ENSIA-audit
28.09.2020

Dé valkuilen en tips voor de gemeentelijke ENSIA audit

Een audit goed voorbereiden? Zoals wij naar een audit kijken is het vooral een doorlopend verbeteringsproces en géén examen. Op het moment dat je werkt aan een proces van continu verbeteren dan kun je er ook een stuk relaxter in gaan zitten. De audit wordt vaak gezien als een verplicht nummer om aan te tonen dat je als gemeente voldoet aan de normen, terwijl de audit oorspronkelijk is bedoeld als middel om de informatieveiligheid te verbeteren. Hoe verzorg jij een optimale voorbereiding van de audit, zodat je deze soepel kunt doorlopen? Daarvoor kun je deze 6 tips gebruiken.

De ENSIA-audit is een verplichte audit

Sinds 2017 zijn gemeenten verplicht om jaarlijks een zelfevaluatie in te vullen omtrent informatieveiligheid, de zogenaamde ENSIA-audit. De basis van de ENSIA? Vragenlijsten gebaseerd op het normenkader van de BIO. Gemeenten kunnen bewijzen dat zij op de juiste manier omgaan met informatieveiligheid wanneer zij deze vragenlijsten op de juiste manier invullen en aanvullen met bijbehorende bewijsstukken. Onze auditors hebben veel te maken met de ENSIA audit van de DigiD en SUWInet. Dit zijn de enige twee normenkaders waarop een verplichte controle moet worden uitgevoerd door een gecertificeerde auditor. Voor de andere disciplines geldt: De ENSIA zelfevaluatie is verplicht, een controle door een auditor (nog) niet.

Een auditor kijkt naar opzet, bestaan en werking

Opzet: de beschrijving van bijvoorbeeld een goedgekeurde beheerprocedure (heb je beschreven hoe je wilt dat het gaat werken?)

Bestaan: De stukken die horen bij 1 voorbeeld en waaruit blijkt dat de beheerprocedure gevolgd is. (kun je een voorbeeld geven waaruit blijkt dat je werkt volgens die opzet)

Werking: Alle voorbeelden uit een onderzoeksperiode en daaruit een steekproef genomen van Incidenten welke allemaal volgens de beheerprocedure zijn verwerkt.

Het begint natuurlijk allemaal met een beschrijving die duidelijk uitgewerkt is. Met daarbij de autorisaties en verantwoordelijkheden per rol goed weergegeven. En dan op zo’n manier dat het voor iedereen toegankelijk en begrijpelijk is. Juist in de controle stap, waarin je door middel van een audit laat onderzoeken of je werkt zoals afgesproken, zorg je voor verbetering. Een audit hoeft geen spannend moment te zijn, maar vooral een continue manier om je processen zó te optimaliseren dat ze nog meer meerwaarde leveren voor het uiteindelijke bedrijfsresultaat.

Tips voor de ENSIA-audit

Als auditors hebben wij de afgelopen jaren gezien wat er goed ging en welke valkuilen veel gemeenten hebben ervaren. Om je voor de meest voorkomende valkuilen te behoeden hebben we deze omgezet in de volgende 6 tips om je voordeel mee te doen:

1. Begin op tijd

De ENSIA zelfevaluatieperiode loopt van 1 juli t/m 31 december. Het lijkt alsof je nog zeeën van tijd hebt, maar dit viel de afgelopen jaren vaak tegen. Na het beantwoorden van alle ENSIA vragen moeten ook bewijsstukken worden toegevoegd aan het dossier. Deze bewijsstukken MOETEN van hetzelfde jaar zijn als waarop de zelfevaluatie betrekking heeft. Trap dus niet in de valkuil om op 31 december alle vragen netjes ingevuld toe te sturen en het verzamelen van de bewijsstukken door te schuiven naar het volgende jaar. Heftig maar waar: deze bewijsstukken tellen dan niet mee. Begin dus op tijd met het invullen van de zelfevaluatievragenlijst en het verzamelen van de bijbehorende bewijsstukken.

Lees : Een goede-voorbereiding is het halv…een blije auditor

2. Breng de basis op orde met goed beleid, processen en controle hierop

Het begint bij het formuleren van goed beleid, waarbij je de principes vastlegt waarom je iets wil bereiken. En daaronder beschrijf je door middel van processen wat je gaat doen om dat wil bereiken. Tot slot zorg je voor een manier waarop je dit kunt controleren. Dat maakt de PDCA-cirkel rond en dat is een goede manier van voorbereiden. Juist de controlestap staat borg voor de verbeterpotentie in je bedrijf. Pas dan kun je in de spiegel kijken en ontdekken waar je het goed doet en waar nog aanscherping nodig is. Dat is de rol van de auditor. Met een onafhankelijke en frisse blik in je organisatie kijken.

3. Benut het voordeel van een pre-audit

Door het laten uitvoeren van een pre-audit creëer je eigenlijk een generale repetitie op de audit. Je laat dan de auditor alvast kijken naar procesbeheer en informatiesystemen. De auditor signaleert en benoemt verbeterpunten. Zo maakt je het mogelijk om nog bij te sturen voor de daadwerkelijk audit.

Gemeente Roosendaal: “Een pre-audit geeft je inzicht in waar je staat op dat moment en geeft vertrouwen. De audit geeft aan wat nog niet compleet is of op welke manier je het kunt aanpakken. Vervolgens ligt er voor de daadwerkelijke audit alles klaar en gaat deze sneller.”

Er ontstaat dan niet alleen ruimte voor inzicht en verbetering. Ook voorkom je onnodig werk en ontstaat er ruimte om de auditrapportage op tijd in te dienen. Daarmee kun je als gemeente een start maken met de derde fase van de audit na opzet en bestaan: de werking. In deze fase wordt over een langere periode gewerkt aan de verbetercyclus. Zo wordt de audit een instrument voor continue verbetering. Een instrument voor de toekomst!

4. Betrek alle verantwoordelijken bij het proces

Omdat verschillende disciplines zijn betrokken bij een ENSIA zelfevaluatie, zijn er ook verschillende verantwoordelijken voor informatieveiligheid. Het is bijvoorbeeld zo dat een aantal procedures formeel moet zijn vastgesteld door deze betreffende verantwoordelijke. Logischerwijs is het dus goed om deze mensen te betrekken bij het gehele proces. Zij weten precies wat speelt binnen hun discipline en welke valkuilen er zijn. De vragen omtrent hun gedeelte en het verzamelen van de bewijsstukken is voor hen een stuk makkelijker, dan wanneer de ENSIA coördinator dit allemaal alleen moet doen. Daarnaast zorgt het stukje teamwork ervoor dat informatieveiligheid eerder onderdeel wordt van de reguliere bedrijfsvoering en je ook volledig bent in jouw verantwoording.

Start met een kick-off met de proceseigenaren. Hierin kun je de aanbevelingen uit de vorige audit bespreken. Welke acties liggen er? Welke verbeteringen zijn inmiddels aangebracht? De proceseigenaren kunnen naast het verzorgen van de bewijslast hun verantwoording geven tijdens het audit interview.

5. Gefaseerde audit

Het is wettelijk verplicht om de ENSIA audit van DigiD en SUWInet te laten controleren door een gecertificeerde auditor. Veel gemeenten trekken deze auditor er pas aan het einde van het de rit bij. Zij zien het als een soort eindexamen waarin de ENSIA audit wordt afgenomen door de auditor. Beter is het om de auditor gedurende het hele proces aan te laten sluiten. Plan verschillende revisiemomenten waarin de auditor precies kan aangeven wat nog mist en waar de verbeterpunten liggen. Dankzij de inzichten van de auditor raken gemeenten niet verstrikt in de brij van de ENSIA audit. Daarnaast brengt een auditor een frisse blik. Zoals we eerder aangaven is de ENSIA audit een zelfreflectie omtrent de omgang met informatieveiligheid. Hebben medewerkers het in zich om die kritische vragen te stellen over wat wel en wat minder goed gaat? Een auditor bekijkt het geheel door de auditorbril en weet precies welke kritische vragen beantwoord moeten worden om tot een goed eindresultaat te komen.

6. Documenteer het eindresultaat

En dan is het moment daar en moet de gemeente ENSIA dossier inleveren bij de auditor. Het hele team heeft hard gewerkt om de deadline te halen en nu is het wachten op de feedback. De vraag is; hoe leveren gemeenten dit aan? Als de gemeente ervoor kiest om de spreekwoordelijke schoenendoos gevuld met bij elkaar geraapte informatie aan te bieden, dan heeft de auditor bij voorbaat al het gevoel dat men niet in control is. Ook de coördinator mist in deze gevallen veelal het overzicht. Een gestructureerd document brengt niet alleen overzicht voor de gemeente, maar geeft de auditor ook een goede eerste indruk van de zelfreflecterende ENSIA.

Succes factoren uit de audit-praktijk

Bij vele gemeenten hebben wij  audits mogen uitvoeren. Ondanks de vele valkuilen, zagen we bij een aantal van onze klanten hoe het ook heel goed kan gaan:

  • de audit was voorbesproken met de vakafdeling;
  • het bewijs was ruim op tijd verzameld;
  • het dossier werd per vakgebied voorgelegd aan een interne auditor;
  • het dossier kon tijdig worden verbeterd c.q. aangevuld;
  • het dossier werd op tijd aangeleverd;
  • de toelichting op het dossier was voorbereid en de audit verliep daardoor uitstekend.

De organisaties waarbij we deze situatie tegenkwamen, hadden veelal een kwaliteitsmanager/auditor in dienst. We realiseren ons dat niet iedere organisatie deze luxe heeft. Voor die organisaties is het wellicht zinvol om een externe auditor in te schakelen die zorgt voor ‘continues auditing’, waardoor je al gedurende het jaar weet of en in welke mate zaken op orde zijn. Dit neemt veel stress weg aan het einde van het traject en het ondersteunt organisaties bij sturing op de bedrijfsprocessen.

Inzicht en overzicht tijdens de ENSIA

Structuur en overzicht zijn key bij een goede uitvoering van de ENSIA.  Benieuwd hoe wij je met onze diverse audits verder kunnen helpen? Neem vooral vrijblijvend contact met ons op!

Categorie: Nieuws

Gerelateerde producten

ENSIA-audit