Een audit goed voorbereiden? Logisch dat je daar vragen over hebt. Zoals wij kijken naar de ENSIA-audit is het vooral een doorlopend verbeteringsproces en géén examen. Op het moment dat je werkt aan een proces van continu verbeteren wordt het auditmoment een stuk minder spannend ervaren.
De audit wordt vaak gezien als een verplicht nummer om aan te tonen dat je als gemeente voldoet aan de normen. Terwijl de audit oorspronkelijk is bedoeld als middel om de risico’s op gebied van informatieveiligheid inzichtelijk te krijgen en daarmee kansen te bieden om de bijbehorende processen te verbeteren. Hoe verzorg je een optimale voorbereiding van de audit, zodat je deze soepel kan doorlopen? Gebruik daarvoor deze 6 tips.
Wat houdt de ENSIA-audit eigenlijk in?
De ENSIA-audit staat voor Eenduidige Normatiek Single Information Audit. Sinds 2017 zijn gemeenten verplicht om jaarlijks een zelfevaluatie in te vullen omtrent informatieveiligheid, met als doel zo efficiënt en effectief mogelijk rapporteren binnen het verantwoordingsstelsel voor informatieveiligheid. De basis van de ENSIA bestaat uit de beantwoording van de zelfevaluatie gebaseerd op de richtlijnen uit de Baseline Informatiebeveiliging Overheid (BIO).
Domeinen
Deze richtlijnen worden beantwoord in relatie tot de BAG/BGT/BRO maar ook voor andere domeinen waarover verantwoording wordt afgelegd zoals de BRP, WOZ, DigiD en Suwinet. Gemeenten kunnen bewijzen dat zij op een beheerste wijze om gaan met informatieveiligheid wanneer zij de vragenlijsten van de zelfevaluatie op de juiste manier invullen.
Zelfevaluatie
Voor veel van de domeinen waarover moet worden verantwoord geldt dat enkel een zelfevaluatie door de gemeente dient te worden ingevuld. Voor DigiD en Suwinet geldt de antwoorden uit de zelfevaluatie moeten worden getoetst door een onafhankelijke IT-auditor en gerapporteerd worden aan de toezichthouders Logius en BKWI via de ENSIA-tool. De antwoorden uit de zelfevaluatie, aangevuld met bewijsstukken geven onze IT-auditors een goed beeld van de beheersingsmaatregelen van de gemeente.
De ENSIA-audit is een verplichte audit
Sinds 2017 zijn gemeenten verplicht om jaarlijks een zelfevaluatie in te vullen omtrent informatieveiligheid, de zogenaamde ENSIA-audit. De basis van de ENSIA? Vragenlijsten gebaseerd op het normenkader van de BIO. Gemeenten kunnen bewijzen dat zij op de juiste manier omgaan met informatieveiligheid wanneer zij deze vragenlijsten op de juiste manier invullen en aanvullen met bijbehorende bewijsstukken.
Onze auditors hebben veel te maken met de ENSIA audit van de DigiD en SUWInet. Dit zijn de enige twee normenkaders waarop een verplichte controle moet worden uitgevoerd door een gecertificeerde auditor. Voor de andere disciplines geldt: De ENSIA zelfevaluatie is verplicht, een controle door een auditor (nog) niet.
Waar kijkt een auditor naar bij een ENSIA-audit?
Het begint natuurlijk allemaal met een beschrijving die duidelijk uitgewerkt is. En dan op zo’n manier dat de werkwijze voor iedereen toegankelijk en begrijpelijk is. Vervolgens wordt gekeken of er volgens de beschrijving gewerkt wordt, dit kan een “foto-moment” zijn maar ook een opname over een langere termijn.
Door te beschrijven wat je doet en te doen wat je zegt worden processen beheersbaar. Een audit is daarmee geen spannend moment meer, maar vooral een continue manier om je processen zó te optimaliseren dat ze nog meer meerwaarde leveren voor het uiteindelijke bedrijfsresultaat.
Opzet, bestaan en werking
Een auditor kijkt samengevat naar opzet, bestaan en werking. Deze termen zijn op de volgende manier uit te leggen:
Opzet: De beschrijving van bijvoorbeeld een goedgekeurde beheerprocedure (heb je beschreven hoe je wilt dat het gaat werken?)
Bestaan: De stukken die horen bij één voorbeeld (het “foto-moment”) waaruit blijkt dat de beheerprocedure gevolgd is (kun je een voorbeeld geven waaruit blijkt dat je werkt volgens de beschrijving)
Werking: De stukken die horen bij meerdere voorbeelden uit een onderzoeksperiode. Hiervoor is het belangrijk dat wij weten wat de totale populatie is voor dit proces en zal een steekproef worden genomen (heb je, voor de genomen steekproef, steeds opnieuw zo gewerkt zoals beschreven staat)
Lees ook: Opzet, bestaan en werking bij een audit
Tips voor de ENSIA-audit
Als auditors hebben wij de afgelopen jaren gezien wat er goed ging en welke valkuilen veel gemeenten hebben ervaren. Om je voor de meest voorkomende valkuilen te behoeden hebben we deze omgezet in de volgende 6 tips om je voordeel mee te doen:
1. Begin op tijd
De ENSIA-zelfevaluatieperiode loopt van 1 januari t/m 31 december. Na het beantwoorden van alle ENSIA-vragen moeten ook bewijsstukken worden toegevoegd aan het dossier. Deze bewijsstukken moeten van hetzelfde jaar zijn als waarop de zelfevaluatie betrekking heeft.
Trap dus niet in de valkuil om op 31 december alle vragen netjes ingevuld toe te sturen en het verzamelen van de bewijsstukken door te schuiven naar het volgende jaar. Heftig maar waar: deze bewijsstukken tellen dan niet mee. Begin dus op tijd met het invullen van de zelfevaluatievragenlijst en probeer, om de werkdruk te spreiden, gedurende het jaar de bijbehorende bewijsstukken alvast te verzamelen.
2. Breng de basis op orde met goed beleid, processen en controle hierop
Eerder hebben we beschreven dat het controleren van de auditor begint bij de beschrijving; de opzet. Het voorbereiden op de audit begint daarom bij het formuleren van goed beleid. Daarbij leg je de principes vast waarom je iets wil bereiken. Vervolgens beschrijf je door middel van processen wat je gaat doen om dit te bereiken. Tot slot zorg je voor een manier waarop je dit kunt controleren.
Controlestap om de PDCA-cirkel rond te maken
Juist de controlestap staat borg voor de verbeterpotentie binnen de gemeente. Pas dan kun je in de spiegel kijken en ontdekken waar je het goed doet en waar nog aanscherping nodig is. Dat maakt de PDCA-cirkel rond en dat is een goede manier van voorbereiden. De rol van de auditor sluit hierbij aan doordat deze met een onafhankelijke en frisse blik de processen van de gemeente bekijkt.
Lees meer: waarom de ENSIA-tool van de overheid geen ISMS is.
3. Benut het voordeel van een ENSIA pre-audit
Door het laten uitvoeren van een pre-audit creëer je eigenlijk een generale repetitie op de audit. Je laat dan de auditor alvast kijken naar procesbeheer en de informatiesystemen. De auditor signaleert en benoemt verbeterpunten. Zo maak je het mogelijk om nog bij te sturen voor de definitieve audit. Er ontstaat dan niet alleen ruimte voor inzicht en verbetering, ook voorkom je onnodig werk. Zo wordt de audit een instrument voor continue verbetering. Een instrument voor de toekomst.
4. Betrek alle verantwoordelijken bij het proces
Omdat verschillende disciplines zijn betrokken bij een ENSIA-zelfevaluatie, zijn er ook verschillende verantwoordelijken voor informatieveiligheid. Het is bijvoorbeeld zo dat een aantal procedures formeel moet zijn vastgesteld door deze betreffende verantwoordelijke. Logischerwijs is het dus goed om deze mensen te betrekken bij het gehele proces. Zij weten precies wat speelt binnen hun discipline en welke valkuilen er zijn.
Kick-off met proceseigenaren
Start met een kick-off met de proceseigenaren. Hierin kun je de aanbevelingen uit de vorige audit bespreken. Welke acties liggen er? Welke verbeteringen zijn inmiddels aangebracht?
De proceseigenaren kunnen de vragen omtrent hun gedeelte beter beantwoorden en het verzamelen van de bewijsstukken is voor hen een stuk makkelijker, dan wanneer de ENSIA-coördinator dit allemaal alleen moet doen. Daarnaast zorgt het stukje teamwork ervoor dat informatieveiligheid eerder onderdeel wordt van de reguliere bedrijfsvoering en je ook volledig bent in jouw verantwoording.
Lees ook: alles over de PDCA cyclus.
5. Gefaseerde audit
Het is wettelijk verplicht om de ENSIA-audit van DigiD en Suwinet te laten controleren door een onafhankelijke IT-auditor. Veel gemeenten betrekken de IT-auditor pas aan het einde van het traject bij het ENSIA-proces. Zij zien het als een soort eindexamen waarin de ENSIA-audit wordt afgenomen door de auditor. Beter is het om de IT-auditor gedurende het hele proces aan te laten sluiten.
Revisiemomenten
Plan verschillende revisiemomenten waarin de auditor precies kan aangeven wat nog mist en waar de verbeterpunten liggen. Dankzij de inzichten en frisse blik van de IT-auditor raken gemeenten niet verstrikt in de brij van de ENSIA-audit. Zoals we eerder aangaven is de ENSIA-audit een zelfreflectie omtrent de omgang met informatieveiligheid.
Hebben medewerkers het in zich om kritische vragen te stellen over wat wel en wat minder goed gaat? Auditors kunnen helpen door de juiste kritische vragen te stellen om zo de juiste informatie boven water te krijgen.
6. Documenteer en structureer het eindresultaat
En dan is het moment daar: het hele team heeft hard gewerkt om de deadline te halen, alle antwoorden op de vragen zijn verzameld en geüpload in de ENSIA-tool. De antwoorden op de vragen en bijbehorende bewijsstukken zijn verzameld en worden aan de IT-auditor aangeleverd als ENSIA-dossier. Nu is het wachten op de feedback.
De vraag is; hoe leveren gemeenten het ENSIA-dossier aan? Een gestructureerd document brengt niet alleen overzicht voor de gemeente, maar geeft de auditor ook een goede eerste indruk van de beheersingsomgeving. Als de gemeente ervoor kiest om de spreekwoordelijke schoenendoos gevuld met bij elkaar geraapte informatie aan te bieden, dan heeft de auditor bij voorbaat al het gevoel dat men niet in control is. Ook de coördinator mist in deze gevallen veelal het overzicht.
Structureer je dossier
Lever (relevante) documenten niet ongestructureerd in één map aan. Probeer deze bijvoorbeeld per norm en aansluiting te groeperen. Een gestructureerd document brengt niet alleen overzicht voor de gemeente, maar geeft de auditor ook een goede eerste indruk van de zelfreflecterende ENSIA.
Lees ook: Een goede-voorbereiding is het halv…een blije auditor
Succesfactoren uit de audit-praktijk
Bij vele gemeenten hebben wij inmiddels de ENSIA-audit mogen uitvoeren. Ondanks de bovengenoemde valkuilen, zagen we bij een aantal van onze klanten hoe het ook heel goed kan gaan:
- de audit was voorbesproken met de vakafdeling;
- het bewijs was ruim op tijd verzameld;
- het dossier werd per vakgebied voorgelegd aan een interne auditor;
- het dossier kon tijdig worden verbeterd c.q. aangevuld;
- het dossier werd op tijd aangeleverd;
- de toelichting op het dossier was voorbereid en de audit verliep daardoor uitstekend.
De organisaties waarbij we deze situatie tegenkwamen, hadden veelal een kwaliteitsmanager of interne auditor in dienst. We realiseren ons dat niet iedere organisatie deze luxe heeft. Juist voor deze organisaties is het wellicht zinvol om een externe auditor in te schakelen die zorgt voor ‘continuous auditing’, waardoor je al gedurende het jaar weet of en in welke mate zaken op orde zijn. Dit neemt veel stress weg aan het einde van het traject en het ondersteunt organisaties bij sturing op de bedrijfsprocessen.
