Algemene toelichting Intern controleplan 2012
Inhoudsopgave: 1.
Algemeen
3
2.
Uitgangspunten interne controleplan 2012 2.1 Waarom een intern controleplan? 2.2 Controleaanpak 2.3 Uitvoering van de controlewerkzaamheden 2.4 Steekproefomvang 2.5 Kwaliteit controles
3 3 3 4 4 5
3.
Beheer interne controleplan
6
4.
Leeswijzer
6
5.
Documentatie
7
Bijlage 1 Overzicht significante processen
8
Bijlage 2 Steekproefomvang
9
Pagina 2 van 10
1. Algemeen Dit document bevat een algemene toelichting op het interne controleplan 2012. Deze toelichting heeft met name tot doel de uitgangspunten van het interne controleplan weer te geven alsmede een handreiking te bieden voor het gebruik van het interne controleplan in de praktijk. Achtereenvolgens wordt ingegaan op de uitgangspunten die de basis voor het interne controleplan vormen (2) en het beheer van het interne controleplan (3). Onder (4) is een leeswijzer opgenomen waarin concreet is aangegeven hoe het interne controleplan moet worden gelezen en gebruikt en onder (5) staat toegelicht hoe de interne controle gedocumenteerd wordt.
2. Uitgangspunten interne controleplan 2012 2.1 Waarom een intern controleplan? Zowel binnen de gemeentelijke organisatie als daarbuiten bestaat de behoefte aan en de verplichting tot controle. Extern hebben wij een verplichting om te kunnen aantonen dat de weten regelgeving wordt nageleefd en te kunnen verantwoorden hoe er met publiek geld omgegaan wordt. Intern heeft controle als doel effectieve en efficiënte processen, betrouwbare informatie, naleving van wet- en regelgeving, verantwoording aan bestuur, kwaliteitsborging en -verbetering etc. Om te bereiken dat de interne controle transparant uitgevoerd wordt, is het noodzakelijk om over de vorm en de inhoud afspraken te maken middels een intern controleplan. 2.2 Controleaanpak De controleaanpak waarop het interne controleplan is gebaseerd gaat uit van risicoanalyse. Dit betekent dat gestart wordt met de identificatie van baten, lasten en balansmutaties die voor de jaarrekening van materieel belang zijn. Vervolgens worden risico’s geïdentificeerd met betrekking tot de rechtmatigheid van deze baten, lasten en balansmutaties. Deze risico’s worden ontleend aan het normenkader zoals dat door de Raad is vastgesteld. Vervolgens wordt nagegaan hoe deze risico’s worden ondervangen in de bedrijfsprocessen van de gemeente: de identificatie van beheersmaatregelen. Door middel van de uitvoering van interne controlewerkzaamheden wordt de werking (effectiviteit) van de beheersmaatregelen getoetst – nadat de opzet van de beheersmaatregelen is geëvalueerd en het bestaan is vastgesteld.1 Indien beheersmaatregelen in 1
Het toetsen van de werking van beheersmaatregelen is enkel efficiënt indien de beheersmaatregel in opzet effectief is (ofwel: het risico in voldoende mate afdekt) en indien het bestaan kan worden vastgesteld (ofwel: op basis van vastleggingen in de bedrijfsprocessen toetsbaar is). De opzet van beheersmaatregelen wordt beoordeeld aan de hand van interviews en procesbeschrijvingen. Het bestaan van beheersmaatregelen wordt vastgesteld door middel van een lijncontrole.
Pagina 3 van 10
opzet effectief zijn en indien de werking ervan is vastgesteld door middel van interne controlewerkzaamheden is het risico in beginsel in voldoende mate afgedekt. Indien er voor een bepaald risico geen beheersmaatregelen zijn geïdentificeerd, de aanwezige beheersmaatregelen in opzet niet effectief zijn of de werking van beheersmaatregelen gedurende het boekjaar niet kan worden vastgesteld moeten aanvullende gegevensgerichte werkzaamheden worden verricht om het risico af te dekken dan wel de omvang van de financiële fout in beeld te brengen. Voordelen van een controleaanpak op basis van risicoanalyse zijn onder andere: -
-
Efficiëntie. Er wordt zoveel mogelijk uitgegaan van beheersmaatregelen, waaronder controles, die onderdeel zijn van het reguliere bedrijfsproces. Dit voorkomt dat aspecten ‘dubbel’ worden gecontroleerd; Verkrijging van tussentijdse informatie over de bedrijfsvoering en de procesgang; Er wordt voldaan aan de uitgangspunten voor SISA (specifieke verantwoordingseisen voor bepaalde specifieke uitkeringen).
2.3 Uitvoering van de controlewerkzaamheden Een werkproces wordt uitgevoerd door een medewerker van een afdeling en tijdens de uitvoering van het proces worden de noodzakelijke controles gedaan (procescontrole). Vervolgens dienen er periodiek interne controlewerkzaamheden uitgevoerd te worden. Er is binnen de gemeente Deurne voor gekozen om de uitvoering van de interne controlewerkzaamheden zoveel mogelijk door medewerkers van de afdeling uit te laten voeren. Hiertoe is op de verschillende afdelingen een kwaliteitsmedewerker aanwezig. Deze kwaliteitsmedewerker voert de interne controlewerkzaamheden uit, mits de kwaliteitsmedewerker niet belast is met uitvoerende werkzaamheden in het proces. De coördinatie van de interne controlewerkzaamheden is ondergebracht bij het onderdeel AO/IC van de afdeling Planning & Control. De medewerkers AO/IC van de afdeling Planning & Control dienen steeds een review uit te voeren op de controlewerkzaamheden van de (kwaliteits)medewerker, om te waarborgen dat de verrichte werkzaamheden toereikend zijn en dat op basis van de bevindingen de juiste conclusies worden getrokken en vervolgacties worden ingesteld (ofwel: een juiste foutevaluatie heeft plaatsgevonden). Dit wordt de verbijzonderde interne controle (VIC) genoemd. In bijlage 1 is een overzicht weergegeven van de significante processen waarover de interne controle voor 2012 dient te worden uitgevoerd. 2.4 Steekproefomvang Om de werking van beheersmaatregelen vast te stellen dient een steekproef genomen te worden. Indien systeemgerichte werkzaamheden worden verricht ligt de steekproefomvang vast (zie bijlage 2). Het aantal initieel te testen beheersmaatregelen is afhankelijk van het aantal malen dat
Pagina 4 van 10
een beheersmaatregel wordt uitgevoerd. De te testen aantallen dienen willekeurig over de gehele controleperiode te worden geselecteerd. Naar aanleiding van een uitgevoerde controle kunnen twee verschillende conclusies getrokken worden: de beheersmaatregel heeft gewerkt (= effectief) of de beheersmaatregel heeft niet gewerkt (= niet-effectief). Indien naar aanleiding van de initieel uitgevoerde testwerkzaamheden éénmaal de conclusie is getrokken dat de beheersmaatregel niet heeft gewerkt, dient geconcludeerd te worden dat de beheersmaatregel in het geheel niet heeft gewerkt in de controleperiode en zullen aanvullende gegevensgerichte werkzaamheden moeten worden verricht. Dit geldt voor alle beheersmaatregelen m.u.v. de beheersmaatregelen die meer dan wekelijks voorkomen en waarvoor een steekproef van 25 is genomen. In deze situatie dient in het geval er 1 fout gevonden is een uitbreiding van de steekproef plaats te vinden met 15 additionele tests. In de additionele tests mogen geen fouten meer worden aangetroffen om te kunnen concluderen dat een beheersmaatregel heeft gewerkt in de controleperiode. Wordt er in de oorspronkelijke steekproef van 25 meer dan 1 fout gevonden, dan is de conclusie dat de beheersmaatregel niet gewerkt heeft. Het doel van gegevensgerichte werkzaamheden is niet primair om vast te stellen of beheersmaatregelen gewerkt hebben maar of voldaan wordt aan de eisen van rechtmatigheid/getrouwheid. Indien gegevensgerichte werkzaamheden worden verricht – in de vorm van een steekproef - ligt de steekproefomvang niet vast. Deze dient statistisch te worden bepaald. De omvang van de steekproef is afhankelijk van het financiële risico, de aard- en het volume van het aantal transacties etc. Om misverstanden over de aard- en omvang van gegevensgerichte werkzaamheden te voorkomen, is het aan te bevelen hierover vooraf overleg te voeren met de accountant. 2.5 Kwaliteit controles Om aan te kunnen tonen dat de uitgevoerde controles kwalitatief in orde zijn dienen deze vastgelegd te worden in een (digitaal) controledossier waarbij rekening gehouden moet worden met de volgende aspecten: o Zorg voor voldoende en toereikende documentatie; zorg in elk geval dat er een begeleidend schrijven in het controledossier zit waarin minimaal is aangegeven: - opdracht van de interne controle; - doel van de interne controle; - wijze van toetsing; - inhoudsopgave/leeswijzer; - conclusie; o Zorg dat overwegingen die gemaakt worden blijken uit de stukken; o Maak de audit-trail zichtbaar (laat expliciet zien wat je gedaan hebt middels verwijzingen, cross references etc.); o Zorg ervoor dat het controledossier zelfstandig volgbaar is, zelfs voor iemand die niet bekend is met het werkproces.
Pagina 5 van 10
3. Beheer interne controleplan Het interne controleplan is een ‘levend’ document, dat voortdurend kan – en moet – worden aangepast aan de actuele situatie. In ieder geval dienen de volgende acties (jaarlijks) te worden ondernomen: - Actualisering van het normenkader op basis van wijzigingen in externe en interne wet- en regelgeving; - Heroverweging van de risicoanalyse (risico identificatie) naar aanleiding van wijzigingen in het normenkader; - Heroverweging van de risicoanalyse (identificatie van materiële baten, lasten en balansmutaties) naar aanleiding van wijzigingen in de activiteiten van de gemeente;2 - Heroverweging van de risicoanalyse naar aanleiding van wijzigingen in de organisatie die gevolgen hebben voor de opzet van beheersmaatregelen. Hiertoe dient de opzet van de beheersmaatregelen in het proces te worden herbeoordeeld en de procesbeschrijving dient dienovereenkomstig te worden aangepast. De verantwoordelijkheid voor het beheer van het interne controleplan is ondergebracht bij het onderdeel AO/IC binnen de afdeling Planning & Control, ten einde de blijvende kwaliteit van het interne controleplan te waarborgen. 4. Leeswijzer Per proces is een Excelbestand gemaakt, waarin het interne controleplan voor dat proces is opgenomen. De volgende onderdelen zijn opgenomen: Risico-identificatie In het Excelbestand is linksboven een tabel opgenomen met de belangrijkste risico’s die door het proces (zouden moeten) worden ondervangen. De risico’s zijn doorlopend genummerd. In de kolom ‘Risico’s’ is een beschrijving van de risico’s opgenomen. In de kolom ‘Aspect (R/G)’ is aangegeven of er sprake is van een typisch rechtmatigheidrisico (R), een getrouwheidsrisico (G) of beide (R/G). Indien sprake is van een rechtmatigheidrisico (R of R/G) is in de kolom ‘Regelgeving’ aangegeven uit welke regelgeving het risico met name voortvloeit. In de kolom ‘Beheersmaatregel’ is de koppeling weergegeven tussen de geïdentificeerde risico’s en de beheersmaatregelen die in het proces zijn opgenomen om de risico’s te ondervangen. De beheersmaatregelen zijn geïdentificeerd op basis van interviews met proceseigenaren en de beoordeling van bestaande procesbeschrijvingen en overige documenten. Lijncontrole, interne controle (IC) en verbijzonderde interne controle (VIC)
2
De identificatie van materiele baten, lasten en balansposten alsmede de benoeming van bijbehorende processen vindt jaarlijks in overleg met de accountant plaats.
Pagina 6 van 10
In de tweede tabel in het Excelbestand is per beheersmaatregel de lijncontrole, interne controle en verbijzonderde interne controle opgenomen met daarbij aangegeven de steekproefomvang en het moment van uitvoering van de controle. In het geval van risico’s die niet door beheermaatregelen kunnen worden afgedekt zijn de gegevensgerichte werkzaamheden opgenomen die minimaal moeten worden verricht om het risico af te dekken dan wel de omvang van de financiële fout in beeld te brengen. Hierbij moet worden opgemerkt dat de aard- en omvang van de gegevensgerichte werkzaamheden sterk afhankelijk is van de concrete situatie in een boekjaar (de risico’s, uitkomst systeemgerichte werkzaamheden in een bepaald boekjaar of een deel van het boekjaar). Voor de definiëring van de aard- en omvang van de gegevensgerichte werkzaamheden dient men vooraf in overleg te treden met de accountant. 5. Documentatie De interne controle wordt uitgevoerd door medewerkers van de diverse afdelingen ofwel de procesverantwoordelijken. De originele IC-documenten worden opgeborgen in een map die op de afdeling staat. In iedere afdelingsmap zit naast de IC-documenten in elk geval een checklist/ totaaloverzicht inclusief resultaten van de uitgevoerde interne controle. Tijdens de verbijzonderde interne controle door de medewerker AO/IC wordt steekproefsgewijs de interne controle op de afdeling gecontroleerd. Dit gebeurt door een aantal controles uit deze map te kopiëren en te controleren cq. nogmaals uit te voeren. Op deze kopieën worden door de VIC-medewerker de constateringen van de verbijzonderde interne controle gezet en deze documenten worden opgeborgen in een eigen map die op de kamer van de AO/IC-medewerkers staat. Naast de VIC-documenten wordt ook de checklist / totaaloverzicht uit de afdelingsmap op de afdeling gekopieerd en opgeborgen in de AO/IC-map. In de map van de verbijzonderde interne controle zit daarnaast altijd een rapportage met bevindingen en conclusies van de VIC.
Pagina 7 van 10
Bijlage 1 Overzicht significante processen Overzicht significante processen ten behoeve van de interne controle 2012: - Inkoop (goederen en diensten + investeringsgoederen) - Personeel - Omgevingsvergunning - Burgerzaken (meerjarige controle) - Subsidies o Professioneel o Niet-professioneel o Onderwijshuisvesting o Leerlingenvervoer - WWB (incl. participatiebudget) - WMO - Financiële administratie - Grondexploitatie (alleen aan- en verkoop grond)
Nog op te zetten controles voor 2012: - Grondexploitatie - Treasury
Vervallen processen t.o.v. 2011: - WWB (deels) - IOAZ - IOAW - Participatiebudget (deels) De uitvoering van (een deel van) deze processen is met ingang van 1 juli 2011 overgegaan naar Werkplein. De gemeente blijft financieel verantwoordelijk. T.b.v. de jaarrekeningcontrole zullen de benodigde jaarlijkse financiële aansluitingen gemaakt worden, maar deze processen vormen geen onderdeel meer van de reguliere interne controlewerkzaamheden van de gemeente. -
OZB Afvalstoffenheffing Rioolheffing
De uitvoering van deze processen is met ingang van 1 oktober 2011 overgegaan naar de Belastingsamenwerking Oost-Brabant (BSOB). De gemeente blijft verantwoordelijk voor ontvangen belastinggelden. T.b.v. de jaarrekeningcontrole zullen de benodigde jaarlijkse financiële aansluitingen gemaakt worden, maar deze processen vormen geen onderdeel meer van de reguliere interne controlewerkzaamheden van de gemeente.
Pagina 8 van 10
Bijlage 2 Steekproefomvang Algemeen In het kader van rechtmatigheidsbeheer dient de gemeente periodiek de werking van geïdentificeerde beheersmaatregelen vast te stellen. De geïdentificeerde beheersmaatregelen dienen in opzet effectief te zijn om de geïdentificeerde risico's af te dekken. In onderstaand overzicht zijn de door de interne controlemedewerker te testen aantallen gericht op het vaststellen van de werking van beheersmaatregelen weergegeven. De genoemde aantallen zijn statistisch onderbouwd. Een afwijking van de genoemde aantallen (in die zin dat met een lager aantal wordt volstaan als grondslag voor het oordeel over de werking van beheersmaatregelen) is enkel toegestaan in overleg met de accountant. De te testen aantallen dienen willekeurig over de gehele controleperiode (boekjaar 2012) te worden geselecteerd. Toelichting op het schema, conclusies naar aanleiding van de testwerkzaamheden - Het aantal initieel door de controlemedewerker te testen beheersmaatregelen is afhankelijk van het aantal malen dat een beheersmaatregel wordt uitgevoerd. Bijvoorbeeld de beheersmaatregel 'Autorisatie van inkoopfacturen door de budgethouder' wordt dagelijks of meerdere malen per dag uitgevoerd. Per geïdentificeerde beheersmaatregel dient in het interne controleplan expliciet te worden vermeld hoe vaak de betreffende beheersmaatregel wordt uitgevoerd; - Naar aanleiding van een uitgevoerde test kunnen twee verschillende conclusies worden getrokken. Of de conclusie luidt dat een beheersmaatregel heeft gewerkt, of de conclusie luidt dat een beheersmaatregel niet heeft gewerkt. Een 'tussenoplossing' ('de beheersmaatregel heeft gedeeltelijk gewerkt') is niet mogelijk. De conclusie moet logischerwijs voortvloeien uit de bevindingen van de controlewerkzaamheden. Dit dient uit de vastlegging van de controlewerkzaamheden, bevindingen en conclusies te blijken; - Indien naar aanleiding van de initieel uitgevoerde testwerkzaamheden (bijvoorbeeld 25 tests bij een beheersmaatregel die dagelijks of meer dan dagelijks wordt uitgevoerd) maximaal eenmaal de conclusie is getrokken dat de beheersmaatregel niet heeft gewerkt, dienen de testwerkzaamheden te worden uitgebreid (bij een beheersmaatregel die dagelijks of meer dan dagelijks wordt uitgevoerd: 15 additionele tests). In de additionele tests mogen geen fouten meer worden aangetroffen om te kunnen concluderen dat een beheersmaatregel heeft gewerkt in de controleperiode. Indien in de initieel uitgevoerde testwerkzaamheden meer dan eenmaal de conclusie wordt getrokken dat een beheersmaatregel niet heeft gewerkt, dient te worden geconcludeerd dat de beheersmaatregel in het geheel niet heeft gewerkt in de controleperiode. In het kader van de jaarrekeningcontrole (getrouwheid en rechtmatigheid) zullen door de gemeente (IC en/of VIC) aanvullende gegevensgerichte werkzaamheden moeten worden verricht. Dit zijn controlewerkzaamheden waarvan niet primair het doel is vast te stellen of beheersmaatregelen gewerkt hebben. Het doel van gegevensgerichte werkzaamheden is vast te stellen of de gepresenteerde cijfers (in de jaarrekening) voldoen aan de eisen van rechtmatigheid/getrouwheid; - Indien in het kader van gegegevensgerichte werkzaamheden een deelwaarneming (steekproef) wordt uitgevoerd dienen alle items groter dan € 70.000 in ieder geval in de deelwaarneming te worden betrokken. Daarnaast dienen tenminste 25 items (van de totale items lager dan € 70.000) in de deelwaarneming te worden betrokken. Uit de vastlegging van de controlewerkzaamheden dient duidelijk te blijken hoe de items zijn geselecteerd en uit welke massa de items zijn
Pagina 9 van 10
geselecteerd. Het doel van de deelwaarneming is (in tegenstelling tot het bovenstaande) niet het vast stellen van de werking van beheersmaatregelen, maar het controleren van bedragen die in de jaarrekening zijn opgenomen. Dit impliceert dat de aansluiting van de geselecteerde items met de jaarrekening duidelijk moet worden vastgelegd (van totale massa items naar financiële administratie naar post in de jaarrekening). Schema te testen items: Aantal malen dat de
Aantal initeel
Indien van toepassing:
Indien beheersmaatregel niet heeft
beheersmaatregel wordt uitgevoerd:
te testen door
Aantal additioneel te
gewerkt:
de IC-functie:
testen door IC-functie:
Dagelijks of meerdere malen per dag
25*
15
Gegevensgerichte werkzaamheden
Wekelijks
5
Integraal
Gegevensgerichte werkzaamheden
Maandelijks of eens per kwartaal
2
Integraal
Gegevensgerichte werkzaamheden
Jaarlijks
1
Integraal
Gegevensgerichte werkzaamheden
* Steekproefomvang is 10% van de populatie met een maximum van 25
Pagina 10 van 10
