Het significante verschil met internal auditing is dat de inspecteur de risico' s aan
geeft, in plaats van een opdrachtgever binnen de organisatie, en dat de inspecteur
een normenkader hanteert vanuit een eigen discipline, gebaseerd op Archiefwet en
-regelgeving. De overeenkomst tussen auditing en inspectie is dat het een onafhanke
lijke, objectieve onderzoeksfunctie betreft, gericht op kwaliteitsverbetering binnen
de organisatie. Bij een goede werking van de Wrgt worden de auditor en de gemeente
lijke archiefinspecteur beiden op de derde lijn gepositioneerd in het model van de
four lines of defence. Zoals al eerder is opgemerkt is dit nog toekomstmuziek en is de
gemeentelijk archiefinspecteur veelal in de tweede lijn werkzaam.
In het licht van horizontale verantwoording is vooral de kwaliteit van de inrichting
van de informatiehuishouding van belang. Het accent van de inspecteur verschuift
van de feitelijke werking van het archiveringssysteem naar het toetsen van de beheer-
singskaders en beheersingsmaatregelen. Deze situatie gaat er vanuit dat horizontaal
toezicht volstrekt transparant en volledig is doorgevoerd. In de praktijk is een derge
lijke situatie natuurlijk nauwelijks aanwezig; reden dat de inspecteur naast het
steunen op het systeem ook de werking van het systeem zal controleren. De manager
van de geïnspecteerde organisatie krijgt aanvullende zekerheid over de kwaliteit van
het informatiebeheer en mogelijke oplossingsrichtingen (zonder daadwerkelijk te
adviseren)Zodoende draagt de inspecteur bij aan de gewenste en benodigde voort
durende verbetering als bedoeld in de Plan-Do-Check-Act-cyclus.
Voor het kunnen uitoefenen van systeemtoezicht door de provincie is het dus nodig
dat horizontaal toezicht wordt doorgevoerd.8 Ook is het van belang dat door iedere
gemeente gerapporteerd wordt over dezelfde KPI's. Samen met de verslaglegging door
de inspecteur over de kwaliteit van de interne beheersing op basis van de auditme-
thodiek wordt daartoe een solide basis geleverd. Wanneer de inspecties leiden tot
daadwerkelijke kwaliteitsverbetering, kan op termijn zelfs volstaan worden met het
uitvoeren van een zelfevaluatie door de archiefvormende organisatie.
Methodiek internal auditing
De inspecteur verricht de onderzoeken aan de hand van zes fasen:
1. Planning. De jaarplanning wordt opgesteld, gebaseerd op risicoprioritering en
vragen vanuit de te inspecteren organisatie. Hierin staan -indien bekend- het
object van onderzoek, de te inspecteren organisatie auditeede auditdoelstel-
ling, wanneer en door wie de inspectie wordt uitgevoerd, opgesomd.
2. Vooronderzoek. De inspecteur verzamelt informatie over het beleid, kaderstel
lingen, processen en producten van de organisatie en stelt een plan van aanpak
op. Dit bevat de scope en focus van de inspectie, de aanpak, planning en een
referentiekader. De scope kan in samenspraak met het management bij de te
inspecteren organisatie worden bepaald, waardoor meerwaarde voor beide
partij en ontstaat. Het referentiekader wordt niet bepaald door het management,
maar de prestatie-indicatoren kunnen wel worden afgestemd met de betreffende
organisatie. De aard van de organisatie, van het te onderzoeken proces en de
kwaliteitscriteria waaraan de producten van het proces moeten voldoen, zijn
bepalend voor de toetsingscriteria van de inspecteur. Voor het referentiekader
kan een passende norm gehanteerd worden, afhankelijk van de scope van de
inspectie. Voorbeelden zijn:
Organisatie: NEN-ISO 15489
Proces: KAD-model
Digitaal informatiebeheer: RODIN
Applicatie: NEN 2082
Compliance: KPI's.
Voor de rapportage wordt een model gehanteerd dat gebruikt wordt als
kapstok, zoals het INK-model of de Managementcyclus. Via www.valuebased-
management.net zijn talrijke managementmodellen te vinden.
Ook worden de medewerkers van de betreffende organisatie voorbereid op de
inspectie.
3. Veldwerk. Tot deze fase horen alle activiteiten die nodig zijn voor het verzame
len van voldoende gegevens om tot verantwoorde bevindingen, conclusies en
aanbevelingen te kunnen komen. Hiertoe worden bijvoorbeeld een kick-off
bijeenkomst georganiseerd, interviews gehouden volgens het principe van 'hoor
en wederhoor', documentatie bestudeerd, steekproeven en dossieronderzoek
gedaan. Dan volgt een analyse, waarbij de inspecteur aan de hand van bewijs
materiaal kan vaststellen dat de risico's, zoals opgenomen in het referentie
model, worden beheerst met maatregelen. Hier vloeit een bevinding uit voort,
bestaande uit een beschrijving van een aangetroffen situatie aan de hand van
de vooraf bepaalde norm of criterium en een beschrijving van de oorzaak voor de
afwijking tussen de situatie en de norm, alsmede het effect van die afwijking op
de beheersing. De oorzaak is veelal de basis voor de uit de bevinding voortvloei
ende aanbeveling. Een bevinding wordt gevolgd door een conclusie en eventuele
aanbevelingen.
4. Rapportage. Op basis van de vergelijking tussen het referentiemodel en de
aangetroffen beheersingsmaatregelen worden de conclusies en bevindingen
geformuleerd in een conceptrapport, dat wordt besproken met de auditee. Na het
verkrijgen van committment stelt de geïnspecteerde organisatie een actieplan op.
Dit wordt opgenomen in het eindrapport.
5Evaluatie. Zowel het inspectieproces als de feitelij ke inhoud van het onderzoek
kunnen geëvalueerd worden. Aspecten hierbij zijn het gedrag, de kennis, ervaring
en houding van de inspecteur en het effect van het onderzoek op de verbetering
van de beheersing van de organisatie. De effectiviteit van de inspectie wordt
bepaald door inhoud, procedure en relatie.
6. Follow-up. Na drie tot zes maanden wordt een follow-up onderzoek uitgevoerd,
waarbij de timing wordt bepaald door risico's, tijd, kosten en complexiteit van de
herstelactie.
Kort samengevat zijn de voordelen van de auditmethodiek:
Er wordt draagvlak gecreëerd door wederzijdse afstemming;
De scope wordt bepaald aan de hand van een risicoanalyse. Door de risico's van
onvoldoende informatiebeheer samen met verschillende organisatiemedewer
kers te benoemen, wordt meer effect bereikt;
Het referentiekader levert een heldere omschrijving van wat getoetst wordt en
waaraan voldaan moet worden;
Het toepassen van een onderzoekmodel levert een gestructureerde rapportage op
waardoor de boodschap duidelijk overkomt.
HET BESTEL
8 Met systeemtoezicht wordt hier bedoeld het toezicht dat de provincie uitoefent op het horizontaal toezicht
bij de gemeente.
150
STINIE FRANCKE EN JACQUELINE SCHUURMAN HESS VERSTERKING HORIZONTAAL ARCHIEFTOEZICHT
151