De Gateway review is een populaire manier geworden om ICT-projecten bij de overheid te toetsen. Een Gateway review is echter nog geen IT audit!
ICT-projecten binnen de overheid zijn vaak complex en ambitieus. Er is een groeiende behoefte aan deskundige beoordeling van en advisering over de complexe vraagstukken rondom de beheersing. De succesvolle invoering van de Gateway-reviewmethode, waarbij professionals met bestuurlijke ervaring kritisch kijken naar vooral strategische en organisatorische aspecten, is in een stroomversnelling gekomen door berichten over geheel of gedeeltelijk mislukte overheidsprojecten. Hierdoor is het van groter belang geworden om de sturing op ICT-projecten op cruciale punten met extra waarborgen te omkleden. Het is lang niet altijd duidelijk wat het verschil in gebruik is tussen deze Gateway-methode als instrument van professionalisering en de reguliere reviews door de auditdiensten.
Ander pad
De Gateway review bevindt zich op een ander vlak dan IT auditing en bewandelt een ander pad. Zij verschaft slechts zekerheid aan de opdrachtgever over de mate waarin een programma of project gereed is om naar de volgende fase te gaan. Deze zekerheid kwalificeert zich echter niet als zekerheid zoals deze bedoeld wordt vanuit IT auditing. Ondanks dat de Gateway review weinig kan betekenen als instrument van IT project auditing, kunnen auditors wel gebruikmaken van de informatie uit de Gateway-reviewrapportages. Of de Gateway-reviewmethode zekerheden oplevert hangt af van de duiding van de uitkomsten van het reviewrapport. Doordat de Gateway review geen kwalificerend oordeel oplevert is de stelling te verdedigen dat de opdrachtgever aan deze methode geen zekerheid kan ontlenen over het project.
Normenkader nodig
Zorgvuldige evaluatie vereist een normenkader. Een essentieel verschil tussen een reguliere IT audit en de Gateway review vormen de normen waaraan toetsing plaatsvindt. Wanneer de auditor een audit uitvoert, toetst hij de bevindingen aan normen die voortkomen uit de kwaliteitsaspecten waarover de auditor een uitspraak wil doen. Het voldoen aan een norm levert een positief oordeel op, vice versa levert het niet voldoen aan de norm een negatief oordeel op. De Gateway review kent als basis de Best Practice-werkboeken van het Office of Government Commerce (OGC) dat in Engeland verantwoordelijk is voor standaardisatie. Die hebben het karakter van handreikingen zonder expliciete kwaliteitseisen en de daaruit voortkomende normen. Voor de bepaling of iets een risico is en de inschatting van de urgentie van het risico wordt vertrouwd op de ervaring en expertise van het Gateway-reviewteam.
Vakmanschap
Collegialiteit betekent niet per definitie vakmanschap. Binnen de Gateway review voeren collega-bestuurders, managers en andere deskundigen die binnen en buiten de overheid werkzaam zijn de review uit. De reviewers volgen hiervoor een cursus van enkele dagen. Audits van accountantskantoren, interne accountantsafdelingen en departementale auditdiensten worden uitgevoerd door gecertificeerde auditors die een meerjarig RE-RA-opleidingstraject hebben gevolgd. Die certificering heeft zowel consequenties voor de manier waarop de auditor werkzaamheden verricht als ook voor de vastlegging van de audit, zoals de audit trail die in het dossier aanwezig moet zijn.
Businesscase altijd nodig
Opvallend is het feit dat veel programma’s en projecten van start gaan zonder dat er een goede businesscase aanwezig is. Hierdoor is er dus ook geen basis voor een zorgvuldige oordeelsvorming. Beide methoden kunnen niet evalueren aan de hand van eerder vastgelegde doelstellingen en tussenresultaten. Gezien de mogelijkheid om op de businesscase te sturen moet de overheid niet langer toestaan dat overheidsprogramma’s en projecten van start gaan zonder businesscase en zonder te waarborgen dat er een periodieke herijking van het project en de businesscase plaatsvindt. In het nieuwe rapportagemodel voor grote ICT-projecten zullen regels worden opgenomen die moeten afdwingen dat businesscases verplicht zijn bij ICT-projecten met een begroting van meer dan 20 miljoen euro.
Risicobeheersing
Er bestaat momenteel een wachtlijst met vrijwillige aanvragen voor een Gateway review. Dat komt vooral doordat er een groter bewustzijn is ontstaan voor risicobeheersing en het Rijk vanuit de departementale CIO’s serieuze aandacht besteedt aan de professionalisering van het opdrachtgeverschap en de samenwerking op verschillende ICT-terreinen. De reviews kunnen natuurlijk niet in de plaats treden van een deugdelijk ‘governance framework’. Wanneer de opdrachtgever kiest voor een audit, houdt dit meestal in dat hij zekerheid verkrijgt over tekortkomingen die zich al hebben voorgedaan, maar er kunnen ook aanpassingen plaatsvinden in het project voor de toekomst op basis van de geconstateerde risico’s. Een contra-expertise geeft toegevoegde zekerheid aan de zekerheid die de opdrachtgever al heeft op grond van de uitgebrachte rapportage. Deze keuze is aan de opdrachtgever, die volgens de minister kan kiezen om naast een Gateway review ook een audit door een auditdienst te laten uitvoeren.