Artikel
Ketengovernance Startpunt voor keteninrichting en ketenauditing Adri de Bruijn, Anastacia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren
A.J.M. de Bruijn RE RA is partner van PricewaterhouseCoopers Advisory, docent EDP-auditing aan de Erasmus School of Accounting en Assurance en voorzitter van de NOREA. Drs. A.J. van der Meer is onderzoeker en coordinator van de sector onderzoek en marketing van de Belastingdienst (Centrum voor Proces- en Productontwikkeling). M.C.M. Slot RE is IT-auditor bij het Ministerie van Financiën. P.C.J. Nieuwenhuizen RE RA is director bij PricewaterhouseCoopers Accountants. Drs. B.J. van Staveren RE is hoofd IT-audit bij UWV en voorzitter van het Platform Informatiebeveiling.
I
n de huidige samenleving zien we dat samenwerken tussen organisaties een veel voorkomend verschijnsel is geworden. Zowel binnen de overheid als binnen het bedrijfsleven vormt de verbetering van de efficiëntie een belangrijk motief om te gaan samenwerken. Zo vermindert bijvoorbeeld de administratieve en logistieke lastendruk doordat partners aansluiting zoeken voor het gezamenlijk inrichten, uitvoeren en beheersen van één geheel ketenproces. Een gunstig effect van efficiëntieverbetering is het beter bedienen van de klant. Binnen de overheid wordt steeds vaker opgeroepen tot samenwerking in ketens. Naast het beter bedienen van de burger verwacht men dat deze ketensamenwerking ook leidt tot het transparanter en meer decentraal uitvoeren van overheidsprocessen. Diverse publicaties zijn verschenen over deze ketensamenwerking en hierin zijn theoretisch diverse typen ketens benoemd: dynamische ketens, maatschappelijke ketens, vraag- en aanbodgerichte ketens, fysieke ketens, verticale, horizontale en diagonale ketens, beleidsketens, etcetera. Echter voor het opzetten, inrichten en (blijvend) beheersen van ketens zijn deze indelingen naar de mening van de auteurs van dit artikel minder goed bruikbaar. Zij hebben aansluiting gezocht bij de ontwikkelingen rondom corporate en government governance en zijn – op basis van een verkenning in de praktijk – gekomen tot een viertal ketentypes. Juist omdat het vertrekpunt van de indeling van de types gebaseerd is op de gedachten rondom governance, denken de auteurs dat deze types goed in de praktijk bruikbaar zijn. Want in governance spelen vraagstukken als wie is verantwoordelijk, hoe wordt verantwoording afgelegd en wie monitort dit; vraagstukken die essentiële voorwaarden zijn bij het inrichten en beheersen van ketens. En governance staat daarbij niet op zich zelf; het soort proces en de al dan niet wettelijke regelingen waarover de keten gaat, bepaalt mede de governance. IT speelt een cruciale rol in ketens: IT maakt het mogelijk dat ketens kunnen functioneren. Zo zeer zelfs dat Grijpink, hoogleraar Keteninformatisering in de rechtstaat, stelt dat je eerst moet informatiseren en daarna pas reorganiseren en niet andersom.1 Hoezeer dit ook voor discussie vatbaar is, duidelijk is voor de auteurs dat inzicht in ketens relevant is voor IT-auditors en één van de onderwerpen die in de toekomst prominent op de agenda van IT-auditors komt te staan. In de EDP-Auditor editie 4 van 2005 is ingegaan op ketenauditing in zijn algemeenheid. In dit artikel zal ingegaan worden op ketentypologiën en de governance van ketens.
28 | de EDP-Auditor nummer 1 | 2006
Beide artikelen tezamen vormen de opstap voor een artikel dat in een volgend nummer van de EDP-Auditor zal verschijnen en zal ingaan op auditing van ketens gerelateerd aan deze ketens. In dit artikel richten wij ons op ketens binnen het publieke domein. Allereerst gaan wij in op enige aspecten van governance, waarna wij de verschillende type ketens definiëren. Hierbij geven wij vervolgens aan hoe naar onze mening de governance per ketentype ingericht zou kunnen zijn.
Schematisch is een en ander onderstaand weergegeven (ontleend aan5): Figuur 1.
3
Governance
6
Er zijn verschillende definities over governance. Een echte definitie over keten-governance hebben de auteurs niet aangetroffen. De definitie die we in dit artikel zullen hanteren is gebaseerd op de definitie van ‘good governance’ als zijnde een definitie in gebruik binnen het publieke domein2: Keten-governance is het waarborgen dat de wijze van sturen, beheersen en toezicht houden in een keten, evenals het daarover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden, gebeurt in onderlinge samenhang, gericht op een efficiënte en effectieve realisatie van doelstellingen en in lijn met de bestuurlijke visie. In deze definitie zijn de volgende governance processen onderscheiden:3 Sturen, dat wil zeggen het stellen van doelen en het uitzetten van de lijnen en inrichten van de organisatie, met bijbehorende verantwoordelijkheden om deze doelen te realiseren. Beheersen, zijnde het geheel van activiteiten om te zorgen dat de uitvoering in lijn (alignment) is met de doelstellingen die zijn geformuleerd, rekening houdend met de risico’s die worden gelopen. Onderdeel hiervan is het definiëren van controls, het uitvoeren daarvan en waar nodig bijsturen. Verantwoorden, zijnde het afleggen van verantwoording naar buiten en naar andere delen van de keten toe. Verantwoording over de keten en de uitvoering binnen die keten is een onlosmakelijk element van de keten-governance. Elementen die hierin aan de orde kunnen komen zijn de afspraken die zijn gemaakt, de vraag of deze zijn behaald, de wijze waarop ze zijn behaald, etc. Toezicht houden, wat verschillende elementen kent. Enerzijds het interne toezicht zoals een Raad van Commissarissen toeziet op het functioneren van het bestuur van een organisatie. Dit toezicht vindt plaats binnen de organisatie/ keten en is gericht op het goed laten functioneren van de organisatie/keten. Daarnaast het externe toezicht, door toezichthouders van buiten. Dit laatste hebben we in dit artikel niet betrokken.4
4 ,EGENDA
" 3 3TUREN " "EHEERSEN 6 6ERANTWOORDEN 4 4OEZICHT HOUDEN
Deze vier kernelementen zijn, uitgaande van het centrale element ‘verantwoording’ nader uit te werken in hoofd- en subkenmerken die in de praktijk bij ketens te signaleren zijn: • Bij sturen gaat het er om of de verantwoordelijkheden zijn belegd en meer concreet of er een ketenregisseur is, los van de vraag hoe sterk of zwak die ketenregisseur is (zoals Grijpink aangeeft zal er niet altijd sprake zijn van hiërarchie en van een overkoepelend gezag). • Bij beheersen gaat het er om of de verantwoordelijkheden voortvloeiend uit de sturing ook zijn vertaald in afspraken hierover, al dan niet in de vorm van contracten. • Bij verantwoorden gaat het er om of en welke verantwoording afgelegd moet worden en wat hierover is afgesproken. • Bij toezicht houden gaat het er om of de verantwoording die wordt afgelegd ook wordt getoetst, en als deze wordt getoetst door wie en met welke zekerheid. Soorten ketentypes
Zoals in de inleiding aangegeven, zijn de ketens naar diverse typen te onderscheiden. In dit artikel zullen we een voorzet doen voor een andere indeling van ketens naar type. We hebben een viertal type ketens onderscheiden, waarbij twee elementen bepalend zijn voor het komen tot het onderscheid maken naar verschillende type ketens. Allereerst de governance van de keten en daarnaast het proces waarover de keten gaat. Bij dit laatste kan naar onze mening onderscheid gemaakt worden in de pure gegevensverstrekking tussen partijen, bijvoorbeeld een pensioenfonds of overheidinstelling krijgt de persoonsgegevens uit de Gemeentelijke Basisadministratie (GBA). Het gaat hierbij alleen om de gegevenslevering. De processen van de verschillende organisaties zijn niet geïntegreerd of met elkaar gekoppeld of aan elkaar uitbesteed. Wij hebben dit aangeduid als een semi-keten (type 3 keten).
29 | de EDP-Auditor nummer 1 | 2006
Schematisch weergegeven: Tabel 1. Governance aspect
Hoofdkenmerk
Subkenmerken
Sturing
Verantwoordelijkheden belegd?
Wie is ketenregisseur?
Beheersing
Wat zijn de afspraken n.a.v. de verantwoordelijkheden?
Hoe zijn deze vastgelegd?
Verantwoording
Wordt er verantwoording afgelegd?
Wat voor soort verantwoording?
Toezicht
Wordt er assurance verkregen over de verantwoording
Wie is de auditor? Wat is het object van assurance? Wat voor afspraken zijn hierover gemaakt?
Een stap verder dan alleen gegevenslevering is het uitbesteden van secundaire processen aan derden (bijvoorbeeld outsourcing van de IT aan een partner buiten het publieke domein) of het laten uitvoeren van processen van de ene overheidsinstantie door een andere zonder dat hierbij sprake is van een wettelijke basis (zoals bijvoorbeeld de salarisverwerking van het Ministerie van Verkeer en Waterstaat door de Belastingdienst). Wij hebben dit aangeduid met de term klassieke uitbesteding (type 1 keten). Als er wel sprake is van een wettelijke basis waarbij de ene overheidsinstantie processen laat uitvoeren door een andere overheidsinstantie (bijvoorbeeld het Ministerie van VROM wat de huurtoeslag door de Dienst Toeslagen laat uitvoeren en idem het Ministerie van VWS de zorgtoeslag door dezelfde dienst) is er sprake van een – wat wij genoemd hebben – semi-trust keten (type 2 keten). De meest vergaande vorm is het op basis van gelijkwaardigheid samen vormgeven en uitvoeren van elkaars primaire processen: een voorbeeld hiervan is SUB (Samenwerking UWV Belastingdienst) wat gezamenlijk door UWV en Belastingdienst wordt vormgegeven en uitgevoerd: in onze ogen is hierbij sprake van een echte keten (type 4 keten). Schematisch kunnen bovenstaande afwegingen in nevenstaand keuzediagram worden weergegeven. Samenvattend komen we op basis van wat we in de praktijk aan ketens zien daardoor tot de volgende vierdeling: 1. De klassieke uitbesteding (klant/leverancierrelatie) Hierbij is sprake van uitbesteding van werkzaamheden zonder dat dit is gebaseerd op wettelijke bepalingen. 2. Semi-trust (uitbesteding op wettelijke basis)Hier is sprake van een departement dat werkzaamheden uitvoert ten behoeve van één of meerdere departementen die de eindverantwoordelijkheid dragen. In dit ketentype staat de aard van de relatie centraal. Het betreft een op wettelijke gronden gebaseerde verhouding. 3. Semi-keten (eenzijdige gegevensaanlevering)Kenmerkend in dit ketentype is een gegevensverstrekking met veelal vooral een belang bij de ontvanger. Voor de ontvanger ligt het belang bij de essentie van de ontvangen gegevens
voor haar primaire processen. Daarom is de kwaliteit van die gegevens voor de ontvanger belangrijk. De verstrekker kan een belang hebben bij de zorgvuldige omgang door de ontvanger met de verstrekte gegevens. 4. Echte keten (met gelijkwaardige partners)Een zelfverklarende aanduiding: hierbij is sprake van een samenwerking van gelijkwaardige partners in een keten. Figuur 2. 'AAT HET IN DE KETEN ALLEEN OM GEGEVENS
.EE OOK PROCESSEN STROMEN ET CETERA
*A
4YPE
)S ER SPRAKE VAN GELIJKWAARDIGE PARTNERS
.EE
*A
)S DE KETEN BINNEN HET PUBLIEK DOMEIN
4YPE
*A
.EE
(EEFT DE KETEN EEN WETTELIJKE BASIS
4YPE
30 | de EDP-Auditor nummer 1 | 2006
.EE
*A
4YPE
Tabel 2
Governance
Hoofdkenmerk
Subkenmerk
Normatieve invulling
processen TYPE 1, “KLASSIEKE
TYPE 2, “SEMI-TRUST”
TYPE 3, “SEMI-KETEN”
UITBESTEDING” Kenmerk proces
Soort proces
Koppelvlak
TYPE 4, “ECHTE KETEN”
Secundaire processen
Primaire of secun-
Gegevensverstrek-
waaronder ICT
daire processen, waar-
king waarbij belang
Primaire processen
onder goederen- en
primair ligt bij ontvan-
geldstromen, diensten,
ger en secundair bij
gegevens
verstrekker
Strikt gedefinieerd,
Gedefinieerd steeds
Afspraken bij voorkeur
Gedefinieerd via
contract, bijvoorbeeld
strikter via (1) wet, (2)
in de vorm van een
wet- en regelgeving
SLA
afspraken bij conve-
contract
nant en (3) uitwerking in procesbeschrijvingen STUREN
Verantwoor-
Gedeelde verant-
Bij voorkeur belegd bij
delijkheden
Ketenregisseur
Opdrachtgever
Beleidsdepartement
woordelijkheid met
sterkste partij
belegd
ontvanger in initiatierol
BEHEERSEN
Afspraken
Contract
Convenant
hierover
Wet- en regelgeving
Wet- en regelgeving
en specifieke 1:1 afspraken
VERANT-
Verantwoording
Verantwoording
Ja, door leverancier of
Ja, in beheersverslag
Ja, bij verstrekker,
Ja, zowel over delen
WOORDEN
afleggen
ja/nee
afgesproken diensten
door uitvoerende
indien omgaan
van de keten als ten
zijn nagekomen en
dienst over de
met gegevens
behoeve van beleids-
bijvoorbeeld over
nakoming van
van belang is
departement over
incidenten
diensten plus dechar-
Ja, bij ontvanger,
keten als totaal
geverlening door
indien gegevens
beleidsdepartement
essentieel zijn voor primair proces
Soort
Vastgelegd in
Jaarverslag/beheer-
Belang vanuit ver-
Op basis uniform
verantwoording
afspraken/contract
verslag door opdracht-
strekker: verslag;
normenkader
nemer/
Belang vanuit ontvan-
uitvoerder
ger: specifieke rapportage (op verzoek);
TOEZICHT
Assurance
HOUDEN
hierover
Uitvoerder
Object
Auditor van de
Volgens afspraken in
Omgaan met gege-
Bij delen: auditors
leverancier meestal
convenant: auditor
vens van belang:
van betrokken
TPM
van beide departe-
Auditor ontvanger
ketenpartijen
menten OF auditor
Gegevens essentieel
Bij totaal: auditor
van de opdracht-
voor primair proces:
namens beleids-
nemer
Auditor verstrekker
departement
Betrouwbaarheid
Betrouwbaarheid
Wijze van omgang
Betrouwbaarheid
verantwoording
beheers- c.q. jaar-
met gegevens
gegevensuitwisseling
verslag
Betrouwbaarheid
en beheer in de keten
gegevensaanlevering Afspraken
Contract
In convenant
hierover
31 | de EDP-Auditor nummer 1 | 2006
1:1 afspraken
Wet- en regelgeving
Figuur 3.
5ITBESTEDING SALARISVERWERKING DOOR MINISTERIES AAN "ELASTINGDIENST
6ERSTREKKEN GEGEVENS UIT '"!
4YPE
4YPE
4YPE 576
"ELASTINGDIENST
35"
4YPE
4YPE
0ROJECT 4OESLAGEN UITGEVOERD DOOR "ELASTINGDIENST
5ITBESTEDING )#4 AAN COMMERCIpLE PARTIJ
Governance vertaald naar ketentypes
In hoofdstuk 2 hebben we de vier verschillende processen van keten-governance aangegeven. Deze governance processen vertalen zich verschillend per ketentype. In onderstaande tabel hebben we per ketentype aangegeven hoe naar onze mening de keten-governance (‘normatief’) ingevuld zou kunnen zijn. We denken dat deze elementen een goed vertrekpunt kunnen vormen voor het inrichten, implementeren en beheersen van ketens en voor audits die in en op deze ketens en op de governance van ketens uitgevoerd kunnen worden. Interessant is vervolgens om na te gaan of in de praktijk deze invulling van keten-governance, zoals we hierboven hebben aangegeven, wordt aangetroffen. In bovenstaand schema hebben we opgenomen welke praktijkvoorbeelden we nader hebben bestudeerd. Een meer uitgebreide beschrijving van deze praktijkvoorbeelden (uit het publieke domein) per ketentype is opgenomen in de bijlage bij dit artikel.
Samenvatting In dit artikel is ingegaan op de governance van ketens en is aangegeven dat deze governance mede bepalend is voor de typologie van ketens. Dit omdat wij denken dat de governance van ketens cruciaal is voor het (voort)bestaan van ketens. Daarnaast is de aard van de uitwisseling (gegevens en/ of processen) bepalend voor de ketentypologie. Op basis daarvan zijn vier ketentypes onderscheiden. Een normatief model voor de keten-governance is gepresenteerd. Deze ketengovernance verschilt per ketentype. Het normatieve model is te gebruiken bij het ontwikkelen, implementeren en realiseren van ketens. En het is te gebruiken als vertrekpunt (voor de normen) bij audits. In het volgende nummer van De EDPauditor zal dieper worden ingegaan op de vraag hoe ketenaudits door IT-auditors vormgegeven kunnen worden. ■ Noten 1 Grijpink, Lezing 4 oktober 2005 op Symposium Praktische Keteninformatisering 2 Zoals onder andere opgenomen in Ministerie van Financiën, Externe Governance Toolbox.(concept)
Bij het bestuderen van de praktijkvoorbeelden blijkt dat – zoals Grijpink ook aangeeft – ‘irrationele en onvoorspelbare gebeurtenissen nog wel eens roet in het eten gooien’6, en dat daardoor de ‘normatieve’ invulling die we hierboven per ketentype hebben aangegeven in de praktijk juist door deze gebeurtenissen niet plaatsvindt. Juist om een goed vertrekpunt te hebben voor het opzetten en inrichten en daarmee in de toekomst blijvend beheersen van ketens is het belangrijk om helder te hebben hoe de governance ingericht zou moeten zijn. Deze keten-governance is cruciaal omdat als het misgaat in ketens dit meestal niet ligt op het uitvoerende niveau maar in de aansturing, beheersing en monitoring van de keten. Vandaar dat deze ‘normatieve’ keten-governance ons inziens behoort tot de ‘ketenwetten’7.
3 In de NOREA publicatie over IT-Governance, een verkenning, zijn drie processen opgenomen, te weten: Beheersen, Verantwoorden en Toezichthouden. Het proces Beheersen is in deze definitie en dit artikel uiteengerafeld in Sturen enerzijds en Beheersen anderzijds. 4 In de Kaderstellende visie op toezicht, brief oktober 2005 aan Tweede Kamer, zijn nog enkele andere vormen van toezicht gedefinieerd, die we hier niet zullen behandelen. In deze Kaderstellende notitie ontbreekt naar onze mening echter het interne toezicht zoals we dat in dit artikel hebben gedefinieerd. 5 Ministerie van Financiën, Externe Governance Toolbox. 6 Grijpink, Lezing 4 oktober 2005 op Symposium Praktische Keteninformatisering 7 Grijpink, Oratie 19 januari 2005, Onze informatiesamenleving in wording
32 | de EDP-Auditor nummer 1 | 2006
Bijlage 1 | Verklaringen afkortingen
Afkorting
Verklaring
AWIR
Algemene Wet Inkomensafhankelijke Regelingen
B/T
Belastingdienst/ Toeslagen
BD
Belastingdienst
BZK
(Ministerie van) Binnenlandse Zaken en Koninkrijksrelaties
CWI
Centrum voor Werk en Inkomen
EZ
(Ministerie van) Economische Zaken
FIN
(Ministerie van) Financiën
FVP
Fonds Voorheffing Pensioenen
GBA
Gemeentelijke Basis Administratie
GSD
Gemeentelijke Sociale Dienst
IWI
Inspectie Werk en Inkomen
OC&W
(Ministerie van) Onderwijs, Cultuur en Wetenschap
RDW
Rijks Dienst voor het Wegverkeer
SLA
Service Level Agreement
SSC
Shared Service Centre
SUWI
Structuur Uitvoering Werk en Inkomen
SZW
(Ministerie van Sociale Zaken en Werkgelegenheid
TPM
Third Party Mededeling
UWV
Uitvoeringsorgaan Werknemers Verzekeringen
VeWa
(Ministerie van) Verkeer en Waterstaat
VROM
(Ministerie van) Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer
VWS
(Ministerie van) Volksgezondheid, Welzijn en Sport
33 | de EDP-Auditor nummer 1 | 2006
Bijlage 2 | Type 1, “Klassieke keten” en Type 2, “Semi-trust”
Hoofdkenmerk
Kenmerk proces
Subkenmerk
Soort proces
TYPE 1, “KLASSIEKE KETEN” Normatieve invulling
Outsourcing ICT door UWV
Uitbesteding salarisverwerking SAP Payroll
Secundaire processen
Exploitatie en onderhoud ICT
Uitbesteding secundair proces – salarisbetaling
waaronder ICT
systemen en netwerkdiensten
en personeelsgegevensbeheer – door aantal departementen (VeWa, OC&W, EZ, MINFIN) aan een zelfstandige organisatie: Shared Service Center
Koppelvlak
Strikt gedefinieerd, contract,
Vastgelegd in mantel-
Convenant/SLA tussen elk van de
bijvoorbeeld SLA
overeenkomst, SLA’s
departementen met het SSC
Ketenregisseur
Opdrachtgever
UWV
Ieder departement is opdrachtgever aan SSC
Afspraken hierover
Contract
Contracten
Idem SLA
Verantwoording
Verantwoording
Ja, door leverancier of
Maandelijks als input voor
Door SSC wordt verantwoording afgelegd
afleggen
ja/nee
afgesproken diensten zijn
tactisch leveranciersoverleg
aan de afzonderlijke opdrachtgevers
Verantwoordelijkheden belegd
nagekomen en bijvoorbeeld
(departementen)
over incidenten Soort
Vastgelegd in afspraken/
verantwoording
contract
Conform mantelcontract
Verantwoording wordt afgelegd door middel van accountants- , TPM of bedrijfsvoeringsverklaringen. Mogelijk worden deze door de opdrachtgevende departement gereviewd dan wel volgens afspraak gezamenlijk met de leverancier opgesteld.
Assurance
Uitvoerder
hierover
Object
Afspraken hierover
Auditor van de leverancier
Auditor leverancier in de
meestal TPM
vorm van TPM
Betrouwbaarheid
Kwaliteit geleverde dienst-
verantwoording
verlening in relatie tot contract
Contract
Mantelcontract met verdere uitwerking in referentiekader
34 | de EDP-Auditor nummer 1 | 2006
Auditor SSC
Afgesproken kwaliteit van het uitbestede proces
Toetsingskader voor de kwaliteit in SLA
TYPE 2, “SEMI-TRUST” Normatieve invulling
Project Toeslagen
Bijstandsuitkeringen
Primaire of secundaire processen,
Verstrekken door B/T van financiële bijdragen aan
Verstrekken van inkomen aan bijstandgerechtigden
waaronder goederen- en geldstromen,
rechthebbenden ter compensatie van politiek
waarvan het inkomen/vermogen onder de
diensten, gegevens
onaanvaardbaar hoge financiële lasten.
bijstandsnorm ligt tot een politiek bepaald financieel acceptabel niveau.
Gedefinieerd steeds strikter via (1) wet, (2)
Wet: Algemene Wet Inkomensafhankelijke Regelingen
afspraken bij convenant en (3) uitwerking
(AWIR) Convenanten: Tussen de departementen van
in procesbeschrijvingen
enerzijds Fin en anderzijds VROM, VWS en ZSW zijn/
Geregeld in WWB en Gemeentewet
worden convenanten afgesloten waarin afspraken staan over o.a. afbakening beleid en uitvoering. Procesbeschrijvingen: nadere afspraken zijn/worden gemaakt over de BI en de verantwoordingsinformatie die verstrekt gaat worden door B/T en de operationele stuurinformatie. Beleidsdepartement
Beleidsdepartementen VROM, VWS en SZW
SZW
Convenant
Zie hiervoor
Is bij wet bepaald
Ja, in beheersverslag door uitvoerende
Conform
Door verantwoording in jaarrekening gemeentes
dienst over de nakoming van diensten
en financiële afrekening van verstrekte uitkeringen
plus dechargeverlening door
van gemeentes met SZW
beleidsdepartement Jaarverslag/beheerverslag door
Conform
Jaarrekeningen van gemeentes
opdrachtnemer/uitvoerder
Jaarrekening van SZW
Volgens afspraken in convenant: auditor
Eindverantwoordelijkheid ligt bij de auditors van beide
van beide departementen OF auditor van
betrokken departementen; dus is altijd AdF erbij betrokken.
betrouwbaarheid gegevens en rechtmatige
de opdrachtnemer
Aanpak audit en eindrapport van de audit zijn verantwoor-
uitvoering van de wet in aparte accountans-
delijkheid van beiden. Bij uitvoering is altijd AdF betrokken;
verklaringen bij verantwoording van gemeentes
ter keuze kan ook de AD van het betrokken departement
naar SZW toe.
meedoen.
Auditors bij de gemeentes geven oordeel over
Auditors SZW hebben reviewrecht op de verantwoording door gemeentes.
Betrouwbaarheid beheers- c.q. jaarverslag
Conform
Jaarrekening gemeente Jaarrekening SZW
In convenant
Conform
Bij wet geregeld
35 | de EDP-Auditor nummer 1 | 2006
Bijlage 2 | Type 3, “Semi-keten” en Type 4, “Echte keten”
Hoofdkenmerk
Kenmerk proces
Subkenmerk
Soort proces
TYPE 3, “SEMI-KETEN” Normatieve invulling
RDW
GBA
Gegevensverstrekking waarbij
Aanlevering kenteken-
Verstrekking van persoonsgegevens uit primaire
belang primair ligt bij ontvanger en
gegevens door RDW aan
basisadministraties gemeenten aan afnemers
secundair bij verstrekker
Belastingdienst ten behoeve van de motorrijtuigenbelasting
Koppelvlak
Afspraken bij voorkeur in de vorm
Op basis van wet- en regel-
van een contract
geving ; uitgewerkt in
Op basis autorisatiebesluiten Minister
convenant/contract Verantwoor-
Ketenregisseur
delijkheden
Gedeelde verantwoordelijkheid
RDW
Ministerie BZK
Wet- en regelgeving en specifieke
Op basis wet- en regelgeving
Autorisatiebesluiten Minister
1:1 afspraken
en vastgelegd in convenant/
met ontvanger in initiatierol
belegd Afspraken hierover
contract Verantwoor-
Verantwoording
Ja, indien privacy-aspecten van
Ja, TPM over betrouwbaarheid
Afnemersaudit voor hybride (publieke én private)
ding afleggen
ja/nee
belang zijn
kentekenregister
afnemers door 2e Kamer gevraagd
Ja, indien gegevens essentieel zijn
BZK legt geen specifieke verantwoording af
voor primair proces ontvanger
over GBA; wel indirect via GBA audits op inhoud, privacy en informatiebeveiliging
Soort
Privacy verslag; belang vanuit
verantwoording
verstrekker
TPM
Niets vastgelegd
Auditor verstrekker
GBA audits door verstrekkers (gemeenten)
Wijze van omgang met
Betrouwbaarheid
Kwaliteit gegevens, privacy – en informatie-
privacy-gevoelige gegevens
kentekenregister
beveiligingsaspecten
Alleen dat er TPM moet zijn;
Besluit GBA audits BZK omvat het normenkader
Specifieke rapportage (op verzoek); belang vanuit ontvanger Assurance hier-
Uitvoerder
over
Over privacyaspecten: Auditor ontvanger Over primair proces: Auditor verstrekker
Object
Betrouwbaarheid gegevensaanlevering Afspraken hierover
1:1 afspraken
geen afspraken over inhoud
36 | de EDP-Auditor nummer 1 | 2006
TYPE 4, “ECHTE KETEN” Normatieve invulling
SUWI
SUB
Primaire processen
Uitwisseling van gegevens tussen SUWI-partijen
Verzamelen (Belastingdienst) en bewaren (UWV)
t.b.v de diverse eigen processen (CWI; intake WW; UWV;
van gegevens t.b.v. primare processen binnem
uitkering; GSD; uitkering)
beide organisaties (UWV: uitkeren; Belastingdienst heffen loonbelasting)
Ja, aanwezig op basis wet- en regelgeving
Vastgelegd in de SUWI-wet
Vastgelegd in WFSV (wet financiering sociale verzekering)
Ja, is noodzakelijk; bij voorkeur belegd bij
Niet formeel belegd, maar informeel door ketenoverleg
Niet formeel belegd, maar informeel;
sterkste partij
op niveau van RvB van alle betrokken partijen of hun
samenwerking vastgelegd in convenant
vertegenwoordiger
en onderliggende overeenkomsten
Ja, op basis wet- en regelgeving
SUWI-wet
Convenant
Ja, zowel over delen van de keten als ten
Als onderdeel jaarverslagen; voor beveiliging
Als onderdeel van de jaarverslagen in de lijn van
behoeve van beleidsdepartement over
voorgeschreven in de SUWI wet
het eigen departement; op het niveau van de keten
keten als totaal
Op basis uniform normenkader
(nog) niets geregeld (december 2005)
Op basis van overeengekomen normenkader
Op basis van eigen regelgeving van betrokken partijen
Bij delen: auditors van betrokken
Auditors ketenpartijen (RE)
Auditors ketenpartijen voor het eigen deel en
ketenpartijen
Toezichthouder (IWI)
joint audit door auditors ketenpartijen op het
Bij totaal: auditor namens beleids-
koppelvlak
departement Betrouwbaarheid gegevensuitwisseling
Beveiliging suwinet
Kwaliteit uitvoering eiegen deel en beveiliging
en beheer in de keten
Wet- en regelgeving
koppelvlak
Suwiwet
Convenant
37 | de EDP-Auditor nummer 1 | 2006