijn gedrag rekening houden met het feit dat de Gateway Review-rapportage door de openbaarmaking verworden is tot een verantwoordingsstuk. Ten aanzien van de geïnterviewden kunnen de gevolgen wellicht beperkt blijven, omdat de Gateway Review-methode werkt met aantekeningen die niet te herleiden zijn naar individuele personen. Daarnaast worden de geïnterviewden beschermd doordat de teamleider van het reviewteam het reviewdossier vernietigt. Als laatste heeft het openbaar maken van het reviewrapport ook invloed op de reviewer zelf. De adviezen en zijn mening, in de vorm van een status, kunnen door anderen dan de SRO gelezen worden als een oordeel waarover hij verantwoording zal moeten afleggen. Met betrekking tot het openbaar maken van Gateway Review-rapportages onderkent het Nederlandse Bureau Gateway het belang van vertrouwelijkheid en is het beleid er op gericht terughoudend om te gaan met het openbaar maken van reviewrapportages. Onafhankelijkheid Voor elke Gateway Review maakt OGC een risico-inschatting van een IT-project. Afhankelijk van deze risico-inschatting stelt OGC het reviewteam samen. Hierbij is het mogelijk, daar waar het risico van een IT-project niet als hoog wordt ingeschat, dat medewerkers van het departement onder wiens verantwoordelijk- 10 de IT-Auditor nummer

4 heid het project wordt uitgevoerd, deelnemen in het Gateway Reviewteam. Van deze voor een Nederlandse IT-auditor ongebruikelijke invulling van onafhankelijkheid, is in Nederland al snel afgestapt. Thans zijn Gateway reviewers deskundigen binnen de overheid, die op een gelijkwaardige positie functioneren als de SRO. Daarnaast zijn er ook enkele personen met een wetenschappelijke achtergrond benaderd om als reviewer op te treden. Een heikel punt blijft het al dan niet benaderen van medewerkers van IT-marktpartijen om op te treden als reviewer. Allereerst zijn grote marktpartijen meestal op de een of andere manier betrokken bij de grote IT-projecten van de overheid. Ook is het mogelijk dat de externe deskundige, die ingehuurd is als reviewer, te maken krijgt met een situatie waarin hij een commerciële mogelijkheid ziet. Een mogelijke oplossing voor tegenstrijdige belangen kan zijn om tenderpartijen uit te sluiten van deelname aan de review. Vooralsnog neemt Bureau Gateway het standpunt in dat zij de behoefte aan Gateway reviewers kan invullen vanuit personen die werkzaam zijn bij de overheid. Thans zijn er bijna 200 overheidsmedewerkers opgeleid tot Gateway reviewer. Op een hoger niveau is er een ander onafhankelijkheidsvraagstuk. Bureau Gateway is door BZK opgericht en als zodanig ondergebracht in een werkmaatschappij van BZK. De ICT Uitvoeringsorganisatie 5 (ICTU), die opgericht is door BZK en VNG, is de hoofduitvoerder van vele programma s en projecten. BZK treedt zelf bij vele programma s als opdrachtgever op. Binnen de driehoek van Bureau Gateway (reviewer), ICTU (uitvoerder) en BZK (opdrachtgever) kan, gezien de gelieerdheid, snel de schijn van mogelijke belangenverstrengeling ontstaan. Uit interviews 6 met betrokkenen, bij genoemde partijen, komt naar voren dat de gelieerdheid geen rol van betekenis speelt. Kwaliteit De kwaliteit van het reviewteam is een belangrijke pijler voor de Gateway Review-methode. Het review team speelt een centrale rol bij de Gateway Review-methode. Doordat de Gateway Review-methode niet werkt met expliciete kwaliteitseisen en de daaruit voortvloeiende normen, maar gebruik maakt van Best Practice-handboeken wordt een groot beroep gedaan op de ervaring en expertise van het reviewteam. Het feit dat de reviewteamleider het reviewdossier aan het eind van de review vernietigt, brengt met zich mee dat de kwaliteit van het reviewteam na afloop van een review op basis van een evaluatie van het reviewdossier niet mogelijk is. Dit vormt een ontbrekende schakel in het kwaliteitsborgingssysteem. Hierbij kiest de Gateway Review-methodiek bewust voor vertrouwelijkheid boven kwaliteitsborging. Thans bestaat het kwaliteitsborgingsysteem uit een aantal elementen. Allereerst kan iemand slechts Gateway-reviewer worden indien hij voldoet aan de door Bureau Gateway gestelde (kwaliteits)eisen (zoals ervaring, deskundigheid en een inschaling bij de overheid boven salarisschaal 14). Ook vindt er een evaluatie plaats tussen het reviewteam en Bureau Gateway, enige weken nadat de review is afgerond. Ondanks het kwaliteitsborgingsysteem bevestigen geïnterviewden dat er in het verleden enkele aanwijsbaar foute adviezen zijn gegeven in de Gateway Reviewrapportages. Voor- en nadelen van de Gateway Review-methode Voordelen van de Gateway Reviewmethode zijn: De Gateway Review-methode is eenvoudig en doelgericht. De zekerheid die de methode de SRO biedt dat het project door kan naar de volgende projectfase en dat de kans toeneemt dat de projectorganisatie de doelen haalt met betrekking tot de tijdsplanning en begrote kosten[sede07]. De SRO is beter op de hoogte van de toestand van een project en in welke fase een project zich bevindt. Of andere belanghebbenden ook inzicht krijgen in. is afhankelijk van de openbaarheid van het rapport. De uitvoering van de methode, tijdens de week zelf, levert al een bijdrage doordat binnen de projectorganisatie medewerkers praten en nadenken over hoe zij dingen aanpakken. Ook brengt de methode partijen dichter bij elkaar en zorgt het voor het kweken van gezamenlijk begrip. De medewerkers van het projectteam hoeven niet terughoudend te zijn, de SRO en andere betrokkenen gebruiken de reviewrapportage immers niet als verantwoording. Door bevindingen van het reviewteam vertrouwelijk te behandelen en het reviewdossier gelijk na de review te vernietigen, is er een open en transparante medewerking van de projectorganisatie. De rapportage krijgt meer draagvlak bij de SRO, door een reviewteam zo samen te stellen dat één of meerdere teamleden voor wat betreft achtergrond en professionele ervaring gelijkwaardig zijn aan de SRO [SEDE07]. De deelnemers in het reviewteam doen kennis en ervaring op die ze elders binnen de overheid bij andere projecten in de rol als medewerker van een projectorganisatie, SRO of reviewer kunnen gebruiken. Naast een groot aantal voordelen kent de Gateway Review-methode ook enkele nadelen: Tussen twee Gateway Reviews kunnen soms maanden voorbij gaan, dit houdt in dat bijsturing soms (te) lang op zich laat wachten. Gateway reviewers leggen in Nederland geen verantwoording af over de conclusie die zij bij een review trekken en de adviezen die ze geven in hun reviewrapporten. De Gateway Review-methode gaat voorbij aan het (beoordelen van het) voldoen aan wet- en regel- de IT-Auditor nummer

5 geving en aan de kwaliteitsaspecten beschikbaarheid, integriteit van gegevens en vertrouwelijkheid. Een praktisch probleem bij de toepassing van de Gateway Review-methode vormt het moment waarop de Gateway Review ingezet moet worden. In theorie is het punt, wanneer de SRO de Gateway Review-methode inzet, duidelijk. De werkelijkheid is weerbarstiger, een SRO dient een Gateway Review ver voor de afronding van een projectfase al te plannen. Zo kunnen alle reviewers hun agenda voor één week vrij maken en dit is moeilijk adhoc te realiseren. Ook kan het in werkelijkheid moeilijk zijn om duidelijke projectfases te onderkennen binnen een project. VERGELIJKING GATEWAY REVIEW-METHODE EN IT-(PROJECT)AUDITING Om toegevoegde waarde te hebben ten opzichte van reeds bestaande methoden om zekerheid te verkrijgen, is het noodzakelijk dat de Gateway Review-methode een gebied bestrijkt dat nog niet door andere methoden wordt afgedekt. In de zoektocht naar de onderscheidende elementen van de Gateway Review-methode ten opzichte van andere methoden geeft de volgende paragraaf een overzicht van de verschillen tussen de Gateway Review-methode en een van die andere methoden: IT-(project)auditing. Daarna wordt de plaats behandeld die de Gateway Review-methode inneemt ten opzichte van IT-(project) auditing. Als laatste komt de vraag aan bod of RE s en RA s kunnen optreden als Gateway reviewer. De verschillen tussen de Gateway Review-methode en IT-(project)auditing Er is een aantal grote verschillen tussen de Gateway Review-methode en IT-auditing te onderkennen, deze verschillen zijn weergegeven in tabel 1. Naast het grote aantal verschillen tussen de reguliere audit en de Gateway Review is er ook één belangrijke overeenkomst. Beide, zowel de reguliere audit als de Gateway Review, verstrekken de gebruikers van hun rapportage zekerheid. Bij een Gateway Gateway Review-methode Onderzoek richt zich op een hoog (bestuurlijk en ambtelijk) niveau en niet zozeer op de inhoud en details van het IT-project zelf. Informatie wordt vergeleken met Best Practices zoals vastgelegd in de handboeken van OGC. Review mondt uit in een status (mening). Reviewers krijgen een opleiding van enkele dagen. Gateway reviewers kennen geen vastgelegde voorgeschreven gedragsregels waar aan ze zich moeten houden. Voorafgaand aan de review maken partijen duidelijke afspraken om een adequate toepassing van de Gateway Review-methode te waarborgen ('code of conduct'). Dossier wordt aan het eind van de review vernietigd (in het kader van vertrouwelijkheid). Onafhankelijkheid speelt een belangrijke rol, is echter niet nader gedefinieerd. Scope ontwikkelt zich gedurende de review. Doorlooptijd van de review staat vooraf vast (4 á 5 dagen). Bronnen waaraan bewijs ontleend wordt, zijn interviews en opgevraagde documentatie. Hoor en wederhoor vindt in principe niet plaats. De SRO bepaalt de lijst van te interviewen personen en de door het reviewteam door te nemen documentatie [BURE10]. Het reviewrapport is enkel en alleen bestemd voor de SRO. Gezien de aard van de methode maakt de methode geen onderdeel uit van de zogenaamde controletoren binnen de overheid. IT-auditing Tabel 1: Verschillen tussen Gateway Review-methode en IT-(project)auditing. Onderzoek kan zich op alle facetten van een project richten. Daarnaast kan de nodige diepgang met het onderzoek nagestreefd worden. Wanneer de auditor een audit uitvoert, toetst de auditor het bewijs aan normen. Normen zijn voorafgaand aan de audit bekend en komen voort uit de kwaliteitsaspecten (zoals beschikbaarheid, integriteit en vertrouwelijkheid). Een audit bij een assurance opdracht mondt uit in een oordeel. Daarnaast worden bij een aan assurance verwante opdracht de feitelijke bevindingen gerapporteerd. Auditors volgen een postdoctorale opleiding van enkele jaren. Auditors dienen zich bij een audit te houden aan het reglement gedragscode (Code of Ethics). Kwaliteitsborging en naleving regelgeving door auditors wordt afgedwongen door van toepassing zijnde richtlijnen van de NOREA en een reglement van Tucht. Dossier, met een duidelijke audittrail, is van groot belang ter onderbouwing van het oordeel en er geldt een bewaartermijn voor het dossier. Onafhankelijkheid (objectiviteit) is nader gedefinieerd voor het uitvoeren van IT-audits. Scope van de audit is duidelijk en helder voorafgaand aan de audit. Doorlooptijd is afhankelijk van de opdracht en de problematiek die tijdens de audit boven water komt. Bronnen waaraan bewijs ontleend wordt, zijn interviews, opgevraagde documentatie en waarnemingen ter plaatse. Ter zake van de bevindingen van de IT-auditor wordt in beginsel hoor en wederhoor toegepast, alvorens de IT-auditor definitief rapporteert. Auditor bepaalt zelf welke documenten hij wil inzien en met welke personen hij een interview wil houden in het kader van de IT-audit. Het audit rapport is vaak bestemd voor meerdere gebruikers. IT-audits maken dikwijls onderdeel uit van de controletoren van de overheid. 12 de IT-Auditor nummer

6 Review geeft het reviewteam zekerheid over de mate waarin een project gereed is om naar de volgende projectfase te gaan. Bij een IT-audit is dit afhankelijk van het object van onderzoek. De plaats van de Gateway Review-methode ten opzichte van IT-auditing De Gateway Review-methode bevindt zich op een ander vlak dan de reguliere IT-audit. De SRO en de projectorganisatie krijgen door middel van de Gateway Reviewmethode een spiegel voorgehouden over de effectiviteit van handelen in relatie tot de stappen die ze willen nemen. Bij een Gateway Review is het hoofddoel de SRO helpen. Dit geschiedt door collega s die voor dezelfde problemen gestaan hebben als de SRO. Bij de Gateway Review wil het reviewteam de opdrachtgever helpen met vragen als: wat zijn je zorgen? Kunnen we je helpen? Waarmee wil je dat het Gateway reviewteam je helpt? Hoewel de Gateway Review niet kwalificerend is, onder meer omdat het geen gebruikmaakt van expliciete normen maar van werkboeken waarin Best Practices zijn vastgelegd, kan de reviewrapportage bruikbaar zijn bij IT-(project)audits. Hierbij moet worden opgemerkt dat, in het kader van vertrouwelijkheid, SRO s mogelijk weigeren om Gateway Review-rapportages te verstrekken ten behoeve van IT-(project)audits. Omgekeerd worden rapportages van IT-(project)audits meegenomen bij de Gateway Review-methode. Zo is bij de eerste Gateway Review 0 op het programma Modernisering GBA gebruikgemaakt van diverse IT-(- project)auditrapporten. De IT-auditor en Register Accountant als Gateway Reviewer Een vraag die bij de Gateway Reviewmethode direct naar boven komt is: kan een RE of RA als reviewer deelnemen aan een Gateway Review? Gezien de kenmerken van de Gateway Review-methode is er bij de methode geen sprake van een assurance-opdracht. Dit komt doordat er geen drie partijen bij de opdracht betrokken zijn; de SRO is naast opdrachtgever tevens de beoogde gebruiker van de Gateway-rapportage. Ook ontbreken de toetsingsnormen, die vereist zijn om te kunnen spreken van een assuranceopdracht. Hieruit volgt dat de voorschriften voor Assuranceopdrachten (Richtlijn voor assurance-opdrachten door IT-auditors, Richtlijn 3000 ) niet van toepassing zijn op IT-auditors die optreden als Gateway reviewer. Wel kan gesteld worden dat de IT-auditor bij deelname aan Gateway Reviews een professionele dienst verricht, oftewel de IT-auditor verricht werkzaamheden waarvoor IT-auditdeskundigheid en deskundigheid op aanverwante terreinen vereist zijn. Met betrekking tot het verrichten van professionele diensten kan een aantal richtlijnen van toepassing zijn. Zo geldt bijvoorbeeld de Richtlijn documentatie van NOREA, NOREA 230 (deze richtlijn is gebaseerd op ISA 230, welke ook geldt voor RA s) wanneer er naast het verrichten van een professionele dienst ook sprake is van een (eind)rapport. Dit betekent dat de IT-auditor aan specifieke documentatievereisten moet voldoen. Dit lukt niet wanneer de teamleider het Gateway Review-dossier vernietigt. Voor de IT-auditor vormt vorenstaande een formele belemmering om op te treden als Gateway Reviewer. Een IT-auditor kan echter als reviewer aan een Gateway Review deelnemen als hij, conform het reglement gedragscode (Code of Ethics), de zorgvuldigheid in acht neemt om duidelijk te maken dat hij optreedt in de functie van Gateway Reviewer en niet als IT-auditor. Naast de vraag of een RE of RA als reviewer vanuit zijn gedrags- en beroepsregels in staat is om deel te nemen aan een Gateway Review, kan er ook gekeken worden naar de toegevoegde waarde van auditors als reviewer. Een breed gedragen mening onder geïnterviewden 6 is, dat er terughoudend dient te worden omgegaan met het opnemen van ITauditors in het Gateway reviewteam, omdat anders het risico bestaat dat de Gateway Review-methode haar eigen unieke kwaliteiten verliest. Dat wil zeggen als collega-bestuurder kijkend naar een project. Anderzijds zijn er ook voorstanders van de participatie van auditors in reviewteams, vanwege de toegevoegde waarde die de auditor heeft op grond van zijn deskundigheid en ervaring. Hierbij valt bijvoorbeeld te denken aan zijn kennis van informatietechnologie en informatiesystemen en zijn vaardigheid om snel een organisatie te doorgronden. CONCLUSIE De Gateway Review voegt iets toe aan de bestaande methoden om zekerheid te verschaffen bij IT-projecten. Dit komt onder meer doordat de Gateway Review-methode gebruikmaakt van collega-bestuurders en managers als reviewers. Ook de wijze waarop vertrouwelijkheid ingevuld wordt bij de Gateway Review-methode en het feit dat de Gateway Review-rapportage niet gezien wordt als verantwoordingsstuk, zorgen ervoor dat de Gateway Review-methode een waardevolle toevoeging vormt op de reeds aanwezige methoden om zekerheid te verschaffen bij IT-projecten. Om het nut van de Gateway Review-methode te behouden, is het dan ook van groot belang om de in dit artikel genoemde onderscheidende elementen van de Gateway Review-methode, ten opzichte van de reeds aanwezige methoden om zekerheid te verschaffen bij IT-projecten, te koesteren. Ten aanzien van de deelname van IT-auditors aan Gateway Reviews geldt dat deze kunnen deelnemen aan Gateway Reviews, waarbij ze wel de zorgvuldigheid in acht moeten de IT-Auditor nummer

7 nemen om duidelijk aan te geven dat ze bij de review optreden als Gateway Reviewer en niet als IT-auditor. Door zijn deskundigheid en ervaring kan de IT-auditor als reviewer een waardevolle bijdrage leveren aan een Gateway Review. Noten 1. Meer gedetailleerde informatie over de problematiek rond genoemde IT-projecten is te vinden in Lessen uit ICT-projecten bij de overheid deel A en B van de Algemene Rekenkamer. Zie Actueel/Onderzoeksrapporten 2. Meer informatie over het moment dat een afzonderlijke Gateway Review uitgevoerd wordt, de doelen van de afzonderlijke Gateway Reviews en de werkzaamheden die samenhangen met de diverse Gateway Reviews is onder meer te vinden op www. ogc.gov.uk 3. Zie voor Gateway reviewrapportages over de twee Gateway Review s 0 die uitgevoerd zijn op het project Modernisering Gemeentelijke Basisadministratie: 4. Zie voor het Gateway reviewrapport over de Gateway Review 0 die uitgevoerd is op het Nationale Uitvoeringsprogramma e-overheid: officielebekendmakingen.nl/blg pdf 5. Voor meer informatie over de ICT Uitvoeringsorganisatie zie: 6. Daar waar gerefereerd wordt aan geïnterviewden en gehouden interviews, betreffen dit de interviews die gehouden zijn in het kader van het schrijven van mijn scriptie Het verschaffen van zekerheden met de Gateway Review-methode, voor de postdoctorale opleiding IT auditing aan de Vrije Universiteit van Amsterdam. Literatuur [BURE10] Bureau Gateway, ministerie van Binnenlandse Zaken en Koninkrijksrelaties, brochure: OGC- GatewayTM...reviewproces in vijf stappen. [SEDE07] Sedee, R.C., C.L. Wauters, Gateway naar succes, De IT-auditor, nr 1, 2007, p. 8. Drs. L.H. (Haikie) Kwak MSc RA EMITA is werkzaam als accountant en IT-auditor bij de Belastingdienst Zeer Grote Ondernemingen Noord, kantoor Groningen. Het artikel is gebaseerd op de scriptie Het verschaffen van zekerheden met de Gateway Review-methode, die hij geschreven heeft in het kader van zijn postgraduate IT-audit opleiding aan de Vrije Universiteit van Amsterdam. 14 de IT-Auditor nummer