Auditing van het informatiebeheer is een relatief nieuwe activiteit binnen de gemeente 's-Hertogenbosch. Als gevolg van de invoering van de Wet Revitalisering Generiek Toezicht hebben we bij de gemeente 's-Hertogenbosch nagedacht over manieren om het toezicht op informatiebeheer vorm te geven. Toen kwamen wij uit bij auditing. Daar zijn wij niet uniek in: veel archiefinstellingen onderzoeken dit vakgebied en proberen het te incorporeren in hun toezichttaak. Kijk bijvoorbeeld naar de werkgroep archiefinspectie van branchevereniging Brain. We hebben besloten een onderscheid te maken tussen inspectie en auditing. De inspectie gebeurt op basis van KPI's van de VNG en wordt uitgevoerd door de stadsarchivaris. Auditing was belegd bij de archiefinspecteur en mijzelf als medewerker toezicht informatiebeheer. Organisatorische waren wij allemaal onderdeel van de afdeling Stadsarchief. Sinds 1 oktober 2014 is de auditing belegd bij Documentaire Zaken. De inspectie is nog steeds een taak van de stadsarchivaris.

Methode

We wilden zo snel mogelijk aan de slag gaan met audits en op basis van geleverd werk onze functie en methode verder ontwikkelen en versterken. Daarom heb ik eind 2013 in korte tijd een methode opgesteld die bestaat uit vier fases: formuleren opdracht, onderzoek, oordeelsvorming en rapportage. Op basis hiervan hebben we in 2013 en 2014 een audit gedaan naar bestuurlijke besluitvorming en bij de afdeling milieu. Naast ervaring opdoen in de praktijk investeert de gemeente in de functie door mij de opleiding Internal Auditing aan de Haagse Hogeschool te laten volgen.

Bij de opleiding baseert men zich op de aanpak van A. Molenkamp en A.J.G. Driessen. Zij gaan uit van een zes-fasen-model. Op basis van de literatuur, de colleges en de uitgevoerde opdrachten heb ik onze aanpak aangepast. Wij onderscheiden op dit moment zes fasen:

• Auditverzoek
• Vooronderzoek
• Veldwerk
• Rapportage
• Evaluatie
• Follow-up

Onderaan deze blog heb ik de methode toegevoegd. Daarin staan de verschillende fasen uitgebreid beschreven. Zoals hierboven geformuleerd lijkt het alsof de fases allemaal strikt gescheiden zijn. In de praktijk lopen verschillende fases vaak in elkaar over. We vonden verschillende zaken belangrijk bij het opstellen van de methode:

• Concrete resulaten formuleren (zoals auditbrief, plan van aanpak, rapport etc.) Dat doen we om twee redenen: Enerzijds is het voor de opdrachtgever duidelijk wat hij van ons kan verwachten. Anderzijds draagt het bij aan de kwaliteit van ons werk.
• De organisatorische kant expliciet maken: voor het draagvlak en het commitment is het belangrijk dat de opdrachtgever en auditee (degene die geaudit wordt) de situatie zoals die zou moeten zijn (op basis van wet- en regelgeving, beleid, kaders etc.), de werkelijke situatie, de bevindingen, conclusies en reacties onderschrijven. Daarvoor is regelmatige terugkoppeling met de opdrachtgever en auditee nodig. Dat hebben we daarom expliciet gemaakt in verschillende stappen.
• In sommige organisaties wordt de follow-up beschouwd als een nieuwe audit. In onze aanpak is het de zesde fase, omdat we hem zien als een opvolging van de resultaten.

Sjabloon

Ter ondersteuning van de uitvoering van een concrete audit hebben we een sjabloon opgesteld. Het idee is geïnspireerd op de werkwijze van ProRail, maar we hebben hem aangepast aan onze versie van het zes-fasen-model. De 'looks' zijn gebaseerd op het sjabloon voor de risicoanalyses. Belangrijk: het sjabloon is een werkdocument voor ons als auditors. Het is niet bedoeld als rapport richting opdrachtgever. We beogen met het sjabloon onze werkwijze binnen redelijke grenzen te standaardiseren. Dat vinden we om verschillende redenen belangrijk. Ten eerste omdat het op die manier gemakkelijker is om werk van elkaar te kunnnen overnemen. ten tweede is het van belang om je manier van werken inzichtelijk te maken, zodat een andere auditor op basis van je dossier (en daar maakt dit onderdeel van uit) je stappen kan volgen en - als het goed is - tot dezelfde bevindingen en conclusies komt.

Ervaring

In 2013 en 2014 hebben we op basis van de eerste methode een audit gedaan naar bestuurlijke besluitvorming en bij milieu. Op basis van deze ervaringen en de opleiding hebben we de methode doorontwikkeld. In 2015 willen we de audits gaan aanpakken volgens de de huidige methode. De methode en het sjabloon zijn voor ons een houvast om aan het werk te gaan, maar het toepassen is geen doel op zich. Afhankelijk van de vraag of eventuele samenwerking met andere afdelingen kunnen we onze werkwijze aanpassen.

Als bijlage bij deze blog heb ik de methode en het sjabloon toegevoegd. We ozuden het als gemeente 's-Hertogenbosch erg waarderen wanner jullie het reviewen en er commentaar op geven. Daar kunnen wij ook weer van leren. Delen van een eigen aanpak of methodes wordt ook erg gewaardeerd.

Volgende blog

Om het draagvlak zo groot mogelijk te maken, werken wij in opdracht. Maar...hoe kom je tot een opdracht? Mijn volgende blog zal gaan over de manieren waarop wij auditing informatiebeheer proberen te promoten en hoe we tot opdrachten proberen te komen.

Bijlage:

• Methode: Methode_auditing.docx
• Sjabloon:Methode_auditing_sjabloon.xlsx