Uniforme wetstoepassing

8.2.1 Inleiding

De kans bestaat dat voor de certificering verschillende eisen en criteria worden gesteld door de verschillende douaneautoriteiten. De AEO-wetgeving bevat immers geen concrete eisen en criteria en de AEO-guidelines zijn niet verplicht gesteld (zogenaamde “zachte wetgeving”). Daarbij komt dat cargadoors die qua organisatieomvang beperkt zijn en/of qua interne beheersing nog niet professioneel zijn eveneens voor de AEO-status in aanmerking kunnen komen. Bovendien ver-schillen de douaneautoriteiten van de verver-schillende lidstaten onderling sterk ten aanzien van deskundigheid en ervaring met certificering.

Hierdoor bestaat er een gerede kans op rechtsongelijke toepassing van de AEO-wetgeving.

8.2.2 Oplossingsmogelijkheden

Een mogelijke oplossing is aanpassing van de AEO-wetgeving, door het formuleren van concretere eisen en criteria op het gebied van IT, in combinatie met het verplicht stellen van de

AEO-guidelines. In de guidelines zouden dan universeel toepasbare normenkaders moeten worden opgenomen waarbij rekening wordt gehouden met de verschillende soorten ondernemingen, waaronder cargadoors. Naast de praktische problemen omtrent het formuleren van universeel toepasbare normenkaders zal, gelet op de openbare discussies bij de totstandkoming van de AEO-wetgeving, een aanpassing opnieuw tot veel discussie leiden.

Onze voorkeur gaat daarom uit naar een andere oplossing, namelijk het introduceren van een breed gedragen framework, bij zowel de verschillende douaneorganisaties als het bedrijfsleven. Dit framework moet zowel invulling geven aan het kunnen formuleren van normen als aan het beheer-sen en professionaliseren van de IT-organisatie. Om een breed draagvlak te creëren moet ons inziens gebruik worden gemaakt van een reeds bestaand internationaal algemeen aanvaard fra-mework. Er zijn verschillende reeds bestaande internationaal algemeen aanvaarde frameworks die gebruikt kunnen worden. Een aantal belangrijke frameworks op dit gebied zijn:

Frameworks Toelichting

ISO 17799

Code voor informatiebeveiliging:

Deze standaard formuleert “best practices” voor informatiebe-veiliging en een management systeem voor het beheer van informatie.

COSO II

Enterprise Risk Management Framework:

Dit is een managementmodel dat een uniform en gemeen-schappelijk referentiekader biedt voor het gehele interne be-heersingssysteem gericht op het ondersteunen van het mana-gement bij de verbetering van het interne controlesysteem. CobiT

Control Objectives for IT and Related Technology:

Een framework voor het gestructureerd inrichten en beoordelen van een IT beheeromgeving. Het stelt IT managers in staat om op basis van algemeen geaccepteerde ‘good practices’ de ICT beheersmaatregelen in te richten. IT-auditors kunnen hiermee hun controleprogramma beschrijven en uitvoeren.

ITIL

Information Technology Infra-structure Library:

Een referentiekader (framework) voor het inrichten van de beheerprocessen binnen een ICT organisatie. ITIL is geen methode of model maar een set van “best practices”.

8.2.3 Gekozen oplossing

Gelet op het doel om een breed draagvlak te creëren voor een framework, op grond waarvan een concreet normenkader kan worden gecreëerd en dat geschikt is voor bedrijven met een

verschil-Oplossingen en aanbevelingen IT-audit bij de AEO-certificering van cargadoors

lend volwassenheidsniveau, gaat onze voorkeur uit naar CobiT. Dit framework is immers internati-onaal geaccepteerd en bevat ook gedefinieerde volwassenheidsniveaus aan de hand waarvan verbeteringstrajecten uitgevoerd kunnen worden. Bovendien wordt CobiT gezien als een aanvulling op de geaccepteerde standaarden zoals ITIL, COSO en ISO 17799. Definities in CobiT sluiten dan ook aan op deze en andere geaccepteerde standaarden. Daarnaast is CobiT een internationaal geaccepteerd IT Governancemodel. Immers, CobiT biedt de ingrediënten om hier invulling aan te geven, in het bijzonder op het gebied van risicobeheersing, het leveren van toegevoegde waarde aan de onderneming, het meten van prestaties én het afleggen van verantwoording.

CobiT bevat als enige standaard een volledige set van IT processen die nodig is om IT te kunnen besturen en beheersen. Deze is onderverdeeld in vier domeinen. Het domein Deliver & Support gaat over IT dienstverlening en vertoont raakvlakken met modellen als ITIL. Het domein Aquire & Implement omvat de ontwikkeling, acquisitie en implementatie van IT-systemen en vertoont over-eenkomsten met het Capability Maturity Model (CMM) voor softwareontwikkeling. De domeinen Plan & Organise alsook Monitor & Evaluate hebben op onderdelen raakvlakken met andere mo-dellen zoals Prince2 voor projectmanagement en IT Balance Scorecard voor prestatiemeting. Met name deze laatste twee domeinen in aanvulling op de eerste twee maken CobiT vollediger dan andere raamwerken.

CobiT krijgt in het bedrijfsleven steeds meer draagvlak. In de eerste plaats door het centrale uit-gangspunt dat IT steeds afgestemd moet zijn op de organisatie en moet bijdragen aan het behalen van organisatiedoelstellingen. In de tweede plaats door de SOx-wetgeving en de Code Tabaksblat. De huidige versie van CobiT (versie 4.0 van eind 2005) is bij uitstek geschikt om een organisatie in staat te stellen aan te tonen dat wordt voldaan aan de regelgeving die door SOx-wetgeving wordt gevraagd.

Mede doordat CobiT voortdurend verder wordt ontwikkeld en dat het “best practices” verzamelt uit literatuur en ervaringen van managers, wordt het in toenemende mate gezien als HET algemeen aanvaarde raamwerk voor IT Governance.

Voor IT-auditors is CobiT een uitstekend hulpmiddel omdat ze hiermee inzichtelijk kunnen maken waar een organisatie afwijkt van “best practices”. Volgens prof. dr. Wim van Grembergen van de Universiteit van Antwerpen kan “redelijkerwijs worden aangenomen dat een IT-auditor zijn werk goed heeft gedaan als hij CobiT volgt. Wat in CobiT staat is voldoende en noodzakelijk”²³. Dit geheel wordt in onderstaande CobiT-illustratie weergegeven:

23

Zoals door prof. dr. Wim van Grembergen is aangegeven tijdens het “Excerpta” NOREA/VERA-congres, november 2006

Oplossingen en aanbevelingen IT-audit bij de AEO-certificering van cargadoors

Kortom:

De keuze voor CobiT ligt voor de hand, omdat het wereldwijd het enige raamwerk (open industrie-standaard) is dat helpt IT processen gestructureerd in kaart te brengen, te beheren en te controle-ren, door het beschrijven van “best practices” in beheer, controle en beveiliging van informatie-technologie.

Hierdoor wordt CobiT breed gedragen, zowel door de toezichthouders als het bedrijfsleven, en kan het twee effecten bereiken

- het kan ertoe leiden dat internationaal alle betrokkenen elkaars “taal gaan verstaan” én - de douaneorganisaties van de verschillende lidstaten qua deskundigheid naar elkaar toe gaan

groeien.

Dit zijn beide belangrijke vereisten om te komen tot een uniforme wetstoepassing zowel binnen Europa als zelfs wereldwijd.

8.2.4 Aanbevelingen voor de concrete toepassing in de praktijk

In CobiT worden in het kader van IT Governance een aantal aandachtsgebieden benoemd. Deze zijn in onderstaande illustratie opgenomen.

Bij de toepassing van CobiT voor de bepaling van het normenkader inzake de certificering van cargadoors zijn vooral de domeinen en IT-processen van belang die zien op risk management (het aandachtsgebied rechtsonder in bovenstaande illustratie). Binnen dat aandachtsgebied zijn de volgende domeinen en processen gedefinieerd:

CobiT code CobiT domein IT Proces

PO4 Plan and Organise Define the IT processes, organisation and relationship

PO6 Plan and Organise Communicate management aims and directions

PO9 Plan and Organise Assess and manage IT risks

DS2 Deliver and Support Manage third–party services

DS4 Deliver and Support Ensure continuous services

DS5 Deliver and Support Ensure systems security

DS11 Deliver and Support Manage data

DS12 Deliver and Support Manage the physical environment

ME2 Monitor and evaluate Monitor and evaluate internal control

ME3 Monitor and evaluate Ensure regulatory compliance

ME4 Monitor and evaluate Provide IT Governance

Het normenkader moet per cargadoor worden geconcretiseerd. Bij de bepaling van dit relevante normenkader moeten tenminste voor de hierboven genoemde IT processen voldoende beheers-maatregelen zijn opgenomen.

Het framework geeft bij elk van deze IT processen aan hoe de mate van volwassenheid van de interne beheersing (professionaliteit) gemeten kan worden. Aan de hand hiervan kan een verbe-tertraject ingezet worden.

Oplossingen en aanbevelingen IT-audit bij de AEO-certificering van cargadoors

Ten aanzien van de hiervoor genoemde IT processen die tenminste moeten worden beheerst in het kader van de certificering voor de AEO-status zijn wij van mening dat minimaal niveau 3 van het volwassenheidsmodel moet zijn bereikt. Op dit niveau zijn de processen beschreven en ge-communiceerd. Indien dit niveau op het moment van de certificeringsaanvraag nog niet is bereikt moet eerst een verbetertraject worden afgesproken waarbij dit niveau binnen een redelijke termijn wel bereikt wordt. Voor de realisatie is het belangrijk dat dit verbetertraject haalbaar en realistisch is.