De bouwstenen van interne beheersing

Een nadere uiteenzetting in relatie tot rechtmatigheid

door drs Gerrit Goud RE RA                                               

Vanaf het boekjaar 2021 zijn gemeenten zelf verantwoordelijk voor het afgeven van een rechtmatigheidsverklaring aan de gemeenteraad. Deze rechtmatigheidsverklaring dient ondertekend te worden door het college van B&W als onderdeel van de jaarlijkse verantwoording die de huisaccountant beoordeelt. Het boekjaar 2021 lijkt nog ver weg maar als je terug redeneert wat daarvoor nodig is, dan is er voor veel gemeenten werk aan de winkel. Niet voor niets dat de VNG het advies geeft nu al te starten met het treffen van voorbereidingen.

Vanuit Key2Control zijn we nadrukkelijk over dit thema in gesprek met diverse gemeenten. Menig concerncontroller is zich inmiddels aan het oriënteren om een beeld te krijgen van de impact van de rechtmatigheidsverklaring op de gemeentelijke organisatie. In een serie van 3 blogs delen wij graag onze visie en aanpak op hoofdlijnen over het borgen van rechtmatigheid. In de vorige blog hebben we stilgestaan bij de afbakening van rechtmatigheid en de bouwstenen van interne beheersing waarbij alvast een inkijk is gegeven in het belang van de PDCA-cyclus. In de 2^e blog gaan we nader in op de overige bouwstenen.

1.     Governance

Bij governance gaat het om de belanghebbenden (stakeholders) en hun rolverdeling in het kader van interne beheersing. Het zogenaamde ‘three lines of defence’ model (3LOD) ondersteunt deze rolverdeling. Zo bestaat de 1^e verdedigingslijn uit leidinggevenden en managers die primair verantwoordelijk zijn voor hun operationele processen. De 2^e verdedigingslijn zijn stafleden zoals de concerncontroller, de CISO (informatiebeveiliging) of de privacy officer. Zij fungeren voornamelijk als ‘poortwachter’ op hun eigen terrein (deskundig) en ondersteunen en faciliteren waar mogelijk de 1^e verdedigingslijn. De verbijzonderde interne controle (VIC) of interne auditfunctie (IAF) vertegenwoordigt de 3^e verdedigingslijn en is belast met het periodiek toetsen van de werking van ingezette beheersmaatregelen in de 1^e verdedigingslijn op effectiviteit.

De concerncontroller behoort in dit rollenspel in positie te worden gebracht en waakt ervoor dat de bouwstenen van interne beheersing in balans blijven in relatie tot het beoogde doel. De grootste uitdaging in het kader van rechtmatigheid is het actief betrekken van de 1^e verdedigingslijn in het beheersingsproces vanwege het in control statement (ICS) dat vanuit deze lijn behoort te worden verstrekt. Daar ligt immers de focus als het gaat om rechtmatigheid.

2.     Risk

De inzet van risicomanagement (kans * impact) is effectief op tactisch en strategisch niveau en niet op operationeel niveau. Sterker nog, in dat geval kan het effect van risicomanagement (kans * impact) zelfs averechts werken en een forse onbalans veroorzaken in het intern beheersingsproces. Je kunt immers wel duizenden risico’s benoemen op operationeel niveau en daar wordt niemand vrolijk van met als gevolg weinig resultaat en draagvlak. En natuurlijk worden risico’s gelopen op operationeel niveau waarvan de belangrijkst is dat gemaakte afspraken niet worden nageleefd. Dat los je niet op met ‘kans * impact’, maar wel door de inzet van een PDCA-cyclus als sturings- en correctiemechanisme in combinatie met het periodiek meten van beheersingsdoelstellingen (performance). Het gaat immers op de werkvloer om het managen van zekerheden en niet van onzekerheden en dan is meten op basis van beheersingsdoelstellingen en daarop bijsturen een effectieve combinatie van procesbeheersing.

De meerwaarde van risicomanagement komt het beste tot uiting op tactisch en strategisch niveau, bijvoorbeeld in de situatie hoe de alsmaar stijgende kosten van jeugdzorg kan worden beperkt. Dit kan bijvoorbeeld beperkt worden door de toestroom naar jeugdzorg te beteugelen door het treffen van preventieve maatregelen in het veldwerk. Dat heeft weinig met rechtmatigheid te maken op operationeel niveau maar meer met het vormen van nieuw beleid dat op directie en bestuurlijk niveau besproken wordt. Dus een manager die vraagt wat de risico’s zijn bedoelt dus eigenlijk wat de risico’s op tactisch en strategisch niveau zijn. Op operationeel niveau zou de vraag moeten zijn aan welke eisen het proces moet voldoen.

3.     Compliance

Compliance richt zich op naleving van wet- en regelgeving en interne regels en richtlijnen ingebed in het operationele proces. In de kern is sprake van het managen van zekerheden ofwel het creëren van voorspelbaar gedrag door het treffen van beheersmaatregelen in de vorm van onder meer procedures, handboeken, regels en richtlijnen, training en opleidingen, functiescheiding, bevoegdheden en vastleggingen. Procesbeheersing is hierbij het kernwoord waarbij het proces alle details (inhoud) behoort te borgen die vanuit wet- en regelgeving moeten worden nageleefd. De focus is aldus gericht op naleving van gemaakte afspraken en niet zozeer op de details. De details behoren namelijk te zijn geborgd in het proces. Zo is het van belang dat materie- en juridische kennis in het proces is geborgd waarop gesteund kan worden. Zoals reeds in de 1^e blog is aangegeven is compliance het terrein van de rechtmatigheid.

4.     Internal control

Internal control richt zich zowel op het treffen van passende beheersmaatregelen in de operationele processen (1^e verdedigingslijn) als op het inrichten van de VIC of interne auditfunctie (3^e verdedigingslijn) die gericht is op het toetsen van de effectieve werking van de ingezette beheersmaatregelen. Het treffen van passende beheersmaatregelen in de 1^e verdedigingslijn is preventief en procesgericht zoals bijvoorbeeld het treffen van toereikende functiescheiding, het gebruik van standaard (digitale) formulieren bij een intake of het vastleggen van een genomen besluit.

De VIC voert werkzaamheden uit volgens een auditplan dat op tactisch niveau tot stand is gekomen op basis van een risicoafweging. Ook voor dit onderdeel kan het doelstellingenmodel ten behoeve van de 1^e verdedigingslijn toegevoegde waarde leveren voor het vormen van het auditplan. Het model geeft immers een totaal beeld van alle relevante beheersingsdoelstellingen die zijn vastgesteld. Aangezien de werkzaamheden van VIC gericht zijn op het toetsen aan vastgestelde normen ligt hier een prima basis voor de audit. Dat wil niet zeggen dat alle beheersingsdoelstellingen geraakt moeten worden bij de uitvoering, maar wel betrokken zijn in het afwegingsproces op tactisch niveau. Veelal is de uitvoering van een auditplan gericht op data- en geldstromen (follow the money) op transactieniveau zoals factuurcontrole en/of dossieronderzoeken. Daarmee kunnen diverse beheersingsdoelstellingen in een keer geraakt worden. Deze aanpak met gebruikmaking van dezelfde beheersingsdoelstellingen draagt bij tot een betere afstemming en samenwerking tussen de verschillende verdedigingslijnen en dat bevordert de slagkracht van interne beheersing. Een ander interessant aspect is dat de inzet van VIC beoordeeld kan worden doordat eveneens duidelijk is welke beheersingsdoelstellingen niet geraakt worden.

5. Performance

Bij performance management is de insteek gericht op het meten van te realiseren doelstellingen. Vanuit het financieel domein is dat geregeld via de begroting, voortgangsrapportage en jaarrekening en wellicht met gebruikmaking van een balanced scorecard. Bij rechtmatigheid gaat het om meetbare beheersingsdoelstellingen zoals eerder in deze blog is aangegeven. Ook het in control statement (ICS) is onderdeel van performance en gebaseerd op de resultaten van het meten van beheersingsdoelstellingen en het managen van afwijkingen volgens de PDCA-cyclus.

Het opstellen van een doelstellingenmodel vindt overigens plaats op tactisch niveau en is het resultaat van een gedegen inventarisatie van een operationeel proces (understanding the business) en een daarop gebaseerde risicoanalyse. Een doelstellingenmodel bestaat uit een samenhangende set van meetbare normen/beheersdoelen waarvan elke norm voorzien is van stuurvragen die tijdens een meting beantwoord worden met Ja, Nee, Deels of Onbekend met eventueel een toelichting hierop. De inzet van een doelstellingenmodel is laagdrempelig, vergt weinig tijd en biedt daarmee een opmaat voor het actief betrekken van de 1^e verdedigingslijn in het beheersingsproces dat zo belangrijk is in het kader van de rechtmatigheid.

6. Ethics & culture

Tot nu toe is vooral gekeken naar de harde kant van interne beheersing. Ethics & culture gaan over de zachte kant (soft controls) ofwel de mensfactor die in het kader van interne beheersing een belangrijke factor is en vaak is onderbelicht. Belangrijk is te beseffen dat groeien en verbeteren namelijk niet zozeer in de organisatie zit, maar vooral in de mensen die samen de organisatie maken. Het gaat dan om termen als bedrijfscultuur, integriteit, normen en waarden en de ‘tone at the top’. Veelal is de ‘zachte kant’ van interne beheersing evolutionair bepaald en is gewenste verandering niet zomaar door te voeren. Een belangrijke graadmeter voor inzicht in ethics & culture is het bepalen van het volwassenheidsniveau van een organisatie door het meten van menselijk handelen in relatie tot interne beheersing.

Te snel draaien aan deze knop voor het omhoog stuwen van het volwassenheidsniveau veroorzaakt vaak onomkeerbare ongewenste gevolgen. Zorgvuldigheid op basis van een doordacht plan voor verandering is dan ook essentieel. Vanuit rechtmatigheid ligt het in de verwachting dat deze ‘zachte kant’ een belangrijke rol gaat spelen bij het naleven van spelregels in het kader van governance, het accepteren van eigenaarschap vanuit de 1^e verdedigingslijn en daarbij behorende verantwoordelijkheid.

In de volgende blog geven we aan welke bouwstenen relevant zijn in het kader van rechtmatigheid en gaan we nader in op valkuilen en op de te nemen stappen om op 2021 gereed te zijn voor de rechtmatigheidsverklaring.

Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.