IT-audits bij gemeenten, wat is de toekomst?
De rol van IT en informatiebeveiliging is de afgelopen jaren steeds belangrijker geworden bij de overheid. In mijn dagelijks werk als IT-auditor voer ik regelmatig audits uit bij gemeenten. Hier constateer ik dat er meerdere IT-audits verplicht zijn bij gemeenten, allen met een ander normenkader. Daarom heb ik voor de afstudeerscriptie van mijn postmaster onderzocht of verschillende IT-audits op het gebied van informatiebeveiliging binnen de lokale overheid gebruik kunnen maken van hetzelfde normenkader.
Momenteel zijn er drie verplichte audits, te weten DigiD, Suwinet en Wpg.
De drie audits gebruiken allen een ander normenkader, met verschillende toezichthouders en sanctionering. Over het algemeen zijn de audits bedoeld om de informatiebeveiliging te bevorderen. Daarom vertonen de verschillende auditkaders overlap op een tiental onderwerpen die in minstens twee van de drie normenkaders terugkomen.
In principe is het mogelijk om normenkaders op een dusdanige manier te combineren dat je zowel de DigiD, Suwinet als Wpg IT normen afdekt. Maar met het combineren alleen ga je eigenlijk voorbij aan een aantal andere problemen. In principe zijn deze audits bij gemeenten onderdeel van de sturing op informatiebeveiliging. En deze verloopt niet altijd even vlekkeloos. Maar waarom is dit zo lastig?
Met het combineren van een normenkader alleen zijn gemeenten nog niet meteen geholpen. Sturing op informatiebeveiliging wordt namelijk bemoeilijkt door een aantal andere zaken, bijvoorbeeld:
- Een verwachtingskloof tussen wat de auditor uitvoert en wat bestuurders denken dat een auditor doet.
- Informatiebeveiliging is voor veel bestuurders een technische aangelegenheid.
- Sturing op informatiebeveiliging is vaak nog redelijk beperkt en gebeurt vooral in het geval van een crisis.
- Er is geen verplicht governancekader. De BIO is een managementkader, dus niet bedoeld voor governance.
De aankomende NIS2-richtlijn is een uitgelezen moment om hier stappen in te zetten alle kanten. Dit biedt de kans om een aantal hervormingen toe te passen.
Voor IT-auditors zou dit het volgende betekenen:
- Leg het nut en betekenis van een audit beter uit. Dit kan bijvoorbeeld door een management letter op te stellen. In de accountantswereld is dit al heel gebruikelijk, maar in IT-auditing niet.
- Stel auditrapporten op in begrijpelijke taal. Assurancerapporten staan bol van vaktermen die voor buitenstaanders erg lastig te begrijpen zijn.
- Doe onderzoek naar het waar mogelijk integreren van normenkaders.
- Kijk of er meer aansluiting mogelijk is met andere audits zoals de jaarrekeningcontrole.
- Onderzoek mogelijkheden om gebruik te makken van nieuwe ontwikkelingen zoals het IT-auditverslag.
Ook voor de rijksoverheid en de koepelorganisatie VNG zijn er een aantal aanbevelingen:
- Onderzoek mogelijkheden om audits efficiënter te maken of te combineren.
- Houd meer rekening met volwassenheidsniveaus bij het laten uitvoeren van audits.
- Maak rapportage over IT-audits frequenter dan eenmaal per jaar.
- Maak audits meer risico-gebaseerd of rouleer meer in onderwerpen die per jaar geaudit worden.
- Voer deep-dive audits op op geselecteerde onderwerpen waar gemeenten baat hebben.
Ook gemeentes zelf moeten zelf strakker gaan sturen op informatiebeveiliging en de adviezen die bij audits worden gegeven. Dit vereist actieve participatie van alle betrokkenen en ondersteuning door GRC tooling. Audits zijn een mooi instrument, maar worden op dit moment niet effectief genoeg ingezet.
Voor meer informatie neem je contact op met Gideon van Dijk via: gideon.vandijk@highberg.com.