HERZIENE VERSIE
AUDITSTATUUT
Team: Auteur: Versiedatum: Versie: Status: Paraaf Concerncontroller Bestandsnaam:
Risicomanagement/Rechtmatigheid Daniëlle de Jong/Janny Brasik/Freek Hagendoorn 21-12-2010 Concept
AUDITSTATUUT HHD
Audit statuut HHD
1. Inleiding ............................................................................................................... 3 2. Definitie interne auditing....................................................................................... 3 3. Strategie, risicogestuurd ....................................................................................... 4
3.1 Code Tabaksblat ............................................................................................................................... 4 3.2 COSO-ERM binnen Delfland .......................................................................................................... 4 4. Functie en taak ...................................................................................................... 5 5. Soorten Audits ....................................................................................................... 5
5.2 Audittype op basis van doelstelling ................................................................................................. 6 5.2 Audittype op basis van te onderzoeken object ............................................................................... 6 5.2.1 Interne audits ................................................................................................................................. 6 5.2.2 Interne Controle (Financial audits) .............................................................................................. 6 5.3 Verbijzonderde onderzoeken ........................................................................................................... 7 5.4 Administratieve Organisatie (AO) .................................................................................................. 7 6. Deskundigheid en professionaliteit ....................................................................... 7 7. Positionering en objectiviteit ................................................................................. 8 8. De opdrachtgever en rapportagelijnen .................................................................. 8 9. De werkwijze: transparant en reproduceerbaar .................................................... 9 10. Relatie CC/Interne auditing met andere interne control functies ...................... 9 11. De samenwerking tussen de CC/Interne auditing en de externe accountant..... 10 Bijlage 1: Raamwerken voor risicomanagementsystemen: Coso ERM en ISO-3100011
1.
COSO Enterprise Risk Management (ERM) ........................................................................... 11
2.
NEN ISO-31000 ........................................................................................................................... 13
3.
Gezamenlijke toepassing COSO ERM en ISO-31000 .............................................................. 13
Bijlage 2: Ontwerp voor het opzetten en uitvoeren van audits. ............................... 15
Pagina 2 van 15
Audit statuut HHD
1. Inleiding Delfland is de afgelopen jaren sterk beïnvloed door vele interne en externe ontwikkelingen. De eisen aan de organisatie nemen toe en de omgeving wordt dynamischer in brede zin. Delfland heeft zich zelf daarbij als doel gesteld om onder deze condities „in control‟ te zijn en te blijven. De controlfunctie speelt een belangrijke rol om het bestuur en de ambtelijke organisatie te ondersteunen bij het behalen van deze doelstelling. Het doel van dit statuut is het vastleggen van de strategie en de tactische en operationele vertaling ervan in de controlfunctie. Hieronder vallen de functie, taken, bevoegdheden en verantwoordelijkheden van de concerncontroller en de stafafdeling Concerncontrol (CC). Voorts geeft dit statuut de uitwerking van de organieke samenstelling van de auditfunctie. De strategie in dit auditstatuut vormt de basis voor het auditbeleid vanuit de controlfunctie. Het ondersteunende en richtgevende controleplan betreft de operationele uitwerking en uitvoering voor het lopende planjaar. De volgende onderwerpen worden in dit statuut behandeld: Definitie interne auditing Strategie, risicogestuurd Functie en taak Soorten audits Deskundigheid en professionaliteit Positionering en objectiviteit Opdrachtgever en rapportagelijnen De werkwijze De relatie van CC/Interne audit met andere interne assurance functies De samenwerking tussen CC/Interne audit en de externe accountant. 2. Definitie interne auditing Het auditstatuut is gebaseerd op de uitgangspunten voor de opzet en inrichting van een interne audit/onderzoeksfunctie, zoals die door het Instituut van Internal Auditors (IIA) in 2005 zijn geformuleerd. Het IIA heeft de volgende, internationaal algemeen aanvaarde definitie van internal auditing vastgesteld: “Intern auditen is een onafhankelijk, objectieve verzekering en consultatieactiviteit ontworpen voor waardeverhoging en het verbeteren van processen van een organisatie. Het helpt een organisatie door te voorzien in een systematische en door regels geleide benadering om de effectiviteit van het risicomanagement, beheersings- en besturingsprocessen te verbeteren”. In navolging van IIA Nederland wordt deze definitie als uitgangspunt gehanteerd en nader uitgewerkt voor de situatie binnen het Hoogheemraadschap van Delfland. Hierdoor kunnen sommige accenten iets anders zijn gelegd.
Pagina 3 van 15
Audit statuut HHD
3. Strategie, risicogestuurd
3.1 Code Tabaksblat Het Hoogheemraadschap van Delfland wil voldoen aan de principes van goed bestuur zoals die door de Commissie Tabaksblat1 in 2003 in de Code Tabaksblat zijn vastgelegd. De codeTabaksblat vraagt van de leiding van een onderneming verantwoording af te leggen over de inrichting van risicomanagement in de brede zin des woord. De verantwoordelijkheden van organisaties t.a.v. stakeholders worden ook samengevat onder de noemer corporate governance. In de praktijk heeft corporate governance in belangrijke mate betrekking op verantwoordelijkheden van directies, toezichthouders en externe accountants ten aanzien van verantwoording en interne beheersing. De code bepaalt ook dat de rechtspersoon een op de organisatie toegesneden intern risicobeheersings- en controlesysteem moet hebben. Hierbij gaat het niet alleen om de financiële risico‟s, maar ook om de strategische, operationele, compliance- en verslaggevingrisico‟s die een organisatie loopt. Dit wordt vastgelegd in een document genoemd „in control-verklaring‟, waarmee de organisatie aangeeft „in control‟ te zijn. Een vastgelegd normenkader ontbreekt echter voor dit „in control-verklaring‟, oftewel bedrijfsvoeringsverklaring, waardoor de verschafte zekerheid sterk afhankelijk is van de persoonlijke insteek van de verklaarder, het Hoogheemraadschap van Delfland. De „in controlverklaring‟ wordt ondertekend door de bestuurder. Deze insteek wordt bepaald door de wijze waarop de organisatie wordt geleid (tight versus loose control, het risicoprofiel, het weerstandvermogen, en de dynamiek van de omgeving). De verschillende verdedigingslinies uit de vijf verdedigingslinies voor risicomanagement kunnen worden ingezet om deze risico‟s door middel van o.a. audits en/of IC te inventariseren, te waarderen en continu te verbeteren, zodat de organisatie „in control‟ blijft (zie ook bijlage 1 figuur 2).
3.2 COSO-ERM binnen Delfland In de code-Tabaksblat wordt gerefereerd aan het Committee of Sponsoring Organizations Enterprise Risk Management (COSO ERM)-model, een van de bekendste en algemeen (internationaal) geaccepteerde standaarden voor risicomanagement. In de praktijk is dit ook een van de meest gangbare modellen ten aanzien van corporate governance Als Delfland zijn doelstellingen wil bereiken moet de organisatie adequaat omgaan met risico‟s die deze doelstellingen bedreigen. Delfland maakt hiervoor gebruik van het hierboven genoemde COSO-ERM-model en de Nederlandse norm NEN ISO-31000. Dit model geeft de relatie weer tussen de doelstellingen, controlecomponenten en de activiteiten/eenheden waarvoor interne controle nodig is. Het model legt een relatie tussen ondernemingsrisico‟s en interne beheersingssysteem van de organisatie. Het toepassen van een dergelijk model bevordert de goede werking van de interne auditfunctie. Het wezenlijke van auditen is immers het toetsen van een gegeven aan een norm en het inschatten van het risico als de norm niet wordt gehaald. Op deze manier helpt de interne auditfunctie het management om binnen een organisatie een goede systematiek van management control te realiseren en te handhaven. Met het instellen van een adequate interne auditfunctie komt het Hoogheemraadschap van Delfland tegemoet aan de noodzaak en de wens om haar systematiek van interne beheersing te versterken, wordt ingespeeld op de laatste ontwikkelingen en komt de organisatie tegemoet aan de maatschappelijke roep om een betere beheersing van organisaties die van maatschappelijk belang zijn. 1
De commissie Tabaksblat in 2009 overgegaan in de Monitoring Commissie Corporate Governance Code. Met het inwerking treden van deze commissie is ook de Code-Tabaksblat geactualiseerd en gewijzigd in de Nederlandse Corporate Governance Code.
Pagina 4 van 15
Audit statuut HHD
In bijlage 1. „Raamwerken voor risicomanagementsystemen: COSO ERM en ISO-31000‟ worden beide modellen en hun onderlinge relatie kort toegelicht. 4. Functie en taak De functie van CC/Interne audit bestaat uit het geven van aanvullende zekerheid (assurance) aan het bestuur en management van het Hoogheemraadschap van Delfland over de effectiviteit en de beheersing (het in control komen en zijn) van de bedrijfsvoering. Dit heeft betrekking op zowel risicomanagement op proces- als op strategisch niveau en vindt plaats vanuit de 3e verdedigingslinie (zie hiervoor bijlage 1 figuur2). De „assurance-service‟ is een onafhankelijke professionele dienstverlening met als doel de verbetering van de informatie of de context van de informatie, zodat het management beter onderbouwde en vermoedelijk ook betere beslissingen kan nemen. Assurance services leveren onafhankelijke en professionele adviezen die het risico op (onjuiste) informatie doen reduceren. De services richten zich op de jaarrekening, overige financiële informatie, niet financiële informatie, systemen & processen en gedrag. De relaties tussen CC/Interne audit en andere assurance-functies binnen en buiten Delfland worden beschreven in de hoofdstukken 10 en 11. De taak van CC/Interne audit is het in opdracht van het verantwoordelijke management evalueren van de beheersing van de bedrijfsvoering door het uitvoeren van audits en hierover te rapporteren aan de opdrachtgever. In hoofdstuk 8 wordt ingegaan op de informatie/rapportagefunctie van de auditor aan het management. De aard en omvang van de werkzaamheden van de auditor kan worden ondergebracht in de volgende categorieën: Zelfstandige toetsing van beheersingsmaatregelen ter compensatie van toetsing door de lijn; Toetsing van de rapportage door de lijn omtrent uitgevoerd testwerk; Zelfstandige toetsing van beheersmaatregelen die niet door de lijn getoetst kunnen worden.2 CC/Interne audit voert diverse soorten audits uit om zich een oordeel te vormen over de mate waarin risicomanagement-, beheersings- en besturingsprocessen toereikend zijn om de doelstellingen van het Hoogheemraadschap van Delfland te realiseren. Hieronder worden de verschillende soorten audits kort benoemd. Medewerkers van CC/Interne audit hebben ten behoeve van hun taakuitvoering volledige en onbeperkte toegang tot alle gegevens en eigendommen van het Hoogheemraadschap van Delfland, die naar het oordeel van CC/Interne audit noodzakelijk zijn voor de goede uitvoering van de auditwerkzaamheden. Alle gegevens en middelen, die gedurende het uivoeren van de auditactiviteiten in handen zijn van CC/Interne audit worden zorgvuldig en vertrouwelijk, in overeenstemming met de gedragsregels van het IIA, behandeld. 5. Soorten Audits Audits kunnen onderscheiden worden naar het aspectmatige karakter, doelstelling, te onderzoeken object (interne of financiële audits) of thema (verbijzonderde onderzoeken). Hieronder worden deze verschillende audits kort toegelicht. 5.1 Mono- en multi-aspectmatige audits. Gekozen kan worden voor standaardisatie voor vergelijkbaarheid, waarbij vraagstelling, referentiemodel en wijze van dataverzameling vooraf bekend zijn. Dit zijn algemene monoaspectmatige audits voor extern gebruik (maatschappelijk verkeer). Hieronder vallen o.a. de financiële audits. Ook kan worden gekozen specifieke multi-aspectmatige audits. Hierbij ligt de 2
Drs. Urjan Claassen, Handboek Risicomanagement, Kluwer 2009
Pagina 5 van 15
Audit statuut HHD
nadruk op maatwerk voor directe relevantie, waarbij vraagstelling, referentiemodel en wijze van dataverzameling niet vooraf bekend zijn. Hieronder vallen de management control auditing (MCA). Binnen Delfland worden momenteel veelal de mono-aspectmatige audits uitgevoerd, maar het streven is gericht op meer multi-aspectmatige audits uit te voeren en dan met name MCA. Dit laatste onderzoek betreft een methodologisch verantwoord toetsend onderzoek voor het beantwoorden van relevante kennisvragen van het management, gericht op de beïnvloeding van het gedrag van de organisatie in zich wijzigende omstandigheden voor het realiseren van de organisatiedoelen. Hierbij zijn de business goals het uitgangspunt, geldt een gezamenlijke verantwoordelijkheid voor de teamprestatie en wordt de benodigde kennis en competenties georganiseerd vanuit CC/Interne audit. De operationele rapportage m.b.t. deze audits bestrijkt dan ook het brede aandachtgebied van management control. Hierbij wordt minder nadruk gelegd op de financiële verslaggeving of de geautomatiseerde gegevensverwerking. 5.2 Audittype op basis van doelstelling Omdat de audits het leervermogen van de organisatie moeten versterken, dienen zij aan te sluiten op het interventieniveau van het management. Daarmee kunnen audits verschillende doelstellingen hebben, die ieder een eigen aanpak vragen: Probleemsignalerend, waarbij wordt onderzocht of een proces, organisatieonderdeel of aspect van de organisatie afwijkt van de gewenste situatie en daarmee een probleem vormt; Diagnostisch, waarbij het onderzoek is gericht op toetsen van de juistheid van door het verantwoordelijke management veronderstelde oorzaken van het voorkomen van een bepaald (beheers)probleem; Ontwerp- of oplossingsgericht, waarbij de effectiviteit van de door het management voorgestelde oplossing of ontwerp centraal wordt onderzocht. 5.2 Audittype op basis van te onderzoeken object 5.2.1 Interne audits Audits kunnen ook worden onderscheiden op basis van het te onderzoeken object: Het onderzoeksterrein van de interne audit omvat de strategische controls, management controls en de operationele controls van een organisatie. Interne audits, ook wel genoemd operational audits, zijn audits waarbij de beheersing van de bedrijfsonderdelen en –processen wordt onderzocht, inclusief de beheersing van de processen voor periodieke interne en externe verslaggeving van financiële en niet-financiële gegevens, de geautomatiseerde systemen en de informatie- en technologie omgeving. 5.2.2 Interne Controle (Financiële audits) De Verenigde Vergadering heeft op 3 juli 2008 ingestemd met een aantal principiële keuzes ten aanzien van het onderwerp rechtmatigheid (Kenmerk VV 694625. Implementatie nieuwe waterschapswet- Rechtmatigheid, d.d. 3 juli 2008). Hierbij zijn de eisen van het Waterschapsbesluit leidend. De Unie van Waterschappen heeft een handreiking opgesteld om aan deze eisen te kunnen voldoen. Door een goede afbakening van de omvang van de controle wordt in ieder geval een basis gelegd om een goedkeurende accountantsverklaring ten aanzien van de rechtmatigheid te verkrijgen bij de jaarrekening.
Delfland richt zich primair op financiële rechtmatigheid, inclusief de getrouwheid, van de financiële informatie ten behoeve van de financiële verantwoording van het Hoogheemraadschap van Delfland aan externe partijen. Dit is het exclusieve domein van de externe accountant. Deze kan daarbij in voorkomende gevallen gebruik maken van de uitkomsten van de onderzoeken van CC/Interne audit. De onderzoeken gericht op de beheersing van (financiële) verslaggevingprocessen kunnen ook bruikbaar zijn voor de extern accountant bij de beoordeling van de jaarrekening.
Pagina 6 van 15
Audit statuut HHD
Voor het proces inzake de Interne Controle is separaat het Controleprotocol opgesteld en in het verlengde hiervan het Controleplan voor de operationele uitvoering. 5.3 Verbijzonderde onderzoeken Verder kan door het bestuur, de rekeningcommissie of de secretaris-directeur aan CC/Interne audit opdracht worden gegeven bijzondere of themaonderzoeken uit te voeren. De belangrijkste deskundigheid van de medewerkers van de stafafdeling is immers auditkennis en onderzoeksmethodologie, waardoor zij in staat zijn bijzondere onderzoeken uit te voeren, respectievelijk de verantwoordelijkheid te dragen voor een deugdelijke en doelmatige uitvoering van dergelijke onderzoeken. Vanwege dezelfde deskundigheid is bepaald dat CC/Interne auditi op verzoek methodologische ondersteuning biedt bij alle andere vormen van onderzoek binnen het Hoogheemraadschap van Delfland. 5.4 Administratieve Organisatie (AO) De rol van de auditor is in het proces van het tot stand komen van de AO niet alleen toetsend, maar ook adviserend en ondersteunend. Indien uit de aanbevelingen naar aanleiding van uitgevoerde controles naar voren komt dat de AO dient te worden opgesteld of geactualiseerd, kan de auditor adviseren en ondersteunen. CC/Interne audit heeft vanuit deze taak een sterke relatie met Risicomanagement/Kwaliteit, Arbo en Milieu (RM/KAM), die de proceseigenaar ondersteunt bij het opstellen van zijn procesbeschrijvingen. 6. Deskundigheid en professionaliteit De toenemende complexiteit in producten, processen en geautomatiseerde gegevensverwerkende systemen maakt het noodzakelijk dat de interne auditfunctie over voldoende specialistische kennis beschikt om zijn werkzaamheden met de benodigde deskundigheid uit te voeren. We maken daarbij onderscheid in twee soorten kennisgebieden: Onderzoekskennis. Van de medewerkers van CC/Interne audit mag worden verwacht dat zij beschikken over voldoende deskundigheid om audits zodanig te ontwerpen dat zij na uitvoering een betrouwbaar resultaat opleveren en dat het resultaat doelmatig tot stand is gekomen. Dit vereist kennis op gebied van onderzoeksmethodologie. Daarbij dienen medewerkers van CC/Interne audit over die onderzoekstechnische vaardigheden te beschikken die het mogelijk maken de onderzoeken volgens het onderzoeksontwerp uit te voeren. Materiekennis. Het wezenlijke van auditen is het toetsen van een gegeven aan een bepaalde norm en het inschatten van het risico als de norm niet wordt gehaald. Dit vereist kennis van het onderzoeksobject. Een belangrijk punt hierbij is dat niet de auditor de te hanteren norm bepaalt, maar het opdrachtgevende management. Van de auditor mag echter wel een adviserende rol worden verwacht. Indien een geschilpunt is omtrent de norm dat heeft de auditor de mogelijkheid dit voor te leggen aan het hoofd IA voor eventuele verder afstemming met concerncontroller en secretaris-directeur. Voor specifieke audits kan het noodzakelijk zijn dat de auditor zelf zijn materiedeskundigheid uitbreid. In situaties waarbij dit een te grote tijdsinvestering met zich mee zou brengen, kan worden besloten deze specialistische kennis van buiten CC/Interne audit tijdelijk aan te trekken. Het Hoogheemraadschap van Delfland is een omvangrijke organisatie waarin veel disciplines vertegenwoordigd zijn. Wanneer het auditteam materiedeskundigheid te kort komt, zal in eerste instantie worden getracht deze aan te vullen vanuit de organisatie zelf. Pas nadat is vastgesteld dat de gevraagde kennis niet geleverd kan worden, zal specialisme van buiten de organisatie worden aangetrokken.
Pagina 7 van 15
Audit statuut HHD
CC/Interne audit zal vooralsnog niet zelf EDP-audits uitvoeren. Hiervoor ontbreekt de noodzakelijke expertise binnen het team. Wanneer dergelijke onderzoeken noodzakelijk zijn zal hiervoor de benodigde capaciteit worden ingehuurd. Dergelijke onderzoeken vinden wel plaats onder verantwoordelijkheid van CC/Interne audit. 7. Positionering en objectiviteit Om een zo hoog mogelijke objectiviteit van de auditfunctie te waarborgen, is deze functie zo hoog mogelijk in de organisatie verankerd. CC/Interne audit is onafhankelijk van de te beoordelen risicomanagement-, beheersings- en besturingsprocessen. Onafhankelijk betekent in dit geval dat CC/Interne audit niet voor de besluitvorming over deze processen verantwoordelijk is. De integriteit van de auditor wordt ook geborgd, omdat het is uitgesloten dat auditors op welke manier dan ook nadeel ondervinden ten gevolge van het verschaffen van informatie m.b.t. de uitgevoerde audit. Dit zijn twee belangrijke voorwaarden om de (schijn) te voorkomen dat subjectieve overwegingen het onderzoek van de auditors zouden kunnen beïnvloeden. Om de objectiviteit zoveel te borgen is er voor gekozen Interne audit vanuit doelmatigheidsoverweging te positioneren binnen de stafafdeling Concerncontrol. Dit ook vanwege de sterke relatie inzake „control‟ tussen Sectorcontrol (planning&control-cyclus) en Interne audit (toetsing). 8. De opdrachtgever en rapportagelijnen In beginsel kan iedere manager van het Hoogheemraadschap van Delfland opdracht verstrekken tot het uitvoeren van een audit in zijn of haar verantwoordelijkheidsgebied. De opdrachtgever stelt het doel van de audit vast, waarbij expliciet wordt aangegeven tot welke actie wordt overgegaan naar aanleiding van het auditresultaat. Daartoe stelt de opdrachtgever het stelsel van normen vast dat de auditor tijdens het onderzoek hanteert om zijn auditresultaat op te baseren. En geeft hij/zij opvolging aan het auditresultaat, zoals in de auditdoelstelling aangegeven. Van de auditor mag hierbij een adviserende rol worden verwacht. De concerncontroller functioneert als sponsor en coördinator van de auditwerkzaamheden van CC/Interne audit: Sponsor in de zin dat hij/zij de werkzaamheden van CC/Interne audit het team expliciet legitimeert, waardoor het team snel een goede positionering binnen het Hoogheemraadschap van Delfland kan verwerven. De secretaris-directeur bepaalt als coördinator de relatieve relevantie, nut en noodzaak van de onderzoeken. In deze zin bepaalt de hoofd Interne audit in overleg met de secretarisdirecteur welke auditwerkzaamheden worden uitgevoerd en daarmee de planning van CC/Interne audit. De rolverdeling van opdrachtgever en auditor kent drie mogelijke vormen: 1. De opdrachtgever is het bestuur, de rekeningcommissie of de secretaris-directeur, welke een opdracht verstrekt aan CC/Interne audit; 2. De opdrachtgever is de lijn (sectorhoofd/teamleider), die een opdracht verstrekt aan CC/Interne audit; 3. De opdrachtgever is manager in de lijn (sectorhoofd/teamleider), die een opdracht verstrekt aan een medewerker (bedrijfskundige/sectorcontroller) niet werkzaam is binnen CC/Interne audit. Indien de opdrachtgever het bestuur, de rekeningcommissie, secretaris-directeur of manager in de lijn is en de audit wordt uitgevoerd door CC/Interne audit (punten 1 en 2), worden de resultaten van de interne audit in eerste instantie gerapporteerd aan het opdrachtgevende management. D&H, secretaris-directeur en concerncontroller ontvangen een kopie van de auditverslag na afronding van het auditproces.
Pagina 8 van 15
Audit statuut HHD
Indien de opdrachtgever de lijn is en de audit wordt uitgevoerd door een medewerker welke niet werkzaam is bij CC/Interne audit (punt 3), dan worden de resultaten van de interne audit worden in beginsel alleen gerapporteerd aan het opdrachtgevende management. Van dit management wordt verlangd dat zij ten behoeve van het hogere management het auditresultaat evalueert en aangeeft welke eventuele acties ondernomen zullen gaan worden. De resultaten van de audit kunnen ter toetsing kunnen worden voorgelegd aan de concerncontroller. CC/Interne audit kan deze toets uitvoeren in opdracht van de concerncontroller. Voor het uitvoeren van de interne audits wordt binnen Delfland gebruik gemaakt van een standaard auditontwerp. Dit format is gebaseerd op de onderzoeksmethodologie van Piet Verschuren en Hans Doorewaard.3 De omvang van de audit en de doelstelling (probleemsignalerend/diagnostisch) van de audit kunnen van invloed op zijn hoe het format wordt toegepast. Voor de financial audits wordt het format van het standaard controle-memorandum afgestemd met de accountant. 9. De werkwijze: transparant en reproduceerbaar Zoals reeds aangegeven stelt de opdrachtgever de auditdoelstelling en het te hanteren normenkader vast. Daarbij mag van de auditor een coachende, respectievelijk adviserende rol worden verwacht. Dit betekent dat de opdrachtgever de „wat- en waarom-vraag‟ bepaalt. Vervolgens zal de auditor een auditontwerp maken waarin ook de methode van aanpak, de „hoevraag‟ wordt uitgewerkt. Het geheel wordt ter goedkeuring voorgelegd aan het opdrachtgevende management. Om de transparantie en reproduceerbaarheid te vergroten wordt uitdrukkelijk geadviseerd het auditontwerp van Auditing Consulting Services (ACS) te gebruiken om te rapporteren over het uitvoeren van audits. Dit ontwerp geeft richting aan het opzetten van een onderzoeksopzet en het inventari-seren van de kennisbehoefte bij de opdrachtgever. Daarnaast beantwoordt het ontwerp de “Wat, waarom en hoe”-vraag. En ook waarborgt het de relevantie, deugdelijkheid en efficiëntie van het onderzoek. In de bijlage 2. „Ontwerp voor het uitvoeren van audits‟ wordt het auditontwerp kort toegelicht. Na uitvoering van de audit worden de onderzoeksgegevens verwerkt om te komen tot een eindoordeel. De meeste interne audits betreffen organisatieonderdelen of processen met een beperkte omvang, waarbij het aantal geraadpleegde bronnen meestal beperkt is. De auditor is in dergelijke situaties aangewezen op een kwalitatieve wijze van gegevensverwerking. Om te voorkomen dat dit belangrijke onderdeel van de audit impliciet en op basis van onduidelijke criteria verloopt, wordt gebruik gemaakt van eenvoudige, maar transparante verwerkingstechnieken. Ten behoeve van de reproduceerbaarheid zullen alle voor de opzet en uitvoering van de audit relevante besluiten, alsmede alle bevindingen en de hierop gebaseerde conclusies, zorgvuldig in een onderzoeksdossier worden opgenomen. 10. Relatie CC/Interne audit met andere interne control functies De interne audit functie (auditor) binnen Delfland is niet alleen voorbehouden aan CC/Interne audit, maar kan ook door andere functionarissen worden uitgevoerd. Conform het “Three lines of defense model”, waarin de verdedigingslinies van risicomanagement zijn uitgewerkt, kunnen dat o.a. de bedrijfskundige in het primaire proces (1e verdedigingslinie), de sectorcontroller in de
3
Piet Verschuren & Hans Doorewaard (2007) Het ontwerpen van een onderzoek. Den Haag: Lemma.
Pagina 9 van 15
Audit statuut HHD
staf CC (2e verdedigingslinie) staf of Interne audit (3e verdedigingslinie) zijn. Echter alleen Interne audit heeft daarnaast ook een kaderstellende en monitorende rol in het proces. In bijlage 1 zijn in figuur 2 de 5 verdedigingslinies van risicomanagement uit het handboek Risicomanagement van Urjan Klaassen opgenomen. In tegenstelling tot CC/Interne audit (3e verdedigingslinie) hebben andere control functies, zoals KAM (Kwaliteit, ARBO en Milieu), sectorcontrollers en bedrijfskundigen (1e en 2e verdedigingslinies) binnen de sectoren, een uitvoerende rol binnen de risicobeheersingssystemen. In de praktijk betekent dit dat deze functies vaak (mede) verantwoordelijk zijn voor het beleid en/of de implementatie van maatregelen met betrekking tot risicomanagement of compliance. Daarnaast spelen deze functies een al dan niet ondersteunende rol bij de uitvoering van het beleid en de rapportage over de behaalde resultaten. Omdat het de taak van CC/Interne audit is om de opzet en werking van de risicobeheersingssystemen te beoordelen, vallen ook de controlfuncties binnen zijn onderzoeksgebied. Bij goed functionerende controlfuncties zal CC/Interne audit zijn eigen werkzaamheden hierop afstemmen, om doublures in werkzaamheden te voorkomen. 11. De samenwerking tussen de CC/Interne auditing en de externe accountant De taakopdracht van de externe accountant is de certificering van de te publiceren jaarrekening. Dit houdt in dat hij controleert of de jaarrekening een getrouw beeld geeft van de grootte en samenstelling van het vermogen op de balansdatum en van het resultaat over het afgelopen boekjaar. Bij zijn controle zal de externe accountant gebruik moeten maken van de goede werking van de maatregelen van interne controle in de processen die in de jaarrekening uitmonden. Om te voorkomen dat organisatieonderdelen meermalen door auditors worden benaderd, wordt zoveel mogelijk uitgegaan van het „single audit‟ principe. Dit betekent dat in voorkomende gevallen de externe accountant en de CC/Interne audit gezamenlijk onderzoeken uitvoeren. Dit maakt een goede samenwerking noodzakelijk tussen CC/Interne audit van het Hoogheemraadschap van Delfland en de externe accountant. Ter bevordering van een goede samenwerking wisselen CC/Interne audit en de externe accountant periodiek wederzijds hun planningen, realisatie en controlebevindingen uit en stemmen deze op elkaar af. Bij de samenwerking blijven CC/Interne audit en de externe accountant zelfstandig verantwoordelijk voor hun eigen oordeelsvorming en rapportages. Namens de concerncontroller stelt CC/Interne audit voor de directie managementteam, rekeningcommissie en college van D&H de managementrapportages samen van de bevindingen en aanbevelingen van de uitgevoerde financiële audits. Deze rapportages worden opgesteld naar aanleiding van de controles uitgevoerd voor de interim controle en bij de jaarrekening.
Pagina 10 van 15
Audit statuut HHD
Bijlage 1: Raamwerken voor risicomanagementsystemen: Coso ERM en ISO-31000
1. COSO Enterprise Risk Management (ERM) COSO ERM wordt door ondernemingen gebruikt om de beheersing te verbeteren met betrekking tot de activiteiten die zich richten op het behalen van de geformuleerde doelen. Als Delfland zijn doelstellingen wil bereiken moeten we omgaan met risico‟s die deze doelstellingen bedreigen en moeten we deze risico‟s beheersen. Bij risico‟s wordt vooral gedacht aan bedreigingen, maar risico‟s hebben ook kansen in zich. Er is een directe relatie tussen de doelstellingen die een onderneming tracht te behalen en de componenten van de ondernemingsrisicomanagement, die aangeven wat nodig is om deze doelen te realiseren Binnen de context van de door de onderneming geformuleerde missie of visie, formuleert het management strategische doelstellingen voor de gehele onderneming. Organisatiedoelstellingen worden onderverdeeld in vier categorieen: Strategisch (strategic): betreft globale doelen en is afgestemd op de missie; Operationeel (operational): betreft effectief en efficient gebruik van de middelen;‟ Rapportage (reporting): betreft betrouwbaarheid van verslaggeving; Toezicht (compliance): betreft naleving van wet- en regelgeving. Ondernemingsrisicomanagement bestaat uit acht met elkaar verbonden componenten. Deze componenten zijn afgeleid van de wijze waarop het management een onderneming runt en zijn verbonden met het managementproces. De acht componenten zijn: Interne omgeving Formuleren van doelstellingen Identificeren van gebeurtenissen Risicobeoordeling Reactie op risico Beheersingsactiviteiten Informatie en Communicatie Bewaking4 De hierboven genoemde vier categorieen en acht compententen van het COSO-model zijn afgebeeld in de figuur in het midden van Figuur 1. Deze afbeelding weerspiegelt de mogelijkheid om te focussen op het risicomangement van de organisatie in totaliteit of op delen ervan. Het COSO-ERM-model is een theoretisch raamwerk om het ondernemingsrisicomanagement te evalueren en te verbeteren. De ERMplus-methodiek is een praktische uitwerking van COSO ERM, waarbij een integrale benadering wordt uitgewerkt voor het beheersen van risico‟s en kansen. De methodiek beoogt operationele medewerkers, managers, adviseurs en auditors in de praktijk concrete handreikingen te bieden. In Figuur 2 is de relatie zichtbaar gemaakt tussen het COSO ERM-model en de ERMplus-methodiek.
4
Drs. Urjan Claassen Handboek Risicomanagement, Kluwer, 2009
Pagina 11 van 15
Audit statuut HHD
Figuur 1. Relatie tussen het COSO ERM-model en de ERM-methodiek.5
Deze methodiek kent twee verschillende dimensies: een risicodimensie: heeft betrekking op het risiconiveau, waarbij onderscheid wordt gemaakt in strategische risico‟s (strategische doelstellingen) en procesrisico‟s (overige doelstellingen). Een beheersdimensie: heeft betrekking op de verschillende hierarchische niveaus die betrokken zijn bij het risicomanagementproces. Ook wel aangeduid met de “lines of defense” of verdedigingslinies. Kern van het principe van „verdedigingslinies is dat er verschillende elkaar versterkende beheersingsfuncties bestaan die onafhankelijk van elkaar functioneren, waarbij elke functie een eigen bijdrage levert aan de kwaliteit van het interne beheersingssysteem. Figuur 2. De vijf verdedigingslinies6 van risicomanagement.7
5 6 7
Drs. Urjan Claassen Handboek Risicomanagement, Kluwer, 2009 Onder de 2e verdedigingslinie valt sectorcontrol en onder de 3e verdedigingslinie valt de interne audit functie Drs. Urjan Claassen Handboek Risicomanagement, Kluwer, 2009
Pagina 12 van 15
Audit statuut HHD
Voor Delfland biedt het model de volgende voordelen: Het geeft inzicht in de belangrijkste risico‟s van Delfland; Kan worden gebruikt voor een kwalitatieve en kwantitatieve beoordeling van de geïnventariseerde risico‟s; Geeft inzicht en advies in de huidige beheersing van de risico‟s; Geeft inzicht in de risicokosten; Hanteerbaar als basis voor het ontwerpen en implementeren van risisocmanagement binnen Delfland; Tool ter ondersteuning van de verantwoording over het risicomanagement.
2. NEN ISO-31000 Door het International Organization for Standardisation (ISO) is een internationale norm ontwikkeld voor risicomanagement: NEN-ISO 31000. Deze norm kan worden toegepast op elk type risico, ongeacht de aard, en ongeacht of het positieve dan wel negatieve gevolgen heeft. Organisaties managen deze risico‟s door deze te inventariseren en te analyseren, en vervolgens te beoordelen of het risico behoort te worden aangepast door middel van risicobehandeling, zodat aan de risicocriteria van de organisatie wordt voldaan. De NEN-ISO 31000 bevat principes en algemene richtlijnen voor risicomanagement: - Het biedt een gemeenschappelijke taal voor risicomanagement; - De organisatie van risicomanagement en metaprocedures voor het aansturen van risicomanagementprocessen binnen de organisatie; - Inhoudelijke risicomanagementproces. Dit proces omvat ondermeer het bepalen van de risicocontext, het identificeren, analyseren, evalueren en communiceren van risico‟s evenals het beoordelen ervan.
3. Gezamenlijke toepassing COSO ERM en NEN ISO-31000 In beide modellen wordt ingegaan op het identificeren van risico‟s, het bepalen van een passende risicoreactie en het kiezen van een passende wijze van beheersing. Eveneens wordt in beide modellen ingegaan op het belang van communicatie en het monitoren van de bevindingen uit het stelsel van interne beheersing. In Figuur 3 wordt het risicomanagementproces volgens ISO 31000 en COSO ERM met elkaar vergeleken. Figuur 3. Vergelijking van de risicomanagementprocessen van COSO ERM en ISO-31000.8
8
Drs. Urjan Claassen, ISO 31000: Oude wijn in nieuwe zakken. Een inhoudelijke vergelijking tussen ISO 31000 en COSO ERM in TPC Algemeen, april 2009.
Pagina 13 van 15
Audit statuut HHD
In de literatuur over COSO ERM wordt vaak als punt van kritiek aangevoerd dat niet is voorzien in een duidelijk stappenplan voor het implementeren van dit raamwerk. Daardoor zou COSO ERM slechts een conceptueel aantrekkelijk model zijn waarvan niet duidelijk is op welke wijze dit in de praktijk concreet het best „handen en voeten‟ kan krijgen. ISO -31000 biedt de standaardrichtlijnen voor zowel de implementatie van het risicomanagementproces als het bijbehorende raamwerk. Hierdoor kan ISO-31000 richtlijn zodoende het gemeen-schappelijke kader gaan vormen voor communicatie over allerlei typen risico‟s binnen bedrijven en tussen personen. Daarmee kan ISO 31000 een brug slaan tussen disciplines die nu nog vaak gescheiden opereren binnen organisaties, bijvoorbeeld tussen interne control & auditing en KAMmanagement, tussen ISO-systemen, tussen risk & insurance management en regulatory affairs. En biedt mogelijkheden om aan te sluiten bij integraal risicomanagement waardoor een betere koppeling kan ontstaan tussen operationele beheersing van milieu- en arborisico‟s en het strategisch beleid van de onderneming. Geraadpleegde literatuur: - Hortensuis, D., Wordt ISO 31000 hét referentiekader voor risicomanagement, KAM Nieuwbrief 2/2007. - Klaassen, U., Handboek Risicomanagement, Kluwer, Deventer, 2009. - Klaassen, U., ISO 31000: Oude wijn in nieuwe zakken, TPC, april 2003. - Nederlands Normalisatie-instituut , NEN ISO 31000: Risicomanagement Principes en richtlijnen, Delft, 2009. - Committee of Sponsoring Organisations (COSO) of the Treadway Commission, Risicomanagement voor de onderneming. Geintegreerd raamwerk (management samenvatting, september 2004.
Pagina 14 van 15
Audit statuut HHD
Bijlage 2: Ontwerp voor het opzetten en uitvoeren van audits. Voor het uitvoeren van audits heeft Auditing & Consulting Services (ACS) een auditontwerp ontwikkeld9. Om de transparantie en reproduceerbaarheid van de onderzoeken te kunnen waarborgen wordt aanbevolen het hier weergegeven auditontwerp te hanteren. De aard en omvang van de onderzoeksopdracht bepalen het hanteren van de verschillende aspecten. Hieronder wordt het model kort toegelicht. Figuur 1. Auditontwerp ACS: een raamwerk voor auditing
Het auditontwerp bestaat uit de volgende onderdelen: Conceptueel ontwerp: Beantwoordt de “Wat en waarom”-vraag en waarborgt de relevantie van het onderzoek. De volgende aspecten komen hierin aan de orde: Auditdoelstelling:beschrijving van de doelstelling van de audit; Auditmodel:nadere afbakening van het object en beschrijving van het gehanteerde model o.a. auditobject, auditoptiek en referenties; Beoordelingscriteria: de auditvragen die in het onderzoek moeten worden beantwoord; Begripsbepaling en operationalisatie: de definitiering van begrippen om een eenduidige interpretatie bij alle betrokkenen te waarborgen. Technisch ontwerp: Beantwoordt de “Hoe”-vraag en waarborgt de deugdelijkheid en efficiëntie van het onderzoek. De volgende aspecten komen hierin aan de orde: Auditmateriaal: hierin wordt opgenomen hoe de benodigde gegevens wordt verkregen waaronder de bronnenmatrix; Auditstrategie: beschrijving op welke wijze de audit zal worden uitgevoerd; Verwerking gegevens en oordeelsvorming: de wijze van verwerking van de gegevens en het komen tot een oordeelsvorming; Rapportage: Opstellen van de rapportage conform het auditontwerp Auditplanning: de organisatie en planning van de audit. Voor meer informatie inzake het gebruik van het ontwerp kan contact worden opgenomen met CC/Interne audit. 9
Lesmateriaal cursus Interne Auditing bij Delfland gegeven door ACS, Driebergen, 2010.
Pagina 15 van 15
