In de huidige samenleving zien we dat samenwerken

Artikel

Ketengovernance Startpunt voor keteninrichting en ketenauditing Adri de Bruijn, Anastacia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren

A.J.M. de Bruijn RE RA is partner van PricewaterhouseCoopers Advisory, docent EDP-auditing aan de Erasmus School of Accounting en Assurance en voorzitter van de NOREA. Drs. A.J. van der Meer is onderzoeker en coordinator van de sector onderzoek en marketing van de Belastingdienst (Centrum voor Proces- en Productontwikkeling). M.C.M. Slot RE is IT-auditor bij het Ministerie van Financiën. P.C.J. Nieuwenhuizen RE RA is director bij PricewaterhouseCoopers Accountants. Drs. B.J. van Staveren RE is hoofd IT-audit bij UWV en voorzitter van het Platform Informatiebeveiling.

I

n de huidige samenleving zien we dat samenwerken tussen organisaties een veel voorkomend verschijnsel is geworden. Zowel binnen de overheid als binnen het bedrijfsleven vormt de verbetering van de efficiëntie een belangrijk motief om te gaan samenwerken. Zo vermindert bijvoorbeeld de administratieve en logistieke lastendruk doordat partners aansluiting zoeken voor het gezamenlijk inrichten, uitvoeren en beheersen van één geheel ketenproces. Een gunstig effect van efficiëntieverbetering is het beter bedienen van de klant. Binnen de overheid wordt steeds vaker opgeroepen tot samenwerking in ketens. Naast het beter bedienen van de burger verwacht men dat deze ketensamenwerking ook leidt tot het transparanter en meer decentraal uitvoeren van overheidsprocessen. Diverse publicaties zijn verschenen over deze ketensamenwerking en hierin zijn theoretisch diverse typen ketens benoemd: dynamische ketens, maatschappelijke ketens, vraag- en aanbodgerichte ketens, fysieke ketens, verticale, horizontale en diagonale ketens, beleidsketens, etcetera. Echter voor het opzetten, inrichten en (blijvend) beheersen van ketens zijn deze indelingen naar de mening van de auteurs van dit artikel minder goed bruikbaar. Zij hebben aansluiting gezocht bij de ontwikkelingen rondom corporate en government governance en zijn – op basis van een verkenning in de praktijk – gekomen tot een viertal ketentypes. Juist omdat het vertrekpunt van de indeling van de types gebaseerd is op de gedachten rondom governance, denken de auteurs dat deze types goed in de praktijk bruikbaar zijn. Want in governance spelen vraagstukken als wie is verantwoordelijk, hoe wordt verantwoording afgelegd en wie monitort dit; vraagstukken die essentiële voorwaarden zijn bij het inrichten en beheersen van ketens. En governance staat daarbij niet op zich zelf; het soort proces en de al dan niet wettelijke regelingen waarover de keten gaat, bepaalt mede de governance. IT speelt een cruciale rol in ketens: IT maakt het mogelijk dat ketens kunnen functioneren. Zo zeer zelfs dat Grijpink, hoogleraar Keteninformatisering in de rechtstaat, stelt dat je eerst moet informatiseren en daarna pas reorganiseren en niet andersom.1 Hoezeer dit ook voor discussie vatbaar is, duidelijk is voor de auteurs dat inzicht in ketens relevant is voor IT-auditors en één van de onderwerpen die in de toekomst prominent op de agenda van IT-auditors komt te staan. In de EDP-Auditor editie 4 van 2005 is ingegaan op ketenauditing in zijn algemeenheid. In dit artikel zal ingegaan worden op ketentypologiën en de governance van ketens.

28 | de EDP-Auditor nummer 1 | 2006

Beide artikelen tezamen vormen de opstap voor een artikel dat in een volgend nummer van de EDP-Auditor zal verschijnen en zal ingaan op auditing van ketens gerelateerd aan deze ketens. In dit artikel richten wij ons op ketens binnen het publieke domein. Allereerst gaan wij in op enige aspecten van governance, waarna wij de verschillende type ketens definiëren. Hierbij geven wij vervolgens aan hoe naar onze mening de governance per ketentype ingericht zou kunnen zijn.

Schematisch is een en ander onderstaand weergegeven (ontleend aan5): Figuur 1.

3

Governance

6

Er zijn verschillende definities over governance. Een echte definitie over keten-governance hebben de auteurs niet aangetroffen. De definitie die we in dit artikel zullen hanteren is gebaseerd op de definitie van ‘good governance’ als zijnde een definitie in gebruik binnen het publieke domein2: Keten-governance is het waarborgen dat de wijze van sturen, beheersen en toezicht houden in een keten, evenals het daarover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden, gebeurt in onderlinge samenhang, gericht op een efficiënte en effectieve realisatie van doelstellingen en in lijn met de bestuurlijke visie. In deze definitie zijn de volgende governance processen onderscheiden:3 Sturen, dat wil zeggen het stellen van doelen en het uitzetten van de lijnen en inrichten van de organisatie, met bijbehorende verantwoordelijkheden om deze doelen te realiseren. Beheersen, zijnde het geheel van activiteiten om te zorgen dat de uitvoering in lijn (alignment) is met de doelstellingen die zijn geformuleerd, rekening houdend met de risico’s die worden gelopen. Onderdeel hiervan is het definiëren van controls, het uitvoeren daarvan en waar nodig bijsturen. Verantwoorden, zijnde het afleggen van verantwoording naar buiten en naar andere delen van de keten toe. Verantwoording over de keten en de uitvoering binnen die keten is een onlosmakelijk element van de keten-governance. Elementen die hierin aan de orde kunnen komen zijn de afspraken die zijn gemaakt, de vraag of deze zijn behaald, de wijze waarop ze zijn behaald, etc. Toezicht houden, wat verschillende elementen kent. Enerzijds het interne toezicht zoals een Raad van Commissarissen toeziet op het functioneren van het bestuur van een organisatie. Dit toezicht vindt plaats binnen de organisatie/ keten en is gericht op het goed laten functioneren van de organisatie/keten. Daarnaast het externe toezicht, door toezichthouders van buiten. Dit laatste hebben we in dit artikel niet betrokken.4

4 ,EGENDA

" 33TUREN ""EHEERSEN 66ERANTWOORDEN 44OEZICHTHOUDEN

Deze vier kernelementen zijn, uitgaande van het centrale element ‘verantwoording’ nader uit te werken in hoofd- en subkenmerken die in de praktijk bij ketens te signaleren zijn: • Bij sturen gaat het er om of de verantwoordelijkheden zijn belegd en meer concreet of er een ketenregisseur is, los van de vraag hoe sterk of zwak die ketenregisseur is (zoals Grijpink aangeeft zal er niet altijd sprake zijn van hiërarchie en van een overkoepelend gezag). • Bij beheersen gaat het er om of de verantwoordelijkheden voortvloeiend uit de sturing ook zijn vertaald in afspraken hierover, al dan niet in de vorm van contracten. • Bij verantwoorden gaat het er om of en welke verantwoording afgelegd moet worden en wat hierover is afgesproken. • Bij toezicht houden gaat het er om of de verantwoording die wordt afgelegd ook wordt getoetst, en als deze wordt getoetst door wie en met welke zekerheid. Soorten ketentypes

Zoals in de inleiding aangegeven, zijn de ketens naar diverse typen te onderscheiden. In dit artikel zullen we een voorzet doen voor een andere indeling van ketens naar type. We hebben een viertal type ketens onderscheiden, waarbij twee elementen bepalend zijn voor het komen tot het onderscheid maken naar verschillende type ketens. Allereerst de governance van de keten en daarnaast het proces waarover de keten gaat. Bij dit laatste kan naar onze mening onderscheid gemaakt worden in de pure gegevensverstrekking tussen partijen, bijvoorbeeld een pensioenfonds of overheidinstelling krijgt de persoonsgegevens uit de Gemeentelijke Basisadministratie (GBA). Het gaat hierbij alleen om de gegevenslevering. De processen van de verschillende organisaties zijn niet geïntegreerd of met elkaar gekoppeld of aan elkaar uitbesteed. Wij hebben dit aangeduid als een semi-keten (type 3 keten).

29 | de EDP-Auditor nummer 1 | 2006

Schematisch weergegeven: Tabel 1. Governance aspect

Hoofdkenmerk

Subkenmerken

Sturing

Verantwoordelijkheden belegd?

Wie is ketenregisseur?

Beheersing

Wat zijn de afspraken n.a.v. de verantwoordelijkheden?

Hoe zijn deze vastgelegd?

Verantwoording

Wordt er verantwoording afgelegd?

Wat voor soort verantwoording?

Toezicht

Wordt er assurance verkregen over de verantwoording

Wie is de auditor? Wat is het object van assurance? Wat voor afspraken zijn hierover gemaakt?

Een stap verder dan alleen gegevenslevering is het uitbesteden van secundaire processen aan derden (bijvoorbeeld outsourcing van de IT aan een partner buiten het publieke domein) of het laten uitvoeren van processen van de ene overheidsinstantie door een andere zonder dat hierbij sprake is van een wettelijke basis (zoals bijvoorbeeld de salarisverwerking van het Ministerie van Verkeer en Waterstaat door de Belastingdienst). Wij hebben dit aangeduid met de term klassieke uitbesteding (type 1 keten). Als er wel sprake is van een wettelijke basis waarbij de ene overheidsinstantie processen laat uitvoeren door een andere overheidsinstantie (bijvoorbeeld het Ministerie van VROM wat de huurtoeslag door de Dienst Toeslagen laat uitvoeren en idem het Ministerie van VWS de zorgtoeslag door dezelfde dienst) is er sprake van een – wat wij genoemd hebben – semi-trust keten (type 2 keten). De meest vergaande vorm is het op basis van gelijkwaardigheid samen vormgeven en uitvoeren van elkaars primaire processen: een voorbeeld hiervan is SUB (Samenwerking UWV Belastingdienst) wat gezamenlijk door UWV en Belastingdienst wordt vormgegeven en uitgevoerd: in onze ogen is hierbij sprake van een echte keten (type 4 keten). Schematisch kunnen bovenstaande afwegingen in nevenstaand keuzediagram worden weergegeven. Samenvattend komen we op basis van wat we in de praktijk aan ketens zien daardoor tot de volgende vierdeling: 1. De klassieke uitbesteding (klant/leverancierrelatie) Hierbij is sprake van uitbesteding van werkzaamheden zonder dat dit is gebaseerd op wettelijke bepalingen. 2. Semi-trust (uitbesteding op wettelijke basis)Hier is sprake van een departement dat werkzaamheden uitvoert ten behoeve van één of meerdere departementen die de eindverantwoordelijkheid dragen. In dit ketentype staat de aard van de relatie centraal. Het betreft een op wettelijke gronden gebaseerde verhouding. 3. Semi-keten (eenzijdige gegevensaanlevering)Kenmerkend in dit ketentype is een gegevensverstrekking met veelal vooral een belang bij de ontvanger. Voor de ontvanger ligt het belang bij de essentie van de ontvangen gegevens

voor haar primaire processen. Daarom is de kwaliteit van die gegevens voor de ontvanger belangrijk. De verstrekker kan een belang hebben bij de zorgvuldige omgang door de ontvanger met de verstrekte gegevens. 4. Echte keten (met gelijkwaardige partners)Een zelfverklarende aanduiding: hierbij is sprake van een samenwerking van gelijkwaardige partners in een keten. Figuur 2. 'AATHETINDEKETEN ALLEENOMGEGEVENS

.EE OOKPROCESSEN STROMENETCETERA

*A

4YPE

)SERSPRAKEVAN GELIJKWAARDIGEPARTNERS

.EE

*A

)SDEKETENBINNEN HETPUBLIEKDOMEIN

4YPE

*A

.EE

(EEFTDEKETEN EENWETTELIJKEBASIS

4YPE

30 | de EDP-Auditor nummer 1 | 2006

.EE

*A

4YPE

Tabel 2

Governance

Hoofdkenmerk

Subkenmerk

Normatieve invulling

processen TYPE 1, “KLASSIEKE

TYPE 2, “SEMI-TRUST”

TYPE 3, “SEMI-KETEN”

UITBESTEDING” Kenmerk proces

Soort proces

Koppelvlak

TYPE 4, “ECHTE KETEN”

Secundaire processen

Primaire of secun-

Gegevensverstrek-

waaronder ICT

daire processen, waar-

king waarbij belang

Primaire processen

onder goederen- en

primair ligt bij ontvan-

geldstromen, diensten,

ger en secundair bij

gegevens

verstrekker

Strikt gedefinieerd,

Gedefinieerd steeds

Afspraken bij voorkeur

Gedefinieerd via

contract, bijvoorbeeld

strikter via (1) wet, (2)

in de vorm van een

wet- en regelgeving

SLA

afspraken bij conve-

contract

nant en (3) uitwerking in procesbeschrijvingen STUREN

Verantwoor-

Gedeelde verant-

Bij voorkeur belegd bij

delijkheden

Ketenregisseur

Opdrachtgever

Beleidsdepartement

woordelijkheid met

sterkste partij

belegd

ontvanger in initiatierol

BEHEERSEN

Afspraken

Contract

Convenant

hierover

Wet- en regelgeving

Wet- en regelgeving

en specifieke 1:1 afspraken

VERANT-

Verantwoording

Verantwoording

Ja, door leverancier of

Ja, in beheersverslag

Ja, bij verstrekker,

Ja, zowel over delen

WOORDEN

afleggen

ja/nee

afgesproken diensten

door uitvoerende

indien omgaan

van de keten als ten

zijn nagekomen en

dienst over de

met gegevens

behoeve van beleids-

bijvoorbeeld over

nakoming van

van belang is

departement over

incidenten

diensten plus dechar-

Ja, bij ontvanger,

keten als totaal

geverlening door

indien gegevens

beleidsdepartement

essentieel zijn voor primair proces

Soort

Vastgelegd in

Jaarverslag/beheer-

Belang vanuit ver-

Op basis uniform

verantwoording

afspraken/contract

verslag door opdracht-

strekker: verslag;

normenkader

nemer/

Belang vanuit ontvan-

uitvoerder

ger: specifieke rapportage (op verzoek);

TOEZICHT

Assurance

HOUDEN

hierover

Uitvoerder

Object

Auditor van de

Volgens afspraken in

Omgaan met gege-

Bij delen: auditors

leverancier meestal

convenant: auditor

vens van belang:

van betrokken

TPM

van beide departe-

Auditor ontvanger

ketenpartijen

menten OF auditor

Gegevens essentieel

Bij totaal: auditor

van de opdracht-

voor primair proces:

namens beleids-

nemer

Auditor verstrekker

departement

Betrouwbaarheid

Betrouwbaarheid

Wijze van omgang

Betrouwbaarheid

verantwoording

beheers- c.q. jaar-

met gegevens

gegevensuitwisseling

verslag

Betrouwbaarheid

en beheer in de keten

gegevensaanlevering Afspraken

Contract

In convenant

hierover

31 | de EDP-Auditor nummer 1 | 2006

1:1 afspraken

Wet- en regelgeving

Figuur 3.

5ITBESTEDING SALARISVERWERKING DOORMINISTERIESAAN "ELASTINGDIENST

6ERSTREKKEN GEGEVENS UIT'"!

4YPE

4YPE

4YPE 576

"ELASTINGDIENST

35"

4YPE

4YPE

0ROJECT4OESLAGEN UITGEVOERDDOOR "ELASTINGDIENST

5ITBESTEDING)#4 AANCOMMERCIpLE PARTIJ

Governance vertaald naar ketentypes

In hoofdstuk 2 hebben we de vier verschillende processen van keten-governance aangegeven. Deze governance processen vertalen zich verschillend per ketentype. In onderstaande tabel hebben we per ketentype aangegeven hoe naar onze mening de keten-governance (‘normatief’) ingevuld zou kunnen zijn. We denken dat deze elementen een goed vertrekpunt kunnen vormen voor het inrichten, implementeren en beheersen van ketens en voor audits die in en op deze ketens en op de governance van ketens uitgevoerd kunnen worden. Interessant is vervolgens om na te gaan of in de praktijk deze invulling van keten-governance, zoals we hierboven hebben aangegeven, wordt aangetroffen. In bovenstaand schema hebben we opgenomen welke praktijkvoorbeelden we nader hebben bestudeerd. Een meer uitgebreide beschrijving van deze praktijkvoorbeelden (uit het publieke domein) per ketentype is opgenomen in de bijlage bij dit artikel.

Samenvatting In dit artikel is ingegaan op de governance van ketens en is aangegeven dat deze governance mede bepalend is voor de typologie van ketens. Dit omdat wij denken dat de governance van ketens cruciaal is voor het (voort)bestaan van ketens. Daarnaast is de aard van de uitwisseling (gegevens en/ of processen) bepalend voor de ketentypologie. Op basis daarvan zijn vier ketentypes onderscheiden. Een normatief model voor de keten-governance is gepresenteerd. Deze ketengovernance verschilt per ketentype. Het normatieve model is te gebruiken bij het ontwikkelen, implementeren en realiseren van ketens. En het is te gebruiken als vertrekpunt (voor de normen) bij audits. In het volgende nummer van De EDPauditor zal dieper worden ingegaan op de vraag hoe ketenaudits door IT-auditors vormgegeven kunnen worden. ■ Noten 1 Grijpink, Lezing 4 oktober 2005 op Symposium Praktische Keteninformatisering 2 Zoals onder andere opgenomen in Ministerie van Financiën, Externe Governance Toolbox.(concept)

Bij het bestuderen van de praktijkvoorbeelden blijkt dat – zoals Grijpink ook aangeeft – ‘irrationele en onvoorspelbare gebeurtenissen nog wel eens roet in het eten gooien’6, en dat daardoor de ‘normatieve’ invulling die we hierboven per ketentype hebben aangegeven in de praktijk juist door deze gebeurtenissen niet plaatsvindt. Juist om een goed vertrekpunt te hebben voor het opzetten en inrichten en daarmee in de toekomst blijvend beheersen van ketens is het belangrijk om helder te hebben hoe de governance ingericht zou moeten zijn. Deze keten-governance is cruciaal omdat als het misgaat in ketens dit meestal niet ligt op het uitvoerende niveau maar in de aansturing, beheersing en monitoring van de keten. Vandaar dat deze ‘normatieve’ keten-governance ons inziens behoort tot de ‘ketenwetten’7.

3 In de NOREA publicatie over IT-Governance, een verkenning, zijn drie processen opgenomen, te weten: Beheersen, Verantwoorden en Toezichthouden. Het proces Beheersen is in deze definitie en dit artikel uiteengerafeld in Sturen enerzijds en Beheersen anderzijds. 4 In de Kaderstellende visie op toezicht, brief oktober 2005 aan Tweede Kamer, zijn nog enkele andere vormen van toezicht gedefinieerd, die we hier niet zullen behandelen. In deze Kaderstellende notitie ontbreekt naar onze mening echter het interne toezicht zoals we dat in dit artikel hebben gedefinieerd. 5 Ministerie van Financiën, Externe Governance Toolbox. 6 Grijpink, Lezing 4 oktober 2005 op Symposium Praktische Keteninformatisering 7 Grijpink, Oratie 19 januari 2005, Onze informatiesamenleving in wording

32 | de EDP-Auditor nummer 1 | 2006

Bijlage 1 | Verklaringen afkortingen

Afkorting

Verklaring

AWIR

Algemene Wet Inkomensafhankelijke Regelingen

B/T

Belastingdienst/ Toeslagen

BD

Belastingdienst

BZK

(Ministerie van) Binnenlandse Zaken en Koninkrijksrelaties

CWI

Centrum voor Werk en Inkomen

EZ

(Ministerie van) Economische Zaken

FIN

(Ministerie van) Financiën

FVP

Fonds Voorheffing Pensioenen

GBA

Gemeentelijke Basis Administratie

GSD

Gemeentelijke Sociale Dienst

IWI

Inspectie Werk en Inkomen

OC&W

(Ministerie van) Onderwijs, Cultuur en Wetenschap

RDW

Rijks Dienst voor het Wegverkeer

SLA

Service Level Agreement

SSC

Shared Service Centre

SUWI

Structuur Uitvoering Werk en Inkomen

SZW

(Ministerie van Sociale Zaken en Werkgelegenheid

TPM

Third Party Mededeling

UWV

Uitvoeringsorgaan Werknemers Verzekeringen

VeWa

(Ministerie van) Verkeer en Waterstaat

VROM

(Ministerie van) Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer

VWS

(Ministerie van) Volksgezondheid, Welzijn en Sport

33 | de EDP-Auditor nummer 1 | 2006

Bijlage 2 | Type 1, “Klassieke keten” en Type 2, “Semi-trust”

Hoofdkenmerk

Kenmerk proces

Subkenmerk

Soort proces

TYPE 1, “KLASSIEKE KETEN” Normatieve invulling

Outsourcing ICT door UWV

Uitbesteding salarisverwerking SAP Payroll

Secundaire processen

Exploitatie en onderhoud ICT

Uitbesteding secundair proces – salarisbetaling

waaronder ICT

systemen en netwerkdiensten

en personeelsgegevensbeheer – door aantal departementen (VeWa, OC&W, EZ, MINFIN) aan een zelfstandige organisatie: Shared Service Center

Koppelvlak

Strikt gedefinieerd, contract,

Vastgelegd in mantel-

Convenant/SLA tussen elk van de

bijvoorbeeld SLA

overeenkomst, SLA’s

departementen met het SSC

Ketenregisseur

Opdrachtgever

UWV

Ieder departement is opdrachtgever aan SSC

Afspraken hierover

Contract

Contracten

Idem SLA

Verantwoording

Verantwoording

Ja, door leverancier of

Maandelijks als input voor

Door SSC wordt verantwoording afgelegd

afleggen

ja/nee

afgesproken diensten zijn

tactisch leveranciersoverleg

aan de afzonderlijke opdrachtgevers

Verantwoordelijkheden belegd

nagekomen en bijvoorbeeld

(departementen)

over incidenten Soort

Vastgelegd in afspraken/

verantwoording

contract

Conform mantelcontract

Verantwoording wordt afgelegd door middel van accountants- , TPM of bedrijfsvoeringsverklaringen. Mogelijk worden deze door de opdrachtgevende departement gereviewd dan wel volgens afspraak gezamenlijk met de leverancier opgesteld.

Assurance

Uitvoerder

hierover

Object

Afspraken hierover

Auditor van de leverancier

Auditor leverancier in de

meestal TPM

vorm van TPM

Betrouwbaarheid

Kwaliteit geleverde dienst-

verantwoording

verlening in relatie tot contract

Contract

Mantelcontract met verdere uitwerking in referentiekader

34 | de EDP-Auditor nummer 1 | 2006

Auditor SSC

Afgesproken kwaliteit van het uitbestede proces

Toetsingskader voor de kwaliteit in SLA

TYPE 2, “SEMI-TRUST” Normatieve invulling

Project Toeslagen

Bijstandsuitkeringen

Primaire of secundaire processen,

Verstrekken door B/T van financiële bijdragen aan

Verstrekken van inkomen aan bijstandgerechtigden

waaronder goederen- en geldstromen,

rechthebbenden ter compensatie van politiek

waarvan het inkomen/vermogen onder de

diensten, gegevens

onaanvaardbaar hoge financiële lasten.

bijstandsnorm ligt tot een politiek bepaald financieel acceptabel niveau.

Gedefinieerd steeds strikter via (1) wet, (2)

Wet: Algemene Wet Inkomensafhankelijke Regelingen

afspraken bij convenant en (3) uitwerking

(AWIR) Convenanten: Tussen de departementen van

in procesbeschrijvingen

enerzijds Fin en anderzijds VROM, VWS en ZSW zijn/

Geregeld in WWB en Gemeentewet

worden convenanten afgesloten waarin afspraken staan over o.a. afbakening beleid en uitvoering. Procesbeschrijvingen: nadere afspraken zijn/worden gemaakt over de BI en de verantwoordingsinformatie die verstrekt gaat worden door B/T en de operationele stuurinformatie. Beleidsdepartement

Beleidsdepartementen VROM, VWS en SZW

SZW

Convenant

Zie hiervoor

Is bij wet bepaald

Ja, in beheersverslag door uitvoerende

Conform

Door verantwoording in jaarrekening gemeentes

dienst over de nakoming van diensten

en financiële afrekening van verstrekte uitkeringen

plus dechargeverlening door

van gemeentes met SZW

beleidsdepartement Jaarverslag/beheerverslag door

Conform

Jaarrekeningen van gemeentes

opdrachtnemer/uitvoerder

Jaarrekening van SZW

Volgens afspraken in convenant: auditor

Eindverantwoordelijkheid ligt bij de auditors van beide

van beide departementen OF auditor van

betrokken departementen; dus is altijd AdF erbij betrokken.

betrouwbaarheid gegevens en rechtmatige

de opdrachtnemer

Aanpak audit en eindrapport van de audit zijn verantwoor-

uitvoering van de wet in aparte accountans-

delijkheid van beiden. Bij uitvoering is altijd AdF betrokken;

verklaringen bij verantwoording van gemeentes

ter keuze kan ook de AD van het betrokken departement

naar SZW toe.

meedoen.

Auditors bij de gemeentes geven oordeel over

Auditors SZW hebben reviewrecht op de verantwoording door gemeentes.

Betrouwbaarheid beheers- c.q. jaarverslag

Conform

Jaarrekening gemeente Jaarrekening SZW

In convenant

Conform

Bij wet geregeld

35 | de EDP-Auditor nummer 1 | 2006

Bijlage 2 | Type 3, “Semi-keten” en Type 4, “Echte keten”

Hoofdkenmerk

Kenmerk proces

Subkenmerk

Soort proces

TYPE 3, “SEMI-KETEN” Normatieve invulling

RDW

GBA

Gegevensverstrekking waarbij

Aanlevering kenteken-

Verstrekking van persoonsgegevens uit primaire

belang primair ligt bij ontvanger en

gegevens door RDW aan

basisadministraties gemeenten aan afnemers

secundair bij verstrekker

Belastingdienst ten behoeve van de motorrijtuigenbelasting

Koppelvlak

Afspraken bij voorkeur in de vorm

Op basis van wet- en regel-

van een contract

geving ; uitgewerkt in

Op basis autorisatiebesluiten Minister

convenant/contract Verantwoor-

Ketenregisseur

delijkheden

Gedeelde verantwoordelijkheid

RDW

Ministerie BZK

Wet- en regelgeving en specifieke

Op basis wet- en regelgeving

Autorisatiebesluiten Minister

1:1 afspraken

en vastgelegd in convenant/

met ontvanger in initiatierol

belegd Afspraken hierover

contract Verantwoor-

Verantwoording

Ja, indien privacy-aspecten van

Ja, TPM over betrouwbaarheid

Afnemersaudit voor hybride (publieke én private)

ding afleggen

ja/nee

belang zijn

kentekenregister

afnemers door 2e Kamer gevraagd

Ja, indien gegevens essentieel zijn

BZK legt geen specifieke verantwoording af

voor primair proces ontvanger

over GBA; wel indirect via GBA audits op inhoud, privacy en informatiebeveiliging

Soort

Privacy verslag; belang vanuit

verantwoording

verstrekker

TPM

Niets vastgelegd

Auditor verstrekker

GBA audits door verstrekkers (gemeenten)

Wijze van omgang met

Betrouwbaarheid

Kwaliteit gegevens, privacy – en informatie-

privacy-gevoelige gegevens

kentekenregister

beveiligingsaspecten

Alleen dat er TPM moet zijn;

Besluit GBA audits BZK omvat het normenkader

Specifieke rapportage (op verzoek); belang vanuit ontvanger Assurance hier-

Uitvoerder

over

Over privacyaspecten: Auditor ontvanger Over primair proces: Auditor verstrekker

Object

Betrouwbaarheid gegevensaanlevering Afspraken hierover

1:1 afspraken

geen afspraken over inhoud

36 | de EDP-Auditor nummer 1 | 2006

TYPE 4, “ECHTE KETEN” Normatieve invulling

SUWI

SUB

Primaire processen

Uitwisseling van gegevens tussen SUWI-partijen

Verzamelen (Belastingdienst) en bewaren (UWV)

t.b.v de diverse eigen processen (CWI; intake WW; UWV;

van gegevens t.b.v. primare processen binnem

uitkering; GSD; uitkering)

beide organisaties (UWV: uitkeren; Belastingdienst heffen loonbelasting)

Ja, aanwezig op basis wet- en regelgeving

Vastgelegd in de SUWI-wet

Vastgelegd in WFSV (wet financiering sociale verzekering)

Ja, is noodzakelijk; bij voorkeur belegd bij

Niet formeel belegd, maar informeel door ketenoverleg

Niet formeel belegd, maar informeel;

sterkste partij

op niveau van RvB van alle betrokken partijen of hun

samenwerking vastgelegd in convenant

vertegenwoordiger

en onderliggende overeenkomsten

Ja, op basis wet- en regelgeving

SUWI-wet

Convenant

Ja, zowel over delen van de keten als ten

Als onderdeel jaarverslagen; voor beveiliging

Als onderdeel van de jaarverslagen in de lijn van

behoeve van beleidsdepartement over

voorgeschreven in de SUWI wet

het eigen departement; op het niveau van de keten

keten als totaal

Op basis uniform normenkader

(nog) niets geregeld (december 2005)

Op basis van overeengekomen normenkader

Op basis van eigen regelgeving van betrokken partijen

Bij delen: auditors van betrokken

Auditors ketenpartijen (RE)

Auditors ketenpartijen voor het eigen deel en

ketenpartijen

Toezichthouder (IWI)

joint audit door auditors ketenpartijen op het

Bij totaal: auditor namens beleids-

koppelvlak

departement Betrouwbaarheid gegevensuitwisseling

Beveiliging suwinet

Kwaliteit uitvoering eiegen deel en beveiliging

en beheer in de keten

Wet- en regelgeving

koppelvlak

Suwiwet

Convenant

37 | de EDP-Auditor nummer 1 | 2006