Controleplan Financial Audits
Bedrijfsvoering / Audit en Interne Controle
Controleplan Financial Audits
Inleiding De afdeling Audit en Interne Controle (AIC) toetst in opdracht van het CvB de werking van de interne beheersingsmaatregelen. Deze controles dragen bij aan het in control zijn van de Universiteit Leiden. Goed werkende interne beheersing draagt bij aan betrouwbare financiele informatie, waarvan de jaarrekening het sluitstuk is. De werkzaamheden van AIC liggen in het verlengde van de werkzaamheden van de externe accountant. De doelstelling verschilt wel: AIC is intern gericht en geeft het CvB zekerheid, de accountant is extern gericht en geeft de gebruikers van de jaarrekening (bv het ministerie van OCW) zekerheid. De accountant zal gebruik maken van de werkzaamheden van AIC. Daarom dienen deze werkzaamheden te voldoen aan de daaraan te stellen eisen. In het vervolg van dit plan zal daar aandacht aan worden geschonken. Globale aanpak In grote lijnen ziet de controle aanpak er als volgt uit: 1) Permanente omgevingsanalyse. Dit is gericht op kennisvergaring voor de verdere planning en inrichting van het auditproces. De uitkomsten van de omgevingsanalyse zijn richtinggevend voor de vervolgens te verrichten procesanalyse. 2) Procesanalyse Per relevant proces verkrijgen van inzicht in de diverse subprocessen en de ondersteunende informatiesystemen, het per subproces in kaart brengen van de relevante risico’s, het identificeren van de getroffen beheersingsmaatregelen. Vervolgens worden de systeemgerichte werkzaamheden (systeemtests) gepland en uitgevoerd en tot slot worden de specifieke vervolgwerkzaamheden voor het desbetreffende subproces bepaald. Dit wordt vastgelegd in het controleprogramma. 3) Controleprogramma, uitvoeren systeemtests Van de geïdentificeerde beheersingsmaatregelen wordt tijdens de interimcontrole met behulp van uit te voeren systeemgerichte werkzaamheden de werking vastgesteld via systeemtests. Op basis van de resultaten van de systeemtests wordt vastgesteld welke (aanvullende) gegevensgerichte werkzaamheden moeten worden verricht. Deze gegevensgerichte werkzaamheden concentreren zich rond de eindejaarscontrole. 4) Tenslotte wordt in hoofdstuk 4 aandacht geschonken aan de planning.
2
Controleplan Financial Audits
1
De omgevingsanalyse
Inleiding
1.1
In dit hoofdstuk komen de uitgangspunten en doelstellingen aan de orde van de omgevingsanalyse die AIC verricht. De omgevingsanalyse is gericht op kennisvergaring voor de verdere planning en inrichting van het auditproces. De uitkomsten van de omgevingsanalyse zijn richtinggevend voor de vervolgens te verrichten procesanalyse. De omgevings- en de procesanalyse worden zodanig opgezet, dat zij de grondslag bieden voor de brede audittaak van AIC.
1.2
De omgevingsanalyse moet AIC inzicht bieden in: - de doelstellingen die de eenheid nastreeft en de omgeving waarin dit gebeurt; - de (interne en externe) risico’s die het management onderkent ten aanzien van het realiseren van deze doelstellingen; - de gevolgen en de significantie van deze risico’s voor het beleid c.q. de beleidsdoelstellingen, de activiteiten/prestaties, de bedrijfsvoering en het jaarverslag; - de belangrijkste beheersingsmaatregelen die de eenheid heeft getroffen om deze risico’s af te dekken. De omgevingsanalyse wordt verricht per eenheid. Bij de procesanalyse zullen de in de omgevingsanalyse verkregen inzichten worden verdiept en toegespitst op de te onderscheiden afzonderlijke processen. Deze vormen immers het onderzoeksobject van de procesanalyse.
1.3
De omgevingsanalyse wordt zodanig ingericht en uitgevoerd dat naast het verkrijgen van inzicht in de risico’s en interne beheersingsmaatregelen, ook inzicht wordt verkregen in het gevoerde financieel en materieelbeheer en de daartoe bijgehouden administraties. De omgevingsanalyse moet zijn gericht op het onderkennen, inschatten en evalueren van (materiële) risico’s dat de interne beheersingsmaatregelen falen in het wegnemen of toereikend reduceren van factoren die het realiseren van gestelde beleids- en bedrijfsvoeringsdoelstellingen in de weg staan. Het gaat hier derhalve om meer dan het beoordelen van maatregelen van interne controle die specifiek gericht zijn op het voorkomen, ontdekken en doen corrigeren van fouten in de financiële stromen of standen.
1.4
De omgevingsanalyse omvat schematisch weergegeven de volgende stappen:
3
Controleplan Financial Audits
STAPPEN VAN DE OMGEVINGSANALYSE (PER EENHEID)
Analyseren achtergrond van de beleidsterreinen In kaart brengen actuele ontwikkelingen Analyseren van de planning- & control-cyclus Beoordelen van het besturings- en beheersingskader Analyseren van de automatiseringsomgeving Inventariseren van de inhoud van de beschikbare rapportages Identificeren van de omgevings- en organisatierisico’s Benoemen transactiestromen/saldi, vaststellen auditcriteria en inventariseren relevante niet-financiële informatiestromen Selectie en planning van de procesanalyse
Deze negen stappen worden onderstaand achtereenvolgens toegelicht. Het verrichten van omgevingsanalyse moet overigens niet geïnterpreteerd worden als het éénmalig en in dwingende volgorde doorlopen van deze stappen. Omgevingsanalyse is een permanent beoordelingsproces. 1.5
De uitkomsten van de omgevingsanalyse worden gedocumenteerd vastgelegd.
Stap 1:
1.6
Analyseren achtergrond van de beleidsterreinen
Het analyseren van de achtergrond van de beleidsterreinen houdt in dat een inventariserende beschrijving wordt opgesteld van de beleidsdoelstellingen waarvoor de eenheid zich geplaatst ziet en de belangrijkste taken die de eenheid daartoe verricht. Het verkrijgen van inzicht in de achtergrond van de beleidsterreinen houdt normaliter een analyse in van: - de beleidsdoelstellingen en -strategieën en de instrumenten die worden gehanteerd om de operationele doelstellingen te bereiken; 4
Controleplan Financial Audits - de organisatiestructuur en de organisatie-inrichting, de aard van de activiteiten, - de primaire en ondersteunende beleids- en bedrijfsvoeringsprocessen op het terrein van de beleids- en begrotingsvoorbereiding, -uitvoering en -evaluatie; - de afhankelijkheden van relevante externe partijen (andere overheden, samenwerkingsverbanden).
1.7
AIC wint informatie in over de activiteiten van de organisatieonderdelen door middel van: •
interviews met leiding en personeel van het organisatieonderdeel;
•
de kennisname van:
-
de begroting met inbegrip van de daarin opgenomen toelichting (met bijzondere aandacht voor de geformuleerde doelstellingen en prestatiegegevens);
-
beleidsplannen voor de lange(re) termijn;
-
de van toepassing zijnde uitvoeringswetten en regelgeving;
-
opgestelde procesbeschrijvingen (handboeken, flow charts, organogrammen ed);
-
besluiten CvB, faculteitsbestuur, directies;
-
beleids- en bedrijfsvoeringsnota's;
-
tussentijdse financiële overzichten (BFR’s) alsmede interne jaarrekeningen
-
interne rapporten aan de leiding betreffende operationele en financiële informatie ter beoordeling van de beleids- en bedrijfsvoering.
Stap 2: 1.8
In kaart brengen actuele ontwikkelingen
Actuele ontwikkelingen kunnen het realiseren van bepaalde beleidsdoelstellingen beïnvloeden. Deze ontwikkelingen kunnen derhalve de significantie van een belangrijk risico beïnvloeden. Zo zal bijvoorbeeld na het plaatsvinden van een ramp de handhavingsprioriteit groter zijn. AIC zal moeten beoordelen of de eenheid dergelijke factoren voldoende in beeld heeft en zich voldoende rekenschap geeft van hun betekenis voor de beleids- en de bedrijfsvoering. Hierbij gaat het er vooral om dat AIC inspeelt op behoeften en deze behoeften in een zo vroeg mogelijk stadium signaleert.
Stap 3: 1.9
Analyseren van de planning- & control-cyclus
Het analyseren van de planning- & control-cyclus dient AIC inzicht te bieden in de wijze waarop het management: -
het realiseren van de gestelde doelstellingen beheerst en daarbij de effectiviteit van het instrumentarium bewaakt;
5
Controleplan Financial Audits -
mensen en middelen aanstuurt, verdeelt en beheerst voor de diverse activiteiten;
-
de sterke en zwakke punten van de organisatie analyseert;
-
risicoanalyse hanteert als beheersinstrument om de doelstellingen te realiseren en aan de uitkomsten van de verrichte risicoanalyse beheersingsmaategelen verbindt;
-
de IT-strategie bepaalt;
-
de beleidsontwikkeling c.q. de ontwikkeling van nieuwe instrumenten aanstuurt;
-
invulling geeft aan het redresseren van uit rapportages gebleken tekortkomingen in de planning- & control-cyclus.
1.10 Een wezenlijk element van de planning- & control-cyclus is het risicomanagement dat de (lijn)managers verrichten. AIC zal in dat verband – binnen het te beoordelen proces van risicomanagement – nagaan of sprake is van een onderbouwde ‘risk policy’ voor het identificeren en analyseren van risicofactoren, wat daarvan de uitgangspunten zijn, of de ‘risk policy’ is afgestemd op de te realiseren beleidsdoelstellingen en of er adequate interne richtsnoeren zijn geformuleerd ter invulling van de ‘risk policy’. Voorts is uiteraard van belang dat het (lijn)management aan gesignaleerde risicofactoren adequate maatregelen van interne beheersing koppelt. Ten slotte zal AIC nagaan op welke wijze de gekozen risicobeheersingsinstrumenten worden geïmplementeerd en hoe het hele proces van risicomanagement intern wordt geëvalueerd.
Stap 4:
Beoordelen van het besturings- en beheersingskader
1.11 Onder besturings- en beheersingskader wordt verstaan de algemene attitude en betrokkenheid van het (lijn)management ten opzichte van de beleids- en de bedrijfsvoering en de opstelling van het jaarverslag en het belang daarvan voor de eenheid. Een in opzet goede beleids- en bedrijfsvoering kan teniet worden gedaan door een zwak besturings- en beheersingskader.
1.12 AIC schenkt bij de beoordeling van het besturings- en beheersingskader aandacht aan de volgende aspecten: • de organisatiestructuur, de verdeling van bevoegdheden en verantwoordelijkheden (inclusief beoordeling van taak- en deskundigheidsprofielen); • de filosofie van de leiding en de stijl van werken; • de positie van de control-functie; • cultuuraspecten en ethiek (inclusief integriteit); • profiel van het personeel en het personeelsbeleid; • de communicatiestructuur (stijl en wijze van communiceren).
6
Controleplan Financial Audits
Stap 5:
Analyseren van de automatiseringsomgeving
1.13 De processen worden veelal ondersteund door geautomatiseerde informatiesystemen. IT wordt steeds vaker ingezet om de effectiviteit en de efficiency te verbeteren. AIC zal de volgende werkzaamheden verrichten, gericht op het in kaart brengen van de risicofactoren die IT met zich brengt: • analyseren in hoeverre het lijnmanagement risicoanalyse heeft toegepast ten aanzien van de informatiesystemen van de organisatie en analyseren wat het management heeft gedaan om te bepalen welke informatiesystemen belangrijk zijn voor de organisatie (hoe groot is de afhankelijkheid van de organisatie van deze systemen); • bepalen van het belang voor de organisatie en de aandacht van de organisatie voor de beveiliging van informatie(systemen); • bepalen van het belang voor de organisatie en de aandacht van de organisatie voor de betrouwbaarheid van de informatie(systemen); • nagaan of de organisatie voldoende aandacht heeft voor de procesondersteunende kwaliteit van de informatiesystemen.
Stap 6:
Inventariseren van de inhoud van de beschikbare rapportages
1.14 AIC maakt een vastlegging van het doel en de inhoud van de door het management, de controlfunctie verrichte onderzoeken c.q. opgestelde rapportages die van betekenis zijn voor de invulling van de algemene controletaak. Belangrijke rapportages zijn de BFR’s. Bij het inventariseren en beoordelen van rapportages kan het bijvoorbeeld ook gaan om onderzoeken met betrekking tot het gevoerde financieel en materieelbeheer, andere onderzoeken naar de bedrijfs- en beleidsvoering en beleidsevaluatieonderzoeken. In dat verband dient ook aandacht te worden besteed aan en de wijze waarop deze rapportages tot stand zijn gekomen, de manier waarop intern met deze rapportages is omgegaan en hoe aan de bevindingen follow up is gegeven.
Stap 7:
Identificeren van de omgevings- en organisatierisico’s
1.15 De doelstelling van deze stap is het benoemen en omschrijven van de omgevings- en organisatierisico’s en de mogelijke gevolgen daarvan voor de kwaliteit van de beleids- en de bedrijfsvoering, voor de deugdelijkheid van het jaarverslag (zowel ten aanzien van de daarin opgenomen financiële als niet-financiële informatie) en de rechtmatigheid van de verrichte beheershandelingen. Het belangrijkste aspect hierbij is het beoordelen van de wijze waarop het
7
Controleplan Financial Audits management risicoanalyse verricht (het management is daarvoor immers primair verantwoordelijk) en het kennisnemen van de resultaten daarvan. In de ideale situatie is deze stap derhalve beperkt tot de vaststelling dat het management zich op adequate wijze van deze taak heeft gekweten, zodat AIC kan steunen op de uitkomsten van de risicoanalyse die het management heeft uitgevoerd.
1.16 In concreto kan bij omgevings- en organisatierisico’s bijvoorbeeld worden gedacht aan: • de ervaring, kennis en integriteitsbewustzijn van het management; • recente wijzigingen in de leiding; • de mate waarin de leiding en het personeel bereid (verantwoordelijkheidsbesef) en in staat (niveau, opleiding, ervaring etc.) zijn om een correct verloop van de beleids- en bedrijfsvoeringsprocessen te realiseren; • ongewone druk op de leiding (zijn er mogelijke tendenties om de uitkomsten van de begrotingsuitvoering te flatteren of te deflatteren?); • de relevante aspecten van de activiteiten van de eenheid en de aard en complexiteit van de wet- en regelgeving die moet worden uitgevoerd; • de stand van de automatisering: zijn de geautomatiseerde hulpmiddelen die worden gehanteerd bij de beleids- en bedrijfsvoeringsprocessen en bij de registratie van de uitkomsten daarvan betrouwbaar? voorbeeld: geautomatiseerde uitvoering suggereert een lager risico waar het leidt tot een grotere consistentie in de verwerking. Automatisering kan echter ook leiden tot een hoger risico als het computersysteem niet is getest en op een slechte manier is ingevoerd.
1.17 Bij het beschrijven van de omgevings- en organisatierisico’s moet expliciet de koppeling worden aangegeven met het desbetreffende (sub)proces waarmee het onderkende risico wordt beheerst of zou moeten worden beheerst. Mede op basis hiervan kan in de volgende fase een selectie worden gemaakt van de processen die moeten worden beoordeeld in de procesanalyse.
Stap 8:
Benoemen transactiestromen/saldi, controlecriteria
1.18 Bij deze stap dienen de financiële stromen en saldi naar aard en omvang te worden vastgesteld en benoemd. Voor de beoordeling van de bedrijfsvoering en in het bijzonder het financieel beheer is kennis van deze stromen en saldi onmisbaar.
1.19 Nadat de te onderscheiden stromen en saldi in kaart zijn gebracht, stelt AIC per stroom/saldo vast welke controlecriteria hierop van toepassing zijn. De naar een bepaalde stroom/saldo
8
Controleplan Financial Audits vertaalde controlecriteria worden aangeduid als specifieke controlecriteria. Het in kaart brengen van deze specifieke controlecriteria is nodig omdat de controle door de extern accountant van de financiële informatie in het jaarverslag wordt gepland en uitgevoerd per financiële stroom/saldo en voor ieder(e) stroom/saldo veelal verschillende controlecriteria gelden. Hierbij speelt de aard van de desbetreffende stromen en saldi een belangrijke rol.
1.20 AIC beoordeelt welke van de geïdentificeerde transactiestromen/saldi significant zijn. Dit gebeurt door na te gaan wat de betekenis van de onderscheiden transactiestromen/saldi is voor de controle van de totstandkoming en de inhoud van het jaarverslag en voor de beoordeling van het gevoerde financieel en materieelbeheer en de ten behoeve daarvan bijgehouden administraties. Bij de beoordeling daarvan spelen de van toepassing zijnde kritieke controlecriteria een belangrijke rol.
1.21 Voorts moet worden aangegeven welk (sub)proces aan elk van de omschreven transactiestromen/saldi verbonden is c.q. daarop van invloed is. Daarmee wordt de link gelegd naar de fase van de procesanalyse die na de omgevingsanalyse plaatsvindt.
Stap 9:
Selectie en planning van de procesanalyse
1.22 In de vorige twee stappen is een relatie gelegd tussen omgevings- en organisatierisico’s respectievelijk transactiestromen/saldi enerzijds en de (sub)processen die daaraan gerelateerd zijn. Bij deze vervolgstap wordt gerecapituleerd welke processen van significant belang zijn voor de controle van de totstandkoming en de inhoud van het jaarverslag en voor de beoordeling van het gevoerde financieel en materieelbeheer en in dat kader bijgehouden administraties. Vervolgens wordt een onderbouwde conclusie getrokken welke van de geïdentificeerde processen zijn geselecteerd om te worden onderworpen aan procesanalyse in dit controlejaar.
2
De procesanalyse
Inleiding
9
Controleplan Financial Audits 2.1
Volgend op de omgevingsanalyse verricht AIC een onderzoek per daarvoor geselecteerd beleids- of bedrijfsvoeringsproces. De hoofdlijnen van deze procesanalyse worden in dit hoofdstuk beschreven. De uitkomsten van de procesanalyse bepalen voor een belangrijk deel de aard en de omvang van de specifieke vervolgwerkzaamheden (de hierna volgende fase van de controleaanpak). De procesanalyse wordt zodanig opgezet en uitgevoerd dat de resultaten ervan niet alleen bruikbaar zijn voor de uitvoering van de algemene controletaak, maar eveneens van betekenis kunnen zijn ten behoeve van eventuele andere onderzoeken die AIC verricht.
2.2
De centrale doelstelling van het verrichten van procesanalyse is per proces inzichtelijk te maken hoe (een onderdeel van) de organisatie de beleids- en bedrijfsvoeringsprocessen beheerst. Het gaat hierbij – net zoals bij omgevingsanalyse – zowel om processen die verband houden met de opstelling van het jaarverslag en de saldibalans, als om processen die samenhangen met het voeren van het financiële en het materieelbeheer (en de daartoe bijgehouden administraties). De procesanalyse richt zich op de doeltreffendheid, doelmatigheid, ordelijkheid en controleerbaarheid van elk proces, de rechtmatigheid van de uitkomsten daarvan alsmede de betrouwbaarheid van de beheersinformatie over de werking van deze processen. Deze eisen zijn primair van belang voor het management, dat immers verantwoordelijk is voor het goed functioneren van de processen.
2.3
Met betrekking tot een proces en het getroffen stelsel van interne beheersingsmaatregelen dient een onderscheid gemaakt te worden tussen de opzet en de werking. De opzet van een proces of een beheersingsmaatregel heeft betrekking op het geheel van structurele en procedurele regels om het geheel van beschikbaar gestelde mensen en middelen overeenkomstig het vooraf vastgestelde doel te laten functioneren. De werking van een proces of beheersingsmaatregel heeft betrekking op de vraag of de mensen en middelen in een bepaalde periode overeenkomstig deze opzet functioneren (onder de werking wordt hierbij tevens het bestaan van de desbetreffende maatregelen begrepen).
2.4
Voorafgaand aan een beschrijving van de successievelijke stappen waaruit de procesanalyse is opgebouwd, wordt onderstaand eerst kort ingegaan op de relatie tussen de inherente beleids- en bedrijfsvoeringsrisico’s en de interne beheersingsrisico’s. Een goed begrip van de diverse risicobegrippen die daarbij een rol spelen is nodig voor het vervolg van dit hoofdstuk.
De relatie tussen de inherente beleids- en bedrijfsvoeringsrisico’s en de interne beheersing
2.5 Onderstaande toepassing van het risicoanalysemodel gaat uit van een brede benadering die zich niet enkel beperkt tot de controle van de financiële informatie in het jaarverslag en de saldibalans. 10
Controleplan Financial Audits Het is evenwel van belang dat AIC er tijdig in het controleproces voor zorgt dat sprake is van een voldoende focus op deze financiële informatie. Dit is vooral nodig omdat de oordeelsvorming daarover ondersteunt bij de afgifte van een accountantsverklaring door de externe accountant.
Het inherent beleids- en bedrijfsvoeringsrisico
2.6
Het inherent beleids- en bedrijfsvoeringsrisico is de kans dat de gestelde beleids- en bedrijfsvoeringsdoelstellingen niet worden gerealiseerd onder de veronderstelling dat daarop geen maatregelen van interne beheersing van toepassing zouden zijn. Dit risico heeft te maken met proces- en activiteitgebonden factoren die het bereiken van de gestelde beleids- en bedrijfsvoeringsdoelstellingen in gevaar (kunnen) brengen en met de omgeving waarin de desbetreffende processen en activiteiten zich afspelen. Deze omgeving is reeds in kaart gebracht en beoordeeld in het kader van de omgevingsanalyse. Inherente beleids- en bedrijfsvoeringsrisico’s kunnen betrekking hebben op de effectiviteit en efficiency van de processen en activiteiten, de kwaliteit van de informatievoorziening en de rechtmatigheid van de (financiële) beheershandelingen.
2.7
AIC kan het inherent beleids- en bedrijfsvoeringsrisico inschatten. Het is echter op korte termijn niet te beïnvloeden en geldt derhalve voorshands als een gegeven. Factoren die de omvang van het inherent beleids- en bedrijfsvoeringsrisico beïnvloeden zijn onder andere de complexiteit van de desbetreffende processen (bijvoorbeeld de ingewikkeldheid van 3e geldstroom uitvoeringsregelingen), de kwaliteit van de met de uitvoering van deze processen belaste functionarissen alsmede de aard en kwaliteit van de hen ter beschikking staande (technische) hulpmiddelen. Als er bijvoorbeeld sprake is van een gecompliceerde subsidieregeling, terwijl er op de uitvoerende eenheid sprake is van kwalitatieve en kwantitatieve onderbezetting, is de kans dat zich in de uitvoering van een proces een tekortkoming voordoet aanmerkelijk groter dan op een adequaat bezette eenheid die een meer eenvoudige regeling uitvoert.
Het interne beheersingsrisico
2.8
Het interne beheersingsrisico is het risico dat het management door ontoereikende beheersingsmaatregelen aanwezige inherente beleids- en bedrijfsvoeringsrisico’s niet afdoende weet te beheersen. Dit betekent dat het niet behalen van een beleids- of bedrijfsvoeringsdoelstelling niet tijdig wordt voorkomen of ontdekt en daarop geen herstelactie volgt.
2.9
Eén van de doelstellingen van interne beheersing is uiteraard het waarborgen van een rechtmatige begrotingsuitvoering en een deugdelijke (betrouwbare) rapportage daarover in het jaarverslag. Het risico dat er materiële fouten in het jaarverslag zitten maakt aldus deel uit van het inherent beleids- en bedrijfsvoeringsrisico. De begrippen ‘interne beheersing’ en ‘inherent 11
Controleplan Financial Audits beleids- en bedrijfsvoeringsrisico’ zijn evenwel ruimer omdat ze zijn gericht op het bereiken van alle beleids- en bedrijfsvoeringsdoelstellingen. Onder meer de doeltreffendheid en de doelmatigheid van de bedrijfsvoering (in het bijzonder het financieel en materieelbeheer) vallen daar ook onder.
2.10 Het niveau van het bestaande besturings- en beheersingskader en de kwaliteit van de getroffen interne beheersingssystemen bepalen de hoogte van het interne beheersingsrisico. Het besturings- en beheersingskader bestaat globaal uit de organisatiestructuur, de houding en het toezicht van de leiding en de bekwaamheid en attitude van het personeel. Het besturings- en beheersingskader moet de voorwaarden scheppen voor een effectief stelsel van maatregelen van interne beheersing; het bepaalt de atmosfeer waarin en de condities waaronder de functionarissen hun werk doen.
2.11 Bij het inschatten van het interne beheersingsrisico gaat het, evenals bij de inherente beleids- en bedrijfsvoeringsrisico’s, niet om een exacte benadering van de werkelijkheid. De betekenis van de getroffen beheersingsmaatregelen kan doorgaans niet exact, doch slechts globaal worden ingeschat.
2.12 De combinatie van het inherent beleids- en bedrijfsvoeringsrisico en het interne beheersingsrisico bepaalt het risico dat er bij de uitvoering van processen iets mis gaat waardoor de gestelde beleids- of bedrijfsvoeringsdoelstellingen niet bereikt worden. Het verantwoordelijke (lijn)management dient er voor te zorgen dat dit ‘samengestelde risico’ zo laag mogelijk is. Het is de taak van AIC te constateren dat dit inderdaad zo is c.q. dat dit zeer waarschijnlijk is.
De stappen waaruit de procesanalyse bestaat
2.13 De procesanalyse omvat schematisch weergegeven de volgende stappen
STAPPEN VAN DE PROCESANALYSE (PER PROCES)
Opstellen plan van aanpak Verkrijgen van algemeen inzicht in het proces Uitvoeren van de procesanalyse
12
Controleplan Financial Audits Plannen van de te verrichten systeemgerichte werkzaamheden Uitvoeren systeemgerichte werkzaamheden en evalueren uitkomsten daarvan Rapporteren over de bevindingen naar aanleiding van de verrichte procesanalyse
Controleprogramma
Uitkomsten procesanalyse
In het vervolg van dit hoofdstuk komt elk van deze stappen achtereenvolgens in nader detail aan bod. Het plan van aanpak voor de procesanalyse (stap 1), de planning van de te verrichten systeemgerichte werkzaamheden (stap 4) en de vaststelling van de uit te voeren specifieke vervolgwerkzaamheden (stap 7) kunnen gezamenlijk beschouwd worden als het controleprogramma.
2.14 Kort samengevat komt de procesanalyse neer op het per proces verkrijgen van inzicht in de diverse subprocessen en de ondersteunende informatiesystemen, het per subproces in kaart brengen van de relevante risico’s, het identificeren van de getroffen beheersingsmaatregelen en – als uitkomst – het bepalen van de omvang van het zogeheten restrisico. Vervolgens worden de systeemgerichte werkzaamheden (systeemtests) gepland en uitgevoerd en tot slot worden de specifieke vervolgwerkzaamheden voor het desbetreffende subproces bepaald. Van de geïdentificeerde beheersingsmaatregelen worden derhalve allereerst de opzet en het bestaan vastgesteld. In de conclusie met betrekking tot de uit te voeren systeemgerichte werkzaamheden (stap 4) moet worden aangegeven van welke beheersingsmaatregelen aansluitend de werking moet worden vastgesteld via systeemtests. Op basis van de geëvalueerde restrisico’s en de resultaten van de systeemtests wordt vastgesteld welke (aanvullende) gegevensgerichte werkzaamheden in de volgende fase van de controleaanpak moeten worden verricht.
Stap 1:
Opstellen plan van aanpak
2.15 De procesanalyse vangt aan met het kennisnemen van de uitkomsten van de omgevingsanalyse. Vervolgens wordt per proces een plan van aanpak voor de procesanalyse opgesteld. Dit plan van aanpak voor de procesbeoordeling bevat in elk geval een omschrijving van: - de doelstellingen van het onderzoek (hangt mede af van het type audit);
13
Controleplan Financial Audits - het onderzoeksobject en de daaraan te stellen eisen; - de scope en beperkingen van het onderzoek; - de aanpak van het onderzoek; - de uitvoering van het onderzoek; - de manier waarop de (concept)bevindingen met de gecontroleerde zullen worden afgestemd; - de wijze van rapportering over de uitkomsten van het onderzoek; - de ten aanzien van het onderzoek geldende randvoorwaarden.
Stap 2:
Verkrijgen van algemeen inzicht in het proces
2.16 Bij deze stap wordt bezien of en op welke wijze het management het geselecteerde proces in hoofdlijnen in kaart heeft gebracht en wordt inzicht verkregen in de doelstellingen van het proces en de daarbij te onderkennen subprocessen (inclusief hun input en output), de ondersteunende informatiesystemen en de afhankelijkheid daarvan, de omspannende procescontroles, de kritieke succesfactoren, de meetindicatoren en de getroffen beheersingsmaatregelen. Daarbij worden de risico’s geanalyseerd die de realisatie van de onderkende doelstellingen bedreigen. Informatie wordt hiervoor verkregen door interviews met betrokken functionarissen, bestudering van de aanwezige documentatie en waarnemingen welke beheersingsmaatregelen daadwerkelijk door het management zijn getroffen. AIC maakt hierbij in beginsel zoveel mogelijk gebruik van beschrijvingen die het (lijn)management zelf reeds heeft opgesteld, zoals het handboek Financiën. Het is niet de bedoeling dat AIC zelf de processen nog eens (gedeeltelijk) gaat beschrijven. In zekere zin kan deze stap beschouwd worden als een procesgerichte uitwerking c.q. verdieping van de omgevingsanalyse.
2.17 Indien sprake is van belangrijke geautomatiseerde informatiesystemen moet worden vastgesteld of bij deze stap de inzet van IT-deskundigheid wenselijk is voor het verkrijgen van inzicht in de getroffen beheersingsmaatregelen (general controls en application controls). Dat zal sterker het geval zijn wanneer het gaat om complexe systemen, indien er sprake is van een grote afhankelijkheid en wanneer de omvang van de financiële stromen of saldi waarvoor deze systemen van belang zijn relatief groot is. AIC werkt bij dit onderdeel samen met de afdeling Informatiemanagement van Bedrijfsvoering.
Stap 3:
Uitvoeren van procesanalyse
14
Controleplan Financial Audits 2.18 Op basis van de verkregen kennis van het proces, de geformuleerde procesdoelstellingen, de gedefinieerde risico’s en de getroffen beheersingsmaatregelen voert AIC in deze fase daadwerkelijk de procesanalyse uit.
2.19 Het uitvoeren van procesanalyse kan gebeuren door het opstellen van bijvoorbeeld een procesanalysematrix. Deze zou kunnen bestaan uit de volgende acht kolommen die per subproces/activiteit (een regel in de matrix) zouden moeten worden ingevuld:
- omschrijving van het onderscheiden subproces c.q. de activiteit; - beschrijving van de input; - beschrijving van de output; - omschrijving van de inherente beleids- en bedrijfsvoeringsrisico’s; - inschatting van deze inherente risico’s (hoog, gemiddeld, laag); - omschrijving van de van toepassing zijnde normen/eisen (controlecriteria); - beschrijving van de getroffen beheersingsmaatregelen; - inschatting van het interne beheersingsrisico;
2.20 De procesanalysematrix zorgt voor standaardisatie van de beoordelingen Bovendien dwingt het gebruik van de procesanalysematrix tot het doorlopen van alle bovengenoemde punten. Het staat AIC evenwel vrij te kiezen voor een andere wijze van het verrichten van procesanalyse en het vastleggen van de uitkomsten daarvan dan door het opstellen van een procesanalysematrix.
Stap 4:
Plannen systeemgerichte werkzaamheden
2.21 Systeemgerichte werkzaamheden worden uitgevoerd om zekerheid te krijgen over de effectiviteit van de werking van de interne beheersingsmaatregelen (waarbij de controle op de werking wordt geacht tevens te zijn gericht op de vaststelling van het bestaan van de desbetreffende beheersingsmaatregelen). AIC dient door middel van deze werkzaamheden bewijsmateriaal te verkrijgen ter bevestiging van de gemaakte inschatting van het interne beheersingsrisico op een gemiddeld dan wel op een laag niveau. Systeemtests worden verricht door het toepassen van lijncontroles of proceduretests, waarbij ten aanzien van een geselecteerde transactie het gehele proces wordt gevolgd. Er wordt nagegaan of alle met die transactie samenhangende handelingen in overeenstemming met de beschreven opzet zijn verricht. 2.22 Voor het vaststellen van de werking van geprogrammeerde beheersingsmaatregelen zal – vooral ten aanzien van application controls – overleg moeten plaatsvinden met de externe accountant.
15
Controleplan Financial Audits De werking van de interne beheersingsmaatregelen
2.23 Ter vaststelling van de werking van de interne beheersingsmaatregelen zal AIC bij wijze van deelwaarneming zogenaamde systeemtests moeten verrichten. In de praktijk is doorgaans sprake van combinatie van systeemtests met gegevensgerichte detailcontroles, zodat sprake is van ‘dual purpose tests’.
De omvang van het aantal te verrichten systeemtests is afhankelijk van een tweetal factoren: • de omvang van de met het desbetreffende proces gemoeide financiële stroom; • de inschatting van het interne beheersingsrisico.
Voor de bepaling van de omvang van het aantal te verrichten systeemtests c.q. lijncontroles/proceduretests ter vaststelling van de juiste werking van de interne beheersingsmaatregelen geldt de navolgende tabel als indicatie. De tabel vermeldt (richtinggevend) het aantal door systeemtests te controleren posten. . AANTAL TE VERRICHTEN SYSTEEMTESTS
OMVANG FINANCIËLE STROOM
KWALIFICATIE INTERN BEHEERSINGSRISICO
GEMIDDELD
LAAG
< € 10 miljoen
5
10
> € 10 miljoen en < € 25 miljoen
15
20
> € 25 miljoen en < € 50 miljoen
25
30
> € 50 miljoen
35
40
Indien het intern beheersingsrisico hoog wordt ingeschat, betekent dit dat geen gebruik kan worden gemaakt van de interne beheersingsmaatregelen. In die situatie worden geen systeemtests verricht, maar wordt alle ‘audit evidence’ verkregen uit gegevensgerichte controlewerkzaamheden.
16
Controleplan Financial Audits Bij een inschatting ‘gemiddeld’ worden er zowel systeemtests als gegevensgerichte controles uitgevoerd.
Spreiding van de systeemgerichte werkzaamheden
2.24 AIC dient te beoordelen of de maatregelen van interne beheersing gedurende de gehele controleperiode adequaat hebben gewerkt. De geplande systeemtests dienen dan ook gelijkmatig over het jaar te worden gespreid. Gezien de planning zullen de werkzaamheden voornamelijk plaatsvinden in het derde kwartaal van het jaar, resulterend in rapportages per eenheid. De externe accountant zal middels review en waar nodig eigen waarneming een managementletter voor het CvB en de RvT opstellen. Deze interimcontrole zal in het vierde kwartaal worden voortgezet. In het hierna volgende hoofdstuk over het controleprogramma zullen de uit te voeren werkzaamheden concreet worden gemaakt.
Stap 5:
Uitvoeren systeemgerichte werkzaamheden en vastleggen uitkomsten daarvan
2.25 Als er één of meer afwijkingen worden geconstateerd die naar hun aard relevant zijn, moet worden nagegaan welk risico deze afwijkingen met zich brengen en of dit risico voldoende is afgedekt.
2.26 Bij de evaluatie van de uitkomsten van dual purpose tests dienen afwijkingen van interne beheersingsmaatregelen te worden geëvalueerd. Evaluatie is nodig voor de oordeelsvorming inzake de werking van het stelsel van interne beheersingsmaatregelen.
2.27 Op basis van de resultaten van de verrichte systeemtests dient AIC een conclusie te formuleren ten aanzien van de vraag of de opzet en de werking van de interne beheersingsmaatregelen overeenkomstig de initiële inschatting van het interne beheersingsrisico zijn.
Stap 6:
Evalueren van en rapporteren over de uitkomsten van de procesanalyse
2.28 Over de bevindingen resulterend uit de beoordeling van de inherente beleids- en bedrijfsvoeringsrisico’s en de getroffen beheersingsmaatregelen wordt een conceptrapportage opgesteld, die wordt afgestemd met het verantwoordelijke (lijn)management (de proceseigenaren). Het rapport zal naast (eind)conclusies tevens de belangrijkste bevindingen
17
Controleplan Financial Audits van het onderzoek en aanbevelingen voor door het (lijn)management te treffen verbeteracties dienen te bevatten.
2.29 Aan het CvB wordt een samenvattende rapportage uitgebracht. In deze rapportage komen de universiteitsbrede bevindingen aan de orde.
3
Het controleprogramma
Inleiding
3.1
In dit hoofdstuk wordt concreet ingegaan op de uit te voeren controlewerkzaamheden bij de Universiteit Leiden. Ter vaststelling van de werking van de interne beheersingsmaatregelen zal AIC bij wijze van deelwaarneming zogenaamde systeemtests verrichten op de belangrijkste financiële stromen. Aan de hand van de in het verleden uitgevoerde omgevingsanalyse en procesanalyse is de Universiteit onderverdeeld in verschillende categorieën die met meer of minder intensiteit worden gecontroleerd. Daarbij speelt ook de relatieve omvang en complexiteit van de verschillende eenheden, de omvang van de met het desbetreffende proces gemoeide financiële stroom en de inschatting van het interne beheersingsrisico een rol. Deze indeling wordt jaarlijks vastgesteld door het CvB. In dit hoofdstuk komen ook de specifieke werkzaamheden aan de orde. Deze vloeien in hoofdzaak voort uit het controleprotocol van het ministerie van OCW.
3.2
De eenheden van de Universiteit Leiden zijn over 2008 als volgt ingedeeld: •
•
•
A-scope • Faculteit der Rechten • Faculteit Wis- en Natuurwetenschappen • Faculteit der Sociale Wetenschappen • Faculteit der Letteren • Expertisecentrum Vastgoed • Bestuursbureau B-scope • Informatiseringsgroep • Universitair Facilitair Bedrijf • ICLON • Universiteitsbibliotheek • International Office • Nationaal Herbarium • Centrum voor Milieukunde C-scope
18
Controleplan Financial Audits • • • • • •
3.3
Expertisecentrum ICS Faculteiten Kunsten, Archeologie, Godgeleerdheid en Wijsbegeerte Campus Den Haag Hortus Botanicus International Institute for the study of the Islam (ISIM) International Institute for Asian Studies (IIAS)
Eenheden die volledig worden onderzocht (A-scope) Tot deze categorie behoren de eenheden waarvan de belangrijkste financiële processen en posten in de jaarrekening worden onderzocht. AIC zal bij deze eenheden tijdens de interimcontrole analyses en testwerk uitvoeren op het inkoop- en betaalproces, het onderzoeksproces (projectadministratie) en het personeelsproces (inclusief salarisadministratie). Voor het expertisecentrum Vastgoed zullen wij daarnaast tevens de beheersing van bouwprojecten beoordelen. Bij de balanscontrole dienen voor deze eenheden alle belangrijke balansposten (met name materiële vaste activa, debiteuren, onderhanden werk, andere voorraden, voorzieningen, kortlopende schulden) te worden gecontroleerd door middel van cijferanalyses en detailcontroles.
3.4
Eenheden die beperkt worden onderzocht (B-scope) Tot deze categorie behoren de eenheden waarbij wordt volstaan met het jaarlijks onderzoeken van een deel van de processen en posten in de jaarrekening.
3.5
Eenheden die uitsluitend op basis van een cijferbeoordeling globaal worden beoordeeld (Cscope) De tot deze categorie behorende eenheden hebben een zodanige omvang dat een interimcontrole op de bij 3.3 genoemde processen niet noodzakelijk is. Als de BFR’s daartoe aanleiding geven zal nader onderzoek worden verricht. Bij deze eenheden zullen alleen tijdens de balanscontrole werkzaamheden worden uitgevoerd.
3.6
De werkzaamheden in het kader van de jaarrekeningcontrole worden verricht ten aanzien van de volgende (financiële) processen en de daaraan gerelateerde posten in de balans en exploitatierekening: • Personeelsproces, HRM (centraal en decentraal); dit gaat van personeelsmutatie tot en met het betalen, muteren cq stopzetten van salaris • Inkoop- en betaalproces; dit betreft zowel exploitatie als te activeren uitgaven • Projectbeheer, 2e en 3e geldstroom: AO/IC inzake kosten en opbrengsten, subsidievoorwaarden, waardering onderhanden werk
19
Controleplan Financial Audits • Vastgoed, waaronder de investeringen in de gebiedsontwikkeling
De controle op de financiele processen wordt zo mogelijk gedurende het gehele jaar uitgevoerd, met de nadruk op het derde en vierde kwartaal van het kalenderjaar (interimcontrole). De controle op de balansposten (eindejaarscontrole) wordt uitgevoerd in de eerste maanden van het nieuwe jaar aan de hand van de door de decentrale en centrale eenheden opgestelde balansdossiers.
3.7
Op de in 3.6 vermelde onderdelen wordt hieronder kort ingegaan. De werkzaamheden worden uitgevoerd op basis van een met de extern accountant afgestemde checklist. Daarbij is tevens vastgelegd welke documenten minimaal als onderbouwing voor de controle aanwezig moeten zijn.
3.8
Personele lasten
Interimcontrole Bij de interimcontrole komen de volgende aspecten aan de orde: -functiescheiding; de invoer van mutaties door de decentrale eenheden wordt gecontroleerd door de centrale salarisadministratie -de invoer van mutaties wordt decentraal door een tweede medewerker gecontroleerd -het aanstellingsbesluit wordt getekend door het bevoegd gezag -de salarisrun wordt door een extern bedrijf verzorgd
Ter toetsing van dit proces worden minimaal per eenheid (A, B en C) gecontroleerd: - één in diensttreding - één uit dienst treding - één overige mutatie
In totaal zullen dus minimaal 66 mutaties door middel van een systeemtest worden gecontroleerd, aan de hand van een met de externe accountant afgestemde checklist. Verder zal het bruto-netto traject worden beoordeeld.
Balanscontrole Vanuit de opgestelde balansdossiers dienen met de salarissen samenhangende balansposten te worden gecontroleerd en specifieke werkzaamheden te worden verricht: -de met de salarissen samenhangende schulden (ABP, sociale premies, vakantiegeld) -verlofregistratie (schuld) 20
Controleplan Financial Audits -aansluiting SAP HR op SAP FI -bezoldiging bestuurders (onderdeel controleprotocol) -aanwezigheidscontrole
3.9
Materiele lasten; inkopen en betalingen
Bij de controle van de inkopen en de betalingen komen de volgende aspecten aan de orde: -functiescheiding tussen inkoop (uitvoerend), administratie (registrerend en controlerend) en budgethouder (beschikkend). -verleende autorisaties binnen het SAP-systeem -aanmaken crediteurengegevens -goedkeuren betalingen -adequate en tijdige analyse van tussenrekeningen -adequate periodieke analyse van werkelijke kosten vs budget -factuurcontrole (three-way match pakbon, bestelbon en factuur) -richtlijnen europees aanbesteden
Interimcontrole De volgende aantallen facturen zullen minimaal worden gecontroleerd: 25 (A-scope) 8 (B-scope) materiele cq opvallende facturen gespreid over de perioden
In totaal zullen dus minimaal 206 facturen door middel van een systeemtest worden gecontroleerd aan de hand van een met de externe accountant afgestemde checklist.
Daarnaast zal van een aantal facturen de betaling worden gecontroleerd: 5 (A-scope) 2 (B-scope)
In totaal zullen dus minimaal 44 betalingen door middel van een systeemtest worden gecontroleerd. Verder zullen minimaal 5 mutaties in de crediteurenstamgegevens worden gecontroleerd.
Balanscontrole Vanuit de opgestelde balansdossiers zullen balansposten worden gecontroleerd en specifieke werkzaamheden worden verricht: 21
Controleplan Financial Audits -juistheid van de schulden -volledigheid van de schulden aan de hand van facturen van het nieuwe boekjaar (transitoria)
3.10
Projecten Op de 2e en 3e geldstroomprojecten dienen alle baten en lasten te drukken die met het project samenhangen. Voor verwachte verliezen dient een voorziening te worden getroffen. De projectbeheersing is daarbij van groot belang. Daartoe wordt per project een dossier aangelegd met relevante gegevens zoals: -de naam van het project, de budgethouder en de projectleider -het contract van het project -specifieke subsidievoorwaarden, zoals tijdschrijven en accountantscontroles -de interne begroting
Om de projectbeheersing te toetsen worden de volgende aantallen projecten minimaal gecontroleerd (aan de hand van een met de externe accountant afgestemde checklist): 10, waarvan 5 2e en 5 3e geldstroom (A-scope) 3, waarvan 1 2e en 2 3e geldstroom (B-scope)
In totaal zullen dus minimaal 81 projecten door middel van een systeemtest worden gecontroleerd.
Balanscontrole Vanuit de opgestelde balansdossiers dient de Onderhanden werk positie te worden gecontroleerd en de mogelijk noodzakelijke voorziening.
3.11 Vastgoed Het expertisecentrum Vastgoed is verantwoordelijk voor de huisvesting van de Universiteit Leiden. Gezien de omvangrijke bedragen die dat met zich mee brengt, besteedt AIC specifieke aandacht aan deze processen.
Interimcontrole Belangrijke aspecten bij zijn: -autorisatie door het CvB van de investeringsbegroting en het onderhoudsplan over het jaar -interne beheersing van de investeringsprojecten -projectbegrotingen -naleving europese en interne aanbestedingsrichtlijnen -niet activeren onderhoudskosten 22
Controleplan Financial Audits
Naast de factuurcontrole (zie 3.9) wordt van een vijftal af gesloten contracten vastgesteld dat de aanbestedingsregels gevolgd zijn.
Balanscontrole Vanuit het balansdossier is er specifieke aandacht voor: -juistheid en volledigheid van de afschrijvingen; -tijdigheid activeren OHW -juistheid onderhoudskosten -juiste verwerking gebiedsontwikkeling
3.12 Naast de systeemtests besteedt AIC aandacht aan de overige significante posten in de jaarrekening zoals de rijksbijdrage en de collegegelden. Tevens worden de relevante interne en externe ontwikkelingen gevolgd die van invloed kunnen zijn op de processen binnen de Universiteit. Belangrijke richtlijnen voor de inrichting van de processen en van de controle zijn de richtlijnen jaarverslaggeving (miv 2008 de RJ 660) en het controleprotocol van het ministerie van OCW. Intern spelen de werkzaamheden van de centrale inkoopafdeling en de vorming van een financieel shared service centrum een rol. Het OCWprotocol verschijnt jaarlijks en is in de regel erg laat, waardoor er mogelijk andere attentiepunten uit voortvloeien dan vanuit de eerder verschenen protocollen verwacht mocht worden.
3.13 AIC gaat na welke interne beheersingsmaatregelen zijn getroffen in het kader van de richtlijnen vanuit het controleprotocol. Bekende aandachtspunten zijn: -Notitie Helderheid: publiek/privaat -Inkomensoverdrachten (bestedingsdoelen en verantwoording) -Treasury (beleggen en belenen) -Naleving Europese aanbestedingsregels -WOPT -NWO-subsidies (onrechtmatigheden rechtstreeks melden bij NWO) -Geoormerkte OCW subsidies
3.14 Als dat efficiënt is, worden tijdens de interimcontrole de getroffen maatregelen getest bijvoorbeeld de naleving van de Europese aanbestedingsrichtlijnen. Mogelijk is het efficiënter de controle uit te voeren bij de eindejaarscontrole.
3.15 Eindejaarscontrole 23
Controleplan Financial Audits Deze werkzaamheden zijn verdeeld in decentraal en centraal uit te voeren werkzaamheden. Het betreft voornamelijk gegevensgerichte controles, gebaseerd op de door de (de)centrale eenheden aangeleverde balansdossiers. Daarnaast vinden cijferanalyses plaats.
3.16 Op decentraal niveau wordt per eenheid een balansdossier opgeleverd overeenkomstig het Handboek jaarafsluiting voor de eenheden. Dit jaarlijks geactualiseerde Handboek wordt vooraf beoordeeld teneinde te voorkomen dat tijdens de balanscontrole onduidelijkheid bestaat over inhoud en de kwaliteit van de balansdossiers. Uitgangspunt voor een efficiënte controle is dat het balansdossier volledig is. Tekortkomingen moeten door de eenheid worden gerepareerd.
Ook bij de controle wordt de indeling in A, B en C eenheden gevolgd: A-scope: alle balansposten controleren B-scope: alleen de relevante balansposten (verschilt per eenheid) C-scope: op basis van cijferbeoordeling
3.17 Voor de uitvoering van deze controlewerkzaamheden dient er jaarlijks overleg te zijn met de externe accountant. Gezien de capaciteit van AIC en de korte tijd waarin de controle dient plaats te vinden, is wellicht ondersteuning door derden onder verantwoordelijkheid van AIC noodzakelijk.
3.18 De controle wordt gestructureerd uitgevoerd aan de hand van een checklist. Tijdens de interimcontrole is aandacht geschonken aan de relevante balansposten. De betrokken balansposten worden nu per balansdatum gecontroleerd, rekening houdend met de bevindingen uit de interimcontrole.
3.19 Er is specifiek aandacht voor de (de)centraal gevormde voorzieningen, de materiële vaste activa (Vastgoed), de geoormerkte OCW subsidies en de schuld inzake verlof. Afhankelijk van de ontwikkelingen op het gebied van SISA (single information, single audit) zal specifiek aandacht worden besteed aan de FSR (Financiële Specificatie Rijkssubsidies).
3.20 Op centraal niveau wordt aan de hand van de Checklist consolidatie een dossier opgesteld voor de enkelvoudige jaarrekening, zijnde de consolidatie van de eenheden van de Universiteit Leiden. Daarnaast wordt een dossier opgesteld voor de geconsolideerde jaarrekening. Ook bij deze dossiers geldt dat voor een efficiënte controle het balansdossier volledig dient te zijn. Tekortkomingen moeten door de eenheid worden gerepareerd.
24
Controleplan Financial Audits 3.21 AIC speelt geen rol bij de controle van de enkelvoudige en de geconsolideerde jaarrekening aan de hand van deze dossiers. De externe accountant voert deze controle uit; er is geen review op de werkzaamheden van AIC.
4 4.1
De planning De afdeling AIC bestaat uit 4 personen (3,8 fte) met aan het hoofd een RA. Er zijn geen vacatures. Naast de werkzaamheden in het kader van de jaarrekening, voert AIC in opdracht van het CvB diverse operational audits uit. Jaarlijks wordt daartoe een auditplan door het CvB vastgesteld.
4.2
De planning van de werkzaamheden voor het opstellen, controleren en rapporteren over de jaarrekening ligt vast in een draaiboek. Om in vooraf geplande vergaderingen van CvB en RvT de jaarrekening inclusief accountantsrapport te kunnen bespreken, dienen de werkzaamheden van de (de)centrale eenheden, AIC en de externe accountant tijdig te worden uitgevoerd.
4.3
Uitgangspunt bij de werkzaamheden van de externe accountant is, dat er waar mogelijk sprake is van review van de controlewerkzaamheden van AIC. Dat houdt in dat de planning van de externe accountant dient aan te sluiten op de planning van AIC. De werkzaamheden van AIC sluiten weer aan op de (de)centraal uitgevoerde werkzaamheden.
4.4
Het toetsen van de procedures in het kader van de interimcontrole wordt uitgevoerd in het 3e en 4e kwartaal van het jaar. Deze werkzaamheden resulteren in een rapportage per eenheid. Van de externe accountant wordt een managementletter verwacht. Deze kan gebaseerd worden op de door AIC uitgebrachte rapportages en de eigen waarnemingen. Dit betekent wel dat de werkzaamheden van AIC inclusief rapportages tijdig afgerond dienen te zijn.
4.5
Voor de interimcontrole is de volgende capaciteit beschikbaar: -medewerkers AIC 1200 uur -hoofd AIC 400 uur De afdeling heeft onder normale omstandigheden voldoende capaciteit om de interimcontrole zonder inhuur van derden uit te voeren.
4.6
De eindejaars werkzaamheden worden uitgevoerd in het 1e kwartaal van het jaar met de piek in februari en maart. Voor de eindejaarscontrole is beschikbaar:
25
Controleplan Financial Audits -medewerkers AIC 500 uur -hoofd AIC 120 uur Aangezien er een strakke tijdsplanning is en de werkzaamheden in een kort tijdsbestek dienen plaats te vinden, heeft AIC niet genoeg capaciteit om de noodzakelijke werkzaamheden tijdig uit te voeren. Gezien de aard van deze werkzaamheden ligt het voor de hand om met de externe accountant afspraken te maken over de invulling van dit capaciteitstekort. Daarbij wordt gekozen voor een samenwerkingsverband, waarbij de minimaal voor de accountantsverklaring noodzakelijke werkzaamheden zullen worden verricht.
26