7.00 uur
De zon laat zich al zien als ik de voordeur achter me dichttrek. Het belooft een mooi paasweekend te worden. We willen de komende extra vrije dagen gebruiken om de slaapkamers van onze twee dochters aan te pakken. Het idee is om de prinsessenroze meisjeskamers om te toveren tot frisse tienerkamers. Als we alle ideeën die ik zojuist aan de ontbijttafel hoorde moeten gaan verwezenlijken, denk ik dat het klusje langer gaat duren dan één weekend. Maar dat zullen we dan wel zien, het is nog geen weekend. Vandaag nog een hoop te doen op kantoor bij CZ en vanavond een belangrijke raadsvergadering bij de gemeente.
De drukte in het verkeer valt mee. De autorit van Bosschenhoofd naar Tilburg kost me ongeveer een halfuur. In de auto bel ik alvast met een collega om de managementreactie op het conceptrapport van de audit ‘Security Development Lifecycle’ door te nemen. Het was een goede reactie: onze punten werden herkend, dus dit rapport kunnen we mooi vandaag nog definitief maken. Op kantoor aangekomen, zijn de vroege vogels al druk aan het werk. First things first: eerst koffie! Ik start mijn laptop op en haal daarna een rondje koffie voor de collega’s en mezelf.
9.00 uur
Afspraak met twee collega’s van IT Security over het Volwassenheidsmodel Informatiebeveiliging van NBA-LIO en NOREA. Als lid van de werkgroep heb ik meegewerkt aan de laatste herziening van het model, dat een organisatie helpt bij de vragen: Op welk volwassenheidsniveau zou mijn organisatie zich moeten bevinden, gelet op de risico’s? Op welk volwassenheidsniveau bevindt mijn organisatie zich momenteel? En wat moet er nog gebeuren om het gewenste volwassenheidsniveau te bereiken? Als financiële instelling wordt ook CZ periodiek verzocht het self-assessment Informatiebeveiliging van DNB in te vullen en aan te geven op welk volwassenheidsniveau de bekende Cobit controls zich bevinden. De afdeling IT Security coördineert de werkzaamheden rondom dit self-assessment. Het onderwerp van gesprek is deze ochtend in hoeverre het NBA-LIO/NOREA-model CZ verder kan ondersteunen bij de beoordeling van de volwassenheid van de verschillende controls.
Aangezien het model een directe link legt naar het toetsingskader van DNB biedt het zeker een handvat om het volwassenheidsniveau te bepalen. Per control wordt namelijk concreet aangegeven welke maatregelen bij een bepaald niveau van volwassenheid horen. In het model zijn overigens ook referenties opgenomen naar de Baseline Informatiebeveiliging Overheid en NIST. Hierdoor biedt het auditors en directies van organisaties in verschillende sectoren een doelgerichte en pragmatische ondersteuning bij het meten, bepalen en verbeteren van het volwassenheidsniveau van informatiebeveiliging en cybersecurity.
12.30 uur
Op donderdag zijn er altijd veel collega’s bij de Interne Audit Dienst. In totaal zijn we met dertig collega’s, waarvan ongeveer de helft mee gaat eten in het bedrijfsrestaurant. De andere helft maakt een lunchwandeling. Ik ga vandaag voor de combinatie en na een soepje met een broodje maak ik nog een korte wandeling met een zestal collega’s. Onderwerp van gesprek is het komende lang weekend, maar ook het auditplan waar we de afgelopen weken mee bezig zijn geweest. De senior auditors hebben hiervoor op hun focusgebieden input geleverd en afgelopen week was de afstemming met de externe accountant. We liggen goed op schema om het plan tijdig te kunnen voorleggen aan de Raad van Bestuur en de Raad van Commissarissen.
13.30 uur
We evalueren intern de Solvency II audit.1 Onder het motto: ‘je hoeft niet ziek te zijn om beter te worden’ evalueren we alle uitgevoerde audits, zodat deze komend jaar weer net iets beter en soepeler gaan dan afgelopen jaar. Een groot deel van de werkzaamheden van onze IAD bestaat uit financial auditwerk. De externe accountant werkt volgens een reviewmodel. Voor de Solvency II zijn we al in een heel vroeg stadium in overleg gegaan met de externe accountant om de uit te voeren werkzaamheden zo goed mogelijk te laten aansluiten op hun wensen en (dossier)vereisten. Al bij al concluderen we dat de audit weer net iets beter is gegaan dan vorig jaar, maar dat we op onderdelen nog meer de integratie willen zoeken met de reguliere jaarrekeningcontrole.
15.00 uur
Samen met Roger, mijn collega-manager Internal Audit, heb ik een overleg over de planning. Met alle vrije dagen van de komende tijd en de verplichte gegevensaanleveringen per 1 mei en 1 juni richting het Zorginstituut Nederland en de Nederlandse Zorgautoriteit is de planning een uitdaging. Maar als de dossiers allemaal volgens planning en goed van kwaliteit worden aangeleverd moet het allemaal net lukken.
Het laatste deel van de middag gebruik ik om mijn mail bij te werken en het auditdossier van de DigiD-audit te reviewen. Het grootste deel van de auditwerkzaamheden wordt uitgevoerd door de IT auditors in ons team. De pentest laten we uitvoeren door een externe specialist. Zodra die resultaten binnen zijn kunnen we de uitkomsten van de audit gaan rapporteren.
17.30 uur
In de auto naar huis pleeg ik nog even de laatste telefoontjes ter voorbereiding van de avond. Sinds 2006 zit ik in de gemeenteraad van Halderberge als fractievoorzitter van een lokale politieke partij. Vanavond staat er een belangrijk punt op de agenda over de ontwikkeling van een cultuurcluster in de oude monumentale kapel van de broeders van St. Louis in Oudenbosch. Het is de bedoeling dat het theater, de bibliotheek, de ouderenbond en de twee musea van Oudenbosch allemaal naar deze unieke historische locatie verhuizen. Een miljoenenproject waarvan een groot deel wordt betaald uit subsidie van de provincie. Eén fractiegenoot zit echter heel sceptisch in dit dossier en de autorit gebruik ik om de laatste punten met hem te bespreken en zijn inbreng voor de avond verder af te stemmen. De wethouder van onze partij heeft het project in zijn portefeuille, dus het is wel van belang dat de vergadering soepel verloopt. In ieder geval voor wat betreft de inbreng van onze eigen partij.
Eenmaal thuisgekomen, staat het avondeten al op tafel en wordt de dag besproken. De meiden hebben inmiddels vakantie en zijn nog steeds enthousiast over de aanstaande metamorfose van hun slaapkamers. Turquoise lijkt de nieuwe kleur te moeten gaan worden. Na het eten ga ik me gereed maken voor de raadsvergadering vanavond. Er blijft vandaag niet veel tijd over om samen met het gezin door te brengen, maar dat halen we de komende dagen wel in.
19.30 uur
De raadsvergadering verloopt beter dan verwacht. In de adviserende commissievergadering waren alle partijen superkritisch op de verhoging van het projectbudget, maar vanavond lijkt iedereen het grotere plaatje belangrijker te vinden dan de platte centen en de ontwikkeling van het cultuurcluster te ondersteunen. De uitdaging wordt wel om alle stakeholders op een lijn te krijgen, maar dat wordt een schone taak voor het college van Burgemeester en Wethouders. Zelfs mijn sceptische fractiegenoot stemt aan het eind van de avond voor het besluit, wat voor mij voelt als een persoonlijke overwinning. Al bij al een mooie afsluiting van een prima dag. Nu genieten van het komende lange klusweekend.
Noot:
1 Solvency II is het risicogebaseerde Europese toezichtraamwerk voor verzekeraars dat per 1 januari 2016 in werking is getreden.
