IT-onderzoek bij de Algemene Rekenkamer
2 december 2019 om 11:21 0 reacties
IT staat volop in de aandacht én is een heet hangijzer. Investeringen in IT zijn noodzakelijk; tegelijkertijd gaat er geregeld wat mis met IT-projecten en met IT-beheer, ook binnen de publieke sector. Het is daarom niet vreemd dat de Algemene Rekenkamer (AR) aandacht heeft voor IT.
De Algemene Rekenkamer heeft als Hoog College van Staat een eigen taak, gereguleerd door de Grondwet en de Comptabiliteitswet. Binnen het onderzoek van de Algemene Rekenkamer passen ook onderzoeken naar IT. Zij besteedt aandacht aan IT in het kader van de financial audit (onderdeel van het jaarlijks verantwoordingsonderzoek) en verricht daarnaast separate IT-onderzoeken. In dit artikel, gebaseerd op een afstudeeronderzoek ten behoeve van de opleiding IT Auditing & Advisory, presenteren de auteurs welke aandacht de Algemene Rekenkamer heeft besteed aan IT-thema’s in haar gepubliceerde rapporten van de afgelopen vijftien jaar1. Dit onderzoek draagt bij aan het verkrijgen van inzicht in de rol die de externe controleur van het Rijk speelt op IT-gebied: aan welke IT-thema’s besteedt zij vooral aandacht en aan welke minder/niet, en wat zijn de belangrijkste bevindingen geweest?
De Algemene Rekenkamer binnen de controlepiramide
De Algemene Rekenkamer is niet de enige controleur binnen de rijksoverheid. Er is sprake van een controlepiramide, waarbij naast de three lines of defense de Rekenkamer als vierde line of defense optreedt. Binnen de ministeries fungeren drie controlelagen: allereerst de interne beheersing van de beleidsverantwoordelijke directies en de uitvoerende diensten, ten tweede de verbijzonderde interne beheersing door de directies Financieel-Economische Zaken, en ten derde de interne auditfunctie door de Auditdienst Rijk.
De tweede laag betreft de directies Financieel-Economische Zaken (FEZ) binnen de departementen. Deze directies zijn binnen een departement verantwoordelijk voor het begrotingsproces, maar hebben ook een belangrijke taak ten aanzien van control, toezicht en advies. De derde laag wordt gevormd door de Auditdienst Rijk (ADR). De ADR is een onderdeel van het Ministerie van Financiën en vervult vanuit een onafhankelijke positie de interne auditfunctie van de rijksdienst. Vanuit deze functie is de ADR onder andere betrokken bij financiële, organisatie- en IT-vraagstukken. Bijzonder, internationaal gezien, is hierbij de certificerende functie van de ADR: de accountantscontrole die de ADR bij de verschillende departementen uitvoert leidt tot een verklaring bij het jaarverslag van een departement.
Zoals gezegd vormen deze actoren een controlepiramide. Een departement is, onder aanvoering van FEZ, verantwoordelijk voor een goede interne beheersing (control). De ADR onderzoekt deze interne beheersing en maakt daar waar mogelijk gebruik van bij de uitvoering van de eigen auditwerkzaamheden. De Algemene Rekenkamer tot slot kijkt vanuit haar rol als externe controleur weer naar het functioneren van de ADR en de directies FEZ. Zowel de ADR als de Algemene Rekenkamer zullen keuzes (moeten) maken bij de uitvoering van hun taken: integraal controleren is vanuit wet- en regelgeving niet noodzakelijk en bovendien ook niet mogelijk, alleen al gelet op de beschikbare capaciteit. Beide partijen maken dus een, risicogericht, keuzeproces door: wat onderzoeken we wel en wat onderzoeken we juist niet?
Inzoomend op de rol van de Algemene Rekenkamer ligt het vanuit deze optiek voor de hand dat de Algemene Rekenkamer jaarlijks bepaalt aan welke onderwerpen zij de schaarse onderzoekcapaciteit wil toebedelen. Ook ten aanzien van te onderzoeken IT-onderwerpen. Overwegingen die hierbij een rol zouden kunnen spelen, zijn:
- Waar liggen de belangen van parlement en burgers?
- Welke (IT-)onderwerpen zijn het meest risicovol?
- Welke werkzaamheden voert de ADR al uit? Kan daar gebruik van worden gemaakt? En wat kan de Rekenkamer nog aanvullend zelf doen?
Dergelijke vragen/overwegingen zullen transparant moeten worden vastgelegd en ook moeten leiden tot een (langetermijn) onderzoeksagenda. De Algemene Rekenkamer zal bij de keuze van te onderzoeken IT-onderzoekthema’s dus rekening houden met werkzaamheden van met name de ADR, als interne auditfunctie.
De Rekenkamer speelt een belangrijke rol in het publieke bestel. Haar onderzoeksrapporten worden gebruikt door het parlement, burgers, ministeries en vele andere actoren. De Rekenkamer functioneert als externe controleur van het Rijk en kan daarnaast ook onderzoeken doen bij aan het Rijk gelieerde instellingen, relatief autonome instellingen op afstand van de rijksoverheid. De missie van de Algemene Rekenkamer is om via onderzoek het presteren en functioneren van de rijksoverheid te helpen verbeteren. Zij onderzoekt of de rijksoverheid netjes en volgens afspraken met het haar toevertrouwde geld omgaat, de rijksoverheid het geld zinnig, zuinig en zorgvuldig uitgeeft, en burgers waar voor hun geld krijgen.
Wet- en regelgeving en standaarden
Een eerste te beantwoorden vraag luidt: welke nationale wet- en regelgeving en internationale richtlijnen voor nationale rekenkamers (Supreme Audit Institutions) zijn van toepassing op de taak van de Algemene Rekenkamer op het gebied van onderzoek naar IT bij het Rijk en gelieerde instellingen?
Uit ons onderzoek bleek dat er geen nationale wet- en regelgeving is die de Algemene Rekenkamer verplicht onderzoek naar IT bij het Rijk en gelieerde instellingen te verrichten. De internationale standaarden voor rekenkamers, de ISSAI’s, waar ook de Algemene Rekenkamer zich aan committeert, bevatten wel enige, breed geformuleerde verplichtingen in het kader van de financial audit, en verder vooral guidance (niet-verplicht) voor het verrichten van IT-onderzoek: ISSAI 5300 – Guidelines on IT Audit en de verdere uitwerking hiervan in het Handbook on IT audit for Supreme Audit Institutions van de INTOSAI Working Group on IT Audit (WGITA) & INTOSAI Development Initiative (IDI). Uit deze twee laatstgenoemde bronnen hebben wij een bruikbaar analysekader voor ons onderzoek kunnen destilleren.
IT-thema’s
Een vervolgvraag luidt: aan welke IT-thema’s zou de Algemene Rekenkamer als Supreme Audit Institution volgens het analysekader aandacht kunnen/moeten besteden?
Volgens ons analysekader, ontleend aan ISSAI 5300 en het Handbook on IT audit for Supreme Audit Institutions, zou de Algemene Rekenkamer als Supreme Audit Institution aandacht kunnen (niet moeten) besteden aan de volgende IT-thema’s (waarbij elk thema subthema’s kent):
- IT-governance (vijf subthema’s);
- Ontwikkeling & acquisitie (development & acquisition; vijf subthema’s);
- IT-beheer (IT operations; vier subthema’s);
- Uitbesteding (outsourcing; tien subthema’s);
- Uitwijk & herstel (business continuity plan & disaster recovery plan; negen subthema’s);
- Informatiebeveiliging (IS security; acht subthema’s);
- Application controls (vier subthema’s);
- Overige onderwerpen (zes subthema’s).
Tot de IT-onderzoeksrapporten met IT als hoofdonderwerp behoren onder andere:
Communicatienetwerk C2000 en Geïntegreerd Meldkamersysteem (2003), ICT bij de Politie (drie keer: 2003, 2011 en 2016), Grip op informatievoorziening - IT-governance bij ministeries (2006), Aanbesteding ICT-component P-Direkt (2007), Lessen uit ICT-projecten bij de overheid (twee keer: 2007 en 2008), ICT-project huur- en zorgtoeslag (2008), Open Standaarden en opensourcesoftware bij de Rijksoverheid (2011), Aanpak van ICT door het Rijk 2012 - Lessons learned (2013) en Vernieuwing stelsel voor digitale identificatie en authenticatie (eID-stelsel) (2016).
Ter illustratie geven wij wat meer informatie over het rapport ICT politie 2016 - Vervolgonderzoek naar ICT-governance en de basisvoorzieningen voor handhaving en opsporing bij de nationale politie, gepubliceerd op 13 december 2016. De conclusies luiden dat de politie sinds 2011 op ICT-gebied vooruitgang heeft geboekt, vooral wat betreft ICT-governance; de ICT-strategie moet nog wel duidelijker gekoppeld worden aan strategische doelen; er zijn voldoende middelen beschikbaar om vastgestelde voorgenomen ICT-ambities waar te maken. De IT-thema’s zijn: IT-governance (subthema’s business needs identification, direction & monitoring, IT strategy, people & resources), ontwikkeling & acquisitie (subthema requirements development & management) en IT-beheer (subthema service management).
We komen nu bij de kernvraag van ons onderzoek: over welke IT-thema’s heeft de Algemene Rekenkamer de afgelopen vijftien jaar (2003-2017) gerapporteerd in haar onderzoeksrapporten en wat waren de voornaamste bevindingen?
Uit de 371 publicaties van de Algemene Rekenkamer (2003-2017) in de vorm van een rapport, webpublicatie of factsheet, zijn 65 publicaties geïdentificeerd die (deels) betrekking hebben op IT. Deze 65 rapporten, aangevuld met twee Kamerbrieven van de Algemene Rekenkamer over IT, dus in totaal 67 publicaties, zijn vervolgens nader geanalyseerd. De publicaties kunnen worden gekarakteriseerd als IT-onderzoeksrapporten, onderzoeksrapporten met IT-component, jaarlijkse verantwoordingsonderzoeken: Staat van de Rijksverantwoording en Nationale verklaring, en brieven. Een vierde (17) van de 67 publicaties heeft heel uitgebreid aandacht voor IT-thema’s, een zesde (11) van de publicaties heeft substantieel aandacht voor IT als deelonderwerp, en het grootste deel (bijna 60%, 39) besteedt in beperkte mate aandacht aan IT.
Het beeld van de bevindingen is zo gevarieerd, dat een samenvatting ondoenlijk is. Wel hebben wij geconstateerd dat uit terugkerende onderzoeken enkele hardnekkige IT-problemen naar voren komen:
- tekortschietende informatiebeveiliging, met name moeite om te voldoen aan de voorschriften van het Voorschrift en de Baseline Informatiebeveiliging Rijk (VIR/BIR);
- problemen in de implementatie en beheersing van IT-projecten: vertragingen, kostenoverschrijdingen, ontoereikende identificatie van gewenste functionaliteit, falend projectmanagement;
- tekortschietende IT-governance (sturing en beheersing van de IT), waaronder de kloof tussen ‘business’ en IT, ontoereikende organisatie van de IT-functie, onvoldoende informatievoorzie-ning aan de Tweede Kamer;
- een tekort aan IT-expertise en -capaciteit bij de rijksoverheid;
- hardnekkige problemen bij de IT van grote uitvoeringsdiensten, met name de politie en de Belastingdienst (‘legacy’-problematiek)
Figuur 1. IT-thema’s in rapporten
Interessant is om vast te stellen naar welke van de mogelijke IT-thema’s de aandacht van de Algemene Rekenkamer in de periode 2003-2017 vooral is uitgegaan en aan welke IT-thema’s de Rekenkamer weinig of geen aandacht heeft besteed.
IT-governance, ontwikkeling & acquisitie en informatiebeveiliging zijn de meest voorkomende IT-thema’s in de Rekenkamerrapporten. De minste aandacht gaat uit naar uitwijk & herstel, uitbesteding en application controls.
Wat IT-governance betreft zijn vijf subthema’s onderkend. In de rekenkamerrapporten gaat de meeste aandacht uit naar de subthema’s business needs identification, direction & monitoring (komt voor in 31 rapporten), organisational structures, policy & procedures (in 22 rapporten), IT strategy (13 rapporten) en people & resources (12 rapporten).
Bij ontwikkeling & acquisitie zijn eveneens vijf subthema’s onderkend. In de rekenkamerrapporten zijn de subthema’s project management & control (in 25 rapporten), requirements development & management (20 rapporten) en quality assurance & testing (12 rapporten) het meest voorkomend.
Bij informatiebeveiliging ten slotte zijn acht subthema’s te onderkennen. De subthema’s organization of IT security (in 24 rapporten), information security policy (21 rapporten) en access control (12 rapporten) komen het meeste voor.
Slotbeschouwingen
Tot slot geven wij nog enige duiding bij de onderzoeksresultaten.
Ten eerste is gebleken dat de Algemene Rekenkamer veel aandacht heeft voor de bestuurlijke en organisatorische kant van IT, en duidelijk minder voor de technische kant. Dit is ons inziens niet verwonderlijk. De Algemene Rekenkamer is gepositioneerd in de top van de controlepiramide van het Rijk en kan en zal gebruik maken van werkzaamheden van de derde line of defense, de Auditdienst Rijk. De Algemene Rekenkamer heeft primair als doelgroep het Parlement (en daarmee de burger), een duidelijk minder technisch-geïnteresseerde doelgroep. Verwacht mag worden dat deze doelgroep vooral interesse heeft voor de bestuurlijke kant van IT. Daarnaast programmeert de Algemene Rekenkamer risicogericht onderzoek in aanvulling op al bestaand IT-onderzoek van de ADR. Tot slot is de Algemene Rekenkamer een relatief kleine organisatie met een veel beperktere onderzoekscapaciteit dan de andere lines of defense. De Rekenkamer zal haar IT-aandacht dus zeer gericht moeten inzetten, en zal zich daarbij vooral concentreren op grote thema’s die de doelgroep interesseren (afgezien van de noodzakelijke aandacht voor IT binnen haar jaarlijkse verantwoordingsonderzoek, zoals informatiebeveiliging en privacy).
Ten tweede heeft de Algemene Rekenkamer in het kader van haar verantwoordingsonderzoek een natuurlijke rol, gericht op compliance van verplichte IT-onderwerpen. Dit betreft vooral informatiebeveiligingsthema’s. Dit verklaart mede de relatief grote aandacht voor informatiebeveiliging.
Ten derde blijken de IT-audits van de Algemene Rekenkamer meestal uitgevoerd te worden: (1) op verzoek van de Tweede Kamer, (2) omdat het een belangrijke nieuwe ontwikkeling is (gaat vaak samen met een verzoek van de Kamer), (3) omdat het verplicht is (informatiebeveiliging in kader van verantwoordingsonderzoek), waarbij (4) IT als ‘bijproduct’ in een onderzoek meegenomen wordt (IT opkomend als verklarende factor van een probleem).
Tot slot merken wij op dat de aandacht voor IT als deelonderwerp in veel Rekenkamerrapporten naar onze mening niet onverwacht is. IT is vaak een oorzaak van een beleids- of uitvoeringsprobleem, en krijgt dan aandacht in een performance audit over een breder onderwerp. IT is verder vaak een deelonderwerp in grote, jaarlijks terugkerende onderzoeken (Staat van de Rijksverantwoording, Rapport bij de Nationale verklaring).
Duidelijk is dat ‘IT is here to stay’ in rekenkameronderzoek. De ontwikkelingen gaan razendsnel en ook de Algemene Rekenkamer zet nieuwe stappen in haar IT-onderzoek. De komende vijftien jaar zal IT naar onze stellige verwachting steeds meer aandacht krijgen in de rapporten van dit Hoog College van Staat.
Drs. P.A. Neelissen MA RA EMITA CIA is onderzoeker/specialist financial & IT audit bij de Algemene Rekenkamer. C. Ros RA EMITA is onderzoeker/specialist financial & IT audit bij de Algemene Rekenkamer.
Noot
- Dit artikel is op persoonlijke titel geschreven. De auieurs bedanken drs. S.A.L. Wakkerman RA MGA en M.L. de Zwart voor hun commentaar.
Literatuur
- Wet van 22 maart 2017, houdende regels inzake het beheer, de informatievoorziening, de controle en de verantwoording van de financiën van het Rijk, inzake het beheer van publieke liquide middelen buiten het Rijk en inzake het toezicht op het beheer van publieke liquide middelen en publieke financiële middelen buiten het Rijk (Comptabiliteitswet 2016), Den Haag, 2017.
- International Organisation of Supreme Audit Institutions (INTOSAI), ISSAI Framework, Wenen, 2018 (bevat alle individuele ISSAI’s, te vinden op www.issai.org; zie hieronder de in het bijzonder geraadpleegde ISSAI’s).
- International Organisation of Supreme Audit Institutions (INTOSAI), ISSAI 5300 - Guidelines on IT Audit, Wenen, 2016.
- International Organisation of Supreme Audit Institutions (INTOSAI), ISSAI 5310 - Information System Security Review Methodology - A Guide for Reviewing Information System Security in Government Organisations, Wenen, 1995.
- INTOSAI Working Group on IT Audit (WGITA) & INTOSAI Development Initiative (IDI), Handbook on IT audit for Supreme Audit Institutions, Wenen, 2014.