ENSIA AUDIT: de verschillen met vorig jaar
Op 22 oktober heeft NOREA een seminar gegeven over de 2020-update van de ENSIA audit. De update heeft naast aanpassingen door actuele ontwikkelingen ook een structurele wijziging doordat het SUWI normenkader nu is aangesloten op de BIO.
Gemeenten blijven ook in het geval van uitbesteding en/ of samenwerking met andere organisaties bestuurlijk verantwoordelijkheid voor het gebruik van Suwinet.
Veelal brengt het samenwerkingsverband, een serviceorganisatie of de gemeente aan wie de Suwi-taken zijn uitbesteedt een op de uitbestede taken gericht assurancerapport uit. Dit assurance rapport wordt TPM genoemd, voor Third Party Mededeling. Het college verwijst in de bijlage Suwinet bij Collegeverklaring ENSIA dan naar de TPM. Deze methodiek wordt ook wel de “carve-out methode” genoemd. In tegenstelling tot de Digid-audit wordt de SUWI-TPM niet geupload in de ENSIA-tool. De IT-auditor van de gemeente die uitbesteedt voert geen onderzoek uit naar de juistheid van de rapportage van de aanleverende gemeente, het samenwerkingsverband of de serviceorganisatie en neemt ook geen verantwoordelijkheid voor de in die rapportage vermelde oordelen.
Als geen TPM wordt uitgebracht voor de uitbestede diensten dient de IT-auditor van de gemeente zelf controlewerkzaamheden uit te voeren bij het samenwerkingsverband of de serviceorganisatie om vast te stellen of aan de betreffende Suwi-normen wordt voldaan.
Een overzicht van de belangrijkste wijzigingen voor de SUWI-audit vindt je hier.
Digid heeft een eigen normenkader, de veranderingen daar zijn beperkt tot een aanscherping van de normen U/WA.05 en U/PW.03 en een verduidelijking van de werkzaamheden indien het bestaan van maatregelen niet kan worden vastgesteld. Een overzicht van de belangrijkste wijzigingen voor Digid-audit vindt je hier.