ENSIA: checklist om ‘in control’ te komen

De gedachte achter de collegeverklaring als sluitstuk van de ENSIA-verantwoording is dat de gemeente zelf aantoonbaar in control is. Ik herhaal: dat de gemeente zelf aantoonbaar in control is. Te vaak wordt mij echter als auditor bij het aanleveren van de vereiste bewijslast gevraagd: is het dan zo voldoende? Dat roept bij mij het gevoel op dat de ENSIA-verantwoording meer wordt gezien als een doel op zich. Dat controlewerkzaamheden vooral voor de auditor worden uitgevoerd en het doel is de vereiste deadlines te halen. Of extra kosten van een hertest te vermijden.

Echter, is het niet effectiever om jezelf af te vragen: als je dan toch tijd, aandacht, energie en budget steekt in de controles en audits; waarom doe het dan niet zo dat het je verder helpt? Waarom de ENSIA-verantwoording niet als een middel zien? Sterker nog: gebruik de verantwoordingscyclus om ervan te leren. Om stap voor stap informatiebeveiliging naar een hoger niveau te brengen. Want dat is het uiteindelijke doel van ENSIA.

Nog meer voordelen

Nog niet volledig overtuigd? Denk eens aan voordelen als minder rompslomp en geen zaken dubbel hoeven te doen (en daardoor ook minder overbodige kosten). Of medewerkers makkelijker meenemen in het waarom van de controlewerkzaamheden.

Lees ook: ENSIA-verantwoording: weer race tegen de klok?

In control met ENSIA

Terug naar de controleverklaring. In de meest ideale situatie hoop ik als auditor een CISO aan te treffen die zegt: ‘Hier is de concept collegeverklaring, wij voldoen aan alle vereisten. En hier is de onderliggende bewijslast, waarin wij per norm aangegeven hebben waarom wij vinden dat we hieraan voldoen.’ Kijk, dan zit je als CISO achter het stuur en ben je in control!

Achter het stuur

Wat deze CISO’s anders doen? Mijns inziens de volgende drie dingen:

  1. Van doel naar resultaat
    Zij zorgen dat de documenten, die als bewijslast dienen, het resultaat zijn van de intern uitgevoerde controles (en niet het doel).
  2. Kritisch naar de resultaten
    Zij gaan binnen hun gemeente het gesprek aan over de vraag: waarom vinden wij dat we aan de norm(en) voldoen?
  3. Denken in een (PDCA-)cyclus
    Controles, bewijslast en overwegingen (CHECK) vormen voor hen het uitgangspunt voor verbeteracties (ACT) én het vertrekpunt voor de volgende controlecyclus (PLAN). Bij een volgende controle (DO) volstaat dan een check of er in de opzet (beleid, contracten, procedures) nog wijzigingen zijn en dient enkel het bestaan en (in de toekomst) de werking vastgesteld te worden.

Geïnspireerd door deze andere benadering van die jaarlijkse race tegen de klok voor de ENSIA-verantwoording? Bij deze daag ik CISO's en ENSIA-coördinatoren uit om achter het stuur te gaan zitten! Wie durft?

Wij helpen gemeenten op weg!

Baker Tilly heeft diverse hulpmiddelen om gemeenten te helpen ‘in control’ te komen. Zo is er een speciale checklist, die per norm de beheersdoelstelling, de verwachtte maatregelen en de bijbehorende bewijslast weergeeft. Je kunt deze checklist gebruiken:

  • om te controleren of alle benodigde bewijslast aanwezig is;
  • als verantwoordingsdocument aan te geven waarom en op basis van welke bewijslast je van mening bent aan deze norm te voldoen;
  • als handig hulpmiddel voor de volgende controlecyclus.

Laat hieronder uw gegevens achter en ontvang direct een voorbeeld van deze checklist voor de DigiD-norm U/WA.05.

Vul hier uw gegevens in en ontvang de checklist.

  •  *
  •  *
  •  *
  •  *
  •  *
  •  *
  • De checklist DigiD-norm U/WA.05 wordt u kosteloos aangeboden door Baker Tilly. U geeft hierbij toestemming dat Baker Tilly uw gegevens gebruikt om vrijblijvend contact met u op te nemen over de ENSIA-verantwoording binnen uw organisatie. Uw gegevens slaan we alleen voor dit doel op. Meer informatie over het verwerken van uw data vindt u in ons  privacy statement.