Norea logo

FAQ ENSIA-audits

Naar aanleiding van de Update inzake de ENSIA-Handreiking (Versie 2.0, 25-10-2018) en de bijbehorende Exceltool t.b.v. SUWI-taken en voorzieningen worden op deze pagina veelvoorkomende vragen en antwoorden weergegeven.

Waarmerken van stukken

Er zijn verschillende vragen gesteld rond het thema waarmerken van stukken. Deze zijn hierna kort en samengevat weergegeven.

Nieuwsbrief ENSIA (VNG)

Kenmerk assurancerapport in de bijlage DigiD

Zoals u wellicht hebt gezien vraagt de bijlage DigiD bij de collegeverklaring al – voordat de auditor een assurancerapport heeft opgesteld – om een kenmerk van het assurancerapport van de IT-auditor. Met de auditors is daarom afgesproken dat zij een kenmerknummer reserveren voor uw bijlage DigiD. Hiermee is de collegeverklaring onlosmakelijk verbonden met het assurancerapport (en het rapport weer met de verklaring). U neemt in eerste instantie het gereserveerde kenmerk op in het conceptdocument. Het assurancerapport, met het toegekende kenmerk, volgt later in het verantwoordingsproces. 

Toevoeging NOREA: Het is wenselijk om alle stukken, dus ook die met betrekking tot Suwinet te waarmerken. Daarmee wordt ook aangesloten op de Checklist voor gemeenten zoals deze door ENSIA is opgesteld. Deze is hierna opgenomen.

Checklist gemeenten ENSIA

Het afgelopen jaar heeft er veel herstelwerk plaatsgevonden op vormvereisten van de verantwoordingsdocumenten. Dat is de reden dat deze checklist vooraan in dit document is opgenomen. Checkt u onderstaande punten nog even voordat u de documenten uploadt in de tooling?

  • In de collegeverklaring zijn geen normen opgenomen. Voor eventuele afwijkingen voor DigiD en/of Suwinet, dient in de collegeverklaring te worden opgenomen dat er afwijkingen zijn, maar niet welke afwijkingen of voor welke normen. Deze details worden opgenomen in de bijlagen bij de collegeverklaring (bijlage 1 voor DigiD en bijlage 2 voor Suwinet). 
  • Corresponderen de leveranciers in de DigiD-bijlage (leverancier 1, 2) met de vertaling naar de grote tabel waarin de totaal resultaten zijn verwerkt?
  • De collegeverklaring is voorzien van een datum.
  • De collegeverklaring is getekend door het college.
  • De collegeverklaring en de bijlage(n) zijn elk voorzien van een gemeentelijk kenmerk.
  • Het kenmerk van het assurancerapport van de auditor is opgenomen in de DigiD-bijlage.
  • Alle documenten (de collegeverklaring en de bijlage(n)) zijn voorzien van een waarmerk van de auditor, dat leesbaar is in een witte ruimte, niet over tekst/briefhoofden heen.
  • De auditor heeft u voorzien van de volgende set gewaarmerkte op zichzelf staande documenten in PDF/A:
    - Collegeverklaring
    - Bijlage Suwinet
    - Bijlage DigiD
    - Assurancerapport

Vragen NOREA

Proces waarmerken stukken

Bij letterlijk volgen van de Handreiking kan in samenloop met het proces van verantwoorden en controleren (inclusief afgeven van het assurancerapport) sprake zijn van een ‘deadlock-situatie’. Deze kan voorkomen worden door de volgende werkwijze te volgen:

  1. De audit organisatie reserveert een audit kenmerk en de gemeente en auditor gebruiken dat voor de verantwoording / assurancrapport bijlage 1 .
  2. De gemeente stelt verklaring en bijlagen 1 en 2 op en de auditor voegt daar het rapport met hetzelfde kenmerk aan toe.
  3. Dit is voor de auditor niet de zuivere gewenste volgorde. De gemeente moet bijlage 1 opstellen, zonder kenmerk van de auditor. De auditor voegt daar zijn rapport met kenmerk aan toe.
  4. Voor dit jaar laten we het zo. De theorie is dat, op één atomair moment, collegeverklaring, bijlagen 1 en 2, auditrapport en LOR tegelijkertijd worden opgesteld.
  5. We bespreken dit met Logius. Logius zal een kenmerk willen zien om de bijlage 1 te kunnen onderscheiden. Zeker als er een verbeterplan komt met een nieuwe bijlage 1, dan moet er een nieuw kenmerk komen.

Auditproces

Gebleken is dat gemeenten verschillende werkwijzen hanteren in kader van verantwoordings- en controleproces. Dit kan tot uitvoeringsproblemen in het kader van het auditproces leiden. Voor de goede orde geven we hierna een aantal aanwijzingen.

Nieuwsbrief ENSIA – aanpassingen in concept Collegeverklaring

Mag een concept collegeverklaring aangepast worden na overleg met de auditor? 

Ja dat kan. De IT-auditor toetst uw concept collegeverklaring. Deze collegeverklaring is opgesteld op basis van de uitgevoerde zelfevaluatie. De auditor toetst of de collegeverklaring een waarheidsgetrouw beeld schetst. In dit toetsingsproces is het mogelijk dat de auditor een andere mening is toegedaan dan u hebt opgenomen. Het is dan aan u en de auditor samen om te komen tot een uitsluitsel. Dit kan betekenen dat u aanpassingen doorvoert op de conceptcollegeverklaring (en mogelijk de bijlagen). Houd daarbij het proces tot het doorvoeren van wijzigingen bij uzelf. De collegeverklaring is een product van de gemeente en het controle-object van de auditor. Vanzelfsprekend weerspiegelt de collegeverklaring de situatie in opzet en bestaan per 31 december 2018.

Handelwijze bij audit van een door college vastgestelde collegeverklaring en bijlagen

Bij een regulier auditproces is het is zo dat de client / gemeente de concept collegeverklaring opstelt (inclusief de bijlagen). Deze vormt object van controle. Bij bevindingen bij de concept collegeverklaring kan e.e.a. dan nog worden bijgesteld alvorens de verantwoording definitief wordt gemaakt en vastgesteld door het College. Dit laatste kan met / zonder bijvoegen van het assurancerapport van de IT-auditor. Zie hiervoor ook antwoord zoals opgenomen in de Nieuwsbrief ENSIA.

Indien gewerkt wordt met een door het College vastgestelde collegeverklaring leiden bevindingen of tot een nieuwe collegeverklaring (die alsnog en opnieuw vastgesteld moet worden door het college) of tot een gekwalificeerd (niet goedkeurend) oordeel van de IT-auditor. Deze werkwijze verdient niet de voorkeur.

Verantwoordelijkheid gemeente voor afdekken van het volledige normenkader

In het kader van het opstellen van de concept collegeverklaring dient allereerst de gemeente op basis van de ontvangen stukken en de eigen werkzaamheden na te gaan of het gehele normenkader is afgedekt. Bij afwijkingen dienen of nadere werkzaamheden te worden verricht om hierin te voorzien of de bevindingen gerapporteerd en verwerkt te worden in de concept collegeverklaring. Deze wordt, zoals hiervoor aangegeven, in de werkzaamheden van de auditor betrokken.

Handelwijze bij correcties / aanvullingen op door gemeenten ontvangen TPM’s

Er zijn situaties bekend dat door service-organisaties aanpassingen plaatsvinden in reeds verstrekte TPM’s. Deze dienen in het verantwoordings- en controleproces meegenomen te worden. Daarbij dient de gemeente vast te stellen dat alle normen geraakt zijn en daarop de eigen evaluatie uit te voeren. De auditor zal eveneens toetsen of alle normen door de gemeente zijn geraakt in het kader van het tot stand brengen van de collegeverklaring inclusief bijbehorende bijlagen.

Een erratum op een reeds ontvangen TPM kan als volgt verwerkt worden:

Eerder ontvangen vragen/antwoorden: 

  •  In de NOREA-Handreiking is opgenomen dat de IT-auditor bij het assurance-rapport een schriftelijke bevestiging van de gemeente moet overleggen, een zgn. 'Letter of Representation' (LOR). Een model-tekst daarvoor is hier beschikbaar.
     
  • De ENSIA tool valideert vanaf 22 januari 2018 op het PDF/A format. We kunnen klanten (gemeenten) die melden dat het niet lukt om een audit rapport te uploaden in de ENSIA tool, aangeven dat dit op twee manieren kan worden opgelost:
  1. Door het document opnieuw te maken in PDF/A, bijvoorbeeld m.b.v. de tool PDFCreator (downloaden) en het bestand te converteren naar het profiel PDF/A (Archiefbestand).
  2. Door het aangeleverde auditrapport uit te printen, opnieuw in te scannen en dan als PDF/A document op te slaan.