Op het iBestuur Congres 2012 gaat René Matthijsse in discussie met Steven Luitjens van Logius, en het publiek, over de regie bij beleidsrealisatie: omgaan met dilemma’s. Gateway review Manieren om zekerheden te verschaffen bij overheids-ICT-projecten De Gateway review is een populaire manier geworden om ICT-projecten bij de overheid te toetsen. Een Gateway review is echter nog geen IT audit! Rene Matthijsse I CT-projecten binnen de overheid zijn vaak complex en ambitieus. Er is een groeiende behoefte aan deskundige beoordeling van en advisering over de complexe vraagstukken rondom de beheersing. De succesvolle invoering van de Gateway-reviewmethode, waarbij professionals met bestuurlijke ervaring kritisch kijken naar vooral strategische en organisatorische aspecten, is in een stroomversnelling gekomen door berichten over geheel of gedeeltelijk mislukte overheidsprojecten. Hierdoor is het van groter belang geworden om de sturing op ICT-projecten op cruciale punten met extra waarborgen te omkleden. Het is lang niet altijd duidelijk wat het verschil in gebruik is tussen deze Gateway-methode als instrument van professionalisering en de reguliere reviews door de auditdiensten. Ander pad De Gateway review bevindt zich op een ander vlak dan IT auditing en bewandelt een ander pad. Zij verschaft slechts zekerheid aan de opdrachtgever over de mate waarin een programma of project gereed is om naar de volgende fase te gaan. Deze zekerheid kwalificeert zich echter niet als zekerheid zoals deze bedoeld wordt vanuit IT auditing. Ondanks dat de Gateway review weinig kan betekenen als instrument van IT project auditing, kunnen auditors wel gebruikmaken van de informatie uit de Gateway-reviewrapportages. Of de Gateway-reviewmethode zekerheden oplevert hangt af van de duiding van de uitkomsten van het reviewrapport. Doordat de Gateway review geen kwalificerend oordeel oplevert is de stelling te verdedigen dat de 22 opdrachtgever aan deze methode geen zekerheid kan ontlenen over het project. Normenkader nodig Zorgvuldige evaluatie vereist een normenkader. Een essentieel verschil tussen een reguliere IT audit en de Gateway review vormen de normen waaraan toetsing plaatsvindt. Wanneer de auditor een audit uitvoert, toetst hij de bevindingen aan normen die voortkomen uit de kwaliteitsaspecten waarover de auditor een uitspraak wil doen. Het voldoen aan een norm levert een positief oordeel op, vice versa levert het niet voldoen aan de norm een negatief oordeel op. De Gateway review kent als basis de Best Practice-werkboeken van het Office of Government Commerce (OGC) dat in Engeland verantwoordelijk is voor standaardisatie. Die hebben het karakter van handreikingen zonder expliciete kwaliteitseisen en de daaruit voortkomende normen. Voor de bepaling of iets een risico is en de inschatting van de urgentie van het risico wordt vertrouwd op de ervaring en expertise van het Gateway-reviewteam. Vakmanschap Collegialiteit betekent niet per definitie vakmanschap. Binnen de Gateway review voeren collega-bestuurders, managers en andere deskundigen die binnen en buiten de overheid werkzaam zijn de review uit. De reviewers volgen hiervoor een cursus van enkele dagen. Audits van accountantskantoren, interne accountantsafdelingen en departementale auditdiensten worden uitgevoerd door gecertificeerde auditors die een meerjarig RE-RA-opleidingstraject hebben gevolgd. Die certificering heeft zowel consequenties voor de manier waarop de auditor werkzaamheden verricht als ook voor de vastlegging van de audit, zoals de audit trail die in het dossier aanwezig moet zijn. Businesscase altijd nodig Opvallend is het feit dat veel programma’s en projecten van
23 Online Touch Home