Integrated auditing moet verspilling tegengaan
Op dit moment lopen er 73 grootschalige projecten (10 miljoen euro of meer) waarbij IT een belangrijke rol speelt. Volgens globale berekeningen wordt bij de overheid jaarlijks zelfs miljarden euro uitgegeven aan IT-projecten, waarvan het merendeel niet succesvol wordt opgeleverd. Als gevolg hiervan komen interoperabiliteit tussen overheidsorganisaties en efficiencyverbetering van de bedrijfsvoering moeilijk van de grond. Bij de overheid zijn de processen van beleid en uitvoering bij verschillende organisaties steeds meer met elkaar verknoopt in netwerken. De prestatie van de ene organisatie is in toenemende mate afhankelijk van de uitvoeringsprocessen bij een andere organisatie.
Kamer en regering hebben geen zicht op de effecten en uitvoerbaarheid van nieuwe regels die worden uitgevaardigd. Als departementen transparant zouden zijn, zouden knelpunten vroegtijdig zichtbaar zijn. In de gangbare opvattingen over governance staan besturing en verantwoording voorop. Hoewel de minister geen lijnverantwoordelijkheid heeft over de RWT’s (rechtspersonen met een wettelijke taak) en ZBO’s (zelfstandige bestuursorganen), is hij wel degene die hen aanstuurt. Hiertoe heeft de minister twee middelen tot zijn beschikking. Ten eerste stelt hij de richtlijnen op volgens welke de verschillende uitvoeringsinstanties moeten werken. Daarnaast controleert hij, via de auditteams van het ministerie, of deze richtlijnen in de uitvoeringspraktijk worden toegepast. Dankzij deze instrumenten heeft de minister dus wel degelijk grip op zelfstandige uitvoeringsorganisaties.
Een verstandige minister stelt bijvoorbeeld de richtlijn op dat de managementcyclus binnen de organisatie gesloten moet zijn én hij controleert dit. Dan bestaat de zekerheid dat het management van die organisatie steeds de cyclus van plan, do, check en act doorloopt. Als dat gebeurt, kan het management van eventuele fouten leren en zullen minder fouten worden gemaakt. Mocht dat laatste toch gebeuren, dan zou de Kamer de minister kunnen vragen welke richtlijnen hij de organisatie heeft meegegeven en óf hij de naleving daarvan heeft gecontroleerd.
In de hedendaagse politiek is het nog lang geen realiteit. De noodzakelijke focus op het inrichten van controlemechanismen voor grote IT-projecten ontbreekt vaak. Het opstellen van richtlijnen krijgt traditiegetrouw het leeuwendeel van de aandacht. Dit is het politieke spel van beleidsvorming, het verdedigen van maatregelen voor de Tweede Kamer en het uitleggen van voornemens aan de kiezer. Het is een spel dat breed wordt uitgemeten in de media, een spel dat alle aandacht krijgt. Echte controle komt meestal pas hoog op de ministeriële agenda als het eigenlijk al te laat is. Pas als kabinetsleden door de Kamer worden aangesproken op het verstrekken van foutieve informatie, krijgt controle topprioriteit.
Het slaat vaak nergens op: de minister die ter verantwoording wordt geroepen voor een fout in de uitvoering. Het heeft alleen zin iemand ter verantwoording te roepen voor iets waarvoor hij ook verantwoordelijk is. De minister heeft geen lijnverantwoordelijkheid over de vele organisaties die voor de uitvoering verantwoordelijk zijn. Het zijn immers zelfstandige organisaties. Dan kun je de minister niet aanspreken op het gedrag en de fouten van individuele medewerkers van dergelijke organisaties.
Ooit kon het wel, in de tijd dat de uitvoering nog binnen de vier muren van het departement en binnen de eigen lijnhiërarchie plaatsvond. Maar die simpele realiteit is allang verleden tijd. Onder de ministeries hangt een netwerk van (semi)zelfstandige organisaties die voor de uitvoering van het beleid verantwoordelijk zijn. Uitvoeringsketens bestaan bovendien vaak uit organisaties die onder de aansturing van verschillende ministeries vallen. Ook om die redenen is de ministeriële verantwoordelijkheid soms niet meer dan schone schijn.
De departementen worstelen hierbij met hun nieuwe rol: het besturen op afstand. Deze rol moet nu meer vanuit het maatschappelijk belang en de actuele inhoud worden ingevuld, minder vanuit de historische positie en bovendien in netwerkverband. Een pregnant probleem daarbij is de vergaande scheiding in verantwoordelijkheden en bevoegdheden tussen beleid en uitvoering. Dit zijn twee verschillende werelden, waarbij beleidscyclus en uitvoeringsplanning ieder een eigen perspectief en ritme hebben.
Nieuwe taken onderbrengen bij reeds bestaande organisaties is een goede strategie, vooropgesteld dat die de juiste aansturing en control krijgen. Gedetailleerd voorschrijven hoe en door wie het beleid moet worden uitgevoerd en op welke wijze de informatievoorziening moet worden ingericht, zoals doorgaans het geval is, belemmert uitvoeringsorganisaties in hun streven zich verder te specialiseren en de kwaliteit van hun dienstverlening te verbeteren.
Eigenlijk is het controleren van cijfers voor de minister niet de meest interessante exercitie. Het gaat er vooral om of het beleid zo wordt uitgevoerd als hij het heeft bedacht, volgens de door de Kamer goedgekeurde richtlijnen. De methodieken om dat te controleren worden op dit moment ontwikkeld. Dit is het nieuwe vakgebied van ‘integrated auditing’, een instrument om de governance van een organisatie in zijn totaliteit te beoordelen. Wordt de organisatie op de juiste wijze aangestuurd en is haar output betrouwbaar? Kunnen, met andere woorden, de minister en uitvoeringspartner vertrouwen stellen in de organisatie? Hoewel het vakgebied van integrated auditing nog in ontwikkeling is, zijn in het bedrijfsleven de eerste stappen gezet en experimenten gedaan na de inmiddels beruchte boekhoudschandalen zoals die van Worldcom, Enron, Parmalat en Ahold.
Alhoewel SOx deels als een mislukt experiment wordt beschouwd, worden aanknopingspunten voor de inrichting van het openbaar bestuur gezien. Laat de minister instaan voor het stelsel van controlemechanismen. Dit is vergelijkbaar met de CEO in het bedrijfsleven, die dankzij SOx hiernaar handelt. Daarover zou de minister door de Kamer – gesteund door de Algemene Rekenkamer – ter verantwoording kunnen worden geroepen, maar niet over de vraag of individuele cijfers kloppen of voor fouten van individuele medewerkers. Daarbij moet de Kamer wel enige coulance aan de dag leggen. Een systeem van waterdichte controle is theoretisch misschien mogelijk maar praktisch onhaalbaar. De investeringen zouden dan eenvoudigweg niet tegen de baten opwegen.
De Rekenkamer spreekt van een spiraal van toenemende complexiteit. Integrated auditing maakt betere samenwerking binnen ketens en netwerken mogelijk. Omdat de minister de individuele organisaties kan vertrouwen, kunnen de ketenpartners ook elkaar vertrouwen. Ze weten dat de processtappen, waarvoor zij geen verantwoordelijkheid dragen, correct worden uitgevoerd en kunnen op de integriteit van door andere organisaties aangeleverde gegevens en producten vertrouwen. Het is een misverstand dat het hiervoor noodzakelijk is dat organisaties met dezelfde IT-infrastructuur werken of ‘dezelfde taal spreken’. Als de minister maar met alle verschillende organisaties kan spreken – hen kan controleren – hoeven zij niet met elkaar te spreken. Het probleem van samenwerking zit hem nu niet in de techniek maar in de aansturing. Alle uitvoeringsorganisaties op dezelfde wijze laten werken is bovendien een illusie. Elke organisatie heeft haar eigen ontstaansgeschiedenis, is op een ander moment opgericht, werkt volgens andere richtlijnen. Die lappendeken valt niet te standaardiseren, wel te controleren.
Ketengovernance, het op afgestemde wijze aansturen en laten verantwoorden van zelfstandige organisaties, binnen het openbaar bestuur is een lastig vraagstuk. Bovendien zal de minister integrated auditing aangrijpen als een instrument om incidentenpolitiek te bestrijden. De minister die zijn controlemechanismen op orde heeft, hoeft niet wakker te liggen van een Kamer die hem aanvalt op verkeerde informatie of futiliteiten. Kabinet en Kamer kunnen dan in gezonde rivaliteit samenwerken aan het verder verbeteren van de kwaliteit van het openbaar bestuur. Door een betere sturing en controle treedt bovendien verbetering op in de vaak nog gebrekkige uitwisseling van informatie en kennis tussen de schakels in een keten. Daarnaast wordt de informatievoorziening over het functioneren van de keten als geheel versterkt. De informatie over de stand van zaken in bijvoorbeeld de uitvoering van Walvis en de politiële informatiesystemen is daarvan een goed voorbeeld. Dat is de uitdaging waar we met z’n allen voor staan.
Prof. dr. ir. Ronald Paans RE is hoogleraar en voorzitter van de Postgraduate IT Audit Opleiding aan de Vrije Universiteit Amsterdam en directeur van Noordbeek BV (www.noordbeek.com).
Dr. René Matthijsse is principal consultant bij Verdonck, Klooster & Associates (www.vka.nl) en universitair hoofddocent IT Auditing aan de Vrije Universiteit Amsterdam.
Controle
Hoe kan de minister met een stelsel van richtlijnen en vooral met controles ervoor zorgen dat organisaties goed samenwerken? Door te investeren in integrale controles én te werken met gestandaardiseerde gegevensuitwisseling kunnen uitvoeringsketens en informatienetwerken efficiënter functioneren en controleerbare toegevoegde waarde voor de maatschappij creëren.
Procesgerichte controleaanpak
Sarbanes Oxley (SOx) is het meest bekende experiment. De oorspronkelijke gedachte achter deze wetgeving was te komen van een gegevensgerichte tot een procesgerichte controleaanpak. Men wilde de vraag beantwoord zien of de controlemechanismen kloppen, niet of de individuele cijfers kloppen. Helaas is in de uitvoering toch weer te veel alles op detailniveau vastgelegd zodat SOx, zoals wij die tegenwoordig kennen, toch weer vooral gegevensgericht is. Een tweede pijler onder SOx – die wel fier overeind is blijven staan – is dat de CEO en CFO van de organisatie als enigen boven het controle-systeem staan en voor de betrouwbaarheid van het controlesysteem tekenen. Hiermee trekken zij de verantwoordelijkheid over het controlesysteem naar zich toe. Mocht er in de organisatie alsnog structureel fraude worden gepleegd – mogelijk gemaakt of zelfs ondersteund door de controle – dan zijn zij hiervoor straf- en civielrechtelijk aansprakelijk.