Rechtmatigheid in relatie tot volwassenheid interne beheersing

2022 is een belangrijk jaar. Vanaf het verslagjaar 2022 zijn organisaties onder het Besluit Begroting en Verantwoording (BBV) namelijk min of meer verplicht om jaarlijks een verantwoording op te stellen over de financiële rechtmatigheid. Deze maakt, ondertekend door het bestuur, onderdeel uit van de jaarrekening. Onlangs is weliswaar bekend gemaakt dat die verplichting met een jaar wordt uitgesteld.
Dat betekent echter niet dat we op onze handen kunnen blijven zitten. Want wat zegt nu zo’n rechtmatigheidsverklaring over de kwaliteit van de interne beheersing? Dat is toch immers de basis waarop het bestuur moet kunnen steunen om naleving van wet- en regelgeving te kunnen borgen?

Door Gerrit Goud

Rechtmatigheidsverantwoording

De wetgever beoogt mede met de rechtmatigheidsverantwoording de discussie op gang te brengen over de kwaliteit van interne beheersing. Dat is ook niet verwonderlijk omdat het vraagstuk van interne beheersing een strategisch vraagstuk is. Het gaat immers om de wijze waarop een organisatie in staat is om haar doelstellingen op een betrouwbare wijze te realiseren. Met betrouwbaar bedoelen we dat de uitkomsten aanhoudend stabiel zijn met relatief weinig verrassingen. De informatie over de uitkomsten zijn redelijk vrij van fouten en vooroordelen. Deze informatie kan worden vertrouwd. Steeds meer organisaties realiseren zich dat interne beheersing randvoorwaardelijk is voor het succes van een organisatie.

In Control zijn?

In deze discussie komt vaak de term ‘in control’ aan de orde en natuurlijk zal elke concerncontroller beamen ‘in control’ te willen zijn. Anders ondermijnt de concerncontroller zijn eigen functie. Maar wat bedoelen we daar nu eigenlijk mee? Laat ik voorop stellen dat er geen eenduidige definitie is. ‘In control zijn’ is niets meer dan een keurmerk over de kwaliteit van interne beheersing.
En hoe meet je dat?
Die kwaliteit kan afgemeten worden aan de hand van een volwassenheidsmodel interne beheersing. Een gangbaar model dat wij bij onze klanten hanteren, ziet er als volgt uit:

Het hier geschetste model geeft 5 stappen weer met elk hun eigen criteria. De essentie is dat dit model een discussie op gang kan brengen met stakeholders. Waaronder de directie en het bestuur over een in te zetten koers op het gebied van interne beheersing zonder nader in te gaan op details. Wil je als organisatie ‘in control’ zijn dan moet je minimaal sturen op toetsbare normen en resultaten op niveau 3 en niet op processen op niveau 2 dat zich doorgaans doorvertaald in procesbeschrijvingen.

Normenkader vs procesbeschrijving

Uiteraard zijn procesbeschrijvingen relevant op operationeel niveau, maar raken slechts een van de normen waaraan je moet voldoen. Om een idee te geven, een normenkader voor inkoop en aanbesteding bestaat al uit circa 60 toetsbare normen. Dan mis je nogal wat als je alleen maar focust op procesbeschrijvingen. Daarnaast is het de vraag in hoeverre een procesbeschrijving voldoet aan de gestelde eisen ofwel normen. En dat is lastig als je deze niet hebt. Procesbeschrijving moet je meer zien als het standaardiseren van een operationeel proces in opzet en niet meer dan dat. Daarnaast veranderen processen regelmatig en blijf je aanpassen. Daarentegen zijn normen toekomstbestendig en als het ware vaste ankerpunten in het landschap van interne beheersing. En dat is een uitstekende basis voor het jaarlijks op een verantwoorde wijze afgeven van een in control statement op niveau 3 of 4.

Volwassenheid

Wat geldt voor procesbeschrijvingen geldt ook voor organisaties die zich vooral richten op de verbijzonderde interne controle (VIC). Daarmee zal je nimmer het volwassenheidsniveau 3 kunnen bereiken en dus ook niet In control zijn. Hiermee wil ik niet zeggen dat VIC onbelangrijk is, in tegendeel, alleen mis je nog een aantal belangrijke schakels in het spel van interne beheersing.Wat ik hiermee beoog is dat organisaties gaan nadenken over het volwassenheidsniveau van interne beheersing. Het moment hiervoor is er vanwege de aankomende rechtmatigheidsverantwoording. Maar ook vanwege de alsmaar toenemende verantwoordingsdruk en de eis van controleerbaarheid alsmede de krapte in de arbeidsmarkt voor gekwalificeerd personeel. Daardoor neemt de noodzaak toe om de interne beheersing te gaan professionaliseren, te standaardiseren en te automatiseren. Dat vereist een beweging naar rechts op de ladder van volwassenheid, anders loop je uiteindelijk muurvast met aanzienlijke hoge beheerskosten tegen een lage uitvoeringskwaliteit. Relevant hierbij is dat deze discussie vanuit het belang van de organisatie gevoerd moet worden en niet vanuit het belang van de accountant. Wat de accountant ervan vindt (reactief) zijn gewortelde uitspraken. De vraag moet zijn wat de organisatie er zelf van vindt met een eventueel advies van de accountant (proactief).

Koers vanuit visie

De discussie is gericht op een in te zetten koers geïnitieerd vanuit een visie en bijbehorende ambitie die met elkaar gedragen wordt. Zo kan een visie zijn dat de directie het belang van interne beheersing onderschrijft en zich ten doel stelt te voldoen aan de eisen van rechtmatigheid en daarbij aantoonbaar ‘in control’ wil zijn op volwassenheidsniveau 4. Dit kan worden geuit in een jaarlijks af te geven ‘in control statement’ aan het bestuur vanaf beheersjaar 2023. Dan hebben we een concrete stip op de horizon die breed uitgedragen kan worden onder de interne stakeholders zoals leidinggevenden (top-down).

De hier gestelde eis van rechtmatigheid is overigens van toepassing op elk volwassenheidsniveau. Die stempel zegt namelijk niets tot weinig over de kwaliteit van interne beheersing. Dat laatste is een keuze van de directie en het bestuur. Het gewenste niveau van volwassenheid aangeven is precies wat de wetgever beoogt. Als ook duidelijk is waar de organisatie op het gebied van interne beheersing staat dan is een zogenaamde ‘gap’ in beeld tussen het gewenste en bestaande volwassenheidsniveau. En daarmee is een basis gelegd voor een verbeterplan.

Management Control Systeen (MCS)

Een Management Control Systeem (MCS) is een belangrijk instrument om een stabiele beheersorganisatie te kunnen realiseren aan de hand van een eigen interne beheersingsaanpak. In een MCS kun je per bedrijfsproces een samenhangende set van toetsbare normen opnemen. Vervolgens kun je periodiek elk bedrijfsproces doorlichten aan de hand van toetsbare normen. Door zelfevaluaties krijg je inzicht in de gezondheid van dat bedrijfsproces. En je kunt samen met de proceseigenaar in dialoog om dat proces verder te verbeteren of afspreken hoe je een goedlopend proces blijft beheersen. Die dialoog levert rechtstreeks de beheers- en verbetermaatregelen op die de vereiste transparantie geven waar de Belastingdienst om vraagt. In Key2Control krijg je op die manier zowel de IST als de SOLL situatie in beeld. We maken daarbij ook gebruik van onze 7 bouwstenen van interne beheersing, die ik uitgebreid heb behandeld in eerdere blogs. De essentie is dat deze bouwstenen in balans behoren te zijn binnen de context van de organisatie. Dit kan betekenen dat bij de ene organisatie vooral het compliance deel van belang is en bij een andere organisatie het beheren van onzekerheden. In elk beheersingsproces staat overigens de PDCA-cyclus gericht op continu verbeteren centraal.

Gestandaardiseerde werkwijze én een gestructureerde aanpak

Met deze gestructureerde aanpak ontstaat voor elk gewenst beheersingsthema zoals financiële rechtmatigheid, fiscale rechtmatigheid, informatiebeveiliging, privacybescherming, etc, één gestandaardiseerd proces van interne beheersing dat geborgd is en niet meer rust op de schouders van enkelingen, maar gedragen wordt door de hele organisatie waarvan de vruchten geplukt worden in termen van doelrealisatie, continuïteit, efficiency, kwaliteitsverbetering van de dienstverlening en niet onbelangrijk (aanzienlijke) kostenbesparing. En dit geheel komt ten goede aan de gezondheid en slagkracht van de organisatie.

Wij praten graag met jou over jouw ambities

Interne beheersing vormgeven is een zorgvuldig proces dat niet er eventjes bij komt. Key2Control begeleidt al bijna 10 jaar overheidsorganisaties bij het vormgeven van interne beheersing op uiteenlopende gebieden.
Wil je meer weten over onze aanpak?
Neem contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde heeft.

 

Contact

Naam(Vereist)
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.