F:\2019\Bestuur 2019\20191212-AB\AB_20191212_09a_Annotatie Managementletter

2019.docx 1/7

29 november 2019

N O T I T I E

Voor de leesbaarheid wordt gestart met een belangrijke actualiteit.

Rechtmatigheidsverantwoording Onze gemeenschappelijke regeling moet in de jaarrekening over het boekjaar 2021 een rechtmatigheidsverantwoording opnemen in de jaarstukken. Hierbij dienen de volgende uitgangspunten worden gehanteerd:

De rechtmatigheidsverantwoording is een onderdeel van de jaarrekening, waarbij voor de decentraleoverheid een rapportage tolerantie geldt van maximaal 3% en minimaal 1% van de totale lasten. Hetalgemeen bestuur bepaalt in het normenkader deze tolerantie. Het heeft hierbij de keuze om mindernauwkeurig te worden geïnformeerd over eventueel geconstateerde bevindingen inzakerechtmatigheid;

Scope: financiële rechtmatigheid zoals nu reeds is uitgewerkt in de kadernota rechtmatigheid van decommissie BBV. Het gaat alleen om de rechtmatigheidscriteria die geen ‘getrouwe beeld’ criteria zijn(voorwaarden-, begrotings-, en misbruik en oneigenlijk gebruik criterium).

Dit betekent dat het dagelijks bestuur in overleg treedt met het algemeen bestuur over de te hanteren rapporteringstoleranties voor de rechtmatigheidsverantwoording. Daarbij dienen de belangrijkste rechtmatigheidsrisico’s in kaart worden gebracht en opgenomen in een controleplan. Voorts moet worden bepaald op welke wijze deze rechtmatigheidsrisico’s worden afgedekt (via systeemgerichte en gegevensgerichte (verbijzonderde) controles). Het controleplan moet met het algemeen bestuur worden afgestemd en structureel worden ingebed in de planning & control cyclus. Hierbij dient ook rekening te worden gehouden met onze verbonden partijen waarvan de fouten en onzekerheden mogelijk meegenomen moeten worden in de rechtmatigheidsverantwoording van de gemeenschappelijke regeling.

Voorstel Het voorstel is dat de manager Finance & Control dit, samen met onze accountant, gaat voorbereiden voor de penningmeester.

Bevindingen managementletter Zoals elk jaar heeft onze accountant een interim-controle uitgevoerd. Deze controle is primair gericht op de analyse en evaluatie van de interne beheersingsomgeving en de daarin opgenomen maatregelen van interne controle. De bevindingen zijn verwoord in de managementletter 2019 en is bijgevoegd als bijlage bij deze notitie. Hieronder onze reactie per bevinding. In de managementletter staan ook enkele bevindingen met status “opgelost” (follow up vanuit de managementletter 2018). Op deze bevindingen wordt in deze notitie niet gereageerd.

WNK PERSONEELSDIENSTEN Hertog Aalbrechtweg 32 - 1823 DL ALKMAAR Postbus 9150 - 1800 GD ALKMAAR Telefoon: (072) 56 78 890 Fax: (072) 56 78 800Email: i.tromp@wnk.nlWebsite: www.wnk.nl

Aan : Algemeen bestuur Kopie aan : Van : I. Tromp, Manager Finance & ControlKenmerk : Onderwerp : Managementletter 2019 Datum : 21-11-2019

AB-vergadering (openbaar) d.d. 12 december 2019 Bijlage Agendapunt 09a

F:\2019\Bestuur 2019\20191212-AB\AB_20191212_09a_Annotatie Managementletter 2019.docx 2/7

29 november 2019

NOTITIE

Managementletter 2019 21-11-2019

Nacalculatieregels (managementletter 2018) Bij de diverse omzetprocessen (zoals termijnfacturatie) hebben wij geconstateerd dat het mogelijk is dat een senior medewerker van de financiële administratie zowel nacalculatieregels (urenregistratie) invoert als autoriseert. Wij vernamen dat dit uit praktische overwegingen is ingeregeld, zodat de facturatie tijdig kan plaatsvinden indien de nacalculatieregels niet tijdig worden geautoriseerd. U loopt hier het risico dat de controletechnische functiescheiding tussen invoer en autorisatie van de nacalculatieregels doorbroken wordt, hetgeen als beheersingsmaatregel dient om te borgen dat de registratie correct verloopt. In dit kader merken wij op dat creditnota’s ook als (negatieve) nacalculatieregels worden verwerkt.

Uit bespreking met uw medewerkers blijkt dat er in opzet naar wordt gestreefd om nacalculatieregels in functie scheiding te verwerken. Het afdwingen van de functiescheiding in AFAS is nog niet mogelijk gebleken, zonder praktische problemen te veroorzaken. Tijdens de interim controle hebben wij, in tegenstelling tot voorgaand jaar, geen nacalculatieregels geconstateerd die niet in functiescheiding zijn ingevoerd en geaccordeerd. Wij adviseren u om periodiek te toetsen of de functiescheiding zoals welke is beoogd wordt nageleefd.

Reactie Het gaat hier om handmatig ingevoerde nacalculatieregels (regie-opdrachten) zoals detachering op urenbasis en post. Het nacalculatieregels proces is vorig jaar aangepast. De desbetreffende projecten hebben allemaal interne projectleiders. Deze projectleiders accorderen de nacalculatieregel waarna door een senior/teammanager de ingevoerde regel wordt gecontroleerd en gereed gemeld. De groepsdetachering in Opmeer vormt hierop een uitzondering. Voor deze groepsdetachering is reeds geaccordeerde informatie beschikbaar, wat de basis is voor de invoer en wordt dus volledig op de financiële administratie verwerkt en gecontroleerd. Op dit moment een dubbele stap, maar deze stap is ingebouwd zodat de eindcontrole bij de afdeling Financiën ligt. Het proces voor creditnota’s is hetzelfde. De rechtmatigheid is geborgd bij de controle van de nacalculatieregel door de interne projectleider. Hiernaast zullen wij jaarlijks toetsen of de functiescheiding is nageleefd.

Invoercontrole orders Een medewerker Bedrijfsbureau maakt een verkooporder in AFAS aan op basis van de contractafspraken. Er wordt echter niet (zichtbaar) gecontroleerd of de contractafspraken juist en volledig in AFAS zijn geregistreerd. U loopt hierdoor het risico dat bijvoorbeeld niet de juiste prijs in rekening wordt gebracht. Eind 2018 heeft u aangegeven een alternatieve interne beheersingsmaatregel te implementeren om te borgen dat contractafspraken juist en volledig in AFAS zijn geregistreerd. Aan de hand van een hardcopy lijst verkooporders beoogde u wekelijks een analyse uit te voeren waarbij de ingevoerde prijzen werden gecontroleerd en geaccordeerd door de manager of het hoofd Productiebureau. Tijdens de interim controle 2019 hebben wij begrepen dat de hardcopy controlelijsten die eind 2018 zijn geïntroduceerd niet meer gebruikt worden. In plaats daarvan is met ingang van september 2019 een workflow in AFAS ingeregeld waarmee achteraf een analyse gedraaid kan worden op de orders M&V met een € 0 tarief (bijvoorbeeld in geval van herstelorders). Doordat deze analyse met name is gericht op orders met een € 0 tarief, ondervangt deze analyse niet het risico dat orders voor een onjuist tarief zijn ingevoerd. Wij adviseren om op de overige populatie (niet zijnde € 0 tarief) steekproefsgewijs een controle te doen op de juistheid van de tarieven.

AB-vergadering (openbaar) d.d. 12 december 2019 Bijlage Agendapunt 09a

F:\2019\Bestuur 2019\20191212-AB\AB_20191212_09a_Annotatie Managementletter 2019.docx 3/7

29 november 2019

NOTITIE

Managementletter 2019 21-11-2019

Wij vernamen voorts dat uit de analyses van dit jaar is gebleken dat:

Verkooporders soms dubbel worden ingevoerd;

Inleverbonnen soms opnieuw worden uitgeprint;

Productie en pakbonnen hierdoor opnieuw worden ingevoerd.

Deze fouten zorgen voor een vertroebeling van de administratie waardoor de controle omslachtiger en meer arbeidsintensief wordt. Wij adviseren om te onderzoeken hoe u het primaire proces kunt aanscherpen om fouten in het primaire proces te voorkomen.

Reactie De manager van het productiebureau is gestart om het productie en verkoopproces van Montage & Verpakking te verbeteren en autorisaties aan te passen. In het eerste half jaar van 2020 zal dit worden afgerond.

Registratie verzuim Bij de facturatie van detacheringen wordt op de voorgenomen facturatie een handmatige korting toegepast in het geval van langdurig ziekteverzuim van de gedetacheerde. Deze handmatige correctie wordt in het huidige proces niet gecontroleerd door een onafhankelijke medewerker. Daarmee loopt u het risico dat foutieve correcties niet worden gesignaleerd, waar door er mogelijk een foutieve factuur verstuurd kan worden. Wij adviseren u om een controle in te richten op de mutaties die worden doorgevoerd op de facturatierun uit AFAS om te borgen dat er geen onjuiste correcties plaatsvinden. Met ingang van 2019 heeft u een standaardrapportage in AFAS ingericht die het verzuim in de organisatie weergeeft. Een seniormedewerker Financiële administratie exporteert dit overzicht naar Excel en corrigeert handmatig 'foutieve'regels. Er vindt nog geen zichtbare controle plaats door een onafhankelijke medewerker om na te gaan ofdeze handmatige correcties juist en volledig zijn. Daarmee loopt u het risico dat foutieve correcties nietworden gesignaleerd, waardoor er mogelijk een foutieve factuur verstuurd kan worden. Wij adviseren u demogelijkheden te onderzoeken om de standaardverzuimrapportage uit AFAS zo in te regelen, dat er geenhandmatige correcties meer benodigd zijn. Indien dit niet mogelijk is adviseren wij u om eencontrole uit te voeren op de handmatig bepaalde correcties.

Reactie Wij zullen dit onderzoeken in het eerste half jaar van 2020.

Geen autorisatie memoriaalboekingen Binnen het proces van het verwerken van memoriaalboekingen heeft u ingeregeld dat boekingen worden voorzien van een bijlage met onderbouwende documentatie. Wij vernamen dat er geen controle is ingericht om na te gaan of de gemaakte boeking aansluit op de (geautoriseerde) bijlage. Wij adviseren u om de memoriaalboekingen standaard intern te laten toetsen voordat de boekingen worden verwerkt, om foutieve boekingen in zijn geheel te voorkomen. Vanuit praktische overwegingen heeft u besloten geen zichtbare controle door een onafhankelijke medewerker in te regelen die borgt dat de boekingen juist en volledig worden verwerkt. Uit afstemming met uw medewerkers blijkt dat een eventuele foutieve boeking (voor zover van relevante omvang) zou worden gesignaleerd vanuit de periodieke analyses in het kader van de tussentijdse informatie voorziening . Desondanks blijft ons advies om na het opstellen van een boeking deze door een onafhankelijke medewerker te laten controleren om typ of invoerfouten te voorkomen.

AB-vergadering (openbaar) d.d. 12 december 2019 Bijlage Agendapunt 09a

F:\2019\Bestuur 2019\20191212-AB\AB_20191212_09a_Annotatie Managementletter 2019.docx 4/7

29 november 2019

NOTITIE

Managementletter 2019 21-11-2019

Reactie Met de implementatie van AFAS zijn onze processen zo aangepast dat het aantal memoriaalboeken tot een minimum is beperkt. Wegens het afwijkend karakter van een memoriaalboeking zijn de kennis, expertise en bevindingen essentieel bij het opstellen en controleren van de boeking. Dit is niet over te dragen aan een andere collega. De uitleg heeft immers direct effect op de controle van de ander. In AFAS is het, in tegenstelling tot het vorige systeem, mogelijk om aanpassingen te doen op debiteuren en crediteuren via een memoriaalboeking. Dit is fraude gevoelig. De memoriaalboekingen op debiteuren en crediteuren zullen per kwartaal worden gecontroleerd door de manager Finance & Control

Contractenregister Binnen AFAS is een contractenregister ingericht waarin aangegane verplichtingen worden geadministreerd. Wij hebben vernomen dat nog niet altijd een contractwaarde als verplichting wordt geregistreerd. Door het registreren van de contractwaarden vergroot u de waarde van uw contracten register omdat (i) u inzicht heeft in de kwantitatieve verplichting die u nog heeft uitstaan en (ii) u bij het ontvangen van inkoopfacturen kunt toetsen of de inkoopfactuur overeenkomt met de door u aangegane verplichting. Wij adviseren u om te onderzoeken of u de contractwaarde als een verplicht in te vullen veld kunt aanmerken, zodat geborgd is dat er altijd een contractwaarde wordt geregistreerd. U heeft ervoor gekozen om de contractwaarde niet als verplicht veld door AFAS af te laten dwingen. Met het oog op de volledigheid van uw verplichtingen-administratie en de ‘3 way match’ functionaliteit van AFAS, bevelen wij u aan om de contractwaarde in te regelen als verplicht in te vullen veld. Een 3 way match is mogelijk als u naast een inkooporder ook de ontvangstbevestiging registreert. Wanneer een inkoopfactuur binnenkomt en overeenkomt met zowel de inkooporder als de geregistreerde ontvangstbevestiging, dan kan de factuur automatisch betaalbaar worden gesteld zonder benodigde handmatige controles en autorisaties.

Reactie Contractwaarde is een basis inrichting in AFAS en kan niet verplicht worden gesteld. Dit is ook logisch, omdat niet alle contracten een vaste contractwaarde hebben. Wij zullen elk jaar via een analyse controleren of de juiste contractwaarde is ingevuld.

Betaling subsidie begeleid werken De betalingen van de begeleid werken subsidies worden in AFAS voorbereid als negatieve nacalculatieregels. Deze nacalculatieregels kunnen handmatig aangepast worden, voordat tot betaling overgegaan wordt. Op de eventueel doorgevoerde wijziging vindt nog geen controle plaats. Daarmee loopt u het risico dat er foutieve aanpassingen worden gemaakt, hetgeen tot een foutieve uitbetaling van de begeleid werken subsidie kan leiden. Doordat deze lasten als negatieve nacalculaties worden verwerkt, is er feitelijk sprake van een creditverkoopfactuur en dus van een betaling aan een debiteur. Er vindt in beginsel geen controle plaats op de invoer van bankrekeningnummers van debiteurenrelaties.

Aangezien geen invoercontrole op de nacalculatieregels wordt afgedwongen en er geen controle plaatsvindt op de juiste invoer van bankrekeningnummers van debiteuren relaties loopt u het risico dat betalingen ten onrechte of aan een onjuist bankrekeningnummer worden verricht. Wij adviseren u om een zichtbare controle af te dwingen op de nacalculatieregels inclusief bankrekening nummers voordat u tot betaling overgaat, om dit risico te mitigeren.

AB-vergadering (openbaar) d.d. 12 december 2019 Bijlage Agendapunt 09a

F:\2019\Bestuur 2019\20191212-AB\AB_20191212_09a_Annotatie Managementletter 2019.docx 5/7

29 november 2019

NOTITIE

Managementletter 2019 21-11-2019

Reactie Het proces van betaling loonkostensubsidie (LKS) begeleid werken is gelijk aan betaling LKS Participatiewet. De nacalculatieregels worden d.m.v. een analyse naar een spreadsheet import bestand gekopieerd en daarna geïmporteerd. Na import van de nacalculatieregels wordt altijd een volledigheidsanalyse gedraaid om te controleren of de juiste bedragen in de nacalculatieregels zijn geïmporteerd. Eventuele handmatig aangepaste bedragen zullen dus altijd in deze volledigheidsanalyse naar voren komen.

Europese aanbestedingen Uit de uitgevoerde controlewerkzaamheden voor de naleving van de Europese aanbestedingsrichtlijnen hebben wij geen onrechtmatigheden vastgesteld. Wel vroegen wij uw aandacht voor de volgende twee overeenkomsten:

1. Mondelinge overeenkomst taxidiensten met een jaarlijkse opdrachtwaarde van circa € 140.000. U heeftaangegeven de mogelijkheden te onderzoeken om met deze aan besteding bij de gemeente Alkmaar aante sluiten;

2. Raamovereenkomst voor onbepaalde tijd zonder contract waarde. Inkopen in 2017 waren van beperkteomvang (circa € 20.000) maar namen in 2018 verder toe tot circa € 68.000. Wij hebben u geadviseerd dekosten die voort vloeien uit deze overeenkomst goed te monitoren, om te voorkomen dat de totaleinkopen de Europese aanbestedingsdrempels overschrijden. Tijdens de interim controle 2019 hebben wijde status van deze overeenkomsten met u besproken:

Voor de inkoop van de taxidiensten heeft u voor 2019 een jaarcontract afgesloten en heeft u concrete gesprekken met de gemeente Alkmaar om een samenwerkingsvorm te onderzoeken. Hiermee heeft u op passende wijze ingespeeld op dit aandachtspunt.

Tijdens de interim controle 2019 hebben wij vernomen dat de uitgaven nog doorlopen vanwege gestarte payroll constructies in 2018. Wij verzoeken u om ten behoeve van de jaarrekeningcontrole 2019 de totale uitgaven van deze crediteur inzichtelijk te maken (naar kosten soort) en een inschatting te maken van de kosten in 2020. Van de totale (verwachte) besteding dient getoetst te worden of deze rechtmatig zijn aanbesteed.

Reactie Op dit moment worden passende maatregelen genomen om de kosten voor payroll terug te brengen.

User access: wachtwoordbeleid Vorig jaar vernamen wij dat het wachtwoord in AFAS niet periodiek gewijzigd hoeft te worden. Wij vernamen dat u reeds in gesprek bent met AFAS over dit onderwerp, omdat u deze instelling niet zelf kunt wijzigen. Daarnaast vernamen wij dat op enkele afdelingen de tweede verificatie (de sms) naar een mobiele telefoon wordt gestuurd die bestemd is voor algemeen gebruik binnen de afdeling. Daarmee wordt de tweede verificatie niet meer vertrouwelijk naar één persoon gestuurd, wat de kracht van deze tweede authenticatie doet afnemen. Wij begrepen dat het uit praktische overwegingen op deze manier is ingericht, omdat meerdere medewerkers niet beschikken over een telefoon van de zaak (wat overigens ook niet noodzakelijk is) en enkele medewerkers zelfs helemaal niet over een mobiele telefoon beschikken. Wij vernamen dat het periodiek laten wijzigen van wachtwoorden nog niet wordt gefaciliteerd door AFAS. Tevens vernamen wij dat er uit praktische overwegingen voor gekozen is om het beleid ten aanzien van de mobiele telefoon voor algemeen gebruik niet te wijzigen.

AB-vergadering (openbaar) d.d. 12 december 2019 Bijlage Agendapunt 09a

F:\2019\Bestuur 2019\20191212-AB\AB_20191212_09a_Annotatie Managementletter 2019.docx 6/7

29 november 2019

NOTITIE

Managementletter 2019 21-11-2019

Reactie Het periodiek wijziging van wachtwoorden wordt inderdaad niet gefaciliteerd door AFAS. En uit praktische overwegingen is ervoor gekozen om het beleid ten aanzien van de mobiele telefoon voor algemeen gebruik niet te wijzigen.

User access: beheer van rechten en rollen Wij vernamen dat het aanvragen en toekennen van rechten op verschillende manieren kan verlopen. Wel wordt voor het toekennen van rechten in opzet altijd een akkoord van de leidinggevende gevraagd. Wij gaven u in overweging om het proces van toekennen, verwijderen en wijzigen van rechten en rollen via het ticketingsysteem te laten verlopen, zodat een consistente uitvoering en documentatie van het proces wordengewaarborgd. Ten aanzien van het verwijderen van rechten en accounts vernamen wij dat er geenautomatische signaalfunctie meer is ingericht dat een account geblokkeerd moet worden nadat eenmedewerker uit dienst treedt. Wij vernamen dat dit in Compas wel was ingericht. Wij adviseren u om designaalfunctie van (naderende) uitdienst tredingen binnen AFAS in te schakelen en te koppelen aan uwticketingsysteem , zodat accounts tijdig geblokkeerd kunnen worden wanneer medewerkers uit diensttreden. Dit voorkomt dat mede werkers nog toegang kunnen verkrijgen tot AFAS nadat zij uit dienst zijngetreden. Wij vernamen dat het proces van toekennen van rechten en rollen nog niet gewijzigd is. Tenaanzien van het verwijderen van rechten en accounts vernamen wij dat u momenteel enkele mogelijkhedenbinnen AFAS aan het verkennen bent voor het inrichten van een procedure voor het tijdig blokkeren van eenaccount na uitdiensttreding. Wij vernamen dat u voornemens bent om voor het einde van het jaar eenprocedure ingericht te hebben.

Reactie Voor het einde van het jaar hebben wij deze procedure ingericht.

User access: user review Wij vernamen dat er nog niet periodiek wordt getoetst of de toegekende rechten aansluiten op de gewenste situatie. Deze review omvat (i) het periodiek toetsen of de juiste profielen aan medewerkers zijn gekoppeld en (ii) het toetsen of de profielen qua samenstelling van rechten aansluiten op de gewenste situatie. In dit kader adviseren wij u een functiematrix op te stellen waarin per functiegroep is opgenomen welke profielen en rechten toegekend mogen worden: dit vormt het toetsingskader voor een periodieke review. Tevens adviseren wij u in dit kader om ongebruikte rollen, waarvan wij vernamen dat dit er veel zijn, te verwijderen, zodat de review qua scope beperkt blijft. Wij hebben vernomen dat er in de komende maanden een review uitgevoerd gaat worden.

Reactie In het eerste half jaar van 2020 zal een autorisatieanalyse uitgevoerd worden. Wel zijn reeds de ongebruikte autorisatieprofielen inmiddels geblokkeerd. In december 2019 komt AFAS met een nieuwe versie en biedt nieuwe functionaliteiten zoals autorisatie o.b.v. functies en tijdelijke autorisatie. Deze nieuwe functionaliteiten dienen eerst te worden beoordeeld. In de autorisatieanalyse gaan wij, naast de autorisatieprofielen, ook de weergaves in Profit beoordelen: zowel het aantal als de inhoud kan naar verwachting flink verminderd worden.

User access: superusers Het functioneel beheren van de applicatie is momenteel belegd bij uw assistent controllers. De functioneel beheerders kunnen door hun rechten ingerichte functiescheidingen doorbreken en kunnen functionele

AB-vergadering (openbaar) d.d. 12 december 2019 Bijlage Agendapunt 09a

F:\2019\Bestuur 2019\20191212-AB\AB_20191212_09a_Annotatie Managementletter 2019.docx 7/7

29 november 2019

NOTITIE

Managementletter 2019 21-11-2019

instellingen binnen AFAS aanpassen; dit is ook noodzakelijk om de applicatie te kunnen beheersen. Wij adviseren u om enkele kritieke activiteiten te definiëren, zoals het muteren van crediteurstamgegevens, en periodiek te toetsen of deze kritieke activiteiten niet (onterecht) zijn uitgevoerd door uw functioneel beheerders. Indien er sprake is van generieke accounts (zoals het account dat wordt gebruikt voor het scannen van facturen) met vergevorderde rechten adviseren wij u om de logging van deze accounts te betrekken in de periodieke review. Wij hebben vernomen dat er nog geen onafhankelijke reviews worden uitgevoerd op logging van de superusers. Wij adviseren om kritieke activiteiten te definiëren, zoals het muteren van crediteurstamgegevens, en periodiek te toetsen of deze kritieke activiteiten niet (onterecht) zijn uitgevoerd door uw functioneel beheerders. Deze toetsing zou door een onafhankelijke functionaris uitgevoerd moeten worden.

Reactie Wij zullen de kritieke activiteiten te definiëren en laten toetsen door een onafhankelijke functionaris.

Wijzigingsbeheer Wij vernamen dat er nog geen geformaliseerd beleid is omtrent het doorvoeren van functionele wijzigingen in AFAS. Dit beleid omvat normaliter het ontwikkelen van wijzigingen in een aparte omgeving, het testen daarvan en het verkrijgen van goedkeuring door de applicatie eigenaar. Momenteel is het wijzigingsbeheer georganiseerd in een informeel proces. Wij adviseren u om een formeel beleid op te stellen en uw wijzigingsbeheerproces daarop in te richten. Wij adviseren u tevens om het wijzigingsbeheer in te regelen in het reeds bestaande ticketingsysteem , zodat u achteraf door middel van de documentatie in het ticketingsysteem kunt toetsen of wijzigingen worden doorgevoerd conform het ingestelde beleid. Wij wisselen graag met u van gedachten over de manier waarop u dit praktisch kunt inrichten. Wij hebben vernomen dat er nog geen geformaliseerd beleid is opgesteld.

Reactie Dit beleid wordt op dit moment opgesteld en geïmplementeerd.

Cybersecurity Het belang van afdoende cybersecuritymaatregelen neemt toe als gevolg van een grotere afhankelijkheid van IT en aangescherpte wet en regelgeving (zoals de GDPR). Wij vernamen dat er nog geen beleid is om periodieke pentests uit te laten voeren op uw IT omgeving. Wij adviseren u om bij de eerstvolgende actualisatie van uw cyberrisicoanalyse te evalueren of er noodzaak bestaat om aanvullende maatregelen te treffen. Wij merken op dat er veel aandacht is voor de GDPR binnen de organisatie, voorts vernamen wij dat er in 2020 een pentest gepland is.

Reactie Voor 2020 staat een pentest gepland. Bij een pentest worden (kritieke) kwetsbaarheden inzichtelijk gemaakt van onze IT omgeving.

Bijlagen:

Managementletter 2019

AB-vergadering (openbaar) d.d. 12 december 2019 Bijlage Agendapunt 09a