Een Internal Control Framework in een complexe uitvoeringsorganisatie

Het Politiedienstencentrum

Het Politiedienstencentrum (PDC) heeft als opdracht het gehele Nederlandse politiekorps (regionale eenheden, Landelijke Eenheid, Politieacademie en Landelijke Meldkamer Samenwerking) te faciliteren met hoogwaardige bedrijfsvoering. De positie van het PDC in het korps is weergegeven in figuur 1. Het PDC draagt daarmee bij aan goed politiewerk. Het PDC regelt onder andere de salarissen, alle inkooptrajecten, de huisvesting, de ICT-voorzieningen, de voer- en vaartuigen, wapens en munitie, kleding en uitrusting en de externe communicatie, inclusief de productie van tv-programma’s. Hiervoor zijn in het PDC zeven diensten ondergebracht: Verwerving, Financiën, Facility Management, Human Resource Management, Informatie Management, ICT en Communicatie. In totaal zijn dagelijks meer dan 7000 collega’s in het PDC aan het werk. Het PDC heeft een jaarbudget van bijna 6 miljard euro. De organisatie is relatief jong; zij is in 2012 ontstaan uit de fusie van de regionale politiekorpsen tot één nationale politie.

Figuur 1. Hoofdstructuur politieorganisatie. [Klik op de afbeelding voor een grotere afbeelding]

Twee benaderingen van een Internal Control Framework

Een Internal Control Framework (ICF) is een algemeen toepasbaar kader waarin alle typen beheersingsmaatregelen in onderlinge samenhang worden weergegeven. Het bekendste model is het COSO-framework dat zich richt op het gehele interne beheersingssysteem, bekend als COSO II of Enterprise Risk Management Framework.

Maar wat betekent dat als we spreken van een ICF voor een complexe uitvoeringsorganisatie als het PDC? Die opdracht kreeg de Planning & Control-organisatie begin 2021 van de directie van het PDC. Wij stelden ons de praktische vraag: wat is de verschijningsvorm van een ICF? Is dat een document, en zo ja, hoe dun of dik is dat dan? En wat is dan de opbouw, de structuur? Om op deze vragen een antwoord te krijgen hebben we vele gesprekken gevoerd, binnen en vooral ook buiten de politie. Want waarom zouden wij het wiel opnieuw uit hoeven te vinden? Dat heeft een verrassend resultaat opgeleverd: een ronde langs een aantal grote private en publieke organisaties heeft niet één bruikbaar voorbeeld-ICF opgeleverd dat de politie kon gebruiken. Wel bleken er twee stromingen:

1. een ICF is de optelsom van de beschrijving van alle beheersingsmaatregelen in de processen; of
2. een ICF is een hoofdlijnendocument met een beschrijving van de wijze waarop de interne beheersing binnen de organisatie is vormgegeven.

Het PDC heeft hierin een keuze gemaakt, een pragmatische insteek die past bij het huidige ontwikkelniveau van beheersing binnen het PDC. Het ICF is voor het PDC een hoofdlijnendocument geworden waarin voor de gehele organisatie is beschreven hoe de interne beheersing is vormgegeven. Het geeft overzicht, geeft inzicht in samenhang, creëert een gemeenschappelijke taal en verwijst naar bronnen binnen onze organisatie met meer details. En daarmee is het document ook geschikt om op bestuurlijk niveau te bespreken. Het ICF bevat de leidende principes van de interne beheersing binnen het PDC en is kaderstellend voor alle typen bedrijfsprocessen: of het nu om de ontwikkeling van het vastgoed gaat, het beheer van kleding en uitrusting of de productie van tv-programma’s. Het ICF richt zich primair op het lijnmanagement dat verantwoordelijk is voor de interne beheersing en secundair op de controllers die het lijnmanagement daarin ondersteunen. Ten slotte is het ICF van waarde voor onze interne en externe accountant.

Doelstelling van beheersing

Het centrale thema van het ICF is beheersing. Beheersing gaat primair over het bereiken van de gestelde doelen binnen de wettelijke en budgettaire kaders, ondanks de risico’s die dat kunnen belemmeren of verhinderen. Dat kunnen operationele doelen zijn, doelen op het gebied van het naleven van wet- en regelgeving, financiële doelen en verantwoordingsdoelen of beleids- en ontwikkeldoelen. Beheersing dient niet alleen de betrouwbaarheid van de financiële verantwoording, maar bijvoorbeeld ook een goede balans tussen de going-concernactiviteiten en de vernieuwing van de dienstverlening.

Het framework

Met een kleine werkgroep heeft het ons iets meer dan een half jaar gekost om het ICF voor het PDC op te stellen, af te stemmen met een representatieve groep van collega’s (lijnmanagement, controllers, ondersteuners) en hierover op directieniveau een weloverwogen besluit te nemen. De facto was het afstemmingsproces de eerste stap om het document levend te krijgen binnen onze organisatie. Na de formele besluitvorming volgden vele besprekingen op alle managementlagen binnen onze organisatie. Wat enorm hielp is dat het ICF vooral een beschrijving is van wat er al breed in onze organisatie aan interne beheersing is geregeld maar nog nooit in samenhang in kaart was gebracht. Het is slechts op onderdelen iets nieuws dat moet worden geïmplementeerd.

Al met al heeft het PDC na een jaar een werkend en levend ICF voor zijn organisatie als geheel. Ons streven was een toegankelijk document van maximaal 20 pagina’s op te leveren. Uiteindelijk hebben we de beschrijving van de interne beheersing van onze organisatie vormgegeven met 7 hoofdstukken in 30 pagina’s ([sJac21]). In figuur 2 geven wij een korte schets van elk van deze hoofdstukken. Het framework is vooral een beschrijving van hoe het nu is georganiseerd en is slechts in zeer beperkte mate een streefbeeld. Het is nadrukkelijk geen model dat moet worden geïmplementeerd. Het brengt zaken bijeen, consolideert, maakt transparant, geeft sturing.

Figuur 2. Belangrijkste ICF-onderdelen. [Klik op de afbeelding voor een grotere afbeelding]

1. Typologie van het PDC

Het klinkt wellicht wat ouderwets, maar Starreveld heeft ons wederom en na al die jaren geholpen ([Berg20], [Leeu14]). De typologie van de bedrijfsfuncties van het PDC is divers en de aard van de beheersing daarmee ook: van het verwerken van salarissen tot aan het beheer van het wagenpark, de logistiek van geweldsmiddelen, de ontwikkeling en het beheer van politiespecifieke informatiesystemen en de productie van een tv-programma als Opsporing Verzocht. We schetsen het PDC in zijn context, de typologie van de verschillende bedrijfsfuncties, de cultuur, de spanning tussen ‘going concern’ en vernieuwing, de strategische ontwikkelingen en de ontwikkelingen op het gebied van IT.

2. Planning & Control

De Planning & Control-cyclus is voor het PDC de kern van de interne beheersing. Van begroting tot aan jaarverantwoording. Onze cyclus is verankerd in die van het korps en de jaarplannen sluiten aan op de doorontwikkeling van onze strategische visie. Vooral het opstellen van het jaarplan van het PDC is uiterst complex: hierin komen alle portefeuilleplannen van de operationele portefeuilles samen met de ‘going concern’-behoefte. Vernieuwing van de politie werkt namelijk langs de lijn van portefeuillemanagement en vrijwel elke vernieuwing in ons operationeel proces heeft impact op de bedrijfsvoering. Inzicht in die impact voorafgaand aan het jaarplanproces is essentieel. De Planning & Control-organisatie van het PDC is de afgelopen jaren vanuit een relatief grote achterstand bezig met een inhaalslag op het gebied van professionalisering, organisatie-inrichting en bemensing.

3. Risicomanagement

Risicogestuurd werken is verankerd in de genen van het politiewerk. Wij doen niet anders. Maar het risicomanagement in de bedrijfsvoering is daarbij korpsbreed achtergebleven. Vandaar dat in ons framework expliciet aandacht is gegeven aan het risicomanagementproces, het risicogestuurd werken, de typologie van risico’s, de wijze van inschatting van risico’s, onze risicobereidheid en de verschillende rollen in het risicomanagement.

4. Procesregie

Het PDC is vanaf de start in 2012 georganiseerd in bedrijfsvoeringskolommen. Elke dienst (HRM, Financiën, Facility Management, et cetera) had primair als taak om zijn eigen processen op orde te brengen. Veel processen spelen zich echter inmiddels niet meer af binnen één kolom. We onderscheiden de algemeen bekende ketens zoals Procurement to Pay (P2P) en ook politiespecifieke ketens als Bevoegd Bekwaam en Toegerust als het gaat om geweldsmiddelen (dienstwapen, wapenstok, pepperspray, et cetera). Het sturen op de verbetering van de PDC-brede werkstromen wordt steeds belangrijker. In het ICF geven we aandacht aan de wijze waarop we dat doen, voor welke werkstromen en wat de rollen zijn van werkstroomeigenaar en werkproceseigenaar.

5. Beheersingsmaatregelen in de processen

Vooral voor onze dienstverlening is dit het belangrijkste onderdeel van het framework. We beschrijven ons stelsel van beheersingsmaatregelen in de processen die ten grondslag liggen aan de producten en diensten van het PDC. Onze processen leggen we vast onder architectuur in BizzDesign. Het streven is om ook alle key controls van de voornaamste processen onder architectuur vast te leggen. We zijn begonnen met het vastleggen van alle key controls gericht op de financiële verantwoording en breiden dat nu uit naar alle processen die primair gericht zijn op het leveren van onze producten en diensten. Helaas bevat BizzDesign geen Governance, Risk & Compliance (GRC)-module. Daar worstelen we nog mee: de wijze waarop we de key control moeten modelleren in BizzDesign is nog niet optimaal. In het ICF duiden we de samenhang tussen procesbeheersing, kwaliteitsborging, kwaliteitsmeting en dienstverlening. Daar bestaat namelijk veel overlap tussen. Beide werelden bevatten methoden en technieken voor het op beheerste wijze leveren van producten en diensten die voldoen aan vooraf gedefinieerde KPI’s. Wij streven ernaar om deze samen te laten komen en organisatorisch te integreren, al was het maar door één taal te creëren. Ten slotte schetsen we de invloed van cultuur en gedrag op onze interne beheersing. We gebruiken daarbij de modellen van Quinn en Cameron ([Came14]) en van prof. Muel Kaptein ([Kapt03]; zie ook [Bast15]). Het model van Quin helpt ons om beheersingsmaatregelen te ontwerpen en te implementeren die aansluiten op onze dominante cultuur. Het model van Kaptein helpt ons om inzicht te krijgen in het potentiële effect van Soft Control- instrumenten op het gewenste gedrag van medewerkers.

6. Voldoen aan wet- en regelgeving

Het PDC heeft te maken met een grote diversiteit aan wet- en regelgeving. Of het nu gaat om alle regelingen op het gebied van arbeidsvoorwaarden, financieel beheer, privacy of de Wet wapens en munitie, het ICF biedt algemene handvatten hoe hiermee om te gaan. Het ICF bevat geen concrete integratie van alle wet- en regelgeving, daarvoor is het ICF te generiek van opzet.

7. Verbetercycli

De politie investeert fors in de lerende organisatie. Dat is nodig om de doelen te behalen. Hiervoor zijn meerdere verbetercycli ingericht die nauw met elkaar samenhangen en op elkaar zijn afgestemd. Ontwikkeling op persoonlijk vlak en binnen het team of de netwerkstructuur vormt de basis van de verbetercycli. Op sector- of dienstniveau wordt gewerkt met een kwaliteitsmanagementsysteem om de kwaliteit van de dienstverlening te toetsen, meten en optimaliseren. En onze systematiek van regelmatige Control Self-Assessments (CSA’s) is een belangrijk verbeterinstrument (zie figuur 3). Als onderdeel van de twee hoofdvragen van de CSA (‘Doen we de juiste dingen?’ en ‘Doen we de dingen goed?’) worden de volgende vragen geadresseerd:

• Worden kritieke risico’s in voldoende mate beheerst?
• Handelen we conform criteria en normen?
• Hebben we juiste stuur- en verantwoordingsinformatie?
• Sturen we op de gewenste gedrag-risicoverhouding?

Die CSA-systematiek is de basis voor het jaarlijkse In Control Statement van de politie, zoals weergegeven in ons jaarverslag. Op het niveau van het PDC als geheel is de verbetering van de dienstverlening geborgd in de Planning & Control-cyclus.

Figuur 3. Objecten van Control Self-Assessment. [Klik op de afbeelding voor een grotere afbeelding]

Noodzakelijke verdieping voor de IT-organisatie

De politie wordt steeds meer een IT-gedreven organisatie. Het aandeel van IT in de totale bedrijfsvoering en in het totale politiewerk neemt elk jaar toe. Dat rechtvaardigt aparte aandacht voor de control op gebied van IT. Ons ICF is te generiek van aard om direct te kunnen toepassen op onze IT-organisatie. Daarom hebben we een specifiek framework gemaakt voor de ontwikkeling van onze politiesystemen en zijn we begonnen aan de implementatie van een framework voor de IT-beheerprocessen. Doel is om binnen het gehele IT-landschap (en de daarbij horende IT-lagen) van de IT-organisatie de risico’s te identificeren en aan de hand van passende maatregelen te beheersen, rekening houdend met geldende wet- en regelgeving. De politie heeft voor het beheer van de IT-processen de Baseline Informatiebeveiliging (BIO, [BIO20]) als framework geadopteerd. De BIO betreft een gestandaardiseerd normenkader gebaseerd op de internationale ISO-standaarden NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017 voor de Nederlandse overheid ter beveiliging van informatie(systemen). De BIO geeft richting aan de concretisering van de ISO-normen naar concrete beheersingsmaatregelen.

Ervaringen van KPMG met de BIO-implementatie bij andere overheidsorganisaties tonen aan dat het implementatietraject begint bij het formuleren van de doelstelling door het topmanagement en de behoefte om de mate van beheersing te vertalen naar het jaarlijkse internal control statement in het jaarverslag, specifiek voor onze IT-processen. De gewenste reikwijdte van dat internal control statement bepaalt de scope van het implementatieproces, dat doorgaans gefaseerd wordt uitgevoerd. Nadat de scope is bepaald, wordt per IT-proces een koppeling gemaakt naar het BIO-framework om te inventariseren welke BIO-maatregelen minimaal geïmplementeerd dienen te zijn.

Vervolgens wordt met een gap-analyse beoordeeld in hoeverre de bestaande beheersingsmaatregelen in lijn zijn met de gewenste beheersingsmaatregelen vanuit de BIO-normen. Bij organisaties met een beperkte mate van volwassenheidsniveaus op het gebied van IT-control is het in de praktijk vaak een grote uitdaging om de koppeling te maken tussen de bestaande maatregelen en de BIO-normen. Bovendien zien we vaak dat het eigenaarschap van de maatregelen en de verantwoordelijkheid voor het testen daarvan niet eenduidig zijn vastgelegd. Om de complexiteit van de mapping tussen bestaande beheersingsmaatregelen en het voldoen aan de BIO-maatregelen aanzienlijk te verminderen, biedt een GRC-tool uitkomst. Een randvoorwaarde is wel om bij de inrichting van deze tool een eenduidige structuur te hanteren bij de vastlegging en documentatie van de beheersingsmaatregel, inclusief een link naar relevante BIO- en ISO-standaarden, waar de beheersingsmaatregelen op zijn gebaseerd. Deze mapping is belangrijk omdat één beheersingsmaatregel meerdere BIO- en ISO-normen kan raken.

Figuur 4 geeft de KPMG-aanpak van de BIO-implementatie op hoofdlijnen weer, onderverdeeld in vijf fasen en vijf thema’s, waarvan het thema ‘beheersingsraamwerk’, ofwel het eigenlijke ICF voor de IT-beheeromgeving, het belangrijkste thema is.

Figuur 4. Gefaseerde invoeringswijze van de BIO. [Klik op de afbeelding voor een grotere afbeelding]

De implementatie van de BIO is een complex proces waarvan de duur onder andere wordt beïnvloed door:

• de gewenste scope van het traject (gehele PDC, gehele IT-organisatie, specifieke IT-onderdelen, et cetera);
• de volwassenheid van de IT-omgeving en de kwaliteit van de vastlegging van de IT-processen met de daarin opgenomen beheersingsmaatregelen;
• de mate waarin de bestaande beheersingsmaatregelen al voldoen aan de BIO-normen en al dan niet periodiek worden getoetst;
• de binnen de organisatie beschikbare kennis van en ervaring met het vastleggen en toetsen van beheersingsmaatregelen in het algemeen en de BIO-standaard in het bijzonder;
• de mate waarin ook buiten de IT-organisatie een bijdrage wordt geleverd aan het traject;
• de beschikbare resources (menskracht en geld).

In aanvulling op de BIO is het noodzakelijk om ook specifieke IT-risico’s te beheersen. We zien bij streng gereguleerde organisaties dat specifieke internal control frameworks worden ontwikkeld en geïmplementeerd voor bepaalde IT-processen en/of onderdelen van de IT-infrastructuur, ter beheersing van specifieke IT-risico’s. Bijvoorbeeld voor het proces van het overbrengen van wijzigingen naar de productieomgeving met deployment tooling, zoals Azure DevOps of AWS, of voor het deel van het IT-netwerk waarlangs het verkeer van en naar buiten wordt geregeld.

Conclusie: wat levert een ICF de politie op?

Het ICF is voor het PDC een instrument om de interne beheersing op een hoger plan te brengen. De Planning & Control-organisatie biedt het ICF aan als een menulijst. Er bestaan grote verschillen tussen en ook binnen de diensten van het PDC als het gaat om de typologie van de bedrijfsfuncties en als het gaat om de mate van volwassenheid op het gebied van interne beheersing. Elke PDC-dienst kiest, mede op basis van zijn eigen Control Self-Assessment, een of meerdere onderwerpen uit het ICF waarmee de dienst zijn interne beheersing verder kan verbeteren.

Het ICF is een politiespecifiek framework. Op elk van de onderdelen is verdieping nodig. Zo krijgt de beheersing van onze processen pas echt betekenis als de key controls per proces toegankelijk zijn vastgelegd. Voor onze IT-omgeving is het van belang dat we het ICF verder ontwikkelen op basis van de BIO-normen en daarbij de link leggen naar de verschillende lagen in de IT-infrastructuur en specifieke IT-processen met hoog risico. Op die manier blijven wij de risico’s adequaat beheersen.

Voor het management van het PDC biedt het ICF overzicht en inzicht, en is het een hulpmiddel bij het sturen op de verbetering van de interne beheersing. En we hebben nu een gemeenschappelijke taal als het gaat om interne beheersing. Dat schept rust, regelmaat en (bestuurlijke) reinheid.