GRC

Inhoud “Het nieuwe pensioenstelsel wordt een ramp” aldus Luc Meuwese, Lid van de Sectorraad Senioren FNV (bron: TROUW). Meuwese verwijst hier naar de Wet Toekomst Pensioenen, die grote gevolgen zal hebben voor zowel pensioenuitvoerders als verzekerden. De wet zal naar verwachting op 1 januari 2023 in werking treden en in 2027 volledig geïmplementeerd worden. Om zich voor te bereiden op de veranderingen is er voor pensioenuitvoerders is dus werk aan de winkel. Op 12 september heeft de Tweede Kamer verder overlegd over de behandelingen van de Wet Toekomst Pensioenen. Het doel van het wetsvoorstel is om een transparanter en persoonlijker pensioenstelsel te verwezenlijken dat beter aansluit bij de huidige economie en individuele situaties. Opbouw van pensioenen wordt onder andere variabeler en flexibeler voor specifieke groepen, zodat er meer zekerheid en kansen worden gecreëerdrondom het pensioen. De wetswijziging heeft dus impact op het pensioen van verzekerden, maar ook voor pensioenuitvoerders en verzekeraars zal het een en ander veranderen. Zij worden vooral beïnvloed door het feit dat er een leeftijdsonafhankelijke pensioenpremie aan zal komen. Om zich voor te bereiden op de implementatie van de wet, is het van belang dat pensioenuitvoerders inzicht hebben in de interne processen, risico’s en de bijbehorende wetgeving. Zij moeten bepalen welke veranderingen in het proces gepaard gaan met doorvoering van de wet. Het is namelijk niet zo dat alleen het pensioenstelsel verandert, maar ook de berekeningen voor de opbouw van het pensioen. Medewerkers bij pensioenuitvoerders zullen hun dagelijkse werkzaamheden moeten aanpassen en processen zullen opnieuw ingericht moeten worden. Mavim kan door het creëren van inzichten ondersteunen bij deze uitdagingen. Zo is het mogelijk grip te krijgen op de besturing en risicobeheersing van de organisatie. Daarnaast kunnen effectieve impactanalyses worden uitgevoerd. Hierin heeft de organisatie de mogelijkheid om grip te krijgen op, en inzicht te krijgen in, de samenhang van processen, wetgeving en bijbehorende risico’s voor continue verbetering.  Het Mavim Platform zorgt ervoor dat je als organisatie wendbaar bent en kan reageren op de interne- en externe veranderingen. Zo draagt het bij aan de voorbereiding  voor de implementatie van de Wet Toekomst Pensioenen. Benieuwd hoe dit in zijn werking gaat? De volgende video legt in een notendop uit wat mogelijk is met Governance Risk en Compliance binnen Mavim Wat is GRC? I Governance, Risk & Compliance in twee minuten Wil je meer weten? Bekijk dan Governance, Risk & Compliance | Mavim

Inhoud Verzekeraars zijn onderhevig aan een enorm stelsel van wetten en regels die bijdragen aan de stabiliteit, kwaliteit en veiligheid van de sector. Vanuit verschillende autoriteiten is er streng toezicht op de naleving hiervan. Bij verzekeringsmaatschappijen zelf ligt de verantwoordelijkheid om aan te tonen dat zij aan de strenge eisen voldoen. Om dit te realiseren werkt verzekeraar Unigarant met Mavim. Daarmee kan de organisatie niet alleen aantonen dat ze ‘in control’ zijn, maar zetten ze ook een sterke basis voor verbetering en verandering. De situatie Unigarant, een dochterbedrijf van de ANWB, is specialist in particuliere schadeverzekeringen. De afgelopen jaren heeft de verzekeringsmaatschappij grote stappen gemaakt in digitalisering van de organisatie. Unigarant is inmiddels blij met de kwaliteit van hun operationele processen. Alles is duidelijk vastgelegd in Word, Excel en Visio. Nu wil Unigarant echter naar een bewuste bedrijfsvoering die beter aansluit op de voortdurend veranderende markt, de nieuwe duurzaamheidsstrategie en aangescherpte regelgeving. De uitdaging Voor audits en controles omtrent de regelgeving, is het belangrijk om inzicht te hebben in de interne processen, potentiele risico’s, activiteiten en bevoegdheden. Bij Unigarant was al deze informatie verspreid vastgelegd in losse documenten. Het verzamelen van de benodigde stukken was zo tijdrovend en onderhevig aan gebreken. Tevens ontbrak hierdoor een integraal overzicht van de bedrijfsvoering waarbij de relatie tussen de processen, risico’s en resultaten aan het licht komen. De oplossing Voor integraal inzicht in de bedrijfvoering maakt Unigarant nu gebruik van het Mavim platform. Mavim maakt het mogelijk om processen en risico’s gezamenlijk in kaart te brengen en met elkaar te verbinden. Omdat het platform gebaseerd is op Microsoft-software en de organisatie reeds met Microsoft bekend was (alle processen waren hiermee vastgelegd), verliep de implementatie van Mavim soepel en vlot. Unigarant kan nu sneller alleen aantonen dat ze ‘in control’ zijn, en hebben een basis gezet voor toekomstige verbetering en verandering. Bekijk hier het interview met Lammert Kalfsbeek, Procesmanager Innovatie bij Unigarant

Inhoud Alle organisaties willen voldoen aan informatiebeveiligings- en privacynormen. Het gebruik van tooling daarbij is anno 2021 essentieel. Audittrail levert samen met Mavim het Compliance Management Framework (CMF). Hoe helpt dit systeem aan deze normen te voldoen, de administratieve last te verminderen én maximaal inzicht te verkrijgen in wat goed of minder goed geregeld is binnen een organisatie? Een gesprek daarover met Ralph Drijver, Business Developer bij Audittrail. Het opzetten van de administratie rondom het voldoen aan informatiebeveiligings- en privacynormen is complex, begint Ralph het gesprek. “Als je naar informatiebeveiliging en privacywetgeving kijkt, zijn er bij alle organisaties extreem veel spreadsheets, Word-documenten en andere informatiebronnen die worden gebruikt en toegepast voor de vastlegging. De administratieve last en druk is hoog maar men moet natuurlijk wel voldoen aan de wet. Dus men moet vastleggen, organiseren en borgen ten behoeve van de verantwoordingsplicht.”   Eenvoudiger en geoptimaliseerd Het is voor beide disciplines essentieel de risico’s te mitigeren en maximaal inzicht te hebben in de staat van compliance, de actualiteit van verplichte en noodzakelijke documenten en de consistentie van de volledige inhoud. Ralph: “Maar kun je dat bereiken door niet de juiste instrumenten toe te passen? In andere woorden: de administratie rond informatiebeveiliging en privacy moet eenvoudiger en geoptimaliseerd worden.”   Tweedimensionaal beeld en drukke officers Door bij informatiebeveiliging en privacy alleen gebruik te maken van bijvoorbeeld Microsoft Office en losse documenten, creëer je volgens Ralph een tweedimensionaal beeld van de staat van compliance. “Dit beschermt de organisatie niet voldoende en levert behoorlijke risico’s op. Daarnaast hebben de privacy- en security officers vaak zo’n administratieve druk en moeten ze zoveel handelingen uitvoeren, dat ze hun adviserende en regievoerende rol amper kunnen oppakken.” “Het is zoals bij een voetbalelftal; iedere speler heeft een of meerdere rollen in het veld. Het schakelen tussen deze rollen levert echter het grootste risico op voor een counter en een tegengoal. En omdat deze officers met zoveel druk te maken hebben en steeds moeten omschakelen, neemt de kans op een fout alleen maar toe.”   Essentiële tooling Gebruikmaken van de juiste tooling is daarom essentieel, gaat Ralph verder. “Dit geeft je organisatie veel meer vrijheid en een hogere mate van control. Informatieonderdelen kunnen eenmalig vastgelegd worden en vervolgens binnen verschillende disciplines worden hergebruikt voor automatische, consistente rapportages en BI-inzichten. Maar ook de verbinding tussen mensen, processen en systemen wordt hierdoor duidelijker. Dat verkrijg je niet wanneer je alleen gebruikmaakt van Excel of Word. Wanneer je vragen kunt beantwoorden zoals ‘wie doet wat en binnen welk proces’, ‘waarom doen we deze handeling’ en ‘welke maatregelen dekken deze risico’s af’, dan heb je een goede tool in huis. De tooling hoort je een driedimensionaal inzicht te bieden zodat je kunt sturen, managen en anticiperen vanuit inzicht en op feiten gebaseerde informatie.”   Verbinding met bredere uitdagingen Daarbij is het belangrijk om met de tooling de verbinding te zoeken met de bredere uitdagingen binnen de organisatie. Ralph: “Heb je deze verbinding niet, dan is een nieuw systeem slechts een pleister op de wond. Stel je voor dat de privacy-afdeling een apart systeem zoekt voor privacymanagement zonder de verbinding te zoeken met de informatiebeveiligingsuitdagingen en het GRC-domein. Dan gaat iedereen zijn eigen systeem hanteren zonder echt de link te leggen naar de organisatiestrategie en het GRC. Het systeem is dan snel niet meer afdoende of te auditen. Het organiseren van de verantwoording of de toetsing hiervan wordt dan wel erg lastig.”   Compliance Management Framework Om organisaties te helpen wél over deze samenhang te beschikken, levert Audittrail het Compliance Management Framework (CMF). Ralph: “Dit is een blauwdruk om vanuit informatiebeveiliging de verbinding te zoeken naar privacymanagement en vice versa. Ook kun je met het CMF de business faciliteren met correcte, overzichtelijke informatie ten behoeve van sturing en besluitvorming. Binnen het systeem wordt de volledige administratieve last van de compliance-administratie afgedekt en verkrijgt de organisatie maximaal inzicht in alle zaken die goed of minder goed geregeld zijn.”   Ondersteuning naar volwassen compliance Voor veel organisaties is nu hét juiste moment om aan de slag te gaan met het CMF, vertelt Ralph: “Men is vaak al druk bezig met alle typen en soorten documenten en spreadsheets, ook al hebben deze als instrument voor informatiebeveiligings- en privacynormen meer nadelen dan voordelen. Vaak zegt men wel eerst ‘de boel op orde’ te willen krijgen voordat een visie wordt gevormd of een serieuze tool wordt aangeschaft. Het tegenargument is: als het in de afgelopen drie jaar – of zelfs langer – niet gelukt is de basis op orde krijgen, waarom zou je dan steeds hetzelfde blijven proberen?” “Ons argument is om het nu andersom te doen en vanuit een vooraf door experts gedefinieerde visie, met een goed instrument te gaan werken aan de volwassenheid van de organisatie. Het CMF neemt organisaties bij de hand en heeft alle inrichtingselementen en inhoudelijke voorwaarden in zich om het project stapsgewijs naar volwassen compliancemanagement te kunnen ondersteunen. Zo investeer je als organisatie juist in een platform wat multidisciplinair kan bijdragen aan deze volwassenheidsreis en de strategische doelstellingen van de organisatie. Dat zal zich dan altijd terugverdienen op meer vlakken dan meetbaar is in droge cijfers.”   Microsoft Office, maar dan geïntegreerd Het CMF is gebouwd op Microsoft-technologie maar maakt gebruik van Mavim. “Dit geeft organisaties bijvoorbeeld de mogelijkheid om processen uit te tekenen in Microsoft Visio, Word of Excel, waarna de processen kunnen worden hergebruikt in andere documentatie. Omdat namelijk alles wordt vastgelegd in een database, is het mogelijk om veel zaken als informatie-element vast te leggen waarna je vanuit één waarheid die informatie kunt toepassen. Bijvoorbeeld in rapportages of in BI-dashboards. Daarnaast is het grote voordeel van Mavim-technologie dat veel zaken heel logisch en begrijpelijk zijn. Het is Microsoft Office, maar dan geïntegreerd in een database. Die herkenning maakt het ook in gebruik een stuk eenvoudiger voor medewerkers.”   Integraal werken aan GRC Op donderdag 8 juli geeft Audittrail tussen 09:00 en 10:30 een webinar over het gebruik van het CMF. “Hierin gaat het met name over integraal werken aan GRC,” sluit Ralph af. “Want alleen als een team win je deze wedstrijd. Naast een visiepresentatie zullen wij ook een demo geven van het platform en de inhoud van onze oplossing. Zo kunnen bezoekers de meerwaarde van het CMF voor de organisatie ervaren, zien hoe je de verplichtingen rondom vastlegging, verantwoording en rapportage afdekt én ervaren hoe het systeem het management faciliteert.”   Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy en GRC. Audittrail ondersteunt organisatie met het opzetten van bewustwordingsprogramma’s en biedt organisatie inzicht in het bewustwordingsniveau van haar medewerker. Ben je geïnteresseerd in hoe jouw organisatie reageert op een phishingmail of heb je vragen naar aanleiding van dit artikel? laat het ons weten via mail@audittrail.nl of via 071 – 747 17 17.     Deze blogpost is geschreven door onze partner Audittrail. Wil je meer weten over het Compliance Management Framework? Bezoek dan deze pagina of download de factsheet.    

Inhoud Voquals’ Multi Compliance Framework ondersteund door Mavim Afgelopen 20 jaar heeft Voquals vele organisaties op weg geholpen naar conformiteit met interne en externe regelgeving en hebben we hen bijgestaan met de voorbereiding van diverse certificatie audits. Hierdoor hebben we veel kennis, ervaring en expertise verworven in het gebruik van en de afstemming tussen de verschillende ISO-standaard, Security Controle Raamwerken (bv. BIO en NBA-LIO), IT specifieke Raamwerken (bv. COBIT1 en ITIL) en op bedrijfsniveau (bv. AVG en COSO).      Multi Compliance Framework  In 2017 zijn we gestart met de ontwikkeling van ons Multi Compliance Framework om bedrijven te ondersteunen bij het uitwerken van hun antwoord op alle eisen die worden opgelegd door interne en externe auditors en/of regelgeving. Dit raamwerk zorgt dat dit op een effectieve en efficiënte manier kan gebeuren.   Het resultaat is een praktische hulp om te beantwoorden op veel voorkomende vragen, zoals:  Hoe moeten we antwoorden op externe conformiteitseisen, zonder al te veel overlast?  Hoe kunnen we de voorbereiding van interne & externe audits optimaliseren?  Hoe kunnen we de relaties tussen al de raamwerken en standaarden verduidelijken?   Daarnaast worden de IT-omgevingen steeds complexer, worden de eisen steeds meer uitgebreid en komen er nieuwe rapporteringen bij, bijvoorbeeld rapportages voor SOC (System and Organization Controls) voor Shared Service Centers (SSC) of een ICS (In Control Statement) voor overheidsorganisaties.     De eisen op het gebied van databeveiliging en compliance worden dan ook steeds dwingender. De Algemene Verordening Gegevensbescherming is daarvan een goed voorbeeld, maar ook de steeds meer uitgebreide eisen vanuit de BIO/ISO 27000. Als IT-manager heb je soms te maken met beveiligingsincidenten, bijvoorbeeld door een datalek, een hack, of ransomware. Daar wil je zo goed mogelijk op voorbereid zijn.     Regelgeving & IT  Omdat het voldoen aan al deze wet- en regelgeving binnen jouw organisatie in grote mate afhankelijk is van de goede en correcte werking van IT, hebben wij ons Multi Compliance Framework gebouwd rond IT-gerelateerde objectieven, policies en processen.  Het goed beheer van IT is door de groeiende complexiteit van IT-omgevingen een steeds grotere uitdaging. Nieuwe technologieën volgen elkaar razendsnel op en het gebruik van IT in organisaties neemt exponentieel toe. Met het Multi Compliance Framework van Voquals kan je IT-gerelateerde processen en bijhorende controles effectief opzetten (met een positief resultaat) en deze ook efficiënt laten verlopen. Deze sluiten bovendien naadloos aan op alle andere controles die binnen uw organisatie moeten uitgevoerd worden om te voldoen al alle interne en externe wet- en regelgeving.      Conformiteit  Voquals ondersteunt van origine IT-bedrijven en IT-afdelingen van grote ondernemingen en overheidsorganisaties, maar legt in het Multi Compliance Framework de nadruk op IT-gerelateerde processen, objectieven en controles.    Naast het invullen van deze conformiteitseisen, bevat ons Multi Compliance Framework dan ook een volledig gedocumenteerde lijst van processen, gebaseerd op ISM, ITIL en COBIT en kan dit worden uitgebreid naar al jouw kernprocessen en ondersteunende processen.  Om alle bedrijfsprocessen te ondersteunen bieden we een compleet proceshuis aan, dat uiteraard door elke organisatie kan aangepast worden aan de eigen structuren.  Voor de gemeenten en bedrijfsvoeringsorganisaties is dit gebaseerd op GEMMA.      Wij geven je de inhoud, structuur en relaties, zoals gedefinieerd in COBIT2019, aangevuld met praktische voorbeelden, templates, enzovoort.   Om dit alles te vervolledigen en praktisch te gaan benutten, kan je via ons Multi Compliance Framework een overzicht krijgen van de nodige controles waaraan jouw organisatie moet voldoen, en hoe je deze tegelijk kan koppelen aan interne beleidsdocumenten en invulling, processen, en referentie documenten. We bieden vanuit onze oplossing voorgedefinieerde controles en de koppeling naar wetgeving zoals NBA-LIO, BIO en laten zien hoe je via deze opzet komt tot een In-Controle-Verklaring, zonder veel herwerk.    Auteur: Greet Volders | Voquals   

Inhoud Hoe veilig is procesautomatisering? Waterschappen, energiebedrijven, fabrieken, logistieke organisaties: het klinkt als organisaties die niet veel gemeen hebben. Toch zijn er nadrukkelijke overeenkomsten: ze maken allemaal gebruik van machines die aangestuurd worden door IT. De zogenaamde Operationele Techniek (OT). En dat is nadrukkelijk een specifieke en andere tak van sport! Het uitvallen of gehackt worden van OT, ook wel procesautomatisering genoemd, kan desastreuze gevolgen hebben. Denk aan het door criminelen openzetten van sluizen, ransomware in de systemen van fabrieken, infecties in waterleidingsystemen.   Hacks We hebben het de afgelopen jaren vaker gezien. Zo werd een Noors aluminiumbedrijf gehackt en onlangs een drinkwaterbedrijf in Florida, USA. Voor het Noorse bedrijf betekende het dat zij wekenlang hun productie moesten staken en hun IT van de grond af opnieuw op moesten bouwen. De schade was naar schatting € 31.1 miljoen. Voor het waterbedrijf in Florida waren de mogelijke gevolgen nog groter: de hackers verhoogden de hoeveelheid chemicaliën met meer dan 100 keer, wat desastreuze gevolgen kon hebben voor de gezondheid van de bevolking. De verhoging werd op tijd gezien door een medewerker van het drinkwaterbedrijf en weer teruggedraaid. De complexiteit van technische installaties neemt hand over hand toe. Niet alleen in fabrieken, maar denk ook aan Internet of Things (IoT). Dat sluit aan bij een steeds breder toepassingsgebied: denk bijvoorbeeld aan Smart City initiatieven die nu opgezet zijn en uitgerold worden. Maar hoe zorg je dan dat de security van productieomgevingen op orde is en blijft?   Toetsingskader Er zijn frameworks en toetsingskaders die zorgen dat je op het gebied van procesautomatisering je informatiebeveiliging op orde kan brengen. De IEC 62443 is daar een goed voorbeeld van. De IEC 62443 is een internationale reeks normen voor industriële communicatienetwerken. De norm is onderverdeeld in verschillende secties en beschrijft zowel technische als procesgerelateerde aspecten van industriële cybersecurity. Waar de ISO27001 een meer generieke aanpak voor informatiebeveiliging behelst, is de IEC 62443 specifiek voor IACS-toepassingen. Het mooie van deze aanpak is dat deze zich richt op twee groepen gebruikers: de eindgebruikers en de solution providers: de softwarebedrijven die leveren, de system integrators en vendors. Gelukkig gaat de IEC 62443 verder dan een boodschappenlijst met maatregelen: de ruggengraat is het Cyber Security Management System (CSMS), vergelijkbaar met het Information Security Management System (ISMS) wat in de ISO27001 is beschreven. Voor veel organisaties is de OT-security een gebied waar de technische security hoogtij viert en waar een goed en doordacht management framework nog wordt gemist. De IEC 62443 kan hierin veel structuur geven. Goed om te zien is dat ook in Nederland steeds meer organisaties de IEC 62443 omarmen. Ik kan het dan ook van harte aanbevelen om de IEC62443 in te zetten, te meten en verbeteren. Combineer dit met een uitstekende governance rondom de ISO27000 en NEN7510 want alleen zo kom je echt in control over de security van je procesautomatisering!   Auteur, Jorrit van de Walle | Audittrail   Over de auteur Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.  

Inhoud De gevolgen van een datalek Het was niet te missen: het nieuws dat de GGD is getroffen door een grote datadiefstal. Enorm veel gegevens gestolen – naar verwachting van miljoenen Nederlanders. Inmiddels zijn we alweer een aantal grote datalekken verder, zoals je hebt kunnen lezen in de media. Maar wat zijn de achtergronden? Nog interessanter is de vraag hoe het zo ver heeft kunnen komen. Dat actie nodig is, is duidelijk: juist organisaties in het publieke domein zijn meer en meer doelwit van criminelen. Daarnaast stijgt in zowel het publieke als private domein het aantal hackaanvallen, ransomware infecties en het aantal datadiefstallen.   De stijging is zelfs zo groot dat de Autoriteit Persoonsgegevens onlangs de noodklok luidde. Slachtoffer Het is ook niet zo gek dat organisaties in het publieke domein slachtoffer worden; zij hebben veel persoonlijke en gevoelige data in huis. Vaak zoveel dat er eenvoudig een profiel te maken is van een persoon. En dan ligt identiteitsfraude en oplichting om de hoek. Zoals al gezegd: éen moment van onoplettendheid en je bankrekening is leeg.   Hackers worden steeds slimmer, handiger en harder. Door organisaties als lokale en centrale overheidsinstellingen, zorginstellingen, ziekenhuizen, woningcorporaties en onderwijsinstellingen als doelwit te gebruiken zijn er twee businessmodellen in één klap te verzilveren: Geld buit maken van de organisatie in de vorm van losgeld of via de zogenaamde CEO-fraude; én Geld buit maken van de klanten van deze organisaties met onder andere identiteitsfraude.   De druk ligt inmiddels niet alleen maar bij de IT-afdeling of de security officer. Deze druk gaat ook gevoeld worden door de directeuren, bestuurders en de raden van toezicht.   Risico’s verminderen Maar hoe maak je de kans op een hack, datadiefstal of ransomware nou kleiner: Zoals het AP al zegt: stel multi-factor authenticatie in. Gebruik zero-trust als uitgangspunt. Het klinkt negatief (vertrouw niemand en niets), maar kan echt het verschil maken. Maak collega's bewust van de risico's van phishing en social engineering; zorg dat de 'human firewall' aan gaat! Zorg voor een security architectuur. Daardoor blijf je je bewust van de sterke en zwakke punten in je beveiliging. Meet en wees alert. Ieder klein incident kan een signaal zijn van iets groots. Zorg dat je incident en crisis-proces goed is ingericht en oefen dit. Zorg dat back-ups gemaakt worden en dat deze niet gecorrumpeerd kunnen worden door ransomware. Anders kan je ze net zo goed niet maken. Omarm governance, in plaats van het zien als ‘papierschuiverij’. Als je geen sterke governance inricht, zijn checks and balances op volledigheid en veiligheid niet te controleren. Leg vast wat je doet, meet, rapporteer en verbeter. Plan, do, check en act. Het werkt. En als je het even niet meer weet: huur een expert in. Om je te helpen of je te toetsen. Beter dat dan al je klanten of patiënten met onoverzienbare schade op te zadelen..   Dit soort hacks mogen we nooit normaal gaan vinden! Actie is nodig.     Auteur, Jorrit van de Walle | Audittrail   Over de auteur Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.

Inhoud Nederlandse gemeenten kampen met ongekende financiële uitdagingen en onzekerheden. Bijna acht op de tien verwacht een tekort over 2021 dat in totaal wordt voorspeld op maar liefst 1,3 miljard euro. Daarmee dreigt het gezamenlijke tekort van gemeenten ten opzichte van 2018 tien keer zo groot te worden.   Dit blijkt uit de Benchmark Nederlandse gemeenten van BDO Accountants & Adviseurs. Hierin is de financiële gezondheid van alle 355 gemeenten beoordeeld op basis van de jaarrekeningen over 2019, met als resultaat een financiële ranking van alle gemeenten, verdeeld naar inwoneraantal. Daarnaast zijn de begrotingen voor 2021 geanalyseerd.    Steeds meer gemeenten in het rood De financiële positie van gemeenten loopt hard terug vanwege aanhoudende tekorten. Het gezamenlijke verlies van gemeenten steeg met ruim 600 miljoen euro naar 747 miljoen euro in 2019. Hoewel de oplopende tekorten bij de meeste gemeenten nog met de eigen buffers gedicht kunnen worden, is de financiële rek eruit.  Waar in 2018 nog 58% van de gemeenten met tekorten kampt, was dit in 2019 al 65%.  Uit de beoordeling van de jaarrekeningen blijkt dat er grote regionale verschillen bestaan tussen gemeenten: In de provincies Noord-Holland en Groningen bedragen de tekorten per inwoner meer dan  100 euro. Zij spannen daarmee de kroon. Gemeenten in de provincie Flevoland doen het daarentegen het beste.  Gemeenten in Flevoland hebben een gemiddelde solvabiliteit (eigen vermogen en buffers) van 53% en scoren daarmee ook het beste van alle provincies. In Zeeland is de solvabiliteit van gemeenten het laagste met gemiddeld 24%.  Flevoland bezit ook de laagste gemiddelde nettoschuldquote (de schuldpositie) met 15%. Landelijk bedraagt deze 49%, in Zeeland (63%) en Zuid-Holland (67%) ligt deze fors hoger.  De gemiddelde solvabiliteit van gemeenten daalde in 2019 met één procent ten opzichte van vorig jaar naar 34%. Voor 2023 wordt zelfs een verdere daling naar 30% verwacht. De nettoschuldquote  van gemeenten nam toe van 48,5% in 2018 naar 49,2% in 2019 en wordt voor 2021 verwacht op 64%.   Uitvoering openbaar bestuur verschraalt BDO constateert dat steeds meer gemeenten in het rood komen te staan en tekorten verder oplopen. Rob Bouman, voorzitter van de branchegroep Overheid van BDO: “Het is voor de langere termijn geen houdbare situatie. Gemeenten kunnen nu nog tegen een stootje. Ze kunnen de oplopende tekorten tot nu toe nog steeds betalen door te bezuinigen en in te teren op de reserves of door meer schulden op te bouwen. Deze trend is niet gewenst, maar wel de realiteit. Het structureel en reëel evenwicht is volledig zoek. Gemeenten staan voor de lastige taak ongekende financiële uitdagingen en onzekerheden het hoofd te bieden. Hierbij valt te denken aan de toenemende digitalisering, energietransitie, krapte op de woningmarkt en de impact van COVID-19. Dit bovenop de reeds eerder door de Rijksoverheid overgehevelde taken uit het sociaal domein. Gemeenten zijn hierdoor genoodzaakt keuzes te maken en in sommige gevallen zich te beperken tot enkel het uitvoeren van wettelijke taken. Dit leidt tot verschraling in de uitvoering van het openbaar bestuur.”     Coronacrisis komt bovenop toch al sombere vooruitzichten Bouman benadrukt de spilfunctie van gemeenten: “zij vormen een belangrijke maatschappelijke motor. Ook in crisistijd blijven zij, ondanks het wegvallen van inkomstenbronnen, hun maatschappelijke taken uitvoeren en zijn daarnaast onmisbaar gebleken voor de continuering van de zorg, het toezicht houden op de coronamaatregelen en het overeind houden van culturele instellingen.” De Rijksoverheid heeft aangegeven gemeenten te compenseren voor gemaakte kosten als gevolg van de coronacrisis. Inmiddels zijn twee steunpakketten verleend, onder andere aan gemeenten. Het is echter de vraag of het volledig vergoeden van de kosten kan en zal gebeuren. “Het is goed mogelijk dat er verborgen kosten zijn die tijdens de compensatieberekeningen nog onbekend zijn, zoals extra verliezen voor culturele instellingen. Hoe langer de crisis duurt, hoe groter de druk op het sociaal domein, toch al de grootste kostenpost voor gemeenten”, benadrukt Bouman. “Gemeenten moeten hun huishoudboekje doorgronden en scenario’s doorrekenen. Dat helpt bij het maken van de juiste keuzes.”    •    Tekorten gemeenten lopen verder op  •    Uitvoering openbaar bestuur verschraalt •    Herbezinning financiering, taken en omvang gemeenten noodzakelijk   Herbezinning taken, omvang en financiering gemeenten  BDO doet gemeenten een aantal aanbevelingen. “Gemeenten moeten in tijden van corona hun weerbaarheid en wendbaarheid voortdurend monitoren. Integraal risicomanagement is noodzakelijk en zero based budgetting is een middel om opnieuw aan de knoppen te draaien. Een bedrijfsmatig fundament wordt meer en meer noodzaak om blijvend publieke waarde te realiseren en ambities waar te maken,” aldus Bouman. BDO pleit daarnaast voor een herbezinning van taken, omvang en financiering van gemeenten. “Dit is een bekend thema, de urgentie hiervan neemt alleen maar toe. De huidige verdeling en financiering past niet meer bij de toegenomen financiële dynamiek - desondanks is de invoering van het nieuwe verdeelmodel uitgesteld tot 2023. Toezichthouders moeten daarnaast meer aandacht hebben voor structureel en reëel evenwicht. Zij moeten de financiële ontwikkelingen volgen en het weerstandsvermogen monitoren.”     Over de Benchmark Nederlandse gemeenten BDO doet regelmatig onderzoek in de publieke sector, onder andere in de zorg- en overheidssector. Door de analyse van openbare kengetallen beoogt BDO de financiële gezondheid van de diverse sectoren objectief in kaart te brengen. De BDO-benchmark Nederlandse gemeenten verschijnt dit jaar voor de derde keer. Naast de financiële analyse en een doorkijkje naar de gemeentelijke begrotingen voor 2021, beschrijft het rapport de belangrijkste uitdagingen, conclusies en aanbevelingen. Ook heeft BDO net als vorig jaar rapportcijfers toegekend aan individuele gemeenten (te bekijken in de online analysetool) en diverse gemeenten aan het woord gelaten over hun financieel beleid, ervaringen en adviezen voor andere gemeenten. Raadpleeg het volledige rapport voor alle details.   DOWNLOAD BENCHMARKRAPPORT

Inhoud Gemeenten hebben in 2021 een aantal complexe uitdagingen: de energietransitie, uitvoering wet WMO betreffende het sociaal domein, de financiële gevolgen van de coronacrisis, ondersteuning van de Tweede Kamer verkiezingen en het blijven aanjagen van de woningbouw. Om deze uitdagingen aan te kunnen hebben zij inzicht nodig in de financiën die hiervoor benodigd zijn.   ENSIA Gemeenten leggen nu al verantwoording af in de ‘Eenduidige Normatiek Single Information Audit’ (ENSIA). Hierin legt de gemeente verantwoording af aan de gemeenteraad en de toezichthouder op basis van de eindsituatie van Informatiebeveiliging opgeleverd van het afgelopen jaar. Tevens moeten de gemeenten vanaf dit jaar ook binnen de rechtmatigheidsverantwoording aangeven dat zij de financiële baten goed en rechtmatig hebben aangewend. Deze rechtmatigheidsverantwoording past in de ontwikkeling naar meer eigenaarschap van gemeenten voor het 'in control' zijn.    In Control Statement Gemeenten die 'zich willen verbeteren en pro-actief willen sturen', doen dit met behulp van een In Control Statement. Hiermee verklaren het bestuur en management dat de interne beheersings- en controlesystemen van een gemeente adequaat en effectief zijn.  Niet elke gemeente kan dit of is hier al op ingericht en ook hebben niet alle gemeenten informatie over de diverse domeinen een aandachtsgebieden integraal beschikbaar. Vaak zijn er standalone toepassingen of losse excel bestanden waarmee de gemeenten tracht een beeld te vormen over de te verantwoorden onderdelen.     Management Control Framework Om gemeenten hierbij te ondersteunen heeft Cruxer het Management Control Framework (MCF) ontwikkeld waarmee de gemeentelijke organisatie ondersteund wordt door middel van handvatten en beheersingsmaatregelen, waarmee zij blijvend kunnen voldoen aan de wettelijke bepalingen om de integriteit, voortdurende beschikbaarheid en beveiliging van de geautomatiseerde gegevensverwerking te waarborgen zoals o.a. aangegeven in de Baseline Informatiebeveiliging Overheid (BIO). Tevens zijn relaties mogelijk naar de GDPR – Algemene verordening gegevensbescherming (AVG)​, het Norea Volwassenheidsmodel Informatiebeveiliging 2019, de RODIN (Referentiekader opbouw digitaal informatiebeheer 2107) en de ENSIA.   Integraal beeld Het MCF geeft de gemeente een integraal beeld van de opzet en bestaan van de interne beheersing en ondersteunt ook de werking in de dagelijkse activiteiten hiervan. Gemeenten hebben hierdoor de mogelijkheid om gericht bij te sturen waardoor de gehele PDCA-cycle wordt ondersteund. Omdat het MCF ook de relaties legt met de bedrijfs- en werkprocessen en de inrichting hiervan binnen de organisatie is onderbouwing van het In Control Statement voor de gemeente mogelijk. Het MCF biedt niet alleen ondersteuning aan de CISO van de gemeente maar ook aan de verantwoordelijken binnen de control functie. Vanwege de mogelijkheid relaties te leggen naar procesmanagement en applicatiemanagement is ondersteuning van de informatievoorziening mogelijk. Als een gemeente gebruik wil maken van het MCF dan wordt gestart met het digitaliseren van de aanwezige eigen risk-managementcycle gekoppeld aan de eigen bedrijfs- en werkprocessen. Dit wordt aangevuld en verbeterd waarna via workflows de maatregelen worden getoetst en onderbouwd met evidence. Interne rapportages en dashboards geven de gemeente het benodigde inzicht voor het opstellen van de In Control Statement.   Uitgebreide informatie over Management Control Framework is te vinden in deze flyer.   Neem voor meer informatie contact op met: René van der Reijden, rene@cruxer.nl Eric van Mierlo, eric@cruxer.nl   Deze blogpost is geschreven door onze partner Cruxer.  

Inhoud Privacy is in aanloop van 25 mei 2018 door veel organisaties opgepakt als project waar de nieuwe wetgeving de trigger heeft gegeven om privacy in te gaan richten. Overal werden projectteams samengesteld en er werd gewerkt aan een opzet van privacy met een beleid, procedures, een verwerkingsregister en het organiseren van rechten voor betrokkenen. Vanuit dit projectteam is ook nagedacht over privacy verantwoordelijken en een al dan niet verplichte Functionaris gegevensbescherming (FG). Alle verplichte documenten zijn destijds opgeleverd en privacy is in opzet aanwezig in de organisatie. Het projectteam heeft decharge gekregen en de aangewezen Privacy Officer (PO) is zelf aan de slag gegaan. Inmiddels zijn we een paar jaar verder. De projectgroep was natuurlijk een veilige omgeving waar meerdere mensen bezig waren en het belang ervan ook hebben ingezien. Eenmaal uit de projectgroep en terug in het hart van de organisatie razen alle andere prioriteiten en continue veranderingen als een straaljager langs de PO heen. Privacy compliance is ineens één van de vele onderwerpen op de prioriteitenlijst en bovendien een onderwerp wat toch al geregeld was? Dus nu is een ander onderwerp aan de beurt, ook binnen de budgettering.   Situatie Helaas! Privacy gaat niet weg, plichten verminderen niet maar worden alleen maar groter, risico’s bij het niet aantonen van een bepaalde mate van control zijn nog steeds aanwezig. Documenten verouderen en Excel spreadsheets worden niet of nauwelijks bijgehouden of zijn veel te complex geworden. Verantwoordelijkheden liggen nog (steeds) niet in de organisatie maar bij enkele individuen in plaats van bij de proceseigenaren. De vragen die nu gesteld kunnen worden zijn: Waar en hoe dient privacy nu eigenlijk ondergebracht te worden? Hoe kan privacy onderdeel worden van het grotere geheel, het organisatie brede compliance vraagstuk? Hoe kan de afdeling control een grotere rol gaan spelen bij toetsing en implementatie? Steeds vaker zijn organisaties bezig met het zoeken naar softwareoplossingen die ervoor kunnen zorgen dat “het allemaal gemakkelijker” kan worden gemaakt of geautomatiseerd kan worden. Slim om dat te doen! Daar kan ik het niet oneens mee zijn. Alleen, is er ook een strategie geformuleerd die hieraan ten grondslag ligt? Heeft het management en de organisatie uitgesproken aan welke doelstellingen de keus voor een instrument moet gaan bijdragen? En is dit een korte of lange termijnstrategie?   Impact In deze bijzondere tijden is investeren en de juiste keuze maken niet eenvoudig. Nú investeren in een point solution, een goedkoop en klein instrument wat één specifiek vraagstuk, of erger nog, een deel daarvan voor nu even oplost, is dat wel of geen passende oplossing? Misschien wél voor nu, maar dit zal uiteindelijk een desinvestering blijken te zijn, áls deze niet volledig aansluit bij de toekomstvisie en compliance strategie van de organisatie. Alle kosten, duidelijk en verborgen, tijd, verspilling van draagvlak, energie, uren die erin gestoken worden om er later achter te komen (bij een basis audit of assessment) dat het instrument niet volledig voldoet aan de vereisten van informatievoorziening en de verschillende disciplines niet met elkaar verbindt of laat samenwerken. Een investering in een instrument dient altijd bij te dragen aan de duidelijke doelstellingen van de organisatie en dient ook een duurzaam karakter te hebben. Selecteer dus verstandig en laat je helpen bij het maken van de juiste keuze voor jouw organisatie. De afgelopen maanden hebben wij vele organisaties gesproken over de meest logische vervolgstappen om compliance, risicomanagement, informatiebeveiliging en privacy management beter in de organisatie te gaan beleggen. Veel organisaties zijn actief op zoek naar tooling op het gebied van P(I)MS Privacy (Informatie) Management Systeem en/of een ISMS, Information Security Management Systeem. Dit komt met name door nieuwe richtlijnen en eisen vanuit de overheid voor zorginstellingen, GGD en GGZ-organisaties, Lokale en regionale overheden, etc. Met de introductie van de Baseline Informatiebeveiliging Overheid (BIO) is ineens ook ISMS bezig met een hernieuwde opleving. Vanuit de IT-afdelingen worden initiatieven opgetuigd om dit vorm te gaan geven, projecten worden gestart en investeringen in software en/of dure consultants gedaan. Zelfs aanbestedingen worden uitgeschreven met alle kosten die daarbij komen kijken. De keuze waar je ongetwijfeld ook mee geconfronteerd gaat worden als organisatie: Investeren wij in diverse losse software-instrumenten voor deze vraagstukken of kiezen wij ervoor om gebruik te gaan maken van een multifunctioneel en integraal in te zetten platform? Wat is nu de juiste keus? Wat levert uiteindelijk de meeste waarde op of kost op lange termijn het minste geld en kan het meest bijdragen aan de organisatiedoelstellingen? Dé vraag voor 2021 is voor ons dan ook: “Zet de transitie naar integraal, gecontroleerd (GRC) compliance management door?”. Het magische woord in deze vraag is, wat ons betreft, integraal. De behoefte die uitgesproken wordt bij veel onderzoeken is dat zij de organisatie naar een hoger volwassenheidsniveau willen brengen, vooral als het gaat om risicomanagement en compliance. Hier hoort echter altijd een goede governance bij, ofwel, zonder processen en control ben je aan de leeuwen overgeleverd! De enige oplossing die wij kunnen verzinnen is er één die al vele jaren door de experts geuit wordt, niet eenvoudig, wel noodzakelijk.   “Door de verbinding te zoeken binnen de organisatie tussen processen, (mensen) rollen en verantwoordelijkheden, (systemen) IT-applicatielandschap en datamodellen, (compliance) wet- en regelgeving, normeringen, risico’s, beheersmaatregelen, de audit en control cycli, krijg je als organisatie écht grip op alle verplichtingen die jouw organisatie al heeft en die nog op jouw organisatie afkomen”.    Compliance Management Framework (CMF) Een manier om hiermee te starten is door gebruik te maken van een Compliance Management Framework (CMF) en de verbinding te gaan zoeken tussen de kernafdelingen die hier een belang bij hebben. Het CMF is een vertaling van 20 jaar praktijkervaring door diverse professionals die werken in de vakgebieden Informatiebeveiliging, Privacy, Risicomanagement, Legal en Governance. Het CMF zorgt ervoor dat je in control komt, bent en blijft over je compliance vraagstukken.   Webinar Van onbewust onbekwaam naar onbewust bekwaam Compliance Management De kernvraag voor iedere organisatie is: ga je als organisatie investeren in diverse losse software-instrumenten voor compliance vraagstukken of kies je ervoor om gebruik te gaan maken van een multifunctioneel en compleet platform? Wat is nu de juiste keus? Wat levert uiteindelijk de meeste waarde op of kost op lange termijn het minste geld? Klik hier voor meer informatie en aanmelding.   Wil je geïnspireerd worden, feedback geven, de dialoog aangaan? Neem dan contact op! Ook wij leren, zoals iedereen, iedere dag! Ralph Drijver | Telefoon: +31 6 13 84 77 44 | rdrijver@audittrail.nl | www.compliancemanagementframework.nl     Deze blogpost is geschreven door onze partner Audittrail. Wil je meer weten over het Compliance Management Framework? Bezoek dan deze pagina of download de factsheet. Of meld je aan voor het Webinar Compliance in control in de publieke sector.  

Inhoud Zuiderzeeland is een Waterschap in Lelystad. Zuiderzeeland bedient een gebied dat bestaat uit 8 gemeenten en 414.000 inwoners. Zuiderzeeland beheert 365 stuwen, 1200 kilometer aan watergangen en 255 kilometer aan dijken. Dit alles verspreid over een gebied van 250.000 hectare. In de polders die het waterschap beheert liggen zuiveringen, gemalen en dijken. Daarmee zorgt het waterschap voor schoon en voldoende (drink)water en zorgen ze dat alle inwoners in veiligheid kunnen leven, zowel in de steden als op het platteland.   Uitdaging Zuiderzeeland benaderde Audittrail vanuit de wens om effectief werk te maken van informatiebeveiliging. Het waterschap had al enige stappen ondernomen richting informatieveilig werken, bijvoorbeeld door een audit op de Baseline informatiebeveiliging Waterschappen(BIWA). Daarnaast had Zuiderzeeland al Mavim aangekocht en hierin de architectuur van applicaties en systemen en alle processen vastgelegd. De vraag vanuit de organisatie was om de informatie die reeds in Mavim was vastgelegd aan te vullen en uit te breiden met een stuk informatiebeveiliging (BIWA). Naast de operationele invoer wilde Zuiderzeeland ook het beheer makkelijker maken. Omdat er al veel gegevens in Mavim stonden, zochten ze een oplossing die daarop aansloot. Met de komst van de BIO werd besloten om daarop te sturen en de BIWA-audit mee te nemen als startpunt voor een BIWA-BIO omschakeling. Het management was ook op zoek naar een oplossing die meer grip op de status van informatiebeveiliging bood. Daarbij was er de wens voor overzichtelijke rapportages. Deze konden gebruikt worden als verantwoording naar het bestuur maar ook naar de procesverantwoordelijken. Zo had Zuiderzeeland de behoefte om eenvoudig de huidige status van “hun” beheersmaatregelen in te zien.   Oplossing We zijn begonnen met een inventarisatie van wat reeds in Mavim was opgenomen. Deze informatie is gekoppeld in het door Audittrail opgeleverde Compliance Management Framework (CMF), dat in de reeds bestaande Mavim-omgeving is geïmplementeerd. Het framework is zodanig aangepast en uitgebreid dat het past bij de wensen van Zuiderzeeland. Vervolgens is er begonnen met de daadwerkelijke invulling van het framework met bijvoorbeeld de uitslag van de BIWA-audit. Door deze gegevens te verwerken in het CMF werden de aandachtspunten duidelijk. Om de rapportagemogelijkheden van het framework uit te breiden zijn er dashboards toegevoegd met het gebruik van Microsoft Power BI Hierdoor zijn er meer filter mogelijkheden en kunnen de rapporten op verschillende plekken in het framework worden geïntegreerd.   “We willen ons Compliance Management Framework zelf in de hand houden, maar wel professionele begeleiding inschakelen. Audittrail laat ons zelf aan de knoppen zitten en ondersteunt waar nodig met bijsturing. Zo blijven we samen in control.” Foeke Sijtsma | Waterschap Zuiderzeeland   Resultaten Zuiderzeeland is erg tevreden met het resultaat tot nu toe. Het CMF biedt de gewenste grip op informatiebeveiligingscompliance. Inmiddels zijn we een jaar verder en gaat het traject nog een stuk verder. De wens vanuit de CISO is dat hij overzicht en inzicht heeft zonder zelf aan de knoppen te zitten. Hiervoor worden er momenteel mooie Power BI dashboards gemaakt voor de verschillende doelgroepen. Overall overzicht voor het bestuur, voor de proceseigenaar/stakeholder zijn/haar eigen actiepunten en daarbij de voortgang en voor de CISO een combinatie van beide. De komende tijd gaan Audittrail en Zuiderzeeland verder met de invulling en landing van het framework binnen de organisatie. Eind vorig jaar is Zuiderzeeland na een Quickscan op het gebied van Privacy ook gestart met het privacy onderdeel in het CMF. De komende tijd worden de dashboards aangevuld met informatie over privacy. Hierdoor komen Informatiebeveiliging en privacy weer mooi samen en krijgt het bestuur een snel overzicht hoe ze er voor staan.     Bron: Audittrail