Transcript Ga naar het hele artikel

de EDP-Auditor nummer 4 2005
Andere Overheid,
Andere IT-auditor
Verslag van de vierde Rijksbrede IT-auditdag georganiseerd
door EDP AUDIT POOL
EDP AUDIT POOL (EAP) organiseerde op 6 oktober in Den Haag de vierde
Johan Schuyl
Rijksbrede IT-auditdag. Het grootste deel van de IT-auditors werkzaam bij de
Rijksoverheid, honderdvijfendertig personen, was aanwezig op deze dag.
De ICT-omgeving gaat veranderen
Het Programma ‘Andere Overheid’ heeft als doel de overheid efficiënter en beter te laten werken. De ontwikkelingen voor een slagvaardige en communicatieve overheid
gaan snel. ICT-oplossingen zijn het middel bij uitstek voor
het realiseren van de doelstellingen op verschillende
gebieden. Deze oplossingen gebruiken de laatste technologieën, gaan over de grenzen van departementen heen en
worden vaak niet meer door de eigen ICT-organisatie
beheerd.
De veelheid aan projecten en programma’s maakt het allemaal niet overzichtelijker. Tijd om kennis te nemen van
het palet aan veranderingen en na te gaan wat dit zal betekenen voor de IT-auditor binnen de Rijksoverheid.
Jeanot de Boer, directeur van
EDP AUDIT POOL, opende de dag
en heette de aanwezige IT-auditors
welkom. Vervolgens gaf hij het
woord aan de dagvoorzitter Arre
Zuurmond. Het was zijn taak om de
na de korte presentaties van de
sprekers de discussie met de zaal
op gang te brengen. De plenaire
lezingen werden afgewisseld met
presentaties en werkgroepvormen die op de concrete
auditpraktijk ingingen.
Arre Zuurmond begon de dag met te stellen dat IT-auditors
op grote schaal ‘uitlokking’ veroorzaken. Om dit te illustreren gaf hij het volgende voorbeeld. Bij het aanvragen van
Drs. J. Schuyl RE is als IT-auditor werkzaam bij EDP AUDIT
POOL in Den Haag en maakte deel uit van de organisatie van
dit symposium.
een uitkering moet een burger langs verschillende loketten
voor de intake. Bij al deze loketten, Centrum voor Werk en
Inkomen (CWI) en de Sociale Dienst worden dezelfde
domme vragen gesteld. De auditor wil niet alleen dat al die
vragen beantwoord worden, maar wil ook nog eens bewijzen zien van de antwoorden. Hoewel dit misschien een
logische eis lijkt, zijn de bewijzen over het algemeen uitdraaien van andere overheidscomputers.
De gegevens zijn al bekend! Op deze manier bieden we de
burger de mogelijkheid om een fout antwoord te geven en
daarmee weg te komen. De controle op de antwoorden zal,
door de hoeveelheid aan gegevens, ten slotte via een steekproef plaatsvinden waardoor het lang duurt en de kans
bestaat dat fouten niet ontdekt worden: uitlokking dus.
Om uitlokking te voorkomen zal de overheid moeten
evolueren van een functioneel hiërarchische organisatie
naar een platte vraaggerichte organisatie. IT kan dit faciliteren. De eerste spreker gaf een toelichting hoe IT hierbij
ingezet gaat worden.
De elektronische overheid:
ontwikkelingen en perspectief
Harry van Zon, Directeur Innovatie- en Informatiebeleid Openbare Sector bij het ministerie van
Binnenlandse Zaken en Koninkrijksrelaties
Harry van Zon schetste de veranderingen die het programma Andere
Overheid wil bewerkstelligen. Het
belangrijkste thema is het centraal
stellen van de klant, burgers en
bedrijven. Binnen dit thema zijn
drie onderwerpen gedefinieerd:
• herontwerp ‘Den Haag’;
• Elektronische Overheid (ELO);
• terugdringen bureaucratie.
51
52
de EDP-Auditor nummer 4 2005
In het vervolg van de lezing wordt de Elektronische
Overheid verder onder de loep genomen. Dit programma
is geen doel op zich maar een middel om onder andere het
terugdringen van de bureaucratie te bewerkstelligen. De
Elektronische Overheid komt snel, de ontwikkelingen
gaan ontzettend hard en zullen enorme consequenties hebben voor het werk van de IT-auditors. Welke dat zijn is
Harry van Zon nog niet duidelijk, maar hij spreekt de
hoop uit dat de beroepsgroep het wél weet.
De stand van zaken op dit moment. De ‘front office’ is goed
ontwikkeld, iedere overheidsorganisatie heeft zijn eigen
website en praktisch alle overheidsproducten zijn systematisch ontsloten. De overheidsinformatie wordt steeds toegankelijker en de hoeveelheid informatie neemt sterk toe.
Ontsluiting van informatie is een basis; maar het moeilijkste komt nog, de aanpassing van de backoffice. Dit is
noodzakelijk om aan de vraag naar transacties en op de
aanvrager toegesneden informatie te kunnen voldoen.
Hierbij is samenwerking onontbeerlijk. Om de samenwerking te stimuleren zijn zeven diensten gedefinieerd die
ontwikkeld worden voor gemeenschappelijk gebruik:
1. Elektronische toegang tot de overheid (overheid.nl en
bedrijvenloket, PIP, www.mijnoverheid.nl)
2. Elektronische authenticatie (DIGID)
3. Eénduidige nummers voor personen (BSN)/bedrijven (BIN)
4. Basisregistraties (zoals personen, bedrijven en percelen)
5. Elektronische identificeringsmiddelen (eNIK)
6. Elektronische informatie-uitwisseling (standaarden, uitwisselingsinfrastructuur)
7. Gemeenschappelijk beheer
Met deze domeinen zal stap voor stap vooruitgang moeten
worden geboekt om te komen tot een elektronische overheid waarin burgers via verschillende kanalen contact
kunnen hebben met de overheid. Dit is een groeimodel,
een proces en expliciet géén project op basis van een
blauwdruk. Harry van Zon verwacht van de IT-auditors
een gezonde kijk en perspectief op de ontwikkelingen. Hij
weet dat de banken geworsteld hebben met concepten als
mijnbank.nl en met de vraag hoe zulke sites het vertrouwen van de klanten kunnen krijgen. Bovendien zal duidelijk moeten zijn wat de kwaliteitseisen zijn die aan de
gemeenschappelijke diensten moeten worden gesteld. Met
name de basisregistraties zullen aan hoge eisen moeten
voldoen en vaak onderwerp van audits worden.
Workshops ochtend sessie
Na de eerste plenaire lezing volgde een parellel sessie van
een viertal workshops, waarin ervaringen uit de praktijk
centraal stonden.
Versnellingskamer:
snelkookpan voor ideeën
Arre Zuurmond
Het doel van een versnellingskamer is een groep mensen in een
beperkte tijd gezamenlijk een probleem te laten bespreken en eventueel op te lossen. Voor deze dag is
de vraag gesteld wat het
Programma Andere Overheid concreet betekent voor het werk van
de IT-auditor. Dit wordt ondersteund door computers voorzien
van group decision software. De versnellingskamer werd
geleid door de dagvoorzitter Arre Zuurmond. In een uur is
gepoogd om tot concrete antwoorden te komen. Alle deelnemers verwachtten meer ketens en meer afhankelijkheden. Zij waren zich doordrongen van het feit dat de
auditor meer moet participeren in de E-overheidprogramma’s en de relaties tussen de verschillende objecten in
kaart moet brengen.
Trends in outsourcing
Martin van Duykerren, Max Huijbers (Getronics/
PinkRoccade), Jan Roodnat, Dinant Dikkers,
Peter Doorduin (EAP)
De redenen om te kiezen voor outsourcing van IT kunnen
verschillend van aard zijn. Probleemgedreven, als de eigen
afdeling er niet meer uit komt. Kostengedreven, als
bedrijfseconomische redenen kostenreducties noodzakelijk
maken. Of strategisch gedreven, om te kunnen focussen
op de core-business. Met name het inzetten van outsourcing als strategisch managementgereedschap is in
opkomst. In deze workshop zijn de trends in outsourcing
geschetst door experts van Getronics/PinkRoccade.
ICT-contracten: opstap
naar een beter ICT-beheer?
Willem van Loenen Martinet (SenterNovem),
Madan Ramrattansing (EAP)
Departementen keren terug naar hun kerntaken. De inzet
van ICT wordt gezien als een ondersteunende taak en
wordt steeds vaker buitenshuis geplaatst. Shared services
en outsourcing: het op afstand zetten van ICT-diensten
benadrukt het belang van de wederzijds te maken afspraken
rondom deze dienstverlening. Hebben we de dienstverlening
goed geborgd? Zijn de afspraken over en weer helder?
Krijgen we wat wordt verwacht? Kortom, zijn ICT-contracten en SLA’s een goede basis voor de ICT-dienstverlening
de EDP-Auditor nummer 4 2005
en dragen ze bij tot het verminderen en beheersen van
risico’s in de bedrijfsvoering?
Het klinkt zo simpel: een overeenkomst waarin de wederzijdse rechten en plichten van alle betrokken partijen zijn
verwoord en die voor alle partijen duidelijk en werkbaar is.
De praktijk blijkt echter weerbarstig te zijn. Wat zijn de
succes- en faalfactoren? In de workshop is met de deelnemers van gedachten gewisseld over de mogelijkheden
en beperkingen van een ICT-contract en over de randvoorwaarden die daarbij in acht moeten worden genomen.
Open Source, wat betekent het
voor de IT-auditor?
Stephan Wildeboer (ICTU), Teus van der Plaat
(Ministerie van Defensie, DTO),
Kees van de Maarel, Ad Buckens (EAP)
Is open source software de oplossing voor alle ICT-problemen? Is open source wel veilig? Waar kun je open source
voor gebruiken en waar is het al ingezet? Kortom, wat zijn
de eventuele risico’s en de valkuilen bij de aanschaf en het
gebruik van open source software. En wat zijn de aandachtspunten daarbij voor de IT-auditor? Rond open source software leven nog veel vragen en onduidelijkheden. Tijdens de
workshop is eerst het theoretische verhaal van open source
verteld. Daarna werd door de ervaringsdeskundigen verteld
hoe open source ook binnen de overheid steeds prominenter
aanwezig is en zal zijn. Mede door een actieve bijdrage van
de aanwezigen werd het een interactieve sessie waarin uitgebreid van gedachten werd gewisseld over de consequenties
van open source voor de informatievoorziening van de overheid, de rol van de IT-auditor daarbij en de te hanteren normen. Tot slot werd geconcludeerd dat open source software
een bijdrage kan leveren aan de wens van de Andere
Overheid effectiever en beter te werken. Dit kan bovendien
op betrouwbare wijze gebeuren. Het gebruik van open source zal ook binnen de overheid grote(re) vormen aannemen.
De IT-auditor moet hier op voorbereid zijn!
De elektronische overheid:
realisatie en controle
Michel Bouten, Programmamanager Elektronische
Overheid, ICTU
Michel Bouten begint zijn presentatie met de vraag wie is uitgedaagd na het verhaal van Harry van
Zon. Ruim een derde van de zaal
steekt zijn of haar hand op.
Dan vervolgt hij met een schets
van de huidige stand van zaken,
de projecten die lopen en de concrete verwachtingen wanneer deze projecten klaar zijn. Al snel wordt duidelijk dat
de grote ontwikkelingen die Harry van Zon in abstracte
termen heeft geschilderd voor een groot deel heel tastbaar
zijn en in de komende twee, drie jaar gerealiseerd gaan
worden. De basisregistraties zijn gepland om in 2008 klaar
te zijn en de status authentiek te hebben.
Authenticatie diensten als DigiD en eNIK (elektronische
Nationale Identiteits Kaart) moeten al eerder gerealiseerd
zijn. Deze diensten zijn nodig bij het maken van functionaliteiten die de burger centraal stellen.
Naast de basisdiensten zijn er nog tal van andere ontwikkelingen, zoals e-formulieren, een rijksbreed contactcentrum,
mijnoverheid.nl, die al spelen of dat op de korte termijn gaan
doen. Bij al deze ontwikkelingen zijn afspraken tussen verschillende organisaties van levensbelang. Voor de auditor ligt
hier een rol om na te denken over standaarden, de implementatie van de standaarden maar ook om invulling te geven
aan de normenkaders die gebruikt zullen worden.
De nachtmerrie die zou kunnen ontstaan is dat in het
netwerk van applicaties en diensten alle organisaties een verklaring van de (IT-)auditor vragen op andere deelgebieden
waardoor een veelvoud aan onderzoeken en verklaringen
ontstaat. De oplossing om afspraken te maken tussen
de verschillende partijen ligt voor de hand, maar het is aan
de auditors om hier invulling aan te geven.
Workshops middagsessie
Aanvraag verklaring omtrent gedrag
gedigitaliseerd
Ron van ’t Boveneind (EAP)
Een verklaring omtrent gedrag, alle RE’s hebben dit document moeten aanvragen. Op grond van nieuwe wetgeving is
dit proces gecentraliseerd en gezien het aantal te verwerken
aanvragen geautomatiseerd. Via welke wegen verloopt
dit geautomatiseerde proces? Hoe zorgvuldig worden de
vaak privacygevoelige berichten verstuurd? Allemaal vragen
die de noodzaak van een audit duidelijk maken. Welke
aanpak kun je als auditor kiezen voor een audit naar deze
digitale aanvraagprocedure?
De audit die op het systeem is uitgevoerd is in deze workshop belicht. Met de deelnemers is gediscussieerd over de
audit aanpak.
Basisregistratie percelen via internet:
audit op een E-applicatie in de praktijk
Jan Sol (Auditdienst Dienst Regelingen),
Erik Pothast, Ad Buckens (EAP)
Aan de hand van een concreet praktijkvoorbeeld is in deze
53
54
de EDP-Auditor nummer 4 2005
workshop ingegaan op de implementatie van een Esysteem. Bij Dienst Regelingen (agentschap van het
ministerie van Landbouw, Natuurbeheer en
Voedselkwaliteit) is in 2005 de applicatie E-BRP in
gebruik genomen. E-BRP is de afkorting van de applicatie
‘Elektronische dienstverlening BasisRegistratie Percelen’
en ontsluit de registratie van percelen van boeren via
internet.
De systeemeigenaar is ingegaan op de voordelen en risico’s van een elektronische applicatie, de gevolgen voor de
organisatie en de relatie met de klant. Daarnaast zijn een
aantal specifieke punten voor het uitvoeren van een ITaudit op een systeem als E-BRP belicht.
Interdepartementale projecten
Jan Helgering (Quint Wellington), Jan van Driel
(Ministerie van VROM), Tjerk Brouwer (Ministerie
van Defensie), Jan Roodnat (EAP)
Als gevolg van een toenemende samenwerking binnen de
Rijksdienst neemt het aantal interdepartementale (IT-)projecten toe. Slechts bij enkele projecten is een IT-auditor
betrokken. Waarom is de IT-auditor nog geen vanzelfsprekende partner in IT-projecten en wat moet de IT-auditor
doen om dit wel te zijn? In deze workshop hebben een
tweetal projectleiders hun visie gegeven op de inzet van
de IT-auditor bij interdepartementale projecten. Eén projectleider is sterk voorstander van het inzetten van ITauditors bij projecten, voor de ander is dit geen
vanzelfsprekendheid.
De andere auditor
Jan Willem Holtslag,
Secretaris-Generaal BZK
Jan Willem Holtslag introduceert
zichzelf als ontzettend ondigitaal
en vindt het een uitdaging om
mensen toe te spreken die een
vak uitoefenen dat hij niet
beheerst. Vanuit zijn eigen expertise zal hij het auditvak belichten
in het kader van de ontwikke
lingen rond de Andere Overheid.
De verwachtingsdruk op de overheid is enorm. Het is
opmerkelijk te noemen dat het wel mogelijk is om vanuit
Nederland een kano te reserveren in Nieuw-Zeeland, maar
dat iemand voor een uittreksel uit de Gemeentelijke Basis
Administratie zich moet vervoegen bij het loket. Om de
zojuist geschetste verwachtingskloof te dichten zal een
herontwerp nodig zijn. De Andere Overheid geeft daar
voor een gedeelte invulling aan. De ontwikkelingen zijn
niet te stoppen maar zullen ook niet altijd even soepel
lopen. Soms zal het (overheids)apparaat piepen en knarsen. ‘Als u dat hoort dan weet u, dat is de vernieuwing.’
De uitdaging voor de IT-auditor zit in het aan de voorkant
staan van nieuwe projecten zonder de auditrol te verliezen. De auditfunctie binnen de rijksdienst moet dus een
duidelijk beeld hebben van de projecten die binnen de
Elektronische Overheid spelen. Om hier invulling aan te
geven zijn drie zaken noodzakelijk:
1. Ga vooraan staan bij projecten.
2. Houdt het management bij de les.
3. Kies de insteek van het risicomanagement.
De auditor zelf moet een schaap met vijf poten zijn die
zijn werk leuk vindt, nieuwsgierig is, kan vechten voor
de plek in het project, actuele kennis bezit zowel op het
gebied van IT als van de organisatie en moet kunnen
integreren.
Arre Zuurmond stelt Jan Willem Holtslag de vraag hoe
hij een traject als de Andere Overheid aanstuurt en met
obstakels omgaat.
Jan Willem Holtslag gaat uit van een coalitie van gewilligen. Je kunt beter energie steken in de mensen die ervoor
gaan en iets tot stand brengen dan de onwilligen proberen
voort te slepen. De mensen die niet willen kom je vanzelf
nog wel een keer tegen, als de ontwikkelingen zover zijn
dat er geen weg terug meer is. Dan is het tijd om je met
de tegenstribbelaars te bemoeien
Jan Willem Holtslag sluit af met de woorden: ‘Ik ben
blij dat u er bent om ons met de benen op de grond te
houden.’
Opening website
Na de lezingen werd de dag afgesloten met de officiële
opening van de nieuwe website van EDP AUDIT POOL
(www.eap.nl). Hennie Varenbrink, voorzitter van de
Coördinatie Commissie EDP AUDIT POOL, verrichtte de
openingshandeling waarbij het glas geheven werd. De site
bevat een kenniscentrum voor IT-auditors binnen de
Rijksoverheid en vult op zijn eigen manier daarmee een
stukje Elektronische Overheid in.
Links voor meer informatie
www.elo.nl
www.ictu.nl
www.andereoverheid.nl
www.eap.nl