• english
• young professionals
• persberichten
• nieuwsberichten
• nieuwsbrief
• links

• 
  • Regio Noord
  • Regio Zuid/Tilburg
  • Regio Apeldoorn
  • VUrORE
  • Young Professionals
  • RE's in business
  • Kennisgroep Zorg & IT
  • Kennisgroep IT Governance

Gateway voor alle zekerheid

Op eigen initiatief laten overheidsorganisaties steeds vaker hun ICT-projecten toetsen met behulp van de Gateway-reviewmethode.

De succesvolle invoering van deze methode is in een stroomversnelling gekomen door berichten over geheel of gedeeltelijk mislukte overheids-projecten. Hierdoor is het van groter belang geworden om de sturing op ICT-projecten op cruciale punten met extra waarborgen te omkleden. In dit kader past de Gateway-reviewmethode als instrument van professionalisering om te komen tot een betere sturing op ICT-projecten. Het is lang niet altijd duidelijk wat het verschil in gebruik tussen deze Gateway-methode en de reguliere reviews door auditdiensten. Het lijkt erop dat het hier gaat om twee wezenlijk andere oordelen, respectievelijk een collegiale toets versus een oordeel van een auditdienst. De verschillen tussen beide methoden worden door René Matthijsse aan de hand van zeven stellingen toegelicht.

1. Gateway-reviewmethode bevindt zich op een ander vlak dan IT-auditing
Zij verschaft slechts zekerheid aan de opdrachtgever over de mate waarin een programma of project gereed is om naar de volgende fase te gaan. Deze zekerheid is niet de zekerheid zoals die bestaat bij IT-auditing. Hoewel de Gateway-reviewmethode weinig kan betekenen als instrument voor IT-projectauditing, kunnen auditors wel gebruikmaken van de informatie uit Gateway-reviewrapportages. Het antwoord op de vraag of de reviewmethode zekerheden oplevert, hangt af van de duiding van de uitkomsten van het reviewrapport. Doordat de Gateway-methode niet kwalificerend is, dat wil zeggen dat zij geen uitspraak doet in de vorm van een oordeel, is de stelling te verdedigen dat de opdrachtgever geen zekerheid krijgt over het project.

2. Zorgvuldige evaluatie vereist een normenkader
Een essentieel verschil tussen een reguliere IT-audit en Gateway-review is het verschil tussen de normen waaraan getoetst wordt. Wanneer de auditor een audit uitvoert, toetst hij de bevindingen aan normen. Die normen zijn voorafgaand aan de audit afgestemd en komen voort uit de kwaliteitsaspecten waarover de auditor een uitspraak wil doen. Het voldoen aan een norm levert een positief oordeel op, het niet voldoen een negatief oordeel. De Gateway-reviewmethode kent als basis de Best Practice-werkboeken van het OGC (Office of Government Commerce) dat in Engeland verantwoordelijk is voor standaardisatie. Omdat vrijwel elk programma of project uniek is, heeft het OGC ervoor gekozen de werkboeken het karakter te geven van handreikingen. Expliciete kwaliteitseisen en de daaruit voortkomende normen zijn niet terug te vinden in de werkboeken. Voor de bepaling of iets een risico is en wat de urgentie is van dat risico, wordt vertrouwd op de ervaring en expertise van het Gateway-reviewteam.

3. Collegialiteit betekent niet per definitie vakmanschap
Bij de Gateway-review voeren collega-bestuurders, managers en andere deskundigen die binnen en buiten de overheid werkzaam zijn, de review uit. De reviewers volgen hiervoor een curus van enkele dagen. Audits van accountantskantoren, interne accountantsafdelingen en departementale auditdiensten worden uitgevoerd door gecertificeerde auditors, die een meerjarige RE-RA-opleidingstraject hebben gevolgd. Hierbij zijn de gecertificeerde auditors gehouden aan de door hun eigen beroepsorganisatie opgelegde gedrags- en beroepsregels en vaktechnische richtlijnen. Dit heeft zowel consequenties voor de manier waarop de auditor zijn werkzaamheden verricht als voor de vastlegging van de audit. Er dient bijvoorbeeld een duidelijke audit-trail in het dossier aanwezig te zijn van het verzamelde bewijsmaterieel voor de conclusie.

4. Gateway kan op verkeerde moment komen
Voorafgaand aan het overgaan naar de volgende projectfase kan de opdrachtgever tussentijds de Gateway-reviewmethode inzetten. Op sleutelmomenten van een project vindt een review plaats, die aangeeft of een project geschikt is om verder te gaan naar de volgende projectfase. Deze vaste momenten zijn voorgebakken en kunnen als tussentijdse toetsing onnodig laat uitvallen. Bij een reguliere audit zijn meerdere momenten te kiezen door de opdrachtgever, waardoor meer flexibiliteit bestaat. Van oudsher zet de opdrachtgever een reguliere IT-audit achteraf in bij een project, maar de opdrachtgever kan ervoor kiezen om ieder moment gedurende de looptijd een projectaudit te laten uitvoeren.

5. Rapportage heeft zweem van mysterie
Op basis van vertrouwelijkheid verstrekt het Gateway-reviewteam zijn rapportage uitsluitend aan de opdrachtgever. Het verzamelde bewijsmateriaal, bestaande uit ontvangen documenten en aantekeningen van gehouden interviews, vernietigt de teamleider na afloop van de review. De huidige situatie waarbij de keuze voor openbaarmaking bij de opdrachtgever ligt, zorgt voor onduidelijkheid. Het is aan de opdrachtgever (SRO) om al dan niet iets te doen met de aanbevelingen van het reviewteam. Dat de rapportage van het team als een intern stuk wordt beschouwd, blijkt uit de argumentatie. Met betrekking tot de openbaarmaking wordt een beroep gedaan op de Wet openbaarheid van bestuur. Artikel 11 lid 1 biedt namelijk de mogelijkheid om openbaarmaking te voorkomen van, voor intern beraad opgestelde, documenten waarin zich persoonlijke beleidsopvattingen bevinden. Een auditrapport is daarentegen een verantwoordingsstuk en generiek bedoeld voor breder publiek. Het oordeel dat de IT-auditor geeft bij de verantwoording, is openbaar.

6. Businesscase is voorwaarde bij beide methoden
Opvallend is dat vele programma's en projecten van start gaan zonder dat er een goede businesscase is. Vaak is er wel een projectbrief, maar wordt de businesscase overgeslagen en meteen begonnen met het project. Hierdoor is er geen basis voor een zorgvuldige oordeelsvorming. Beide methoden kunnen niet evalueren aan de hand van eerder vastgelegde doelstellingen en tussenresultaten. Bijkomend probleem kan zijn dat, om projecten en programma's succesvol af te ronden, meer continuïteit moet bestaan bij het vervullen van sleutelposities. Gezien de mogelijkheid om op de businesscase te sturen, moet de overheid niet langer toestaan dat overheidsprogramma's en projecten van start gaan zonder businesscase en zonder de waarborg dat er een periodieke herijking van het project en de businesscase plaatsvindt. De ‘Risk Potential Assessment' als gestructureerde risicoanalyse heeft toegevoegde waarde voor projecten waarbij de opdrachtgever geen van beide methoden toepast. In het nieuwe rapportagemodel voor grote ICT-projecten zullen er regels opgenomen worden die moeten afdwingen dat ICT-projecten met een begroting van boven de 20 miljoen euro verplicht zijn een businesscase te hebben. BZK is druk doende om naar verwachting medio 2010 een rijksbrede handreiking voor businesscases uit te geven.

7. Beide methoden versterken risicobeheersing
Er bestaat momenteel een lange wachtlijst met vrijwillige aanvragen voor een Gateway-review. Dit gebeurt niet alleen uit voorzorg, maar vooral ook omdat men zich meer bewust is van risicobeheersing, en omdat het Rijk vanuit de departementale CIO's serieus aandacht besteedt aan de professionalisering van het opdrachtgeverschap en de samenwerking op verschillende ICT-terreinen. De reviews kunnen natuurlijk niet in de plaats treden van een deugdelijk ‘governance framework'. Wanneer de opdrachtgever kiest voor een audit, houdt dit meestal in dat hij zekerheid verkrijgt over tekortkomingen die zich al hebben voorgedaan, maar er kunnen ook aanpassingen plaatsvinden in het project voor de toekomst op basis van geconstateerde risico's. Een contra-expertise geeft de opdrachtgever meer zekerheid dan hij al heeft op grond van de uitgebrachte rapportage. Deze keuze is aan de opdrachtgever, die volgens de minister naast een Gateway-review kan kiezen voor een audit van een auditdienst.

Gepubliceerd in Automatisering Gids 4 juni 2010
Dr. René Matthijsse RE is werkzaam bij Capgemini Public Sector en tevens universitair hoofddocent bij de postgraduate IT Audit-opleiding aan de Vrije Universiteit Amsterdam (rene.matthijsse@capgemini.com).

Complexe vraagstukken binnen publieke domein
Door een combinatie van politieke, organisatorische en technische factoren zijn ICT-projecten binnen de overheid vaak complex en ambitieus. Gerelateerd aan het toenemende belang van informatisering neemt de behoefte aan deskundige beoordeling van en advisering over de complexe vraagstukken rondom de beheersing toe. ‘Vraagstukken' die kunnen liggen op strategisch niveau, over hoe om te gaan met IT, en vraagstukken die diep in kunnen gaan op de techniek.

De Gateway-reviewmethode is afkomstig van de Britse overheid en vanwege het grote succes in 2006 door Nederland overgenomen. Zij is speciaal ontwikkeld voor programma's en projecten binnen het publieke domein. In Engeland is de toepassing van deze methode voor de centrale overheid onder meer verplicht gesteld bij programma's en projecten waarbij ICT een cruciale rol speelt. Met Gateway wordt tijdens een project bij vijf faseovergangen bekeken of het project gereed is voor de volgende fase. Dit gebeurt aan de hand van compacte reviews van vier of vijf dagen. Conform het peer-to-peer-principe wordt een reviewteam samengesteld waarbij de teamleden van hetzelfde niveau zijn als de opdrachtgever.

IT-auditing is kortweg gedefinieerd als het beoordelen van danwel adviseren over een of meer kwaliteitsaspecten van (onderdelen van) de informatieomgeving waar gebruik wordt gemaakt van informatietechnologie. Het doel is dat een auditor een object van onderzoek toetst of evalueert aan de hand van vooraf gestelde criteria en omtrent dat object een conclusie formuleert die een bepaalde mate van zekerheid verschaft. Zowel aan de audit als aan de auditor worden bepaalde eisen gesteld. NOREA is de beroepsorganisatie van IT-auditors in Nederland, met als doelstellingen het bevorderen van de kwaliteit van de beroepsbeoefening, het bevorderen van de ontwikkeling van het vakgebied en het behartigen van gemeenschappelijke belangen van de leden.