KAN DE IT-AUDITOR ACTIEF BIJDRAGEN AAN EEN MODERNE INFORMATIEHUISHOUDING?
Van informatie op orde naar informatie met toekomstwaarde
B
Binnen de overheid is veel aandacht voor het op orde krijgen van de (digitale) informatiehuishou1 ding van het Rijk. Diverse rapporten waaronder
recentelijk weer een van de Algemene Rekenkamer liegen er namelijk niet om [ALGE10]. De kwaliteit van de informatie en de informatiehuishouding van het Rijk laten te wensen over en daardoor is zij niet in staat behoorlijk verantwoording af te leggen. Dit probleem zou zelfs nog versterkt worden door de toenemende digitalisering. Dat een goede en betrouwbare informatiehuishouding noodzakelijk is voor een adequaat functionerende overheid en dat structurele verbeteringen nodig zijn, werd begin dit jaar nogmaals benadrukt door de staatssecretaris van Binnenlandse Zaken en
Koninkrijksrelaties in een brief aan de Tweede Kamer [BRIE10]. In dit artikel ga ik in op de rijksbrede acties om de geschetste problematiek aan te pakken en de actieve rol daarbij van de IT-auditor.2 MARCEL DE BRUIJN
10
Dat het niet best is gesteld met het (digitale) geheugen van de overheid weten we al enige tijd. In 2005 werd dit met het rapport 'Een dementerende overheid?' van de voormalige Rijksarchiefinspectie (nu: Erfgoedinspectie) nadrukkelijk onder de aandacht gebracht [RIJK05]. Uit dit onderzoek bleek dat interessante en waardevolle informatie vaak voortijdig verloren raakt, niet meer is terug te vinden of niet meer goed te interpreteren is door het ontbreken van de juiste context- c.q. metagegevens. Voorts wordt informatie soms ongewild openbaar gemaakt en is er een enorme achterstand in de bewerking en selectie van papieren archieven. Sindsdien is een behoorlijke golf van activiteiten en ontwikkelingen binnen het Rijk waar te nemen. Met als streven een verdere modernisering van de rijksdienst en haar informatiehuishouding, die overheidsorganisaties en de samenleving nu en straks optimaal ten goede komt. Maar wat gebeurt er momenteel zoal op dit gebied, door wie, en wie is of zijn hier verantwoordelijk voor?
De belangrijkste ontwikkelingen en activiteiten passeren hierna de revue. RIJKSBREDE INITIATIEVEN Het genoemde rapport en de daarin gesignaleerde problematiek waren in 2006 aanleiding tot het schrijven van de kabinetsvisie ‘Informatie op Orde’ [KAME06]. Deze visie geeft blijk van het politiek-bestuurlijk bewustzijn dat de informatiehuishouding belangrijk is en verbeterd moet worden. In lijn met deze visie zijn kort daarop verschillende programma's en projecten opgestart, waaronder het gelijknamige actieprogramma ‘Informatie op Orde’, dat onder verantwoordelijkheid en coördinatie van de ministeries van OCW en BZK valt. Dit programma zet tal van acties in gang en heeft inmiddels een aantal resultaten opgeleverd, waaronder een Baseline Informatiehuishouding Rijksoverheid.3 De Baseline is het normenkader voor de informatiehuishouding en omvat instrumenten voor de implementatie, zoals een e-mailgedragsrichtlijn, beroepsprofielen en opleidingsvereisten.
de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 10
09/11/10 7:08 PM
Als onderdeel van het actieprogramma is bij de stichting ICT Uitvoeringsorganisatie (ICTU) een rijksbreed kennisprogramma met expertteams, genaamd KennisLAB, ingericht. KennisLAB ondersteunt de departementen momenteel bij het inrichten van hun digitale informatiehuishouding conform de Baseline. Verder ontwikkelt zij samen met inhoudelijk deskundigen instrumenten voor verbetering van de digitale informatiehuishouding. Naast vertegenwoordigers van de verschillende ministeries zijn hier ook deskundigen van organisaties zoals de Erfgoedinspectie, het Nationaal Archief en de Rijksauditdienst bij betrokken. Bovendien bestaan er diverse strategische programma's die erop gericht zijn om met de inzet van ICT een efficiëntere en doeltreffendere overheid te creëren. Het betreft programma's als ‘Elektronische Overheid’, gestart in 1998, ‘Andere Overheid’ waarvan het actieprogramma eind 2003 startte en als meest recente het programma ‘Digitale Werkomgeving Rijksdienst’ als onderdeel van het programma ‘Vernieuwing Rijksdienst’. Veel van
deze programma's zijn weer onderverdeeld in diverse projecten en specifieke activiteiten. Hoe je het ook wendt of keert, alle beogen ze vanuit een bepaalde invalshoek bij te dragen aan een moderne en vooral beter functionerende overheid. In 2009 is het oorspronkelijke actieprogramma (loopt nog tot eind 2011) door nieuwe inzichten en ontwikkelingen verbreed waarbij het zich nu en de komende jaren vooral ook richt op het op orde brengen van bestaande kaders, verbetering van samenwerking in de archiefketen, implementeren van digitaal documentbeheer4 binnen beleidsafdelingen en het wegwerken van papieren archiefachterstanden. Bovendien zal aansluiting gezocht worden bij de ontwikkeling van een standaard rijkswerkplek binnen het programma ‘Digitale Werkomgeving Rijksdienst’. Deze verbreding staat bij de ministeries van BZK en OCW bekend als het programma ‘Modernisering Informatiehuishouding’. Dit programma loopt door tot 2015 en zal tussentijds worden geëvalueerd.
Daarnaast is eind 2008, als onderdeel van het programma ‘Vernieuwing Rijksdienst’, het Directoraat-Generaal Organisatie Bedrijfsvoering Rijk (DGOBR) van het ministerie van BZK opgericht. DGOBR heeft onder meer een coördinerende taak op het gebied van de inrichting van de informatievoorziening van het Rijk met als belangrijkste opdracht het verder professionaliseren van de bedrijfsvoering. De ministeries van BZK en OCW ontwikkelen hiervoor rijksbreed beleid en algemene kaders. Alle ministers zijn en blijven echter verantwoordelijk voor de uitvoering en implementatie hiervan in de eigen organisatie. DGOBR kan hier wel de nodige expertise en ondersteuning bij verlenen. Om ook hoger in het management van overheidsorganisaties aandacht te houden voor de kwaliteit van de informatiehuishouding en te zorgen voor voldoende samenhang tussen en sturing op diverse programma's en acties, is de rol van Chief Information Officer (CIO) binnen alle departementen belegd. De CIO is onder meer verantwoordelijk voor de departementale strategie voor informatievoorziening en ICT en bewaakt de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 11
11 09/11/10 7:08 PM
de toepassing van rijksbrede kaders zoals de Baseline Informatiehuishouding Rijk. Bovendien wordt met de rijksbrede inrichting van de CIO-rol verwacht dat de aansluiting tussen ICT en het primaire proces verbetert. In de nota die aan de basis heeft gelegen van het programma ‘Informatie op Orde’ werd reeds aangegeven dat er onvoldoende integraal toezicht is in de keten van (informatie)vorming tot bewaring. Om dit knelpunt aan te pakken, is in de tweede actielijn van het programma een aantal uitgangspunten en maatregelen gedefinieerd. Zo wordt onder andere gesteld dat de informatiehuishouding structureel onderdeel uit moet maken van de bedrijfsvoering bij de verschillende ministeries en ook zou dit moeten worden opgenomen in de verschillende cycli met betrekking tot controle, audit en toezicht. Het management van overheidsorganisaties draagt in de eerste plaats zelf de verantwoordelijkheid voor de inrichting en kwaliteit van de eigen informatiehuishouding. Dit neemt echter niet weg dat er ook voldoende mogelijkheden van buitenaf moeten zijn voor toezicht en interventie. Control en audit zijn belangrijke elementen van de interne beheersing die dus gepaard gaan met extern toezicht. INTEGRALE VISIE EN AANPAK Dat verbeteringsacties zijn en moeten worden ondernomen, is duidelijk. Om daadwerkelijk te komen tot een moderne en toekomstgerichte informatiehuishouding van de overheid moet de komende jaren nog flink wat werk worden verzet. De vraag is echter of we met de huidige aanpak en voorgestelde activiteiten op de goede weg zijn en daarbij ook voldoende rekening houden met de dynamiek die het vraagstuk kent. Met het invoeren van digitaal documentbeheer binnen alle departementale beleidskernen en het wegwerken van archiefachterstanden zijn we er nog lang niet. Het vraagstuk van duurzaam toegankelijke en betrouwbare overheidsin-
12
formatie is veel complexer en omvangrijker dan aanvankelijk werd gedacht. Door toenemende digitalisering in de maatschappij wordt betrouwbare vastlegging en overdracht van informatie meer en meer een uitdaging. Informatie moet steeds sneller en gemakkelijker beschikbaar zijn voor verschillende 5 doeleinden en ten behoeve van diverse belanghebbenden zoals burger en politiek. Met de komst van allerlei elektronische kanalen zoals het internet, wil de overheid meer en meer haar diensten digitaal aanbieden en haar informatie actief openbaar maken om zo ook de veeleisende burger tegemoet te komen. Tegelijkertijd vraagt dit om adequate beveiliging van gevoelige informatie, want voordat je het weet ligt het op straat. Het slim en gericht inzetten van ICT biedt hierbij tal van voordelen en perspectieven. De technische mogelijkheden lijken haast onbegrensd. We moeten echter vooral ook waakzaam zijn en blijven voor de onmogelijkheden ervan. Het brengt namelijk andersoortige bedreigingen en problemen met zich mee, zoals het degenereren van digitale informatie en de snelheid waarmee technologische ontwikkelingen voortschrijden. ICToplossingen blijken nu veelal overschat te worden. Digitaal werken maakt ook een kanteling in het denken noodzakelijk. Mensen zullen zich een andere manier van werken en communiceren eigen moeten maken. Binnen de verschillende bedrijfsprocessen is de menselijke factor cruciaal bij het vormen van deugdelijke en duurzaam toegankelijke informatie. De meeste mensen zijn hier in hun dagelijkse werkzaamheden immers zelf grotendeels verantwoordelijk voor en kunnen informatie veelal naar eigen inzicht en bevinden vastleggen. Dit vereist een zekere mate van discipline maar vooral ook besef en gedrevenheid bij de mensen zelf. Helaas blijken mensen zich meestal niet of nauwelijks geroepen te voelen om de informatie waar zijzelf mee werken toegankelijk te maken voor anderen. Het invoeren van digitaal
werken vraagt heel wat van de medewerkers en hun leidinggevenden. Behalve dat hierbij voldoende ondersteuning nodig is, zullen medewerkers vooral ook zelf bereid moeten zijn om op een andere manier te gaan werken. Er zal een goede balans gezocht moeten worden in de ruimte en vrijheid die ze daarbij hebben en het toepassen en handhaven van regels en procedures. Dit zal de komende jaren een flinke uitdaging vormen bij het invoeren van digitaal ondersteund werken en digitaal documentbeheer. Om informatie van begin af aan duurzaam toegankelijk en betrouwbaar te maken, is aandacht en toewijding nodig in alle lagen van het bedrijfsproces: van de werkvloer tot en met de hoogste leiding. Bovendien wil de overheid beter presteren met minder mensen. Dit vraagt om een structurele verandering in de manier van werken binnen overheidsorganisaties en in de wijze waarop dit momenteel georganiseerd is. Met de huidige initiatieven komen we een heel eind. Wat echter nog een grote uitdaging vormt, is het motiveren en mobiliseren van de verantwoordelijke managers en hun medewerkers om eerst zelf zoveel mogelijk binnen de eigen organisaties op te pakken. Naast het faciliteren, met behulp van diverse instrumenten, zijn vooral samenwerking, voorlichting, kennisdeling, het creëren van bewustwording en het bieden van de nodige ondersteuning heel belangrijke factoren om dit voor elkaar te krijgen. Ook op bestuurlijk niveau moet er voortdurende aandacht en vasthoudendheid zijn voor dit onderwerp. Voorkomen moet worden dat problemen slechts ten dele, alleen in het hier en nu of versnipperd worden aangepakt. Voor veel problemen zal nog gezocht moeten worden naar oplossingen van structurele aard. Soms zijn oplossingen niet (direct) voorhanden vanwege technologische ontwikkelingen of juist de tekortkomingen ervan. Dit vraagt om een integrale visie en een effectieve aanpak voor zowel de korte
de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 12
09/11/10 7:08 PM
als de langere termijn die tevens rekening houdt met de dynamiek van de veranderingen. Niet alleen de coördinerende ministeries maar ook organisaties vanuit de controlerende en toezichthoudende sfeer zouden een actieve rol kunnen spelen bij het realiseren van deze aanpak en de daaruit voortvloeiende activiteiten. ACTIEVE SAMENWERKING Actieve samenwerking is de komende jaren essentieel bij het inrichten en op orde krijgen van diverse informatiehuishoudingen en verwante processen. Overheidsorganisaties kunnen bij het op orde krijgen in de eerste plaats zelf met de nodige ondersteuning gebruikmaken van gezamenlijk ontwikkelde kaders en instrumenten zoals de Baseline Informatiehuishouding Rijksoverheid. Tegelijkertijd dienen ze daarbij te voldoen aan vele wettelijke regels en voorschriften. Helaas zijn veel van deze formele kaders zoals de Archiefwet niet altijd en voor iedereen even duidelijk en zijn ze veelal nog geënt op de papieren situatie. Dit maakt het soms erg lastig om een goede aansluiting te maken tussen wettelijke bepalingen en de wijze waarop hier in de (voortdurend) veranderende werkelijkheid het beste invulling aan te geven is. Zoals de omgeving verandert, zullen ook bestaande kaders moeten worden bijgesteld en soms zullen er geheel nieuwe ontwikkeld moeten worden. Bovendien zijn kaders niet altijd en direct in iedere situatie toepasbaar en zullen ze alsnog hierop toegesneden moeten worden. Het zal nog een hele opgave zijn om helder te krijgen hoe in de praktijk voor verschillende situaties en met de huidige stand van de techniek het beste invulling gegeven kan worden aan de algemene regels, principes en voorwaarden van goed informatiebeheer en -gebruik. We kunnen elkaar daar wel bij helpen door inzichten en ervaringen te delen en door nauw betrokken te zijn bij het op orde brengen van bestaande kaders voor overheidsinformatie. Het is
immers een belangrijk vertrekpunt voor alle betrokken actoren in dit speelveld. Binnen de verantwoordelijke ministeries wil men immers weten hoe ze de informatiehuishouding goed op orde kunnen krijgen en waaraan men precies moet voldoen zodat ze op basis daarvan intern en extern verantwoording kunnen afleggen. Daarentegen zullen auditdiensten, toezichthouders en andere controlerende instanties vroeg of laat en elk vanuit een bepaald verantwoordelijkheidsgebied op basis van deze kaders bepalen of en in hoeverre de ministeries hieraan voldoen en daarmee hoe het is gesteld met de informatiehuishouding. Daarom moeten we het er allemaal eerst over eens zijn wat we onder 'op orde' verstaan en hoe we dit gaan bereiken in aansluiting op de nog verder te ontwikkelen visie en aanpak. Nu blijkt veelal dat we wat dit betreft nog niet helemaal op één lijn zitten – ook de toezichthoudende en controlerende instanties onderling niet – met alle gevolgen van dien. Pas als hier een eenduidig beeld over bestaat en het eveneens goed geregeld is in de interne controle- en auditfunctie van ministeries snijdt het mes aan twee kanten. Overheidsorganisaties weten dan wat van hen wordt verwacht en kunnen hierop gericht acties ondernemen. Ze kunnen dan zelf aangeven en beargumenteren waar ze precies staan en waar de schoen mogelijk nog wringt. Auditdiensten kunnen dit vervolgens op een efficiënte en effectieve wijze vaststellen waarbij de regelmaat en intensiteit van de controles geleidelijk aan kan afnemen bij het meer en meer in control raken van de organisatie. De externe toezichtfunctie kan op den duur meer op afstand plaatsvinden zodat uiteindelijk en in het ideale geval de algehele controledruk voor dit onderwerp verlaagd kan worden. Voorop staat uiteraard dat de departementen binnen afzienbare tijd in control zijn waar het gaat om het beheer en het gebruik van hun informatie. Een dergelijke insteek waarbij ook gekeken wordt naar de mogelijkheden voor het (anders)
vormgeven en nader uitwerken van het toezichtrepertoire kan dit proces bespoedigen. Het is beter vooral ook in dit stadium om elkaar de helpende hand te bieden dan keer op keer pas achteraf te constateren dat het niet goed gaat zonder aan te geven hoe het dan wel moet of zou kunnen. Het zou mooi zijn als we meer toe kunnen werken naar wederzijds vertrouwen, waarbij verantwoording over het handelen meer en meer wordt overgelaten aan overheidsorganisaties zelf. Voorwaarde is wel dat dit vertouwen gewonnen moet worden door serieus en op transparante wijze aan de slag te gaan met het invoeren van de Baseline. Een mogelijke verschuiving in het toezichtrepertoire valt of staat hiermee. Bovendien zijn de kaders en regels er voor ons allemaal. Ook de controlerende en toezichthoudende organisaties moeten hieraan voldoen en zullen vast en zeker zelf niet alles op orde hebben.
ROL VAN DE IT-AUDITOR Waar zit, wat dit onderwerp betreft, de toegevoegde waarde van de ITauditor en de auditdiensten precies? Hiervoor werd al een tipje van de sluier opgelicht. Als we bezien in welk stadium we ons momenteel bevinden met het op orde brengen en inrichten van diverse digitale informatiehuishoudingen, dan is dit toch het moment waarop de IT-auditor (nog meer) zijn gezicht kan laten zien. Nu worden belangrijke ontwerpkeuzen de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 13
13 09/11/10 7:08 PM
gemaakt en beslissingen genomen ten aanzien van de toekomstige inrichting. Juist daarbij is een heel interessante maar vooral ook (pro-)actieve rol weggelegd voor de IT-auditor en de auditdiensten. Met alle kennis en ervaring op het gebied van informatiesystemen en -processen kan hij/zij meepraten en meedenken over het op orde brengen van bestaande kaders6 en een bijdrage leveren aan het ontwikkelen van een toekomstgerichte aanpak. Tevens kan de IT-auditor vanuit het kwaliteits- en risicodenken ondersteuning bieden bij het verantwoord inrichten en invoeren van digitaal documentbeheer. Zowel de organisatie als de IT-auditor zijn er bij gebaat om al in een vroegtijdig stadium bij elkaar te komen. De gedachte daarbij is dat de IT-auditor veel meer preventief dan repressief moet gaan acteren. Indien de digitale informatiehuishouding van een organisatie nog nauwelijks op orde is, en men wil dit op een verantwoorde wijze realiseren, dan is de organisatie meer geholpen met alle hulp en steun om dit voor elkaar te krijgen, dan met een klassieke IT-auditor die achteraf een rode kaart verstrekt. Het is dan veel zinvoller om samen met de betreffende organisatie, op basis van een risico-inschatting, een onderzoek te definiëren, dat erop gericht is om met de juiste maatregelen de kwaliteit van de informatiehuishouding naar een hoger niveau te tillen. Zo’n onderzoek kan dan een meer adviserend karakter krijgen. Daarbij moet dan wel scherp voor ogen gehouden worden dat er een strikte scheiding is tussen audit en advieswerkzaamheden. Het zou namelijk niet zuiver zijn als de auditor op een later moment een oordeel afgeeft over hetgeen hij/zij eerder heeft geadviseerd. Naast het bieden van een helpende hand zit de toegevoegde waarde van de IT-auditor en de auditdiensten met name in de samenwerking met andere betrokken actoren op dit gebied zoals de Erfgoedinspectie, de Algemene Rekenkamer, het Nationaal Archief
14
en andere auditdiensten. Vroeg of laat is de digitale informatiehuishouding voor ons allen hetzelfde object van onderzoek, weliswaar vanuit een soms iets andere positie en invalshoek. De Algemene Rekenkamer heeft onlangs aangegeven een meer actieve rol te gaan vervullen bij het op orde krijgen van de informatiehuishouding van het Rijk. Zij zullen daartoe initiatieven nemen om samen met de twee coördinerende ministeries en andere deskundigen, elk vanuit de eigen rol, een effectieve aanpak zowel voor de korte als voor de langere termijn te helpen ontwikkelen. De minister van OCW en de staatssecretaris van BZK juichen deze actieve rol van de Algemene Rekenkamer toe. Voor de IT-auditor en de auditdiensten is het van belang om hier aansluiting bij te zoeken en mee te helpen ontwikkelen aan een toekomstgerichte aanpak voor het realiseren van een duurzaam toegankelijke en betrouwbare informatiehuishouding van het Rijk. ■ Literatuur [ALGE10] Algemene Rekenkamer, Informatiehuishouding van het Rijk; Overzicht van een dynamisch vraagstuk, een achtergrondstudie, Tweede Kamer, vergaderjaar 2009-2010, 32 307, nrs. 1-2, 11 februari 2010. [BRIE10] Brief van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, 29 362, nr. 162, 16 maart 2010. [KAME06] Kamerstuk TK 2005-2006, 29 362, nr. 101, Kabinetsvisie ‘Informatie op Orde; Vindbare en toegankelijke overheidsinformatie’, d.d. 29 juni 2006. [RIJK05] Rijksarchiefinspectie, Een dementerende overheid? De risico’s van digitaal beheer van verantwoordingsinformatie bij de centrale overheid, 27 januari 2005.
Noten 1. De informatiehuishouding is het totaal aan regels en voorzieningen gericht op de informatiestromen en -opslag of archivering ter ondersteuning van de primaire processen. (vrij naar “Het Expertise Centrum: De moderne informatiehuishouding van de digitale overheid”, juni 2005). 2. Hier wordt ook de auditor bedoeld die affiniteit heeft met of meer geschoold is in inrichtings- en verandervraagstukken zoals de Internal / Operational Auditor. Informatie op orde is zowel een ICT als organisatievraagstuk waarbij beide sterk met elkaar verweven zijn. 3. De Baseline is op 7 juli 2009 bekrachtigd door het kabinet, als instrument om de informatiehuishouding van de rijksoverheid te verbeteren. De Baseline komt voort uit bestaande wetgeving en kaders en wordt ondersteund door andere algemeen geaccepteerde kaders, zoals NEN-ISO-normen. 4. Digitaal documentbeheer: digitale documenten worden op een uniforme manier in de organisatie aangemaakt of gecreëerd, benoemd en van identificerende gegevens voorzien, opgeslagen, (her)gebruikt en eventueel verwijderd. Kortom, ze worden in de organisatie op een uniforme wijze beheerd volgens de eisen van duurzame toegankelijkheid en betrouwbaarheid. Er bestaan inmiddels veel geautomatiseerde systemen die het digitaal werken ondersteunen, zoals FileNet, Hummingbird, eDocs en DOCman. 5. Informatie is van belang voor de bedrijfsvoering, de beleidsvorming en -uitvoering van de ministeries zelf, voor de verantwoording richting burger en politiek en vanwege cultuurhistorische waarde. 6. Informatiekaders die nodig zijn om de digitale informatiehuishouding op orde te brengen. Hierbij valt te denken aan het doorontwikkelen van de Baseline Informatiehuishouding Rijk op basis van nieuwe inzichten.
Ing. M.A. (Marcel) de Bruijn RE is werkzaam als IT-auditor bij de Rijksauditdienst (RAD) en heeft diverse onderzoeken gedaan naar grootschalige digitaliseringstrajecten binnen de Rijksoverheid. Daarnaast is hij nauw betrokken geweest bij het ontwikkelen van de Baseline Informatiehuishouding Rijksoverheid als onderdeel van het rijksbrede actieprogramma ‘Informatie op Orde’. Tevens is hij voorzitter van het KennisLAB expertteam Substitutie. Dit artikel is gebaseerd op zijn afstudeerreferaat aan de Erasmus Universiteit waar hij als IT-auditor afstudeerde en is geschreven op persoonlijke titel.
de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 14
09/11/10 7:08 PM
I
