Dag uit het leven van Adrie Kerkvliet

Sneller, slimmer, leuker bij de Auditdienst Rijk

2 oktober 2015
In dit artikel:

06.30 uur / Wake up!

De wekker gaat, tijd om op te staan. Het is nog stil in Stompwijk. Ik wek mijn dochter Kyra (14), die in Zoetermeer op de middelbare school zit en elke dag op tijd op de fiets moet zitten. Samen ontbijten we, ik volkoren brood, zij haar glutenvrije brood uit de broodrooster. Nadat ik mijn vrouw Karin en mijn andere dochter Manou (10) heb wakker gemaakt, pak ik een douche en stap in de auto richting Den Haag. Als ik voor 07.30 uur vertrek ben ik redelijk snel bij het ministerie van Financiën, waar ik sinds 1 januari werk bij de Auditdienst Rijk (ADR) als directeur met de portefeuille Defensie en IT. Daarnaast ben ik plaatsvervanger van de algemeen directeur Anneke van Zanen en denk ik graag met haar mee over de interne zaken bij de ADR en de ontwikkelingen binnen de dienst.

08.00 uur / Voorbereiden Summercourse

De eerste afspraak is in de koffiecorner van Financiën op het Korte Voorhout. Samen met collega’s Marijke van de ADR en Judith en Denise van de Rijksacademie neem ik het programma door van de Summercourse. Dit jaarlijkse tweedaagse evenement wordt voor de collega’s van de ADR georganiseerd in groepen van circa honderd deelnemers per keer. Naast actualiteiten krijgen ook vaardigheden zoals het geven van feedback en het tonen van morele moed aandacht. Het ochtenddeel van het programma is plenair en hiervoor is ditmaal het format van ‘De Wereld Draait Door’ gekozen. Vandaag bespreken we de invulling van de tweede dag, die voor een groot deel uit IT-onderwerpen bestaat. We hebben onder meer gekozen voor de nieuwe privacywetgeving, de aanbevelingen van de Commissie Elias over grote ICT-projecten en de voortgang van onze Taskforce IT. Deze Taskforce is vorig jaar opgezet om nog meer gebruik te maken van IT in onze controle-aanpak. Enerzijds door de beoordeling van de IT-omgeving van de gecontroleerde, anderzijds door gebruik van tooling voor data-analyse en process mining. Ik ben positief verrast over hoever we op dit punt bij de ADR al zijn. Het is nog wel een uitdaging om dit op alle departementen goed te implementeren. Ik kijk uit naar de Summercourses, waarbij ik zelf ook tweemaal mag optreden als dagvoorzitter.

09.30 uur / Nabespreken Bestuursraad Defensie

Vervolgens richting het Plein om op het ministerie van Defensie aan te schuiven bij de terugkoppeling van de bestuursraad door de secretaris-generaal (SG), Erik Akerboom. Altijd informatief om uit eerste hand te vernemen wat er is besproken en besloten. Defensie heeft vorig jaar zelf onderzoek laten doen naar de stand van de IT en heeft vervolgens een gedegen aanpak gepresenteerd waarmee de IT de komende jaren weer op orde moet worden gebracht. Door de vele bezuinigingen in de afgelopen jaren en de implementatie van een uniform systeem voor financieel en materieel beheer is er te weinig aandacht besteed aan de vernieuwing van de infrastructuur. Het verbeterprogramma wordt bewaakt door de CIO van Defensie en voor de sturing is er een IT Governance Board in het leven geroepen met deelname van de belangrijkste spelers uit de top van het departement. De SG meldt vandaag hoe de voortgang is besproken in de Bestuursraad.

10.30 uur / Bila met clustermanager

Met de vijf clustermanagers die in mijn portefeuille werkzaam zijn, heb ik eens in de twee weken een bilateraal. We bespreken dan actuele vraagstukken in hun cluster. Vandaag met kolonel Clive Ter Heege, die binnen de Defensieclusters de vraaggestuurde audits coördineert. Naast de wettelijke controle voeren we relatief veel onderzoeken uit op verzoek van het ministerie van Defensie. Dit jaar proberen we hierin meer focus aan te brengen door een relatie te leggen met de regie-agenda van Defensie, de Defensiebrede risicoanalyse en de uitkomsten van het Verantwoordingsonderzoek van de Algemene Rekenkamer. Bij de prioritaire onderzoeken zit ook een aantal audits op IT-gebied, zoals de beoordeling van de maatregelen voor de continuïteit op korte termijn en de implementatie van SAP in ‘missiegebieden’. Na de behandeling in het Audit Comité van Defensie hebben we de lijst met onderzoeken nog wat aangescherpt en voorzien van een korte omschrijving van aanleiding en aanpak en hebben we de hierboven genoemde relatie zichtbaar gemaakt. Na bespreking met de plaatsvervangend SG kan deze lijst verzonden worden naar de leden van het Audit Comité en kunnen we starten met de onderzoeken.

12.00 uur / Lunch met de Digicommissaris

Met een aantal collega’s uit het management van de ADR hebben we een afspraak met Bas Eenhoorn, vorig jaar benoemd tot Digicommissaris. Verschillende overheidslagen, publieke organisaties en private partijen maken gebruik van de generieke digitale infrastructuur (GDI) van de Nederlandse overheid. Voor Nederland is het hebben van een stabiele, robuuste digitale infrastructuur belangrijk. De GDI is een breed begrip. Het bestaat uit standaarden, producten en voorzieningen die (digitaal) verkeer met de overheid mogelijk maken. Door dit brede karakter valt de GDI niet onder de verantwoordelijkheid van specifiek één organisatie, sector of domein. De Digicommissaris is onder meer aangesteld om sturing op de ontwikkeling van de GDI te faciliteren. We bespreken met de Digicommissaris op welke aspecten wij een bijdrage kunnen leveren.

13.30 uur / Terugkoppeling beveiligingsplan ADR

Terug naar het Korte Voorhout, waar ik word bijgepraat door enkele collega’s over de uitkomsten van de selectie van maatregelen voor de informatiebeveiliging bij de ADR. Begin dit jaar zijn we een project gestart om met behulp van de IRAM-methode in kaart te brengen welke risico’s we lopen in het auditproces, welke bedreigingen en kwetsbaarheden we onderkennen en wat de impact is van het optreden daarvan. Dit project is volledig uitgevoerd met eigen medewerkers (de deskundigheid hebben we gelukkig in huis) en heeft geleid tot een actueel informatiebeveiligingsbeleid en een plan met maatregelen die we moeten treffen. Voor een deel liggen die niet bij ons zelf, maar bij de shared service-organisatie, waar wij de ICT-dienstverlening van afnemen. De komende periode wordt bezien of de reeds getroffen maatregelen voldoende zijn.

15.00 uur / VC IT

Vandaag schuif ik ook aan bij de vaktechnische commissie IT van de ADR. In deze commissie zitten diverse IT-auditors vanuit de verschillende klantclusters van de ADR onder voorzitterschap van Rocco Jacobs, clustermanager van het ‘horizontale cluster’ ICT. We spreken onder meer over de aanpak van onze audits gericht op de Baseline Informatiebeveiliging Rijksdienst (BIR). Daarbij maken we onderscheid tussen de werkzaamheden die we uitvoeren ten behoeve van de wettelijke controle en de audits op verzoek van de departementen. Op verzoek van DG Organisatie en Bedrijfsvoering Rijk van Binnenlandse Zaken hebben we afgelopen jaar ook rijksbreed onderzoek uitgevoerd naar naleving van de BIR op de verschillende ministeries bij een aantal kritische systemen en op een aantal aspecten, zoals patchmanagement, koppelvlakken en de PDCA-cyclus. We discussiëren over de vraag welke bijdrage we komend jaar het beste kunnen leveren.

17.00 uur / Doelmatigheidsonderzoek SSO’s

Met een van de auditors uit het cluster van Binnenlandse Zaken bespreek ik de voortgang van het onderzoek dat we uitvoeren naar de doelmatigheid van shared serviceorganisaties (SSO’s) binnen de rijksdienst. Dit is een onderwerp dat mijn warme belangstelling heeft, mede gezien mijn vorige functie toen ik als programmadirecteur SGO-5 voorstellen heb gedaan om de governance en bekostiging van SSO’s te vereenvoudigen. Het blijft lastig om goed in kaart te brengen hoe de kwaliteit en de kosten van dienstverlening zich hebben ontwikkeld nadat de werkzaamheden zijn overgedragen aan een SSO. Door verschil in definities en ontwikkeling van producten en diensten zijn gegevens over de jaren heen niet altijd vergelijkbaar. We bespreken de voortgangsrapportage aan de begeleidingscommissie.

18.00 uur / Hardlopen met De Trein

Na weer een boeiende dag ben ik op weg naar huis. Op de Stompwijkseweg is het druk als altijd. Mede door de slechte staat van het wegdek en de stukken weg die hierdoor zijn afgezet is het altijd weer een hele toer om thuis te komen. Hoog tijd dat de gemeente Leidschendam Voorburg hier eens iets aan doet. Thuis eet ik wat lichts, omdat het mijn hardloopavond is. Dat doe ik met een groep vrienden uit Stompwijk en Zoeterwoude, die zich De Trein noemen. Driemaal per week bestaat de mogelijkheid om met elkaar te lopen en is een van de (zeventien) leden gastheer. Helaas zijn er door blessures steeds minder actieve lopers, maar het blijft een voorrecht om met deze groep bij elkaar te komen en een uurtje te sporten. Afgelopen jaar heb ik sinds lange tijd weer eens een halve marathon gelopen (in het team van P-Direkt) en dat is me goed bevallen. Wie weet waar dit komend jaar nog toe leidt. Eenmaal weer thuis eet ik nog wat, neem met Karin de dag door en kijk nog even naar de agenda voor morgen en naar de stukken die daarvoor op de iPad in Ibabs staan ter voorbereiding.

A.J.M. (Adrie) Kervliet RE RA

Adrie Kerkvliet (1967) begon zijn carrière bij Ernst & Young (1985). Daar was hij werkzaam in de accountantspraktijk en na het behalen van de RA-titel op de Erasmus Universiteit maakte hij de overstap naar EDP-audit. Hij volgde de IT-auditopleiding aan de VU. Hij maakte in 1996 de overstap naar het ministerie van Economische Zaken, waar hij diverse managementfuncties vervulde in zowel de uitvoering als op het bestuursdepartement, veelal gericht op reorganisaties en fusies. Vanaf 2013 was hij vanuit het ministerie van Binnenlandse Zaken directeur van het programma gericht op de vereenvoudiging van de governance van Shared Service Organisaties binnen de Rijksdienst.