De meerwaarde van normenkaders in het licht van rechtmatigheid

Steeds meer overheidsorganisaties die verantwoording moeten afleggen over de financiële rechtmatigheid onderkennen het belang van normenkaders. Daarbij gaat het niet over het wettelijk normenkader dat de (gemeente)raad jaarlijks formeel vaststelt met een opsomming van relevante wet- en regelgeving verdeeld naar bedrijfsprocessen. Nee, het gaat om afzonderlijke normenkaders op basis waarvan elk financieel gerelateerd bedrijfsproces wordt voorzien van een gestructureerde, samenhangende set van concrete en meetbare beheersnormen. Deze normenkaders dekken het hele spectrum rond de financiële rechtmatigheid af. En dat bepaalt de meerwaarde van normenkaders in het licht van rechtmatigheid. 

Door Gerrit Goud

Om verantwoording te kunnen afleggen zijn meetbare normen, normen en normen nodig waaraan gemeten en getoetst wordt. Dat is nu eenmaal de kern van controleren en de basis van elke auditopleiding. Om verantwoording af te leggen over financiële rechtmatigheid moet je weten in hoeverre de relevante financieel gerelateerde bedrijfsprocessen voldoen aan de gestelde eisen. Dit compliance vraagstuk benadrukt het belang van normenkaders. Het formeel vastgestelde normenkader door de Raad is hiervoor overigens niet geschikt omdat het niet samenhangend, concreet en meetbaar is. Het is hooguit een vertrekpunt.

Een normenkader is geen proces- of procedurebeschrijving
Een normenkader is geen procesbeschrijving maar een gestructureerde, samenhangende set van toetsbare normen. Zo kan een prachtige procedure beschreven zijn voor de jeugdzorg, maar de vraag is in hoeverre deze procedure voldoet aan de gestelde beheersnormen in het kader van jeugdzorg. Daarnaast reikt de scope van een normenkader verder dan die van een procesbeschrijving. Een groot voordeel van normenkaders is dat deze stabiel zijn en doorgaans niet veranderen. Het zijn eisen waaraan voldaan moet worden ongeacht hoe de organisatie is ingericht en zich ontwikkelt als gevolg van fusie, reorganisatie of wijzigingen in werkprocessen. En dat is een sterk ankerpunt voor interne beheersing.


Begin vooral niet met risicomanagement
Risicomanagement wordt vaak als eerste genoemd, maar is niet de aanvliegroute naar rechtmatigheid. Uiteraard zullen aanhangers van risicomanagement in relatie tot rechtmatigheid zich focussen op (operationele) risico’s. Maar dat heeft pas zin als duidelijk is aan welke concrete en meetbare eisen en beheersnormen moet worden voldaan. De uitvoering van risicomanagement op operationeel niveau krijgt pas meerwaarde in de PDCA-cyclus als duidelijk is in hoeverre de werkelijkheid afwijkt van de normering (de zogenaamde gap-analyse). Operationele risico’s worden dan afgevangen vanuit het principe van risicomanagement by exception. Hierbij geldt uiteraard als voorwaarde dat de organisatie beschikt over een gestructureerde, samenhangende set van toetsbare beheersnormen die het hele spectrum van de financiële rechtmatigheid afdekt. En dat ontbreekt vaak. Begin daar dus mee!

Risicomanagement is dus volgend op de normering en de eerste vraag vanuit de rechtmatigheid moet niet zijn welke risico’s we lopen, maar aan welke eisen we moeten voldoen? Dat heeft als bijkomend voordeel dat een positieve toonzetting bij belanghebbenden zoals directie en leidinggevenden meer aanspreekt dan een negatieve weerklank vanuit risicomanagement. C’est le ton qui fait la musique, n’est-ce pas!


Interne beheersing financieel domein blijft achter
Het gebruik van normenkaders staat overigens nog in de kinderschoenen bij overheidsorganisaties. Uitzondering is het domein informatiebeveiliging en privacybescherming. Dat domein heeft weliswaar weinig te maken met financiële rechtmatigheid, maar de effectieve werkwijze is vooral te danken door het gebruik van normenkaders. Bij deze werkwijze zijn de stakeholders in de 1e en 2e lijn volgens het three lines model op een laagdrempelige manier betrokken bij het beheersingsproces gericht op sturing, controle en het afleggen van jaarlijkse verantwoording, Het is erg opvallend dat zo’n jong domein in de publieke sector op het gebied van interne beheersing ver vooruit loopt op het financieel domein, simpelweg door gebruik te maken van volwaardige normenkaders. Dat geeft reden tot nadenken zou ik zeggen.

 

Geen standaard normenkaders in financieel domein
De normenkaders in het domein van informatiebeveiliging en privacybescherming zijn landelijk beschikbaar en dat scheelt uiteraard enorm veel tijd qua voorbereiding (dat is overigens meer dan het halve werk). Helaas zijn soortgelijke normenkaders voor het financieel (gerelateerde) domein niet of zeer beperkt beschikbaar en dat was voor ons het startschot voor het ontwikkelen van volwaardige financieel gerelateerde normenkaders voor overheidsorganisaties in het licht van interne beheersing en rechtmatigheid. Key2Control is 3 jaar geleden gestart met het ontwikkelen omdat we ons realiseerden dat het vooral monnikenwerk is, nog even los van de vaktechnische uitdaging. Inmiddels is het grootste deel van alle financieel gerelateerde normenkaders voor overheidsorganisaties beschikbaar.

Normenkaders ontwikkelen is een vak apart
Het ontwikkelen van normenkaders vereist naast de benodigde expertise en bekwaamheden een gestructureerde aanpak. Deze aanpak is gebaseerd op een grondige inventarisatie om elk bedrijfsproces te voorzien van een inhoudelijke Soll-beschrijving, risicoanalyse en terugkoppeling aan onze gebruikersgroep. Daarna vindt de fase van structureren en definiëren van meetbare normen plaats inclusief bijbehorende stuurvragen. Vervolgens start de fase van testen met onze gebruikersgroep. Als laatste vindt goedkeuring en het vrijgeven van normenkaders plaats via ons GRC-platform zodat onze klanten direct aan de slag kunnen in hun eigen omgeving. Ons uitgangspunt hierbij is om kwalitatief hoogwaardige normenkaders te ontwikkelen die de tand des tijds kunnen doorstaan en laagdrempelig zijn voor onze gebruikers (dus geen vakjargon). En dat is gelukt. Gemiddeld bestaat een financieel gerelateerd normenkader uit een samenhangende set van 55 normen.
En we ontwikkelen nog steeds en niet alleen voor de financiële rechtmatigheid, maar ook voor de fiscale rechtmatigheid (TCF) en andere beheersdomeinen zoals bedrijfscontinuïteit (BCMS) en archiefbeheer (KIDO). Ook op verzoek van onze klanten. Inmiddels neemt onze gebruikersgroep toe, hierdoor ontvangen we betere feedback, ook voor het onderhouden van onze normenkaders.

Voordelen gebruik van standaard normenkaders
Het gebruik van kwalitatief hoogwaardige voorgedefinieerde normenkaders doorbreekt de impasse waarin het financieel domein in de publieke sector zich op dit moment begeeft. Het voorbereidende monnikenwerk voor het definiëren van normenkaders dat als groot obstakel wordt gezien, is voor onze klant immers passé. Dat maakt de weg vrij voor het geven van een boost aan de uitvoeringskwaliteit. Het biedt de mogelijkheid een stap voorwaarts te maken op de ‘ladder van volwassenheid’ van interne beheersing, door te sturen op resultaten en normen vanuit een PDCA-cyclus. Lijnmanagers worden in die groeifase laagdrempelig betrokken bij het intern beheersingsproces door het uitvoeren van zelfevaluaties (zonder vakjargon) die preventief gericht zijn op basis van normenkaders eventueel onder begeleiding van de 2e lijn. En daarmee wordt de basis gelegd voor een ‘in control statement’.
De verbijzonderde interne controle (VIC) maakt in die groeifase eveneens gebruik van dezelfde normenkaders door daaruit, voor de VIC relevante normen, als toetsingskader te selecteren voor de eigen auditomgeving voorzien van repressief gerichte werkprogramma’s. Met andere woorden, hetzelfde referentiekader in de vorm van normenkaders wordt zowel gehanteerd door de lijnmanagers, de concerncontroller als VIC. En dat bevordert de onderlinge samenwerking en afstemming en draagt bij tot structurele kwaliteitsverbetering van de interne beheersing.

Aan de slag?
Het ontwikkelen van normenkaders is geen sinecure, maar wel noodzakelijk voor het verbeteren van de kwaliteit van interne beheersing waarbij de 1e lijn actief betrokken raakt.

Wilt u meer weten over hoe Key2Control overheidsorganisaties begeleidt bij het opstellen van normenkaders of meer weten over het gebruik en de voordelen van normenkaders voor uw organisatie?
Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde heeft.
Neem gerust contact op.

* Risicomanagement op tactisch en strategisch niveau valt buiten deze context omdat het hier om een compliance issue gaat op operationeel niveau.
* Normenkader Baseline Informatiebeveiliging Overheden (BIO) voor informatiebeveiliging en voor privacybescherming zijn normenkaders beschikbaar vanuit de VNG, CIP en NOREA.