Hoe kom je tot een auditopdracht? En vervolgens tot een tweede, een derde...totdat je ‘nee’ moet verkopen, omdat je vol zit? Dat is niet eenvoudig, zeker niet in een organisatie waar auditing een relatief nieuw begrip is. In deze blog komen de stappen aan de orde die wij binnen de Gemeente ‘s-Hertogenbosch zetten om auditing informatiebeheer bekend te maken binnen de organisatie. Een deel van deze stappen zijn in een andere context in een eerdere blog ook al besproken.

Archiefinspectie en auditing

Het idee voor interne auditing is binnen de Gemeente s-Hertogenbosch’ ontstaan bij het Stadsarchief, zie ook de blog over de auditingmethode. Als gevolg van de invoering van de Wet Revitalisering Generiek Toezicht hebben we in september en oktober 2013 nagedacht over manieren om het toezicht op informatiebeheer op een andere manier vorm te geven dan we tot nu toe deden. Toen kwamen wij uit bij auditing. Daar zijn wij niet uniek in: veel archiefinstellingen onderzoeken dit vakgebied en proberen het te incorporeren in hun toezichttaak. Kijk bijvoorbeeld naar de werkgroep inspectie van branchevereniging Brain.

Bij het Stadsarchief hebben we toen besloten een onderscheid te maken tussen inspectie en auditing. De inspectie vindt plaats op basis van de KPI’s en wordt uitgevoerd door de Stadsarchivaris. Auditing wordt belegd bij de archiefinspecteur en mijzelf als medewerker toezicht informatiebeheer. Sindsdien hebben we verder nagedacht over de positionering van de functie in de organisatie. We zijn tot de conclusie gekomen dat de inspectie goed op zijn plaats is bij het Stadsarchief, maar dat we auditing graag dichter bij de eerste lijn zetten. Daarom is sinds 1 oktober 2014 auditing belegd bij Documentaire Zaken.

Risicoanalyses

Sinds medio 2013 voert de Gemeente ’s-Hertogenbosch risicoanalyses op het gebied van informatiebeheer uit. In een eerder blog zijn onze aanpak en ervaringen aan de orde gekomen. Voor auditing zijn de risicoanalyses in meerdere opzichten interessant. Soms komen bij de risicoanalyses thema’s naar voren die door middel van een audit verder uitgediept kunnen worden. Terugkoppeling van de risicoanalyse is een goed moment om de optie auditing te bespreken. Het faciliteren van risicoanalyses wordt als nuttig ervaren en is daarmee een goede manier om toegevoegde waarde te leveren.

Uitgevoerde audits

Op basis van risicoanalyses zijn we ook aan de slag gegaan. Sinds september 2013 hebben we drie audits gedaan. Objecten van onderzoek waren de verwerking van bestuurlijke behandelvoorstellen in het zaaksysteem, informatiebeheer bij de afdeling milieu en werkinstructies bij het bureau Documentaire Zaken. Deze rapporten zijn allemaal positief ontvangen. Daarnaast maken we op dit moment op verzoek van de Stadsarchivaris een inventarisatie van de bouwvergunningen.

Deelname project implementatie risicomanagementmodule

Risicomanagement gaat een grotere rol spelen binnen de bedrijfsvoering van de gemeente. In de loop van 2015 gaan we daarom aan de slag met de implementatie van een risicomanagementmodule. Ik neem namens Documentaire Zaken deel aan het project. Deelname biedt voor ons een aantal mooie kansen. Permanent aandacht genereren voor risico’s op het gebied van informatiebeheer in relatie tot andere risico’s die vakafdelingen zien. Ook hier geldt dat het in kaart brengen van risico’s een goed aanknopingspunt vormt om de mogelijkheid van een audit naar voren te brengen. Voor de goede orde: dit project staat los van het project risicoanalyses, dat bij Documentaire Zaken ligt.

Nieuwsberichten en netwerken

Daarnaast proberen wij op twee manieren bekendheid te geven aan auditing. We plaatsen nieuwsberichten, bijvoorbeeld op Intranet en Yammer. Ook op de intranetpagina van Documentaire en Facilitaire Zaken zijn wij terug te vinden. Daarnaast proberen we verbinding te zoeken met mensen die zich ook bezighouden met het verbeteren van de kwaliteit van werken, zoals kwaliteitsmanagement, interne controle, controllers enzovoorts.

Samenvattend kun je stellen dat de manier waarop wij auditing informatiebeheer proberen uit te dragen divers en pragmatisch is. Het heeft zijn meerwaarde al getoond in de opdrachten die we hebben uitgevoerd, maar opdrachten komen niet vanzelf. Het belangrijkste is dat we bijdragen aan een goed informatiebeheer die de organisatie helpt met het behalen van haar doelen en waarmee we in control zijn.