5 uitdagingen voor de interne beheersingsprofessional in 2023

Relevante trends en thema’s voor 2023

Interne beheersing van bedrijfsprocessen krijgt bij onze klanten steeds meer vorm vanuit een integrale benadering. Vanuit Key2Control volgen wij de ontwikkelingen en trends rondom interne beheersingsvraagstukken die onze klanten bezighouden. Dat levert input op voor nieuwe producten en functionaliteiten. Ook doen we hierdoor nieuwe inzichten op over uitdagingen die op ons afkomen. 
Wij zetten de uitdagingen voor 2023 graag voor je op een rijtje.
 

We zoomen in op de belangrijke trends en ontwikkelingen waar interne beheersingsprofessionals in de publieke sector mee te maken krijgen dit jaar. In deze blog beperken we ons tot het aanstippen van deze trends en thema’s. In latere blogs gaan we dieper in op ontwikkelingen binnen deze trends en thema’s.

1. Rechtmatigheidsverantwoording

Nog steeds! We zien namelijk een duidelijke trend dat de ambities hoger liggen dan het jaarlijks opleveren van een financiële rechtmatigheidsverantwoording. Er is een groeiend besef dat een hogere meerwaarde wordt bereikt door het verbreden van de scope naar de interne beheersing van bedrijfsprocessen over de gehele organisatie. Het beheersingsproces borgt tenslotte de inhoud. Daaruit vloeit vanzelf de rechtmatigheidsverantwoording (inhoud)! Slechts focussen op inhoud zonder oog te hebben voor het beheersingsproces leidt uiteindelijk tot los zand. Wat we nodig hebben is cement om muren te bouwen volgens een bouwplan in het tempo dat past bij de ambitie van de organisatie. Belangrijke aspecten hierbij zijn samenwerken, afstemmen, structureren en standaardiseren. De rechtmatigheidsverantwoording zegt overigens weinig tot niets over de kwaliteit van interne beheersing. Een betere maatstaf daarvoor is een ‘in control statement’ (ICS), ondertekend door de directie of het dagelijks bestuur. Deze is niet verplicht, maar we zien dat steeds meer klanten hieraan werken vanwege de duidelijke meerwaarde. Onze software faciliteert in die behoefte.

2. Fiscale rechtmatigheid / Nieuw convenant Belastingdienst

In het verlengde van de (financiële) rechtmatigheid speelt de fiscale rechtmatigheid. Fiscale onzekerheden zijn inmiddels in de publieke sector fors, mede vanwege de complexiteit en diversiteit. Dat vereist fiscale beheersing op basis van de gangbare beheersingsprincipes zoals verankerd in het intern beheersingsproces. We zien een trend dat in de publieke sector een sterke behoefte is aan een nieuw convenant met de Belastingdienst. Daarvoor zijn de nodige inspanningen vereist. Sinds 1 januari 2023 gelden nieuwe regels met betrekking tot het horizontaal toezicht door de Belastingdienst. De Key2Control software biedt via het tax control framework (TCF) voorgedefinieerde content voor gemeenten waarmee ze aantoonbaar kunnen maken hoe aan deze eisen wordt voldaan. Diverse gemeenten en gemeenschappelijke regelingen gebruiken de Key2Control software inmiddels en sommigen zijn hierdoor al dicht bij een nieuw convenant. Het TCF is ook interessant voor overheidsorganisaties die geen convenant willen afsluiten, maar wel hun fiscale risico’s tot een acceptabel niveau willen brengen.

3. Integriteit en fraude

Afgelopen maanden zagen we wederom een toename van incidenten die betrekking hebben op fraude en integriteit bij bedrijven en overheidsinstellingen. Het is een open deur dat er structureel aandacht moet zijn voor het positief sturen en beheersen van houding en gedrag in organisaties. Vaak is het lastig om de zachte (lees: menselijke) aspecten op een verantwoorde wijze te beheersen. Integriteit en fraude zijn immers direct gerelateerd aan menselijk handelen en dat is uiteindelijk medebepalend voor het succes van een organisatie. Doelen bereiken door integer te handelen is immers een van de kernprincipes van interne beheersing en ‘good governance’. De belangstelling voor integriteit en fraude is ook zichtbaar bij de huisaccountant die vanaf 2022 jaarlijks vanuit de NBA verplicht is hierover onderzoek te doen en daarover te rapporteren. De wettelijke basis voor integriteit en fraude voor gemeenten ligt overigens vast in artikel 4 van de nieuwe Ambtenarenwet. Voor gemeenten hebben wij een toetsbaar normenkader integriteit beschikbaar om op een aantoonbare wijze grip te krijgen en behouden op dit thema. Dat is een prima basis om resultaten te delen met alle belanghebbenden, waaronder de huisaccountant.

4. Cyberbeveiliging / NIS2 / bedrijfscontinuïteit

Ook cyberveiligheid is tegenwoordig een bijna dagelijks nieuwsitem. Veel bedrijven en overheidsorganisaties worden slachtoffer van cyberaanvallen met vaak financiële en maatschappelijke gevolgen. Op 27 december 2022 is een Europese richtlijn gepubliceerd, genaamd NIS2. Deze richtlijn is van toepassing op diverse sectoren binnen de lidstaten die belangrijk zijn voor economie en samenleving. De richtlijn verplicht organisaties die hieronder vallen meer maatregelen te treffen om cyberrisico’s te beheersen en verplicht de nationale autoriteit strenger te handhaven op naleving van deze regels. Paraatheid, bedrijfscontinuïteit, weerbaarheid en verantwoording afleggen zijn in deze richtlijn essentieel.

Overheidsdiensten vallen ook onder deze richtlijn, echter op dit moment is onduidelijk of dit eveneens voor lokale overheidsinstanties (lees gemeenten) geldt, omdat hiervoor een voorbehoud is opgenomen. Elke lidstaat kan dit zelf bepalen. Zie hiervoor artikel 2 lid 5 NIS2. De richtlijn moet nog omgezet worden naar Nederlands recht ter vervanging van de Wet beveiliging netwerk- en informatiesystemen (Wbni). De verwachting is dat vervanging in 2024 gaat plaatsvinden. Deze ontwikkeling is daarom nú al belangrijk om in de gaten te houden.

5. Privacybescherming (AVG) / Wet Politiegegevens (Wpg)

Dat privacybescherming volop de aandacht heeft mag duidelijk zijn. Inmiddels is wel een groeiend besef dat privacybescherming niet gaat om een juridisch, maar om een beheersingsvraagstuk waarin het juridische deel is ingebed. In een latere blog komen we hierop terug. Recentelijk is de Wet politiegegevens toegevoegd die gericht is op persoonsgegevens in het kader van opsporingstaken. Een belangrijke toevoeging bij de Wpg is de jaarlijks verplichte interne audit alsook de externe audit maar dan om de 4 jaar. In het domein van informatiebeveiliging zijn we al bekend met een jaarlijkse audit zoals ENSIA. Wat uniek is bij de Wpg, is dat de audit ook gericht is op het toetsen van de effectieve werking van beheersmaatregelen. Dat kan wel eens een trend worden en overslaan naar het domein van informatiebeveiliging en privacybescherming. In dat verband zien we al een toenemende behoefte aan interne audits vanuit de verbijzonderde interne controle (VIC). Dat blijkt onder meer uit gesprekken met onze klanten en het gebruik van de auditmodule van Key2Control maar dan gericht op informatiebeveiliging en privacybescherming. Ook in toenemende mate zien we dat de auditmodule wordt gebruikt voor het gestructureerd vastleggen van de uitvoering van DPIA’s inclusief documentatie waarbij ook ruimte wordt geboden voor de follow-up van gesignaleerde privacyrisico’s voortkomend uit DPIA’s. Je moet immers ook weten wat uiteindelijk gedaan is met de gesignaleerde risico’s.

 

Deze trend geeft aan dat steeds meer gezocht wordt naar samenwerking en afstemming vanuit verschillende disciplines om de beoogde doelen op het gebied van privacybescherming en Wpg te realiseren en dat is een mooie constructieve ontwikkeling.

Ben je benieuwd wat Key2Control kan betekenen voor jouw organisatie?
We zijn ervan overtuigd dat een persoonlijk gesprek altijd van toegevoegde waarde is.
Neem gerust vrijblijvend contact met ons op.