In de huidige samenleving zien we dat samenwerken



Vergelijkbare documenten
Ook werden verschillende uitvoeringsmodellen voor

Handleiding uitvoering ICT-beveiligingsassessment

Verantwoordingsrichtlijn

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

ENSIA voor Informatieveiligheid. Informatie voor Auditors

RAPPORT AD/2005/ Inzake de negende voortgangsrapportage Structuur Uitvoering Werk en Inkomen. Auditdienst

MKB Cloudpartner Informatie TPM & ISAE

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

UB/S/2007/12795/ / /193 T-toets amvb in het kader van eenmalige gegevensuitvraag werk en inkomen

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Ketenauditing De toegevoegde waarde van een ketenaudit vanuit een bestuurlijke context

Rekenkamercommissie Brummen

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

WGDO: Good practice controle taakvelden BBV

De Staatssecretaris van Volksgezondheid, Welzijn en Sport. Postbus EJ DEN HAAG. Advisering Besluit langdurige zorg.

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

Integrale Dienstverlening. Johan van der Waal. Manager CP-ICT Inwonerszaken

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

Bovenwettelijke aanvullingen op de WW

Regeling structurele gegevenslevering Wet op het primair onderwijs (WPO) en Wet op de expertisecentra (WEC)

Oordeel over de kwaliteit van de verantwoording 2002 van CWI en BKWI

Datum Onderwerp Referentie Bijlage(n) Doorkiesnummer 24 juni 2016 Reactie op consultatie. VS Tekstsuggesties T

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

PROFIELSCHETS. Philips Pensioenfonds NIET UITVOEREND BESTUURDER 1/5. Stichting Philips Pensioenfonds

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Wanneer wij van u als opdrachtgever een opdracht in ontvangst nemen, vragen wij voor de uitvoering van deze dienstverlening om persoonsgegevens.

Datum 27 november 2009 Betreft Oordeelsbrief Geacht bestuur,

Gemeentelijke samenwerkingsverbanden en de Basisregistratie Personen

Datum 27 november 2009 Betreft Oordeelsbrief Geacht bestuur,

Assurancerapport van de onafhankelijke IT-auditor

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

RAADSVOORSTEL EN ONTWERPBESLUIT

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Geurts van Kessel Elektrotechniek BV. is gevestigd in Oss, Willaertstraat 6. Wij zijn verantwoordelijk voor het verwerken van jouw gegevens.

Datum 27 november 2009 Betreft Oordeelsbrief Geacht bestuur,

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Verbinden. Bestuurlijke Samenvatting

Informatiebeveiligingsbeleid

Privacy Statement. Zwambag Verkeerstechniek B.V.

Datum 27 november 2009 Betreft Oordeelsbrief Geacht bestuur,

Transactieland Koppelzone concept

Controleprotocol Jaarrekening Gemeente De Bilt 2014

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

III Stream IT Auditing. UWV / CIP / VU- IT auditing

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Controleprotocol 2018 en 2019 voor de accountantscontrole op de jaarrekening van de gemeente Delfzijl

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

Aan welke eisen moet het beveiligingsplan voldoen?

Agendanummer: Registratienummer: Onderwerp: Verordening basisregistratie personen (Verordening BRP) Purmerend

Verantwoordingsrichtlijn GeVS 2019 (versie )

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Workshop Pensioenfondsen. Gert Demmink

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

XBRL voor ondernemers. Wat betekent dat voor u?

Staatsblad van het Koninkrijk der Nederlanden

Financiële verordening VRU

verantwoordingsonderzoek 2016 bij het Ministerie van SZW.

Assurance rapport van de onafhankelijke accountant

Governance en de rol van de RvT. 8 mei Prof. dr. J. Bossert Zijlstra Center VU

Staatsblad van het Koninkrijk der Nederlanden

Algemene Voorwaarden Logius

RESULTAATFINANCIERING, DEELBETALINGEN OF BEVOORSCHOTTING

Investeringsstatuut Wonen Midden-Delfland

Privacy Scan VISD juni Antwoordcategorie Ja/Nee/ Onbekend

Februari Goed mkb-bestuur en accountant: een waardevolle combinatie

Grip op fiscale risico s

Nota van B&W. Met deze nota stellen wij het handhavingsbeleid kwaliteit kinderopvang vast.

Kennismiddag: Demand Management

Het succes van samen werken!

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

BESTURINGSFILOSOFIE SAMENWERKING BEEMSTER- PURMEREND. Besturingsfilosofie samenwerking Beemster-Purmerend

Belastingdienst. Inspectie Leefomgeving en Transport. Convenant tussen de Belastingdienst en. Autoriteit woningcorporaties. Datum 15 juni 2019

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

Handreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen

Niet-financiële informatie (NFI) in Nederland

Rechtmatigheidsverantwoording Annemarie Kros RA (PWC) & Marieke Wagemakers RA (gemeente Uden)

P Onderwerp Verslag over de uitvoering (VODU) WWB, IOAWIZ, Bbz 2004

Toezicht- en toetsingskader

Sociale Zaken en Werkgelegenheid ONS KENMERK z van de Tweede Kamer der Staten Generaal

Artikel 39 vragen van de fractie van D66 over privacy decentralisaties

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

SBR/ XBRL. verantwoordingsketen. Stand van zaken

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

privacyverklaring zakelijke klanten Broekhuis Lease

Inleiding Begrippen en definities 5 3. Doelstellingen van een privacy-audit Opdrachtaanvaarding 8 9 4

De zelfcontrole BRO. Algemene toelichting bij de vragenlijst. Versie Datum 14 april 2018 Status. Definitief concept

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Hoofdlijnen Corporate Governance Structuur

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Informatieprotocol van de Raad van Toezicht en het Bestuur

illinium i ui /12/2013

Whitepaper Verbonden Partijen

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus AD AMSTERDAM

Tijdschrift Privacy 01 Maart 2015

NVAO VERTROUWEN IN KWALITEIT. SAMENWERKINGSPROTOCOL INSPECTIE VAN HET ONDERWIJS, NVAO en CDHO

Transcriptie:

Artikel Ketengovernance Startpunt voor keteninrichting en ketenauditing Adri de Bruijn, Anastacia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren A.J.M. de Bruijn RE RA is partner van PricewaterhouseCoopers Advisory, docent EDP-auditing aan de Erasmus School of Accounting en Assurance en voorzitter van de NOREA. Drs. A.J. van der Meer is onderzoeker en coordinator van de sector onderzoek en marketing van de Belastingdienst (Centrum voor Proces- en Productontwikkeling). M.C.M. Slot RE is IT-auditor bij het Ministerie van Financiën. P.C.J. Nieuwenhuizen RE RA is director bij PricewaterhouseCoopers Accountants. Drs. B.J. van Staveren RE is hoofd IT-audit bij UWV en voorzitter van het Platform Informatiebeveiling. In de huidige samenleving zien we dat samenwerken tussen organisaties een veel voorkomend verschijnsel is geworden. Zowel binnen de overheid als binnen het bedrijfsleven vormt de verbetering van de efficiëntie een belangrijk motief om te gaan samenwerken. Zo vermindert bijvoorbeeld de administratieve en logistieke lastendruk doordat partners aansluiting zoeken voor het gezamenlijk inrichten, uitvoeren en beheersen van één geheel ketenproces. Een gunstig effect van efficiëntieverbetering is het beter bedienen van de klant. Binnen de overheid wordt steeds vaker opgeroepen tot samenwerking in ketens. Naast het beter bedienen van de burger verwacht men dat deze ketensamenwerking ook leidt tot het transparanter en meer decentraal uitvoeren van overheidsprocessen. Diverse publicaties zijn verschenen over deze ketensamenwerking en hierin zijn theoretisch diverse typen ketens benoemd: dynamische ketens, maatschappelijke ketens, vraag- en aanbodgerichte ketens, fysieke ketens, verticale, horizontale en diagonale ketens, beleidsketens, etcetera. Echter voor het opzetten, inrichten en (blijvend) beheersen van ketens zijn deze indelingen naar de mening van de auteurs van dit artikel minder goed bruikbaar. Zij hebben aansluiting gezocht bij de ontwikkelingen rondom corporate en government governance en zijn op basis van een verkenning in de praktijk gekomen tot een viertal ketentypes. Juist omdat het vertrekpunt van de indeling van de types gebaseerd is op de gedachten rondom governance, denken de auteurs dat deze types goed in de praktijk bruikbaar zijn. Want in governance spelen vraagstukken als wie is verantwoordelijk, hoe wordt verantwoording afgelegd en wie monitort dit; vraagstukken die essentiële voorwaarden zijn bij het inrichten en beheersen van ketens. En governance staat daarbij niet op zich zelf; het soort proces en de al dan niet wettelijke regelingen waarover de keten gaat, bepaalt mede de governance. IT speelt een cruciale rol in ketens: IT maakt het mogelijk dat ketens kunnen functioneren. Zo zeer zelfs dat Grijpink, hoogleraar Keteninformatisering in de rechtstaat, stelt dat je eerst moet informatiseren en daarna pas reorganiseren en niet andersom. 1 Hoezeer dit ook voor discussie vatbaar is, duidelijk is voor de auteurs dat inzicht in ketens relevant is voor IT-auditors en één van de onderwerpen die in de toekomst prominent op de agenda van IT-auditors komt te staan. In de EDP-Auditor editie 4 van 2005 is ingegaan op ketenauditing in zijn algemeenheid. In dit artikel zal ingegaan worden op ketentypologiën en de governance van ketens. 28 de EDP-Auditor nummer 1 2006

Beide artikelen tezamen vormen de opstap voor een artikel dat in een volgend nummer van de EDP-Auditor zal verschijnen en zal ingaan op auditing van ketens gerelateerd aan deze ketens. In dit artikel richten wij ons op ketens binnen het publieke domein. Allereerst gaan wij in op enige aspecten van governance, waarna wij de verschillende type ketens definiëren. Hierbij geven wij vervolgens aan hoe naar onze mening de governance per ketentype ingericht zou kunnen zijn. Schematisch is een en ander onderstaand weergegeven (ontleend aan 5 ): Figuur 1. Governance Er zijn verschillende definities over governance. Een echte definitie over keten-governance hebben de auteurs niet aangetroffen. De definitie die we in dit artikel zullen hanteren is gebaseerd op de definitie van good governance als zijnde een definitie in gebruik binnen het publieke domein 2 : Keten-governance is het waarborgen dat de wijze van sturen, beheersen en toezicht houden in een keten, evenals het daarover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden, gebeurt in onderlinge samenhang, gericht op een efficiënte en effectieve realisatie van doelstellingen en in lijn met de bestuurlijke visie. In deze definitie zijn de volgende governance processen onderscheiden: 3 Sturen, dat wil zeggen het stellen van doelen en het uitzetten van de lijnen en inrichten van de organisatie, met bijbehorende verantwoordelijkheden om deze doelen te realiseren. Beheersen, zijnde het geheel van activiteiten om te zorgen dat de uitvoering in lijn (alignment) is met de doel stellingen die zijn geformuleerd, rekening houdend met de risico s die worden gelopen. Onderdeel hiervan is het definiëren van controls, het uitvoeren daarvan en waar nodig bijsturen. Verantwoorden, zijnde het afleggen van verantwoording naar buiten en naar andere delen van de keten toe. over de keten en de uitvoering binnen die keten is een onlosmakelijk element van de keten-governance. Elementen die hierin aan de orde kunnen komen zijn de afspraken die zijn gemaakt, de vraag of deze zijn behaald, de wijze waarop ze zijn behaald, etc. Toezicht houden, wat verschillende elementen kent. Enerzijds het interne toezicht zoals een Raad van Commissarissen toeziet op het functioneren van het bestuur van een organisatie. Dit toezicht vindt plaats binnen de organisatie/ keten en is gericht op het goed laten functioneren van de organisatie/keten. Daarnaast het externe toezicht, door toezichthouders van buiten. Dit laatste hebben we in dit artikel niet betrokken. 4 Deze vier kernelementen zijn, uitgaande van het centrale element verantwoording nader uit te werken in hoofd- en subkenmerken die in de praktijk bij ketens te signa leren zijn: Bij sturen gaat het er om of de verantwoordelijkheden zijn belegd en meer concreet of er een ketenregisseur is, los van de vraag hoe sterk of zwak die ketenregisseur is (zoals Grijpink aangeeft zal er niet altijd sprake zijn van hiërarchie en van een overkoepelend gezag). Bij beheersen gaat het er om of de verantwoordelijkheden voortvloeiend uit de sturing ook zijn vertaald in afspraken hierover, al dan niet in de vorm van contracten. Bij verantwoorden gaat het er om of en welke verantwoording afgelegd moet worden en wat hierover is afgesproken. Bij toezicht houden gaat het er om of de verantwoording die wordt afgelegd ook wordt getoetst, en als deze wordt getoetst door wie en met welke zekerheid. Soorten ketentypes Zoals in de inleiding aangegeven, zijn de ketens naar diverse typen te onderscheiden. In dit artikel zullen we een voorzet doen voor een andere indeling van ketens naar type. We hebben een viertal type ketens onderscheiden, waarbij twee elementen bepalend zijn voor het komen tot het onderscheid maken naar verschillende type ketens. Allereerst de governance van de keten en daarnaast het proces waarover de keten gaat. Bij dit laatste kan naar onze mening onderscheid gemaakt worden in de pure gegevensverstrekking tussen partijen, bijvoorbeeld een pensioenfonds of overheidinstelling krijgt de persoonsgegevens uit de Gemeentelijke Basisadministratie (GBA). Het gaat hierbij alleen om de gegevenslevering. De processen van de verschillende organisaties zijn niet geïntegreerd of met elkaar gekoppeld of aan elkaar uitbesteed. Wij hebben dit aangeduid als een semi-keten (type 3 keten). 29 de EDP-Auditor nummer 1 2006

Schematisch weergegeven: Tabel 1. Governance aspect Hoofdkenmerk Subkenmerken Sturing Verantwoordelijkheden belegd? Wie is ketenregisseur? Beheersing Wat zijn de afspraken n.a.v. de verantwoordelijkheden? Hoe zijn deze vastgelegd? Wordt er verantwoording afgelegd? Wat voor soort verantwoording? Toezicht Wordt er assurance verkregen over de verantwoording Wie is de auditor? Wat is het object van assurance? Wat voor afspraken zijn hierover gemaakt? Een stap verder dan alleen gegevenslevering is het uitbesteden van secundaire processen aan derden (bijvoorbeeld outsourcing van de IT aan een partner buiten het publieke domein) of het laten uitvoeren van processen van de ene overheidsinstantie door een andere zonder dat hierbij sprake is van een wettelijke basis (zoals bijvoorbeeld de salarisverwerking van het Ministerie van Verkeer en Waterstaat door de Belastingdienst). Wij hebben dit aangeduid met de term klassieke uitbesteding (type 1 keten). Als er wel sprake is van een wettelijke basis waarbij de ene overheidsinstantie processen laat uitvoeren door een andere overheidsinstantie (bijvoorbeeld het Ministerie van VROM wat de huurtoeslag door de Dienst Toeslagen laat uitvoeren en idem het Ministerie van VWS de zorgtoeslag door dezelfde dienst) is er sprake van een wat wij genoemd hebben semi-trust keten (type 2 keten). De meest vergaande vorm is het op basis van gelijkwaardigheid samen vormgeven en uitvoeren van elkaars primaire processen: een voorbeeld hiervan is SUB (Samenwerking UWV Belastingdienst) wat gezamenlijk door UWV en Belastingdienst wordt vormgegeven en uitgevoerd: in onze ogen is hierbij sprake van een echte keten (type 4 keten). Schematisch kunnen bovenstaande afwegingen in nevenstaand keuzediagram worden weergegeven. voor haar primaire processen. Daarom is de kwaliteit van die gegevens voor de ontvanger belangrijk. De verstrekker kan een belang hebben bij de zorgvuldige omgang door de ontvanger met de verstrekte gegevens. 4. Echte keten (met gelijkwaardige partners)een zelfverklarende aanduiding: hierbij is sprake van een samenwerking van gelijkwaardige partners in een keten. Figuur 2. Samenvattend komen we op basis van wat we in de praktijk aan ketens zien daardoor tot de volgende vierdeling: 1. De klassieke uitbesteding (klant/leverancierrelatie) Hierbij is sprake van uitbesteding van werkzaamheden zonder dat dit is gebaseerd op wettelijke bepalingen. 2. Semi-trust (uitbesteding op wettelijke basis)hier is sprake van een departement dat werkzaamheden uitvoert ten behoeve van één of meerdere departementen die de eindverantwoordelijkheid dragen. In dit ketentype staat de aard van de relatie centraal. Het betreft een op wettelijke gronden gebaseerde verhouding. 3. Semi-keten (eenzijdige gegevensaanlevering)kenmerkend in dit ketentype is een gegevensverstrekking met veelal vooral een belang bij de ontvanger. Voor de ontvanger ligt het belang bij de essentie van de ontvangen gegevens 30 de EDP-Auditor nummer 1 2006

Tabel 2 Ketenregisseur Opdrachtgever Beleidsdepartement Gedeelde verantwoordelijkheid met ontvanger in initiatierol Bij voorkeur belegd bij sterkste partij Governance processen STUREN BEHEERSEN VERANT- WOORDEN TOEZICHT HOUDEN Hoofdkenmerk Subkenmerk Normatieve invulling TYPE 1, KLASSIEKE UITBESTEDING Kenmerk proces Soort proces Secundaire processen waaronder ICT Koppelvlak Strikt gedefinieerd, contract, bijvoorbeeld SLA Primaire of secundaire processen, waaronder goederen- en geldstromen, diensten, gegevens Gedefinieerd steeds strikter via (1) wet, (2) afspraken bij convenant en (3) uitwerking in procesbeschrijvingen Verantwoordelijkheden belegd afleggen Assurance hierover TYPE 2, SEMI-TRUST TYPE 3, SEMI-KETEN TYPE 4, ECHTE KETEN Gegevensverstrekking waarbij belang Primaire processen primair ligt bij ontvanger en secundair bij verstrekker Afspraken bij voorkeur Gedefinieerd via in de vorm van een wet- en regelgeving contract Afspraken hierover ja/nee Soort verantwoording Uitvoerder Object Afspraken hierover Contract Convenant Wet- en regelgeving en specifieke 1:1 afspraken Wet- en regelgeving Ja, door leverancier of Ja, in beheersverslag Ja, bij verstrekker, Ja, zowel over delen afgesproken diensten door uitvoerende indien omgaan van de keten als ten zijn nagekomen en dienst over de met gegevens behoeve van beleidsdepartement bijvoorbeeld over nakoming van van belang is over incidenten diensten plus dechargeverlening Ja, bij ontvanger, keten als totaal door indien gegevens beleidsdepartement essentieel zijn voor primair proces Vastgelegd in Jaarverslag/beheerverslag Belang vanuit ver- Op basis uniform afspraken/contract door opdrachtstrekker: verslag; normenkader nemer/ Belang vanuit ontvanger: uitvoerder specifieke rappor- tage (op verzoek); Auditor van de Volgens afspraken in Omgaan met gegevens Bij delen: auditors leverancier meestal convenant: auditor van belang: van betrokken TPM van beide departementen Auditor ontvanger ketenpartijen OF auditor Gegevens essentieel Bij totaal: auditor van de opdrachtnemer voor primair proces: namens beleids- Auditor verstrekker departement Betrouwbaarheid Betrouwbaarheid Wijze van omgang Betrouwbaarheid verantwoording beheers- c.q. jaarverslag met gegevens gegevensuitwisseling Betrouwbaarheid en beheer in de keten gegevensaanlevering Contract In convenant 1:1 afspraken Wet- en regelgeving 31 de EDP-Auditor nummer 1 2006

Figuur 3. Governance vertaald naar ketentypes In hoofdstuk 2 hebben we de vier verschillende processen van keten-governance aangegeven. Deze governance processen vertalen zich verschillend per ketentype. In onderstaande tabel hebben we per ketentype aangegeven hoe naar onze mening de keten-governance ( normatief ) ingevuld zou kunnen zijn. We denken dat deze elementen een goed vertrekpunt kunnen vormen voor het inrichten, implementeren en beheersen van ketens en voor audits die in en op deze ketens en op de governance van ketens uitgevoerd kunnen worden. Interessant is vervolgens om na te gaan of in de praktijk deze invulling van keten-governance, zoals we hierboven hebben aangegeven, wordt aangetroffen. In bovenstaand schema hebben we opgenomen welke praktijkvoorbeelden we nader hebben bestudeerd. Een meer uitgebreide beschrijving van deze praktijkvoorbeelden (uit het publieke domein) per ketentype is opgenomen in de bijlage bij dit artikel. Bij het bestuderen van de praktijkvoorbeelden blijkt dat zoals Grijpink ook aangeeft irrationele en onvoorspelbare gebeurtenissen nog wel eens roet in het eten gooien 6, en dat daardoor de normatieve invulling die we hierboven per ketentype hebben aangegeven in de praktijk juist door deze gebeurtenissen niet plaatsvindt. Juist om een goed vertrekpunt te hebben voor het opzetten en inrichten en daarmee in de toekomst blijvend beheersen van ketens is het belangrijk om helder te hebben hoe de governance ingericht zou moeten zijn. Deze keten-governance is cruciaal omdat als het misgaat in ketens dit meestal niet ligt op het uitvoerende niveau maar in de aansturing, beheersing en monitoring van de keten. Vandaar dat deze normatieve keten-governance ons inziens behoort tot de ketenwetten 7. Samenvatting In dit artikel is ingegaan op de governance van ketens en is aangegeven dat deze governance mede bepalend is voor de typologie van ketens. Dit omdat wij denken dat de governance van ketens cruciaal is voor het (voort)bestaan van ketens. Daarnaast is de aard van de uitwisseling (gegevens en/ of processen) bepalend voor de keten typologie. Op basis daarvan zijn vier ketentypes onderscheiden. Een normatief model voor de keten-governance is gepresenteerd. Deze ketengovernance verschilt per ketentype. Het normatieve model is te gebruiken bij het ontwikkelen, implementeren en realiseren van ketens. En het is te gebruiken als vertrekpunt (voor de normen) bij audits. In het volgende nummer van De EDPauditor zal dieper worden ingegaan op de vraag hoe ketenaudits door IT-auditors vormgegeven kunnen worden. Noten 1 Grijpink, Lezing 4 oktober 2005 op Symposium Praktische Keteninformatisering 2 Zoals onder andere opgenomen in Ministerie van Financiën, Externe Governance Toolbox.(concept) 3 In de NOREA publicatie over IT-Governance, een verkenning, zijn drie processen opgenomen, te weten: Beheersen, Verantwoorden en Toezichthouden. Het proces Beheersen is in deze definitie en dit artikel uiteengerafeld in Sturen enerzijds en Beheersen anderzijds. 4 In de Kaderstellende visie op toezicht, brief oktober 2005 aan Tweede Kamer, zijn nog enkele andere vormen van toezicht gedefinieerd, die we hier niet zullen behandelen. In deze Kaderstellende notitie ontbreekt naar onze mening echter het interne toezicht zoals we dat in dit artikel hebben gedefinieerd. 5 Ministerie van Financiën, Externe Governance Toolbox. 6 Grijpink, Lezing 4 oktober 2005 op Symposium Praktische Keteninformatisering 7 Grijpink, Oratie 19 januari 2005, Onze informatiesamen leving in wording 32 de EDP-Auditor nummer 1 2006

Bijlage 1 Verklaringen afkortingen Afkorting Verklaring AWIR Algemene Wet Inkomensafhankelijke Regelingen B/T Belastingdienst/ Toeslagen BD Belastingdienst BZK (Ministerie van) Binnenlandse Zaken en Koninkrijksrelaties CWI Centrum voor Werk en Inkomen EZ (Ministerie van) Economische Zaken FIN FVP (Ministerie van) Financiën Fonds Voorheffing Pensioenen GBA Gemeentelijke Basis Administratie GSD Gemeentelijke Sociale Dienst IWI Inspectie Werk en Inkomen OC&W (Ministerie van) Onderwijs, Cultuur en Wetenschap RDW Rijks Dienst voor het Wegverkeer SLA Service Level Agreement SSC Shared Service Centre SUWI Structuur Uitvoering Werk en Inkomen SZW (Ministerie van Sociale Zaken en Werkgelegenheid TPM UWV Third Party Mededeling Uitvoeringsorgaan Werknemers Verzekeringen VeWa (Ministerie van) Verkeer en Waterstaat VROM (Ministerie van) Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer VWS (Ministerie van) Volksgezondheid, Welzijn en Sport 33 de EDP-Auditor nummer 1 2006

Bijlage 2 Type 1, Klassieke keten en Type 2, Semi-trust Hoofdkenmerk Subkenmerk TYPE 1, KLASSIEKE KETEN Normatieve invulling Outsourcing ICT door UWV Uitbesteding salarisverwerking SAP Payroll Kenmerk proces Soort proces Secundaire processen waaronder ICT Exploitatie en onderhoud ICT systemen en netwerkdiensten Uitbesteding secundair proces salaris betaling en personeelsgegevensbeheer door aantal departementen (VeWa, OC&W, EZ, MINFIN) aan een zelfstandige organisatie: Shared Service Center Koppelvlak Strikt gedefinieerd, contract, bijvoorbeeld SLA Vastgelegd in mantelovereenkomst, SLA s Convenant/SLA tussen elk van de departementen met het SSC Verantwoordelijkheden belegd Ketenregisseur Opdrachtgever UWV Ieder departement is opdrachtgever aan SSC Afspraken hierover Contract Contracten Idem SLA afleggen ja/nee Ja, door leverancier of afgesproken diensten zijn nagekomen en bijvoorbeeld over incidenten Maandelijks als input voor tactisch leveranciersoverleg Door SSC wordt verantwoording afgelegd aan de afzonderlijke opdrachtgevers (departementen) Soort verantwoording Vastgelegd in afspraken/ contract Conform mantelcontract wordt afgelegd door middel van accountants-, TPM of bedrijfsvoeringsverklaringen. Mogelijk worden deze door de opdrachtgevende departement gereviewd dan wel volgens afspraak gezamenlijk met de leverancier opgesteld. Assurance hierover Uitvoerder Auditor van de leverancier meestal TPM Auditor leverancier in de vorm van TPM Auditor SSC Object Betrouwbaarheid verantwoording Kwaliteit geleverde dienstverlening in relatie tot contract Afgesproken kwaliteit van het uitbestede proces Afspraken hierover Contract Mantelcontract met verdere uitwerking in referentiekader Toetsingskader voor de kwaliteit in SLA 34 de EDP-Auditor nummer 1 2006

TYPE 2, SEMI-TRUST Normatieve invulling Project Toeslagen Bijstandsuitkeringen Primaire of secundaire processen, waaronder goederen- en geldstromen, diensten, gegevens Verstrekken door B/T van financiële bijdragen aan rechthebbenden ter compensatie van politiek onaanvaardbaar hoge financiële lasten. Verstrekken van inkomen aan bijstandgerechtigden waarvan het inkomen/vermogen onder de bijstandsnorm ligt tot een politiek bepaald financieel acceptabel niveau. Gedefinieerd steeds strikter via (1) wet, (2) afspraken bij convenant en (3) uitwerking in procesbeschrijvingen Wet: Algemene Wet Inkomensafhankelijke Regelingen (AWIR) Convenanten: Tussen de departementen van enerzijds Fin en anderzijds VROM, VWS en ZSW zijn/ worden convenanten afgesloten waarin afspraken staan over o.a. afbakening beleid en uitvoering. Procesbeschrijvingen: nadere afspraken zijn/worden gemaakt over de BI en de verantwoordingsinformatie die verstrekt gaat worden door B/T en de operationele stuurinformatie. Geregeld in WWB en Gemeentewet Beleidsdepartement Beleidsdepartementen VROM, VWS en SZW SZW Convenant Zie hiervoor Is bij wet bepaald Ja, in beheersverslag door uitvoerende dienst over de nakoming van diensten plus dechargeverlening door beleidsdepartement Conform Door verantwoording in jaarrekening gemeentes en financiële afrekening van verstrekte uitkeringen van gemeentes met SZW Jaarverslag/beheerverslag door opdrachtnemer/uitvoerder Conform Jaarrekeningen van gemeentes Jaarrekening van SZW Volgens afspraken in convenant: auditor van beide departementen OF auditor van de opdrachtnemer Eindverantwoordelijkheid ligt bij de auditors van beide betrokken departementen; dus is altijd AdF erbij betrokken. Aanpak audit en eindrapport van de audit zijn verantwoordelijkheid van beiden. Bij uitvoering is altijd AdF betrokken; ter keuze kan ook de AD van het betrokken departement meedoen. Auditors bij de gemeentes geven oordeel over betrouwbaarheid gegevens en rechtmatige uitvoering van de wet in aparte accountansverklaringen bij verantwoording van gemeentes naar SZW toe. Auditors SZW hebben reviewrecht op de verantwoording door gemeentes. Betrouwbaarheid beheers- c.q. jaarverslag Conform Jaarrekening gemeente Jaarrekening SZW In convenant Conform Bij wet geregeld 35 de EDP-Auditor nummer 1 2006

Bijlage 2 Type 3, Semi-keten en Type 4, Echte keten Hoofdkenmerk Subkenmerk TYPE 3, SEMI-KETEN Normatieve invulling RDW GBA Kenmerk proces Soort proces Gegevensverstrekking waarbij belang primair ligt bij ontvanger en secundair bij verstrekker Aanlevering kentekengegevens door RDW aan Belastingdienst ten behoeve van de motorrijtuigenbelasting Verstrekking van persoonsgegevens uit primaire basisadministraties gemeenten aan afnemers Koppelvlak Afspraken bij voorkeur in de vorm van een contract Op basis van wet- en regelgeving ; uitgewerkt in convenant/contract Op basis autorisatiebesluiten Minister Verantwoordelijkheden belegd Ketenregisseur Gedeelde verantwoordelijkheid met ontvanger in initiatierol RDW Ministerie BZK Afspraken hierover Wet- en regelgeving en specifieke 1:1 afspraken Op basis wet- en regel geving en vastgelegd in convenant/ contract Autorisatiebesluiten Minister afleggen ja/nee Ja, indien privacy-aspecten van belang zijn Ja, indien gegevens essentieel zijn voor primair proces ontvanger Ja, TPM over betrouwbaarheid kentekenregister Afnemersaudit voor hybride (publieke én private) afnemers door 2e Kamer gevraagd BZK legt geen specifieke verantwoording af over GBA; wel indirect via GBA audits op inhoud, privacy en informatiebeveiliging Soort verantwoording Privacy verslag; belang vanuit verstrekker Specifieke rapportage (op verzoek); belang vanuit ontvanger TPM Niets vastgelegd Assurance hierover Uitvoerder Over privacyaspecten: Auditor ontvanger Over primair proces: Auditor verstrekker Auditor verstrekker GBA audits door verstrekkers (gemeenten) Object Wijze van omgang met privacy-gevoelige gegevens Betrouwbaarheid gegevensaanlevering Betrouwbaarheid kentekenregister Kwaliteit gegevens, privacy en informatiebeveiligingsaspecten Afspraken hierover 1:1 afspraken Alleen dat er TPM moet zijn; geen afspraken over inhoud Besluit GBA audits BZK omvat het normenkader 36 de EDP-Auditor nummer 1 2006

TYPE 4, ECHTE KETEN Normatieve invulling SUWI SUB Primaire processen Uitwisseling van gegevens tussen SUWI-partijen t.b.v de diverse eigen processen (CWI; intake WW; UWV; uitkering; GSD; uitkering) Verzamelen (Belastingdienst) en bewaren (UWV) van gegevens t.b.v. primare processen binnem beide organisaties (UWV: uitkeren; Belastingdienst heffen loonbelasting) Ja, aanwezig op basis wet- en regel geving Vastgelegd in de SUWI-wet Vastgelegd in WFSV (wet financiering sociale verzekering) Ja, is noodzakelijk; bij voorkeur belegd bij sterkste partij Niet formeel belegd, maar informeel door keten overleg op niveau van RvB van alle betrokken partijen of hun vertegenwoordiger Niet formeel belegd, maar informeel; samenwerking vastgelegd in convenant en onder liggende overeenkomsten Ja, op basis wet- en regelgeving SUWI-wet Convenant Ja, zowel over delen van de keten als ten behoeve van beleidsdepartement over keten als totaal Als onderdeel jaarverslagen; voor beveiliging voorgeschreven in de SUWI wet Als onderdeel van de jaarverslagen in de lijn van het eigen departement; op het niveau van de keten (nog) niets geregeld (december 2005) Op basis uniform normenkader Op basis van overeengekomen normenkader Op basis van eigen regelgeving van betrokken partijen Bij delen: auditors van betrokken ketenpartijen Bij totaal: auditor namens beleidsdepartement Auditors ketenpartijen (RE) Toezichthouder (IWI) Auditors ketenpartijen voor het eigen deel en joint audit door auditors ketenpartijen op het koppelvlak Betrouwbaarheid gegevensuitwisseling en beheer in de keten Beveiliging suwinet Kwaliteit uitvoering eiegen deel en beveiliging koppelvlak Wet- en regelgeving Suwiwet Convenant 37 de EDP-Auditor nummer 1 2006

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback