Horizontaal toezicht De adviseur van de strateeg: Stilstand is achteruitgang: de I-accountant Het uniform subsidiekader:

•

RS

R R I J K S A U D I TO

AD

O VO

L

van vertrouwen • Stilstand is achteruitgang: de I-accountant • Het uniform subsidiekader: 'controle is goed, vertrouwen is beter' »

LB

Horizontaal toezicht • De adviseur van de strateeg: een kwestie

3 ANG

5

K WA R TA A

N E W U O R T VER

JA

G AR

COLOFON

INHOUD

VOORWOORD

Jaargang 5 nummer 3, oktober 2009 Frequentie: 4 maal per jaar Zien(*) is een vakblad voor en door rijksauditors en een uitgave van IODAD, ministerie van Financiën.

2

Voorwoord

3

Audits

Redactieraad ministerie van Defensie: Roy Jansen

4

Stelling

Met dank aan: Ed Boers,VenW Piet van Leerdam, SZW Jan van Schoonhoven, Rijkswaterstaat Aam van den Bos, RAD Rob Bouman, RAD Hugo Elings, RAD Piet Goeyenbier, RAD Karsten Klein, RAD Herman Smeets, RAD

COÖRDINATIE & Eindredactie Rijksauditdienst: Sander van der Kraan Karin Straver Vormgeving KAN Creative Agency Amsterdam

n e O

5

De adviseur van de strateeg: een kwestie van vertrouwen Rondetafelgesprek over de rol van vertrouwen bij het werk van de auditor.

U

W

9

12

Stilstand is achteruitgang … Interview met Hans Verkruijsse over de I-accountant.

R T

Rijksauditdienst: Sander van der Kraan Karin Straver Hans van der Wielen Leon Dirks Roos Kalker

Duo-interview met de gemeente Den Haag en de Belastingdienst.

15

Het uniform subsidiekader 'Controle is goed, vertrouwen is beter' - maar wel verantwoord vertrouwen!

R

ministerie van SZW: Wim Kers

Horizontaal toezicht

E

ministerie van OCW: Wes Galekop

5

19

The Office

12

Trust but verify… Inspecties naar de beveiliging op luchthavens.

V

ministerie van Justitie: Ada de Vette

COV ER S TO RY

ministerie van Financiën: René Witte

'Vertrouwen geven en in control zijn gaan prima samen'.

21

Help, een journalist aan de lijn! Karsten Klein en Wim Kers over de Wet openbaarheid bestuur (WOB).

23

Auditor van de toekomst Interview met Ender Atalay en Marnix Eedens over hun onderzoek naar het auditen van ‘groene’ datacenters.

25

Rijksbrede operational auditdag:

15

'De auditor als strategisch adviseur'. Een verslag van dit congres.

ZIEN(*)

26

Korte Voorhout 7 Postbus 20201 2500 EE Den Haag [email protected] Telefoon: 06 556 92 835

26

Congresagenda

27

Sharing Knowledge

Het audit traineeship Een rijksbrede wens gaat in vervulling.

Een verslag van het ESAA-symposium Trust!

9

Beste mensen,

Vertrouwen is de basis van ons professioneel handelen. Professioneel bergt het Latijnse woord “professio” in zich. Een kloosterling doet zijn professie als hij zich door geloften bindt aan zijn gemeenschap. Voor ons betekent “professie” dat de klant ons in vertrouwen kan nemen. En dat de maatschappij erop mag rekenen dat wij onomwonden zeggen waar het op staat. Als dat vertrouwen er niet is, verliest de auditprofessie zijn geloofwaardigheid. De geloofwaardigheid van ons beroep is de laatste jaren danig op de proef gesteld. Daar is al genoeg over geschreven. In dit nummer van ZIEN(*) kijken we naar de manier waarop wijzelf vertrouwen schenken aan onze klant. Om vertrouwd te worden, moet je vertrouwen durven te geven. Is het nodig bij elke subsidieafrekening een accountantsverklaring te vragen? Of kun je op een onderbouwde manier vertrouwen stellen in de ontvanger? Kan de Belastingdienst een samenwerkingsrelatie opbouwen met belastingplichtigen die hun zaken op orde hebben? Vertrouwen staat niet op zichzelf. Met alleen vaststellen of regels zijn nageleefd, komen we er namelijk niet. Regels blijken geen garantie voor goed gedrag. Investeren in vertrouwen geeft zicht op de cultuur van een organisatie. Een cultuur die moet leiden tot gedeelde doelen en waarden. En dat blijkt meer op te leveren dan regels. Verantwoord vertrouwen maakt audits tot meer dan routinecontroles. Een auditor die een vertrouwensrelatie weet op te bouwen met zijn klant, krijgt eerder zicht op de strategische risico’s. Alleen van daaruit kan hij optimaal zijn meerwaarde leveren.

Hans van der Wielen, Voorzitter Redactieraad

STELLING

AUDITSINBEELD

Door Piet van Leerdam & Aam van den Bos

Door Piet Goeyenbier

Audit betaalgedrag

Het Rochdale-onderzoek

Op verzoek van de ICBR voerde het IODAD in de zomermaanden een onderzoek uit naar het betaalgedrag bij de departementen. Een hele kluif in een korte periode. Met succes: conform plan lag op 1 september het rapport bij de ICBR, en er is van verschillende kanten positief op gereageerd. Uitkomst: gemiddeld is rijksbreed 75% van de facturen op tijd betaald. Binnen het Rijk gaan nu diverse mensen aan de slag om dat percentage op te krikken.

Medio februari is de RAD benaderd door de ambtelijke top van VROM met het verzoek een vertrouwelijk onderzoek uit te voeren naar Rochdale met als centrale onderzoeksvraag: heeft VROM goed geacteerd vanuit haar taken en verantwoordelijkheden met betrekking tot Rochdale? Marijke van Houwelingen en ik zijn toen gestart met een verkenning naar de onderzoeksmogelijkheden.

Een sfeerimpressie bij SZW Net terug van vakantie. Audit betaalgedrag! Oké, eerst de opdracht kritisch doornemen. Het overleg met directie FEZ is al gepland. FEZ wil ook inzicht in het betaalgedrag per DG/directie, kan dat? Ja. Meteen overleg met directie Bedrijfsvoering, checklist maken, TeamMate inrichten. Bedrijfsvoering is snel: ze lichten facturen, verzamelen informatie en doen een eerste beoordeling. Wij controleren alle posten van de steekproef. De resultaten worden besproken met de directie: “77% tijdig” wijkt weinig af van de interne SZW-cijfers. Geen 100%, maar wel tevredenheid met de uitkomst. De rapportage gaat efficiënt volgens het aangeleverde model. Nieuwsgierig: waar staan we in vergelijking met andere ministeries? Volgens het totaalrapport exact in het midden!

Rochdale is een grote woningcorporatie in Amsterdam. In de tweede helft van 2008 werd bekend dat Rochdale en met name een voormalige bestuurder van Rochdale op een aantal punten mogelijk niet correct c.q. niet rechtmatig heeft gehandeld. Op een avond werd ik gebeld door Peter Bartholomeus of ik de volgende dag samen met hem bij minister van der Laan kon komen om het onderzoeksvoorstel te bespreken. De minister bleek zeer goed op de hoogte te zijn van het Rochdale dossier. Hij wilde meer focus en een redelijke doorlooptijd. Besloten is om het onderzoek in het bijzonder te richten op salarissen en pensioenvoorzieningen, deelnemingen, nevenactiviteiten en activiteiten in het buitenland. Belangrijke delen van het onderzoek waren de vigerende wet- en regelgeving, de informatiestromen en de wijze waarop de verschillende toezichtsactoren hebben gehandeld. Rochdale kreeg veel aandacht van de media en was onderwerp tijdens diverse algemeen overleggen (AO's) in de Tweede Kamer. Tijdens één van die AO’s over het toezicht op de woningcorporaties hoorden wij de minister de toezegging doen dat het auditrapport ook verstrekt zou worden aan de Tweede Kamer. De rapportage hebben wij in een gesprek met de minister afgestemd. Hij was zeer tevreden en heeft aangegeven opvolging te geven aan alle aanbevelingen. Ook de Tweede Kamercommissie was tevreden. De ene dag was het RADrapport nog vertrouwelijk, de volgende dag kan iedereen het downloaden van het Internet. Kortom: het was een enerverende opdracht die wij niet snel zullen vergeten. «

De volgende

AR

LB

L

Het eerstvolgende nummer van ZIEN(*) zal in het teken staan van de IODAD-dag 2009.

AD

VO

OR

R I J K S AUD I

TO R

S

•

JA

4

Op deze dag staan de ‘auditors van morgen’ centraal en wordt aan de hand van rijksbrede thema’s en workshops gekeken naar de rol van de auditfunctie over een aantal jaar. «

MAGAZIEN 3

5

K WA R TA A

Wat waren de succesfactoren van de audit betaalgedrag? Ten eerste: zorgvuldige communicatie vooraf met alle betrokkenen over de aanleiding en de doelstelling. De directies FEZ en bedrijfsvoering leverden volop medewerking. Een interdepartementale voorbereidingsgroep vanuit de auditdiensten zorgde voor breed draagvlak onder alle auditdiensten. Het door die groep vastgestelde rapporteringsmodel zorgde voor een efficiënt verloop van het rapporteringsproces. Petje af voor al diegenen bij de auditdiensten en de FEZ’en die hebben bijgedragen aan het resultaat! «

NG GA

Brochure “Vertrouwen geven en in control zijn. Gaat dat samen?” Op 25 juni 2009 heeft het ministerie van Financiën een congres georganiseerd over het thema "Vertrouwen geven en in control zijn. Gaat dat samen?" voor overheidscontrollers en - auditors. Ter gelegenheid van dit congres heeft het ministerie van

Financiën een brochure uitgebracht waarin ingegaan wordt op wat vertrouwen is en hoe het werkt. Ook wordt aandacht besteed aan waarom vertrouwen belangrijk is, maar toch zo moeilijk van de grond komt. De brochure wordt afgesloten met een aantal kritische succesfactoren die zoveel mogelijk aanwezig zouden moeten zijn wanneer men het evenwicht tussen regels en controle én vertrouwen meer in de richting van vertrouwen zou willen verschuiven. Hierbij gaat het zowel om 'harde' succesfactoren (zoals duidelijke basis afspraken,

controle mag en sancties als sluitstuk) als 'zachte' succesfactoren (zoals positief beeld/gevoel over en weer, open communicatie en inbreuken met elkaar bespreken). Als antwoord op de vraag in de titel van de brochure wordt gesteld dat wanneer er zowel aandacht is voor de harde als de zachte factoren, vertrouwen en in control zijn heel goed samen kunnen gaan! De brochure "Vertrouwen geven en in control zijn. Gaat dat samen?" is op te vragen bij het ministerie van Financiën ([email protected]). «

'Vertrouwen geven en in control zijn gaan prima samen'

Pieter van Nes, MT-lid Rijksauditdienst Wanneer is een organisatie binnen de rijksoverheid "in control"? Als alle processen goed zijn ingericht en zonder grote risico's functioneren? Of als de bedrijfsvoering het beleid op een optimale wijze ondersteunt? Welke rol speelt het geven van vertrouwen hierin? Wie vertrouw je: de organisatie met zijn systemen of de mensen werkzaam in de organisatie? Of is vertrouwen een weerspiegeling van de cultuur binnen een organisatie? Cultuur in de zin van het bereiken van een zeker niveau van volwassenheid waarin medewerkers zich aan regels houden, transparant zijn en, indien dat niet het geval is, bereid zijn daarover verantwoording af te leggen. Het geven van vertrouwen heeft vooral te maken met de cultuur binnen een organisatie. Maar hoe kan je dan vaststellen dat een organisatie terecht met een beroep op vertrouwen het aantal interne beheersingsmaatregelen terugdringt. Hoe weet een manager

dat de cultuur binnen zijn organisatie dat niveau van volwassenheid heeft bereikt? Hier ligt een mooie uitdaging voor de interne auditor om de manager hierin te ondersteunen. Niet door het verschaffen van informatie over de mate waarin de harde beheersingsmaatregelen worden nageleefd, maar juist door informatie te verschaffen over de wijze waarop soft controls binnen een organisatie functioneren. In die zin gaan vertrouwen geven en in control zijn prima samen, maar dan vooral bezien vanuit het cultuuraspect.

Jan van Schoonhoven, Hoofd PPS Kennispool, Rijkswaterstaat “Vertrouwen zonder controle” is vaak ingegeven door een gebrek aan betrokkenheid met wat de andere partij aan het doen is.Vertrouwen geven is niet iets over de schutting gooien. Vertrouwen staat niet op zich zelf. Het gezamenlijke doel, de samenwerking, wederzijds respect en begrip zijn allemaal onderdelen die passen in een goede werkomgeving.

Blind vertrouwen is niet zinvol, noch motiverend. Blind vertrouwen kan voortkomen uit desinteresse of tijdsgebrek. Dan krijgt diegene die zegt: “vertrouwen is goed, controleren beter” altijd gelijk. Dus: stel eisen, kijk mee, wees een klankbord en stel juist kritische vragen. Het zal leiden tot wederzijds respect en daarmee vertrouwen.

Ed Boers, senior beleidsmedewerker, afdeling Management Control, inspectie VenW Vertrouwen moet je verdienen: enerzijds moeten de persoon/organisatie beschikken over adequate competenties, maar anderzijds zijn de intenties van groot belang. Gebruik je empathisch vermogen en vraag jezelf af of er gelegenheden zijn om de fout in te gaan en wat het belang zou kunnen zijn om dit te doen. Onafgedwongen openheid en transparantie, ook in het geval van gemaakte fouten, vormen cruciale voorwaarden vertrouwen te verdienen. Verdiend vertrouwen geven en in control zijn gaan prima samen.

MAGAZIEN 4

COVERSTORYARTIKEL

COVERSTORYARTIKEL

Een nieuwe vorm van toezicht door de Belastingdienst

Door Wim Kers & RaYMOND Damoiseaux

Gemeenten hebben te maken met rijksbelastingen (b.v. loonheffing en omzetbelasting). Zij hebben zich bij hun aangifte te houden aan de fiscale regelgeving. De relatie tussen gemeenten en de Belastingdienst was tot voor kort traditioneel: die van controleur en gecontroleerde. Sinds enige tijd is sprake van een kentering. Beide partijen willen in de toekomst een relatie die is gebaseerd op wederzijds vertrouwen. MAGAZIEN 5

In het verleden stelde de Belastingdienst door boekenonderzoek achteraf vast of de fiscale regelgeving was gerespecteerd. De onderzoeken vonden vaak pas na jaren plaats. De controles leidden soms tot correcties, die op hun beurt soms weer aanleiding gaven tot naheffingsaanslagen met rente en boetes. Soms volgde ook nog een gang naar de belastingrechter. Sinds 2005 heeft de Belastingdienst een nieuwe toezichtstrategie ontwikkeld. Als invulling van het rijksbeleid zoals verwoord in de "kaderstellende visie op toezicht 2005" die op 12 oktober 2005 door de minister van BZK namens het kabinet aan de Kamer is aangeboden. In de nieuwe strategie, die bekend staat als “horizontaal toezicht”, stelt de Belastingdienst een goede samenwerkingsrelatie met belastingplichtigen, die aantoonbaar hun zaakjes op orde hebben, centraal. De Belastingdienst wil aangiften van goedwillende bæelastingplichtigen snel en op basis van vertrouwen afhandelen. De Belastingdienst krijgt dan capaciteit vrij die ingezet kan worden om minder goedwillende belastingplichtigen strenger aan te pakken. De Belastingdienst heeft als eerste de beursgenoteerde ondernemingen uitgenodigd voor het nieuwe toezichtregime. Deze ondernemingen beschikken doorgaans onder meer over een interne auditdienst en een goed functionerend fiscaal risicobeheersings- en controlesysteem. Daarom kunnen zij op basis van verdiend vertrouwen rekenen op een doelmatige afhandeling van hun aangiften en van fiscale vraagstukken. Recent heeft de gemeente Utrecht als eerste grote gemeente gekozen voor het nieuwe toezicht. De gemeente Den Haag wil in december 2009 volgen. ZIEN(*) is benieuwd wat het veranderende toezicht door de Belastingdienst betekent voor de praktijk van de auditor van de

gemeente. Daarom spraken wij met René Vierbergen en Henk van der Heijden, respectievelijk directeur en plaatsvervangend directeur van de accountantsdienst van de gemeente Den Haag.

Convenant Belastingdienst en gemeente committeren zich aan de beginselen van horizontaal toezicht door het sluiten van een convenant. Zij spreken af samen te werken op basis van wederzijds vertrouwen, begrip en transparantie. Het convenant tussen Belastingdienst en gemeente zou je kunnen zien als een “oppervlakkig document met veel mooie woorden en open deuren, goed voor een fotootje” grapt René Vierbergen. Maar het convenant is vooral een uiting van de ‘tone at the top’. René verwacht dat het convenant wordt ondertekend door de bestuurlijke top van Den Haag en van de Belastingdienst. Zij laten hiermee zien dat het hoogste niveau van zowel de gemeente als de Belastingdienst zich achter de in het convenant verwoorde beginselen stelt. "En nu moet het nog verder in de haarvaten van beide organisaties en tussen de oren van alle betrokken medewerkers komen" zegt René. Daar ziet hij de grootste uitdaging.

Tax Control Framework Het nieuwe toezicht betekent een verschuiving. Het betekent meer afstemming en informatie-uitwisseling vooraf over fiscale vraagstukken, bevindingen en ontwikkelingen. Het betekent ook minder administratief belastende controles en correcties met boetes achteraf. Van de gemeente wordt pro-actief gedrag verwacht. De Belastingdienst doet een beroep op de maatschappelijke verantwoordelijkheid van de gemeente en schenkt de gemeente MAGAZIEN 6

COVERSTORYARTIKEL

COVERSTORYARTIKEL

Een gemeente heeft een voorbeeldfunctie. Als zij wil dat burgers de gemeentelijke regels naleven, dan hoort de gemeente ook zelf de regels na te leven, niet alleen naar de letter maar vooral ook naar de geest. Dergelijke constructies zijn gelukkig al lang niet meer van deze tijd. Het gemeentebestuur is er alles aan gelegen dergelijke incidenten te voorkomen. Horizontaal toezicht draagt hieraan bij.

Gemeente en Belastingdienst zullen ook in de toekomst nog wel eens van mening verschillen. Vierbergen en Van der Heijden verwachten dat eventuele verschillen zakelijk, open en met respect voor elkaars standpunten kunnen worden besproken. Het horizontaal toezicht is dan een succes. De Belastingdienst heeft het oude repressieve gedrag losgelaten. De gemeente geeft pro-actief en transparant inzicht in alle actuele relevante fiscale vraagstukken. Dan is echt sprake van wederzijds vertrouwen! «

De rol van de accountantsdienst

Henk van der Heijden (l) • René Vierbergen (r)

zijn vertrouwen wanneer de gemeente kan aantonen dat het zijn fiscale processen doorlopend én aantoonbaar op orde heeft. De gemeente dient dan over een goed functionerend fiscaal risicobeheersings- en controlesysteem te beschikken. Dit wordt in de literatuur aangeduid als het Tax Control Framework (TCF). Henk van der Heijden geeft aan dat de gemeente niet slecht scoort op fiscaal gebied, maar nog verder moet werken om een sluitend TCF te realiseren. Fiscaliteit moet nadrukkelijker een deel van het dagelijks werk worden op alle gemeentelijke niveaus. Zo kunnen voorstellen voor grote projecten systematisch van een financiële paragraaf worden voorzien waarin ook wordt ingegaan op de fiscale consequenties. De praktijk wijst uit dat het voordelen oplevert als dit een automatisme wordt bij alle relevante processen en projecten. De gemeente gaat op dit punt nu nog te fragmentarisch te werk. Verder biedt het voordelen als de gemeente meer over- en inzicht krijgt op het aangiftegedrag van de gemeentelijke diensten en bedrijven en op de belangrijkste fiscale vraagstukken. De diensten en bedrijven zijn nu vrij in het al of niet inschakelen van de intern aanwezige fiscale expertise bij het opstellen van hun MAGAZIEN 7

aangifte of bij fiscale vraagstukken. Zonder overzicht loopt de gemeente risico's. Een dienst of bedrijf maakt bijvoorbeeld een keuze die voor het eigen organisatieonderdeel gunstig is, maar voor de gemeente als geheel nadelig. Of twee gemeentelijke diensten of bedrijven in een gelijke situatie maken een verschillende keuze. Of een organisatieonderdeel ziet een volkomen normaal belastingvoordeel over het hoofd. Den Haag wil het TCF stapsgewijs realiseren. Eerst wordt een foto gemaakt van de huidige situatie bij diensten en bedrijven. Zo nodig worden de processen op orde gebracht. Daarna wordt de fiscale informatievoorziening verder gestructureerd.

René Vierbergen wijst op een interessante paradox over het onderwerp vertrouwen. “Niemand wordt zo gewantrouwd als de accountant. Sinds affaires als Enron en WorldCom is het maatschappelijke vertrouwen in het beroep afgenomen. Hierop is gereageerd met meer regels en meer verticaal toezicht. Ook accountants onderling lijken elkaar niet te vertrouwen, getuige de vele verplichte reviews. En of al die extra regels een probleem oplossen? Het is dan heel verrassend dat de Belastingdienst in dit klimaat pleit voor meer samenwerking op basis van meer gefundeerd vertrouwen en minder controle. Dat lost tenminste wel wat op!" René is van mening dat met de invoering van horizontaal toezicht de toegevoegde waarde van de accountantsdienst voor het gemeentebestuur en voor de diensten verder toeneemt. De accountantsdienst helpt de gemeentelijke diensten en bedrijven hun TCF op orde te krijgen en helpt het gemeentebestuur om zicht te houden op alle relevante fiscale vraagstukken en ontwikkelingen. Hij verwacht per saldo voordelen - ook financiële – en verrassingen achteraf worden hiermee zoveel mogelijk voorkomen. Met een adequaat TCF is de naleving van de fiscale wet- en regelgeving beter gewaarborgd. Het TCF wordt een regulier en expliciet onderdeel van de jaarrekeningcontrole. Het extra werk zal naar verwachting niet leiden tot een structurele uitbreiding van de personeelsformatie. Wel zal er meer moeten worden geïnvesteerd in fiscale kennis. De Belastingdienst hanteert een kleinere tolerantie bij de fiscale aangifte van de gemeente dan de accountantsdienst bij de controle van de jaarrekening. De accountantsdienst gaat nu niet strenger controleren. Wel gaat de accountantsdienst na of het fiscaal risicobeheersings- en controlesysteem van ieder organisatieonderdeel van de gemeente goed gericht is op het ontdekken van fouten en onzekerheden op het niveau van de tolerantie van de Belastingdienst.

De bouw van het Haagse stadhuis kost honderd miljoen gulden. De gemeente is geen ondernemer en daarom verplicht om 17,5 % btw op de aanneemsom te betalen, dus ƒ 17,5 miljoen gulden. De gemeente richt een stichting op, die met een lening tegen lage rente van de gemeente tien jaar lang het economische eigendom van het pand krijgt tegen betaling van honderd miljoen en de 17,5 % btw. De stichting verhuurt het pand vervolgens weer aan de gemeente tegen ƒ 8 miljoen per jaar (8 % van de netto-bouwsom). De gemeente krijgt nu de ƒ 17,5 miljoen aan btw terug. De stichting, wel ondernemer, mag de btw in een keer aftrekken voor de belasting. Op de huur drukt wel btw, maar dit komt in tien jaar uit op slechts tien keer ƒ 1,4 miljoen. Daardoor is niet alleen de uiteindelijke btw-rekening miljoenen lager, maar de betaling wordt ook veel langer uitgesteld. (bron: de Volkskrant, 22 maart 1995)

Kritieke succesfactoren Het imago van de gemeente In de vorige eeuw heeft de gemeente Den Haag met het oog op fiscale voordelen de zogeheten stadhuisconstructie (zie kader) toegepast. Toenmalig staatssecretaris Vermeend van Financiën vond deze ten principale onjuist. Hij bestreed de constructie met succes. Dit heeft Den Haag negatieve publiciteit bezorgd.

Onze gesprekspartners vinden “het uitspreken van het voornemen tot samenwerking op basis van vertrouwen al een succes op zichzelf”. De vergroting van de fiscale bewustwording bij gemeentelijke diensten en bedrijven is een belangrijk winstpunt. Het convenant geeft hiervoor een belangrijke stimulans.

MAGAZIEN 8

COVERSTORYARTIKEL

COVERSTORYARTIKEL

Lex de Lange (directeur auditdienst OCW), Bram de Klerck (directeur FEZ Justitie), Paul Vlaar (Associate Professor, VU Amsterdam, Faculty of Economics and Business Management) en Hans van der Vlist (Directeur Generaal Rechtspleging en Rechtshandhaving Justitie) spraken onder leiding van Paul Scholte (directeur auditdienst V&W) over de rol van vertrouwen bij het werk van de auditor.

Door Ada de Vette & René Witte

Scholte trapt af: “Wat bepaalt nu of het management vertrouwen heeft in de auditor? In auditcommittees gaat het vaak over de auditdienst. ‘Zijn de audits uitgevoerd die ze zouden uitvoeren, en welke rechtmatigheidsproblemen hebben ze gevonden?’ Zou het auditcommittee zich niet bezig moeten houden met de grote risico’s, en de auditor daarvoor moeten inschakelen? Hoe zit het met de spanningen tussen de spelers: manager, controller, auditor? Is er vertrouwen in de auditor?” Van der Vlist schetst dat rechtmatigheid als thema binnen het auditcommittee van Justitie niet meer speelt. De aandacht is verschoven naar de IT-risico’s. “Maar ik herken wel dat de concernleiding zich in het auditcommittee meer zou moeten richten op de grote thema’s. Als DG ben ik verantwoordelijk voor vier beleidsdirecties en ‘eigenaar’ van zeven uitvoeringsorganisaties. De vraag voor het managementteam is met welke grote dingen je aan de gang gaat. Het is in de rapportagecyclus zoeken naar eenvoudige rapportagevormen waarin je het alleen over de uitzonderingen en opmerkelijke zaken hebt. Als manager zet ik daarvoor ook de controlafdeling in. Mijn aanpak is gebaseerd op vertrouwen, netwerken en transparantie. Daarbinnen is ook plek voor de auditdienst.” Vlaar stelt dat er door de auditdiensten te veel wordt vastgehouden aan de controlefunctie. “Ik zie voor de auditor een signalerende rol. Iemand die vanuit het kraaiennest kijkt naar ‘rimpelingen aan de horizon’ en de organisatie hiervoor vroegtijdig waarschuwt. Het zou de rol van de auditor kunnen zijn om met mensen in de organisatie over die rimpelingen te praten en de consequenties voor de organisatie met elkaar te bediscussiëren.” De Klerck betwijfelt of het de auditor is die de rimpelingen zou

moeten zien: “Het is eerder de controller, en toch vooral ook de manager die de signalen moet herkennen. De auditor kan juist vanuit zijn onafhankelijke positie adviseren over hoe de zaken kunnen verbeteren.” “Vanuit zijn onafhankelijke positie kijkt de auditor naar de risico’s”, stelt De Lange. “Managers zijn soms geneigd risico’s te lang binnen hun eigen organisatie te houden. Ik vind dat de auditdienst bij zijn omgevingsanalyse gebruik moet kunnen maken van een departementsbrede risicoanalyse. Mijn auditdienst stimuleert het opstellen hiervan binnen OCW.” “Als je ervan uit gaat dat managers de neiging hebben om risico’s niet te melden, dan duidt dat op wantrouwen” legt Van der Vlist aan De Lange voor. De Lange stelt dat de departementsleiding een totaalbeeld van risico’s moet hebben. “Het is belangrijk dat dit zicht er is. In IODAD-verband is men zelfs bezig om een rijksbrede risicoanalyse op te zetten.”

Vertrouwen door interactie Van der Vlist schakelt de auditor in op die risicogebieden die hij niet goed kan overzien: “Als manager heb je ook beperkingen en de controlafdeling kan niet alles zien. Daarvoor heb je soms verdieping nodig. Als ik die behoefte heb, dan bespreek ik dat met de dienst en zo krijg ik zicht op de processen. Ik vind het belangrijk om samen met de proceseigenaar tot een opdrachtformulering voor een audit te komen. Hij moet het ook als zijn audit zien, waar hij wat aan heeft. Hiervoor is vertrouwen nodig.”

De adviseur van de strateeg:

een... kwestie van

vertrouwen Bram de Klerck (lb) • Hans van der Vlist (lo) • Paul Vlaar (rb) • Lex de Lange (ro)

MAGAZIEN 9

MAGAZIEN 10

COVERSTORYARTIKEL

Volgens De Klerck is het ook een kwestie van vertrouwen verdienen. “Wanneer Van der Vlist ‘rimpelingen’ ziet, ga ik ervan uit dat hij deze met mij deelt. Dit betekent een bepaalde mate van volwassenheid in de relatie.” Vlaar stelt dat een puur controlerende opstelling van de auditor of controller ongewenste effecten heeft. “In dat geval kunnen risico’s op het conto van de auditor of controller komen, omdat deze ze niet tijdig heeft gesignaleerd. Uiteindelijk is de manager toch verantwoordelijk. Die moet zich niet kunnen verschuilen achter controles en risicoanalyses. Dit roept de vraag op of we niet naar een algemener instrumentarium toe moeten om normbesef en verantwoordelijkheidsgevoel te bevorderen. De auditor zou zich kunnen afvragen hoe een organisatie er over 10 of 20 jaar uitziet, en of de rol die hij of zij zich aanmeet daarbij past”.

COVERSTORYARTIKEL

ingezet om bepaalde punten te kunnen maken. Er is een gevoel dat er ergens iets niet goed zit, en de auditor moet aantonen dat dat zo is. Je krijgt dan een onderzoek dat gebaseerd is op wantrouwen.” De Lange is daar duidelijk over: “Als een audit moet plaatsvinden op basis van wantrouwen, dan is dat niet goed voor de rol van de auditor. Je verliest al het vertrouwen van de organisatie als je om die reden een audit voor een SG of DG gaat uitvoeren. Als er iets mis is in het vertrouwen tussen de departementale top en een manager, dan moeten ze daar in een goed gesprek uitkomen. Audit is dan niet het instrument dat daarbij past.” De Klerck vindt wel dat dat soms bij de rol van de auditor past. “Als ik als concerncontroller het gevoel heb dat er ergens iets niet goed zit, dan geef ik de auditdienst opdracht om daar onderzoek naar te doen. Ik ben het er mee eens dat je daarbij transparant moet zijn. De opdrachtgever moet zijn twijfels uitspreken tegen de auditee. Daarmee krijgt de auditor de ruimte om zijn werk te doen.”

Stilstand is

achteruitgang...

De persoon van de auditor Auditen is mensenwerk. De persoon van de auditor is dan ook van belang voor het vertrouwen dat een opdrachtgever heeft in een audit. De Klerck daarover: “Als ik voor een audit de voorkeur heb voor een bepaalde auditor, omdat ik daar goede ervaringen mee heb, dan zeg ik dat gewoon tegen de directeur van de auditdienst. Als hij dan met andere mensen komt, dan heb ik er vertrouwen in dat dat de goede mensen voor deze klus zijn”: De Lange vindt het belangrijk dat er een klik is tussen de auditor en de auditee. “Dat gaat verder dan vaktechnische en inhoudelijke kennis. Ook de persoonlijke relatie die de auditor heeft met de klant is voor mij belangrijk. Dat is de basis voor vertrouwen. Ik kijk naar de zwaarte van de klus. Kan de betrokken auditor dat aan, en is er voldoende basis om de dialoog goed tot stand te brengen? Daarvoor is een goede communicatiestructuur tussen managers en auditors essentieel. Een audit is tenslotte gericht op verbetering van het functioneren van de organisatie. Daarvoor moet er vertrouwen zijn in de auditor. Als directeur van een auditdienst heb je de taak de goede match tussen klant en auditor te maken”.

Gemeenschappelijk belang Vertrouwen is groter wanneer er sprake is van een gemeenschappelijk belang. Vlaar: “Auditors zouden altijd het gemeenschappelijk belang van een audit moeten benadrukken. Als de auditee geen belang heeft bij het onderzoek, dan krijg je beperkte, gekleurde en minder relevante informatie. De bereidheid om mee te werken zal minder groot zijn. Daarom zou je voordat je een onderzoek start na moeten gaan wat de gemeenschappelijke en wat de afzonderlijke belangen zijn.” Van der Vlist reageert daarop. “Je moet dat uitspreken. Ook de opdrachtgever heeft daarin een rol. Als je niet transparant bent over jouw belang, en dat tegenover de onderzochte manager niet uitspreekt, dan heeft de audit daar last van”. Van der Vlist vraagt zich wel af hoe de auditor hier tegenover staat. “Ik kan me voorstellen dat je als auditor door de top wordt MAGAZIEN 11

De toon van de boodschap De manier waarop de auditor zijn boodschap brengt blijkt ook bij te dragen aan het vertrouwen dat men heeft in zijn werk. De tafel is het erover eens dat auditors hun oordelen en aanbevelingen wel wat steviger kunnen verwoorden. De Lange: “Auditors kunnen af en toe wel erg voorzichtig zijn. Soms moeten conclusies scherper worden neergezet om het beoogde effect te bereiken en de departementsleiding in beweging te krijgen. Als je al kritiek hebt op auditors dan is het wel dat ze bijzonder hechten aan professionele maatstaven. Het vergt denk ik een cultuuromslag om enerzijds die professionele standaarden aan te houden en aan de andere kant het organisatiebelang voorop te stellen. Aan het einde van het ronde tafelgesprek kunnen we concluderen dat het vertrouwen in de auditor aanwezig is. Maar op welke manier kan de auditor dit vertrouwen nog vergroten? De Lange vindt het belangrijk dat auditors de politiek-bestuurlijke context kennen waarin de auditee zich bevindt. “Ze moeten een duidelijk beeld hebben van wat er leeft, om het vertrouwen nog verder uit te bouwen”. De Klerck vindt dat auditors hun onzekerheid meer moeten laten zien. “Auditors zijn ook mensen, en kunnen niet altijd alles weten. Ze mogen dat best wat meer laten zien.” Van der Vlist verwacht dat de auditor een scherpe sparringpartner is met gevoel voor de politieke omgeving. “Hij moet scherp zijn in de advisering om interventies uit te lokken. Daarnaast moet hij in zijn formuleringen rekening houden met de politieke arena waarin we ons bevinden”. Vlaar. “Zolang je de dialoog aangaat en laat zien waar je voor staat, weet de ander wat hij aan je heeft. Maar heel duidelijk zijn over je positie kan ook nadelen hebben. Het kan de indruk wekken dat je inflexibel bent en niet mee wilt bewegen. De boodschap is daarom denk ik dat je altijd de dialoog opzoekt en daarin het gezamenlijke belang voorop stelt. Laten we met elkaar spelen, en niet tegen elkaar”. «

Door Roy Jansen

Voor accountants in zowel de private als publieke sector wordt steunen op een administratieve organisatie in een sterk geautomatiseerde omgeving (haast) onvermijdelijk. Technische ontwikkelingen vliegen haast uit de bocht en het is ook aan accountants om op deze rijdende trein te springen. MAGAZIEN 12

COVERSTORYartikel

COVERSTORYARTIKEL

ZIEN(*) heeft hierover een interview met Prof. Dr. Hans Verkruijsse RE RA die sinds 1 september als hoogleraar ‘Accounting Information Systems’ werkzaam is aan de Universiteit van Tilburg en hier onderzoek doet naar nieuwe vormen van elektronische gegevensuitwisseling voor de inrichting van de administratieve organisatie. Na een toelichting op het thema van deze ZIEN(*)-editie reageert Verkruijsse met een verwijzing naar het jaarverslag van ABN AMRO in 2007. Met name het aantal pagina’s en het gewicht van het rapport zijn voor hem maatstaven voor de technologische windstilte in het verslaggevingsvak. Het bevatte ongeveer 290 pagina’s en woog een luttele 1466 gram. Wie leest een jaarverslag van dergelijke omvang? Volgens Verkruijsse wordt een dergelijk verslag, naast door de auteur, slechts door een handjevol mensen gelezen. Verkruijsse geeft aan dat financiële rapportages nauwelijks gericht zijn op een specifieke doelgroep en dat hierbij dus ook geen onderscheid wordt gemaakt naar de informatiebehoefte van verschillende doelgroepen. Hij wijst tevens op de wijze waarop rapportages tot stand komen en refereert zelfs aan een ‘spreadsheet hel’. Volgens Verkruijsse zijn minder dan 10% van de gebruikte spreadsheets getest zijn en deze nu juist de centrale bron vormen voor de rapportages die organisaties genereren.

Een spreadsheet hel Multiple departmental spreadsheets

NO CONTROL

NO CONTROL

ERP Finance

Subsidia

Consolidated spreadsheets for management

ts men NO CONTROL a ele po) t a d 00 not a ty ( as 20 any h adsheets p m o c re p S s U Management One ng 6500 NO CONTROL usi

van meer dan 300 organisaties. XBRL is de wereldstandaard voor digitaal rapporteren en maakt de publicatie, uitwisseling en verwerking van bedrijfsrapportages binnen de dynamische en interactieve wereld van het internet mogelijk. Daarnaast biedt XBRL een algemeen platform voor het afwikkelen van kritieke rapportageprocessen en verbetert de kwaliteit en efficiency van rapportages zowel tussen als binnen organisaties.

Trends in rapporteren Het huidige systeem

Het toekomstige systeem

så!LLEENåOPåPAPIER

så-EERDEREåKANALENåEN åååMEDIA åZOALSåå0$& å7EBSITEå så)NFORMATIEåOPåMAAT

så6EELHEIDåAANå åååACCOUNTINGåREPORTING

så3TANDAARDISATIEå)&2353ååååå ååå'!!0 å)&23 3-%S

så*AARLIJKS

så0ERIODIEK

så!LLEENåFINANCIEEL

så-EERåBUSINESSå Figuur 2: IT speelt een grotere rol in het rapportageproces

• Lagere kosten voor het rapporteren en analyseren van (financiële) gegevens; • Versnelling in beschikbaarstelling en verwerking van gegevens; • Betere kwaliteit van informatie door eenduidigheid en transparantie; • Eenvoudig hergebruik en analyse van de inhoud van rapportages.

Verkruijsse verwijst bij de technische ontwikkelingen nadrukkelijk op de toepassing van XBRL (eXtensible Business Reporting Language). XBRL is een op XML gebaseerde, royaltyvrije, open standaard ontwikkeld door XBRL International, een non-profit consortium

Naast deze verbreding van het werkpakket zullen tevens andere technieken worden ingezet om controles te kunnen verrichten in organisaties van de nabije toekomst (neurale technieken en patroonherkenning, procesgerichte controle op metadata niveau en RFID-toepassingen in administraties).

Verkruijsse geeft aan dat de ontwikkelingen van XBRL mondiaal doorzetten en verwacht dan ook dat deze als hefboom zullen werken op de controleaanpak anno 2009. Vraagstukken uit figuur 4 legt Verkruijsse regelmatig aan accountants voor tijdens lezingen en symposia.

Al met al ziet Verkruijsse een nieuw soort accountant ontstaan die voor wat betreft IT van de hoed en de rand weet. We heten de I-accountant van harte welkom. «

Technische standaard

XBRL-Taxonomy

Style Sheet

Vragen voor assurance Wat is het object van onderzoek voor de controle? så*AARREKENINGåVERSUSåBEDRIJFSINFORMATIE så3YSTEMENåVERSUSåGEGEVENS Wat voor controleaanpak volgen we? så3YSTEEMGERICHTåVERSUSåGEGEVENSGERICHT så6OLKOMENåCONTROLEåVERSUSåVOLLEDIGEåCONTROLE

Wat soort verklaring kunnen we uitvoeren? så4RADITIONELEåACCOUNTANTSVERKLARING så2ELIABLEåBYåDEFAULT Figuur 4: Gevolgen XBRL voor assurance

De uitdagingen voor de accountant liggen volgens Verkruijsse bij de introductie van XBRL in de beoordeling van de dialoog met de stakeholders (object van onderzoek), analyse van de mogelijke verwachtingen (niveau van assurance), risicoanalyse insteken vanuit IT, controle richten op metadata, materialiteit toerekenen op metadata (controleaanpak) en de afgifte van een continue accountantsverklaring (soort verklaring).

Structuur XBRL

XBRL-Instance

Verkruijsse zet accountants het liefst aan tot een verandering die voor velen een paradigmashift in zal houden. Figuur 2 is een weergave van trends in het rapportageproces die in verschillende sectoren reeds is ingezet, maar een echte omarming van de techniek laat nog steeds op zich wachten.

18 augustus 2008: Doos met bonnetjes kan weg. Accountants moeten erg wennen, maar uitwisseling van uniforme, elektronische informatiebestanden is onontkoombaar.

Wat voor niveau van assurance kunnen we geven? så2EASONABLEåVERSUSåLIMITED så#ONTINUßM

Voordelen die XBRL met zich meebrengt:

XBRL-Specification Figuur 1: In control met spreadsheets?

verbreden met Advisory opdrachten, zoals het bouwen van XBRL taxonomieën, aanpassen van AO/IC en ondersteuning bij de ontwikkeling en implementatie van continuous monitoring.

ååå(4-, å8-,8"2,

så3TANDAARDåINFORMATIE

reporting

NO CONTROL

2 mei 2008: NIVRA-voorzitter Jan Helderman was van mening dat teveel de nadruk is gelegd op de kostenvoordelen van XBRL. Daarentegen is te weinig aandacht geweest voor de kwaliteit van de informatie.

Woordenboek XBRL-gegevens, niet voor de mens leesbaar Templates

Figuur 3: Opbouw XBRL

Verkruijsse wijst tijdens het interview op diverse publicaties in de nieuwsrubriek van www.accountant.nl uit 2008 waarin wordt gewezen op de invloed die het gebruik van XBRL heeft op de controleaanpak van de accountant.

Om deze uitdagingen te lijf te gaan, dienen de volgende concepten ingebed te worden in het control framework van organisaties: • Continuous Monitoring; • Continuous Auditing; • Continuous Assurance. Uiteindelijk wordt hiermee een nieuw concept geboren, namelijk ‘Assurance by Default’. Hier geeft de accountant een verklaring af die geldt totdat deze wordt ingetrokken. Naast deze wijziging in de verstrekking van assurance, ziet Verkruijsse het werkpakket Hans Verkruijsse

MAGAZIEN 13

MAGAZIEN 14

COVERSTORYartikel

COVERSTORYARTIKEL

Het uniform

subsidie kader:

Met het uniform subsidiekader wordt verlaging van de administratieve lasten en een eenvoudiger financieel beheer beoogd. Het gaat uit van proportionaliteit, (meer) vertrouwen en eigen verantwoordelijkheid van de subsidieontvanger. Het subsidiekader kent drie standaard uitvoerings- en verantwoordingsarrangementen, afhankelijk van de hoogte van het subsidiebedrag: • tot € 25.000: direct vaststellen of desgevraagd verantwoording over de prestatie; • vanaf € 25.000 tot € 125.000: verantwoording over de prestatie; • vanaf € 125.000: verantwoording over kosten en prestaties. Het subsidiekader voorziet verder in uniformering en vereenvoudiging van begrippen en verplichtingen in het subsidieproces, zoals termijnen, automatische bevoorschotting en minder tussenrapportages. Ten slotte is voorzien in een gedegen aanpak om misbruik en oneigenlijk gebruik (M&O) te voorkomen. Het doel is te komen tot een rijksbreed M&O-beleid dat de volgende aspecten omvat: a. risicoanalyse bij de totstandkoming van elke subsidieregeling. Op basis hiervan dienen adequate maatregelen te worden genomen en kunnen de gemaakte keuzes worden verantwoord; b. het departementaal registreren van misbruik en fraude bij subsidies. Hierdoor wordt beter inzicht verkregen in de mate waarin misbruik bij subsidies voorkomt; c. het consequent gebruikmaken van de beschikbare sanctiemogelijkheden: preventief weigeren, terugvorderen en aangifte bij het openbaar ministerie; d. evaluatie van subsidieregelingen. Dit beleid is vastgelegd in Aanwijzingen voor de Rijksdienst en wordt uitgewerkt in een rijksbrede leidraad. Deze leidraad wordt gelijktijdig met de Aanwijzingen gepubliceerd. Het subsidiekader zal in 2012 worden geëvalueerd.

MAGAZIEN 15

'controle is goed, vertrouwen is beter', maar wel:

verantwoord vertrouwen! Door Wes Galekop

ZIEN(*) sprak over het subsidiekader met Hans Timmers (RAD, cluster VWS 2), Rodney Betorina (ministerie van Financiën, directie Begrotingszaken) en Kees Berbee (AD-OCW, vaktechniek) over de nieuwe structuur, de invloed op de werkzaamheden van de auditor en het (verwachte) effect op de uitvoeringskosten. MAGAZIEN 16

COVERSTORY ARTIKEL

COVERSTORY ARTIKEL

Rodney is bij de samenstelling van de nieuwe leidraad (M&O) betrokken en geeft de huidige status weer. Het kader is goedgekeurd door de Ministerraad en aangeboden aan de Tweede Kamer (april 2009) en bindend voor nieuwe regelingen vanaf 1-1-2010. Twee jaar later moeten alle bestaande regelingen (rijksbreed circa 400) zijn aangepast. We liggen op dit moment op koers. De leidraad M&O en het sanctiebeleid zijn nog onder handen, maar bijna gereed. Kees is lid van de zojuist gestarte OCW-werkgroep “Deelproject Misbruik en Oneigenlijk gebruik/risico”. Hij geeft aan dat er grote behoefte is aan een eenvoudiger uitvoering en financieel beheer van rijkssubsidies. In dit kader kan bij een nieuwe regeling besloten worden of geld in de vorm van een subsidie of anderszins (opdracht of lumpsum) beschikbaar wordt gesteld. Bij OCW wordt het merendeel van de uitgaven overigens geregeld via een lumpsumbijdrage. Hans is als lid van het expertisecentrum subsidies bij VWS betrokken geweest bij de totstandkoming van het kader. De invulling van de arrangementen diende zorgvuldig te gebeuren en heeft daarom de nodige tijd gekost. Het eerste arrangement kent bijvoorbeeld twee varianten. In variant 1a wordt de subsidie direct vastgesteld en vindt er geen verantwoording achteraf plaats. Bij variant 1b

Welke gevolgen heeft het nieuwe kader op de werkzaamheden van de auditor? Hans: de accountant belast met de controle van het jaarverslag van het ministerie zal vaststellen of het toezicht door de directie (inclusief risicoanalyse) voldoende is om daarop te kunnen steunen voor zijn rechtmatigheidsoordeel. Dat betekent eigenlijk dat de accountant een vertaling maakt van dit deel van het financieel beheer naar zekerheid over de gelden op artikelniveau. Deze vertaling is een kwalitatief afwegingsproces. Als de auditdienst van mening is dat het subsidiebeheer niet toereikend is zal dat primair voor de gecontroleerde aanleiding moeten zijn tot extra werkzaamheden (bijvoorbeeld steekproeven). Rodney: de auditor kan met zijn brede kennis een belangrijke adviesrol vervullen voor de beleidsdirectie bij het uitvoeren van de risicoanalyse en ten aanzien van de invulling van het M&Obeleid en de controleerbaarheid van regelingen. Het is beter problemen vooraf te signaleren en te voorkomen, dan achteraf als auditor te roepen dat het fout is. Hier ligt dus een mooie kans voor de auditor. Kees: er dreigt hier wel collisiegevaar. De auditor zal gebruik maken van de risicoanalyse maar is straks ook vaak medeopsteller/ facilitator ervan. Dit moet eigenlijk de beleidsdirectie doen. Daar-

Subsidieaanvraag (2)

Toetsing van aanvraag. Op basis van risicoanalyse ventueel: nadere controle; intensivering van de verantwoording/ controle; of preventief weigeren;

Uitvoering (3)

Meer vertrouwen en eigen verantwoordelijkheid zoals de meldplicht voor de subsidieontvanger. Communicatie over tegengaan misbruik in beschikkingen;

Bij opstellen van de regeling risico’s identificeren en/of voorkomen. O.b.v. latere controles, registratie, evaluatie regeling zonnodig bijstellen;

Periodieke evaluatie (8)

Evaluatie met specifieke aandacht voor misbruik en oneigenlijk gebruik. Levert input voor bijstellen subsidieregeling en/of proces;

Risicogeorienteerde controle (5)

wordt de subsidie verleend en na verloop van tijd ambtshalve, zonder aanvraag tot subsidievaststelling van de subsidieontvanger, door de subsidieverstrekker vastgesteld. Zolang de termijn voor de ambtshalve vaststelling nog niet is verstreken, houdt de subsidieverstrekker de mogelijkheid om steekproefsgewijs te controleren door bijvoorbeeld verantwoording te vragen over de aan de subsidie verbonden verplichtingen en om - indien niet of niet geheel aan de voorwaarden zijn voldaan - terug te vorderen.

Registratie misbruik (7)

Registreren van aanvrager/ misbruik en reeds getroffen sancties t.b.v. risicoanalyse bij: een subsidieregeling; de (steekproefs-gewijze) verantwoording; de steekproefsgewijze controles; een individuele subsidietoekenning (preventieve weigering). Biedt op departementaal niveau inzicht in de aard en omvang van misbruik;

Het schema hierboven illustreert dat in elke fase van het subsidieproces op basis van risicoanalyse voldoende aandacht wordt besteed aan het tegengaan van misbruik.

Rodney: het niet meer verantwoorden over de kosten bij de twee lichtste arrangementen, maar over de vraag of de afgesproken prestatie is verricht vraagt een omslag in het denken, kijken en behandelen van subsidies. Er is sprake van “verantwoord vertrouwen”. Als er geen vertrouwen in de aanvraag is dan wordt ook geen subsidie verstrekt (preventief weigeren). Wel gemotiveerd natuurlijk, want het moet ook juridisch houdbaar zijn. MAGAZIEN 17

Hans Timmers

naast wordt de auditor inderdaad ook gevraagd om te adviseren bij aanpassing van regelingen en bij verhoogd M&O kijkt de AD naar de toereikendheid van het beleid.

Dekt het kader misbruik voldoende af? Rodney: ja, de beheersingsmaatregelen verschuiven naar de voorkant waar per nieuwe regeling en subsidieaanvraag een risicoanalyse plaatsvindt. In het kader is echter ook bij de vervolgstappen van uitvoering tot en met periodieke evaluatie van een regeling serieuze aandacht en instrumenten om misbruik af te dekken. Een regeling kan, naar aanleiding van risicoanalyse, overigens wel van zwaarder naar lichter arrangement overgaan; niet van lichter naar een zwaarder arrangement. En de verplichte registratie van M&O van subsidies zal mede als input kunnen dienen voor toekomstige aanvragen.

Op basis van risicoanalyse eventueel: aanvullende administratieve of fysieke controles. Verslaglegging over resultaten;

Risicoanalyse

Hans: maar voor elke aanvragende instelling waar nog geen gegevens van bekend zijn zal normaal gesproken een intakeprocedure uitgevoerd worden. Belangrijk is ook dat de verantwoordingsfocus bij kleine subsidies zal liggen op het leveren van de prestatie of dienst in plaats van op de (werkelijke) kosten. Dit is een prikkel om de subsidie efficiënt te besteden; geen uitnodiging tot misbruik! Het kan incidenteel wel voorkomen dat de werkelijke kosten uiteindelijk lager zijn dan het subsidiebedrag maar dit hoeft dan niet te leiden tot terugvordering. Rodney Betorina

De subsidieverstrekker controleert altijd of de (steekproefsgewijze) verantwoording voldoet aan de voorwaarden die hieraan zijn gesteld;

Regeling (1)

Kees: minder verantwoording en controle kan natuurlijk wel leiden tot andere “clientèle”! Met name kleinere instellingen lieten in het verleden meer fraudegevallen zien.

Kees Berbee

(steekproefsgewijze) Verantwoording (4)

Rodney: het is ook niet de bedoeling dat te ruim gesubsidieerd gaat worden zodat er (grote) overschotten bij de subsidieontvanger ontstaan. Onderdeel van het kader is juist dat er een kritische beoordeling vooraf op de begroting plaatsvindt voordat de subsidie wordt verleend. Onderdeel van die beoordeling kan ook zijn of wel tot 100 % van de ingediende begroting gesubsidieerd moet worden. De subsidieverstrekker heeft dit zelf in de hand. Ook kan dit mogelijk worden tegen gegaan door gebruik te maken van standaardtarieven. Kees: daarnaast komt er voor de ontvanger een actieve meldingsplicht bij niet nakoming van de voorwaarden, bijvoorbeeld omdat de activiteiten waarvoor de subsidie is verleend niet zullen worden verricht. Afhankelijk van de oorzaken kunnen er dan met het departement nieuwe afspraken worden gemaakt. Indien er niet gemeld wordt, kan dit verstrekkende gevolgen hebben voor de ontvanger.

Sancties (6)

Bij misbruik (w.o. niet nakomen van meldingsplicht) consequent: de subsidie lager of niet uitkeren; terugvorderen van de subsidie incl. wettelijke rente; en aangifte bij OM bij fraude;

Is dit niet in strijd met de gewenste uniformiteit? Nu gaan departementen (op onderdelen) toch weer zelf (nader) beleid ontwikkelen! Kees: er komt een interdepartementale implementatiewerkgroep die de uniformiteit van de uitwerking bewaakt. Er wordt in dit kader ook gewerkt aan uniforme modelbepalingen e.d.

Volgens onderzoek zouden de uitvoeringslasten circa 20% en de administratieve lasten ongeveer 30% lager worden! Is dat niet te optimistisch? Rodney: onderzoek heeft uitgewezen dat de besparing in de uitvoeringslasten ongeveer € 18 mln (23 % van de uitvoeringslasten) zal bedragen en op de administratieve lasten is bijna € 58 mln (30%) te besparen. Dit zijn natuurlijk enorme bedragen en percentages. Uiteraard zal de besparing bij het ene departement en uitvoerder groter zijn dan bij anderen. De kosten gaan in eerste instantie voor de baat uit omdat bestaande regelingen moeten worden aangepast, per nieuwe regeling dient een risicoanalyse te worden opgesteld. Hans: het realiseren van besparingen in administratieve en uitvoeringslasten is naar mijn mening voor een belangrijk deel afhankelijk van de sturingsvisie van de beleidsdirectie en een daarbij passende slimme bekostigingswijze. Grote, uitvoeringstechnisch lastige regelingen worden hopelijk eenvoudiger gemaakt binnen de mogelijkheden die het kader daarvoor biedt. En hier zal meer dan tot nu toe het geval was aandacht voor zijn! Kees: ook de controlekosten (per post) zullen dalen als de regeling eenvoudiger is. Het subsidiekader zal zich nog moeten bewijzen, maar de “winst” zal in beginsel toch zijn: uniformiteit, eenvoud en lagere controleen uitvoeringslasten. Zeker geen blind vertrouwen! « MAGAZIEN 18

THEOFFICE

Trust but verify …

THEOFFICE

Inspecties naar de beveiliging op luchthavens DOOR Roos Kalker

Hans Sleebos is senior beleidsmedewerker bij de Directie Beveiliging Burgerluchtvaart van de Nationaal Coördinator Terrorismebestrijding (NCTb). Naast zijn taken als beleidsmedewerker voert Hans sinds 9 jaar inspecties en audits uit naar de beveiliging op nationale en internationale vliegvelden. Hans doet deze werkzaamheden voor drie internationale organisaties: de Europese Unie (EU), de European Civil Aviation Conference (ECAC) en de International Civil Aviation Organization (ICAO). Voor deze onderzoeken bezocht Hans vliegvelden in Engeland, Frankrijk, de VS, Indonesië, Thailand, Bulgarije, Armenië, Moldavië en Kazachstan. Hans: “In onze onderzoeken kijken we naar controlemaatregelen voor onder meer medewerkers, passagiers, bagage, vracht en voertuigen. Met deze maatregelen moet een luchthaven proberen te voorkomen dat verboden voorwerpen (zoals een bom) zich in het vliegtuig of op het vliegveld bevinden. Hoewel we er aan de ene kant op vertrouwen dat vliegvelden deze maatregelen goed uitvoeren, vinden we aan de andere kant dat we dit wel moeten controleren…“

Internationale richtlijnen Als normen hanteren de inspecteurs internationaal afgevaardigde richtlijnen. “Sinds 11 september 2001 kent de EU aangescherpte regelgeving op het gebied van de beveiliging van de burgerluchtvaart. Deze EU-richtlijnen zijn juridisch bindend. De ECAC- en ICAO-richtlijnen hebben de vorm van aanbevelingen”, vertelt Hans. Op basis van deze internationale richtlijnen hebben de drie organisaties hun eigen inspectiehandboeken met internationaal afgestemde checklisten. Hans is gecertificeerd inspecteur voor alle drie de organisaties. Hans: “om gecertificeerd te worden, moet je een opleidingstraject volgen. Het traject voor de ECAC duurde 10 dagen en was best pittig. Het slagingspercentage van deze opleiding was voor het eerste examen slechts 30%.”

Mystery guest Tijdens een inspectie maakt Hans gebruik van verschillende onderzoeksmethodes. De inspecteurs bestuderen documenten, interviewen betrokken beambten, doen observaties en voeren

tests uit als mystery guest. “Tijdens de inspectie testen wij de beambten door ons voor te doen als passagier of medewerker. We kijken dan of onze bagage of toegangspas goed wordt gecontroleerd. Deze testen doen we altijd aan het begin van een inspectie. Een vliegveld is namelijk net een klein dorp, na een dag of twee is bij het personeel wel duidelijk dat wij van de Inspectie zijn. Dan gaan wij verder met interviews”, legt Hans uit. Een inspectie duurt 1 tot 2 weken. Voorafgaand aan de inspectie wordt een pre audit questionnaire ingevuld door het te bezoeken land en worden documenten opgevraagd.

Sancties Op basis van de onderzoeksresultaten worden de rapportages geschreven. Dit kunnen behoorlijke boekwerken zijn. Hans vertelt dat zijn laatste rapportage voor een ECAC-inspectie wel 120 pagina’s telde. De EU kan naar aanleiding van haar onderzoeken sancties uitvaardigen. Dit varieert van het geven van waarschuwingen tot, als ultieme sanctie, het sluiten van vliegvelden. Dit laatste heeft Hans nog nooit meegemaakt.

Kazachstaanse staatstelevisie Gedurende de inspecties is het hard werken voor Hans en ziet hij voornamelijk alleen de vliegvelden van de landen die hij bezoekt. Toch probeert hij bij ieder bezoek een halve dag te vrij te maken om iets van het land te zien. Hans denkt met plezier terug aan Kazachstan. Hij heeft daar zelfs zijn televisiedebuut gemaakt. Hans: “in Kazachstan is ieder bezoek van buitenlanders heel belangrijk, zo ook onze inspectie. Ik werd daarom als projectleider geïnterviewd voor de staatstelevisie. Ik vertelde daar hoe mooi ik het land vond en hoe vriendelijk de mensen waren toen ik abrupt werd onderbroken door de interviewer. Ze wilden eigenlijk alleen weten wat het oordeel van de inspectie was. Omdat we daar nog mee bezig waren, kon ik daar niets over loslaten. Ik vertelde de reporter wel dat ik was gekomen met een Kazachstaanse vliegmaatschappij en dat ik daarmee ook weer zou vertrekken. Dat dit niets met het onderzoek te maken had, heb ik hem maar niet verteld.“ « Hans Sleebos

MAGAZIEN 19

MAGAZIEN 20

, HELP ARTIKEL

een journalist

ARTIKEL

aan de lijn!

Het werk van de overheidsauditors speelt zich veelal binnen de departementen af. Verantwoordingen, doorlichtingen en audits worden met het management besproken en afgestemd. In vergelijking met de werkzaamheden van de Algemene Rekenkamer krijgen interne audits uiteraard minder journalistieke aandacht.

Toch komt het voor dat er ineens veel interesse voor een onderwerp ontstaat en dat journalisten met een beroep op de Wet openbaarheid bestuur (WOB) een verzoek tot openbaarmaking van auditrapporten indienen. Een dergelijk verzoek zet een juridische machine in werking die in veel gevallen leidt tot het openbaar worden van onderzoeksresultaten. Wat is de rol van de auditor in een dergelijke situatie en waar moet hij/zij rekening mee houden? Door Karsten Klein & Wim Kers Karsten Klein (l) • Wim Kers (r)

Vertrouwelijk omgaan met informatie is inherent aan het auditvak. De vertrouwelijkheidseisen die gesteld worden, zijn terug te vinden in de gedrag- en beroepsregels van NIVRA, NOREA en IIA/VRO. In deze regels is vastgelegd hoe de auditor zich tijdens en na de uitvoering van zijn onderzoek dient te gedragen. Uitgangspunt van de WOB is openbaarheid van overheidsinformatie. Het recht van de burger op informatie over het handelen van de overheid is verankerd in de Grondwet en wordt in de WOB nader uitgewerkt.

worden aangegeven waarom vertrouwelijkheid tijdens en/of na het onderzoek gewenst is. Naast deze uitzonderingsgronden is in de WOB een beperking opgenomen voor het verstrekken van informatie uit documenten die bedoeld zijn voor intern beraad. Persoonlijke beleidsopvattingen die in deze documenten zijn opgenomen, hoeven niet openbaar gemaakt te worden.

Met het principe van openbaarheid als uitgangspunt, kent de WOB een aantal uitzonderingssituaties. Deze uitzonderingsgronden zijn te verdelen in absolute en relatieve uitzonderingsgronden. Bij een absolute uitzonderingsgrond mag de informatie niet verstrekt worden, wanneer dit de eenheid van de Kroon kan schaden of wanneer de staatsveiligheid in het geding is. Bij een relatieve uitzonderingsgrond vindt een belangenafweging plaats tussen het algemeen belang van openbaarheid en het specifieke belang dat bij de uitzonderingsgrond is verwoord. In deze gevallen moet gemotiveerd

Tijdens een onderzoek kan een reden tot weigering tot openbaarmaking bestaan doordat de zorgvuldige uitvoering van auditwerkzaamheden erdoor gehinderd kan worden. Zo dient voor een zorgvuldige rapportageprocedure eerst hoor- en wederhoor te hebben plaatsgevonden. Ook ligt het voor de hand dat het conceptrapport in ieder geval vertrouwelijk blijft tot de opdrachtgever erover beschikt en zich er een mening over heeft kunnen vormen. Tijdens de uitvoering van het onderzoek kan aannemelijk gemaakt worden dat auditwerkzaamheden niet goed uitgevoerd kunnen wor-

MAGAZIEN 21

Er is een onderscheid tussen de uitzonderingsgronden tijdens een onderzoek en na afloop van een onderzoek.

den wanneer deze niet in vertrouwelijkheid kunnen plaatsvinden. Auditors spelen een rol bij het goed kunnen functioneren van een bestuursorgaan en de werkzaamheden die hieraan bijdragen, moeten zorgvuldig kunnen gebeuren. Een onzorgvuldige werkwijze als gevolg van een verzoek tot openbaarmaking maakt hier inbreuk op.

beschermen. Of dit wenselijk is, moet per geval beoordeeld worden in samenspraak tussen opdrachtgever en auditor.

Na afloop van een onderzoek zal een auditrapport op verzoek vrijwel altijd openbaar gemaakt moeten worden. Uitzonderingsgronden na afloop zouden kunnen liggen in het feit dat er in het auditrapport persoonlijke beleidsopvattingen staan of dat het document strikt bedoeld is voor intern beraad. Nog onduidelijk is of, wanneer het definitieve auditrapport al verschenen is, voor de deelproducten en onderliggende documenten hierop nog steeds een beroep kan worden gedaan. Hierover verschillen de deskundigen van mening.

De opdrachtgever is het eerste aanspreekpunt bij een verzoek tot openbaarmaking. De auditdienst heeft echter wel een belang bij het al dan niet openbaarmaken van een onderzoek, omdat de auditfunctie en de uitoefening hiervan bescherming verdienen en in het geding kunnen komen. Een nauwe afstemming tussen auditor, opdrachtgever en auditee is dan van belang. Wanneer een uitzonderingsgrond van toepassing is, kan het bestuursorgaan zich daarop beroepen en een verzoek tot openbaarmaking van auditdocumenten (deels) weigeren om zo het belang van de organisatie en de uitoefening van de werkzaamheden niet te schaden.

De WOB biedt dus mogelijkheden om de uitoefening van het auditvak te beschermen. De WOB biedt voldoende aanknopingspunten voor de auditor om vertrouwelijkheid richting de auditee en opdrachtgever te garanderen en ook de methode van onderzoek te

In het geval een journalist in de zoektocht naar een auditrapport rechtstreeks contact opneemt met de auditdienst is het verstandig contact op te nemen met de directie voorlichting. Deze is op de hoogte van de te volgen stappen in de WOB-procedure. «

MAGAZIEN 22

deauditorvandetoekomsT

deauditorvandetoekomsT

De Auditor van de

toekomst

Hoe groen zijn datacenters? Welke elementen spelen hierbij een rol? En hoe kom je tot een raamwerk waarmee je de mate van groenheid van een datacenter kunt auditen? Ender Atalay en Marnix Eedens, IT-auditors bij de Rijksauditdienst, weten hier alles van. Zij deden hier in het kader van hun postgraduate IT-audit opleiding onderzoek naar. ZIEN(*) sprak met hen over de resultaten van het onderzoek en de link tussen theorie en praktijk. Door Sander van der Kraan

Wat voorafging De opwarming van de aarde staat de laatste jaren volop in de belangstelling. Bekende persoonlijkheden als Bill Clinton en Al Gore werpen zich op om de klimaatverandering onder de aandacht te brengen en overheden en het bedrijfsleven te bewegen hier hun verantwoordelijkheid in te nemen. Ook de film “The Age of Stupid”, die binnenkort in première zal gaan, besteedt aandacht aan de klimaatverandering. De film zal een doomscenario schetsen hoe in het jaar 2055 onze planeet volledig onleefbaar zal zijn. Tegen de achtergrond van deze wereldproblematiek waren Ender Atalay en Marnix Eedens bezig met hun IT-audit studie. Toen midden 2008 het punt aangebroken was om te gaan afstuderen was na een brainstorm met hun leidinggevende het onderwerp snel gevonden. Want ook de IT-sector moet haar verantwoordelijkheid nemen en wat is nu mooier om hier als auditor aan bij te dragen? Ender en Marnix: We waren beiden enthousiast over de mogelijkheden van groene ICT. Als je de sector bekijkt, dan is veel hardware geconcentreerd in datacenters. Hier hebben bedrijven hun servers en apparatuur draaien die er o.a. voor zorgen dat jij en ik het internet op kunnen. Je kunt je voorstellen dat het energieverbruik van die datacenters enorm is. Zo blijkt uit een onderzoek dat Niels Sijpheer in 2008 uitvoerde dat het energieverbruik van datacenters en ICT in onze kantoren in Nederland over dat jaar goed was voor het stroomverbruik van 875.000 huishoudens. De keuze voor ons onderzoek was dan ook snel gemaakt! Marnix: Iedereen is zich bewust dat het probleem van de klimaatverandering er is en dat we daarom zuiniger met de aarde moeten omgaan, waaronder onze energie schoner maken en ons energie-

MAGAZIEN 23

verbruik terugdringen. Vanuit overheden zie je al diverse initiatieven op het gebied van energiebesparende maatregelen, zoals het doorvoeren en het invoeren van energieklassen voor diverse producten. Denk daarbij aan het energielabel voor woningen en auto’s, maar ook huishoudelijke producten zoals wasmachines en vaatwassers. Hoewel enkele datacenters zich voorzichtig bezighouden met groen worden, zie je nog geen labeling die aangeeft of en zo ja hoe groen zo’n datacenter dan is. Ender: De auditor kan daarbij een rol spelen door het datacenter aan de hand van een raamwerk te onderzoeken. Naar de elementen die samen dit raamwerk moeten vormen hebben wij onderzoek gedaan. De volgende stap is het aanbrengen van de labeling. Naar dat laatste moeten wij nog onderzoek doen. Hoe hebben jullie het onderzoek opgezet? Marnix: De centrale vraag in ons onderzoek is welke elementen het raamwerk dient te bevatten om te kunnen onderzoeken of een datacenter groen is. Om onze onderzoeksvraag te beantwoorden zijn we als eerste de theorie in gedoken en hebben we bestaande richtlijnen op gebied van energiebesparing binnen de ICT bekeken. Denk daarbij bijvoorbeeld aan het Energie Star label voor monitoren. Ender: En niet te vergeten de ‘Code of Conduct on Data Centres Energy Efficiency’, welke op initiatief van de Europese Unie is opgesteld. Deze code is op dit moment de meest gangbare richtlijn. Belangrijke stakeholders binnen de ICT-branche hebben meegewerkt om tot die uiteindelijke code te komen. Aan de hand van literatuurstudie hebben we eerst een theoretisch raamwerk opgesteld.

Marnix: Het raamwerk bestaat uit elementen die de mate van groenheid van een datacenter bepalen. Daarbij hebben we een aantal categorieën onderscheiden. De eerste categorie zijn de niet IT-gerelateerde elementen. Hieronder vallen beleidsmatige elementen, afspraken en monitoring t.a.v. energie-efficiënte en de locatie en het ontwerp van het gebouw. De tweede categorie zijn de IT-gerelateerde elementen. Hieronder vallen koeling en klimaat, voeding (UPS) en hard- en software. Om een paar elementen eruit te pakken. Zo kun je bij locatie en ontwerp van het gebouw denken aan het gebruik van energiezuinige lampen (bijvoorbeeld LED) en kun je bij koeling denken aan het gebruik van natuurlijke hulpbronnen zoals een waterstroom in de buurt die het koelsysteem van het gebouw koelt. Ender: In Nederland is de temperatuur van de buitenlucht bijvoorbeeld zeer geschikt om een gebouw koeler te maken. Gedurende 90% van het jaar is de lucht koel genoeg om voor dit doel te gebruiken. Marnix: Daarna werd het tijd voor praktijkonderzoek. Dit hebben we gedaan door het raamwerk aan enkele grote spelers op de datacentermarkt voor te leggen. Ender: Naast een toets op het raamwerk stelden we daarbij ook de vraag welke elementen uit het raamwerk zij zouden toepassen. Hieruit bleek dat het van belang is om per bedrijf te kijken welke elementen je uit het raamwerk kunt toepassen. Ieder bedrijf is namelijk verschillend. Uiteraard moet je dan beargumenteren waarom je een maatregel niet toepast. Marnix: Als je die keuzes maakt met het doel om energie te besparen, dan zijn uiteraard de continuïteit en de beschikbaarheid van je dienstenverlening ook van belang. Denk bijvoorbeeld aan mogelijke risico’s bij virtualisatie als oplossing om het aantal servers terug te dringen. Ender: Ook de veiligheid van gegevens mag niet uit het oog worden verloren. Kortom, kwaliteit en efficiëntie van de dienstverlening mogen niet uit het oog verloren worden. Hier is nog heel wat te winnen voor de auditor.

Ender: Kijken we naar ons onderzoek, dan zie je de overheid op dit vlak ook in beweging komen. Zo wordt er gekeken naar het terugdringen van datacenters (rekencentra). Men denkt richting een gezamenlijk datacenter voor heel het Rijk. Zo’n datacenter zou dan volgens de laatste normen kunnen worden ingericht. In het bedrijfsleven zie je verder dat de grote accountantskantoren op kleine schaal bezig zijn met dienstverlening rond MVO-, energieen duurzaamheidsvraagstukken. Wat gaan jullie doen met de resultaten van jullie onderzoek? Hoe breng je het in de praktijk? Marnix: Aangezien technologie snel verandert dient dit raamwerk actueel te worden gehouden. Kennisontwikkeling op het terrein van groene ICT blijft daarom van belang. Ender: Een logische vervolgstap voor ons onderzoek is dat op basis van het ontwikkelde raamwerk klassen worden aangebracht voor labeling, vergelijkbaar met die van auto’s. De vraag is vervolgens wie de certificering afgeeft. Als we kijken naar de praktijk binnen het Rijk dan zie je dat er nu al veel behoefte is aan advies en onderzoeken op gebied van de duurzaamheidsdoelstellingen. Hier kunnen, nee moeten we als auditdienst op inspelen! «

Hoe ziet de markt voor dit soort onderzoeken eruit? Zijn jullie de enigen die zich hierin hebben verdiept? Marnix: Als je naar de overheid kijkt dan zie je dat in het kader van CO2-reductie en energiebesparing steeds meer vraag komt naar ondersteunende dienstverlening. De overheid wil hierbij een voorbeeldpositie spelen. Dit blijkt uit de Kabinetsbrede Aanpak Duurzame Ontwikkeling (KADO) die door de minister van VROM en de minister van Ontwikkelingssamenwerking (OS) aan de Tweede Kamer is gestuurd. In deze zogenaamde KADO-brief geeft het Kabinet Balkenende IV invulling aan de paragraaf 'Duurzaam moet je doen' uit het beleidsprogramma 2008 -2011. Wij voeren momenteel een pilot audit uit om te kijken in hoeverre het Ministerie van Financiën op koers ligt met de KADO-doelstellingen. Een van die doelen is jaarlijks een energiebesparing te behalen van 2% ten opzichte van het voorgaande jaar, met als einddoel 25% reductie in 2020.

Ender Atalay (l) • Marnix Eedens (r)

MAGAZIEN 24

ARTIKEL

De auditor als strategisch adviseur?

!

timing Een kwestie van

Woensdag 16 september 2009 vond bij de Rijksacademie de rijksbrede operational auditdag plaats met als thema ‘De auditor als strategisch adviseur’. Het thema vloeit voort uit de visie van het IODAD en het door hen opgestelde 10-stappenplan1. Het thema was een schot in de roos gezien de grote opkomst. Door Elianne Koch & Karsten Klein

09 CONGRESAGENDA

Het audit traineeship

Een rijksbrede wens gaat in vervulling Door Hugo Elings

20 & 21 oktober Control van veranderingsprogramma's en (ICT-)projecten Apeldoorn • info: www.nivra.nl

28-30 oktober

EC IIA Conferentie 2009 thema Global Assurance: Oversight and Insight to Risk and Opportunities

Rome • www.iia.nl

3 november

In control statement en de publieke sector  Nieuwegein • info: www.nivra.nl

Volgens dagvoorzitter Joost Eerdmans is een strategisch adviseur ‘een luis in de pels’, een agendasettend en pro-actief persoon en iemand die zich kan verplaatsen in de politiek. Wat vonden de andere sprekers? Ton Annink (SG van Defensie) ging eerst in op de eenzame positie van een SG en daarna op zijn informatiebehoefte. Hij ziet de auditdiensten graag als gezelschap, als een Gideonsbende die in de organisatie het spel meespeelt waarin assertieve mensen werken met een gezonde dosis argwaan. Deze mensen kennen de feiten, hebben respect voor de feiten, weten hoe het zit, zijn onafhankelijk, hebben een eigen mening en laten die ook horen. Bovenal is de timing van groot belang. Wanneer breng je resultaten naar buiten en wanneer plan je een onderzoek? Deze duidelijke oproep van een topmanager voor een grotere en bredere rol van de auditor bleef niet ongehoord. Ton Annink gaf de deelnemers twee citaten mee uit een van zijn grootvader geërfd boekje met Twentse spreuken: Je wordt ‘Slimmer aan het werk dan van het werk’ en pas vooral niet toe ‘ik zeg maar zo, ik zeg maar niets’. Voor wie eens een dagje het ‘eenzame’ leven van een SG wilde meemaken werd door hem een prijsvraag uitgeschreven: voor degene die de meest boeiende opmerking van de dag zou maken zou de dienstauto van de SG (om 07:30) komen voorrijden! Jan van Praat (directeur Auditdienst van Justitie) informeerde de zaal kort over de IODAD-strategie. Hij vond vooral dat de auditor niet op de stoel van het management moet gaan zitten maar wel

kan meedenken. Zijn droom: het in continuïteit vaststellen dat het management in control is. Na afloop ontstond er een geanimeerde discussie of een auditor beleidsevaluaties kan uitvoeren. Tenslotte gaf Raymond Gradus (van het Wetenschappelijk instituut van het CDA en het Zijlstra center) een kijk in het snijvlak van wetenschap en de dagelijkse politieke werkelijkheid. Naar zijn mening ligt onze focus op doelmatigheid. Vooral het verschil tussen de twee werelden van de wetenschap en de ‘snelle’ adviseurs was heel inzichtelijk. Hij kon zich de auditdiensten – in navolging van het betoog van Annink – ook als gefundeerde Gideonsbenden voorstellen die met goed onderbouwde en gedocumenteerde oordelen komen. Na het ochtendgedeelte begon het interactieve middagdeel waarin de deelnemers twee workshops konden kiezen uit een aanbod van in totaal zeven workshops. De dag werd afgesloten door “Rope”: twee improvisatieacteurs die op een geestige manier noties van de dag weergaven. Tot slot inventariseerde Joost Eerdmans de meningen. Wat heeft het opgeleverd? Zijn de aanwezigen klaar om strategisch te adviseren en willen ze het? Sommigen beschouwen zichzelf al als strategisch adviseur. Anderen willen het graag worden. Weer anderen blijven liever auditor op de manier zoals ze het nu doen. En wat wil de meerderheid die de hand niet opsteekt…

Maar gaat het er eigenlijk nog om wat we zelf willen? «

5 november

Seminar Toezicht en audit bij de (lokale) overheid  Bussum • www.iia.nl

10 november IODAD-dag 2009, Amsterdam Na een maandenlange voorbereiding is het zover, op maandag 7 september 2009 is de eerste lichting van tien audittrainees begonnen aan hun rijksbrede traineeship. De trainees zijn de komende twee jaar in de drie verschillende disciplines werkzaam bij de auditdiensten binnen de rijksoverheid. Tijdens deze periode volgen zij een Post Master-opleiding en een intensief opleidingsprogramma op de Rijksacademie. Aan de hand van een pittige combinatie werken en leren, kunnen zij zich in rap tempo bekwamen in de wondere wereld van overheidsauditing. Het audit traineeship voorziet in de wens van het IODAD om werving en instroom van jong talent op een rijksbrede manier aan te pakken. Met niet minder dan 110 sollicitaties voor dit programma mag het een succes genoemd worden.

Amsterdam • info: www.rad.nl

12 november

Meer dan euro's alleen; Nieuwe kaders voor niet-financiële informatie (NIVRA-debatserie)  Amsterdam • info: www.nivra.nl

12 november

Effectiviteit van de organisatie van de internal audit en risk management functie  Amsterdam • www.iia.nl

25 november

Accountantsdag NIVRA 2009   Amsterdam • www.accountantsdag.nl

3 december

Nieuwe wegen voor de assurance van niet-financiële informatie  Amsterdam • www.nivra.nl

7 december

Evaluatie gewijzigde tolerantiegrenzen Den Haag • www.rijksacademie.nl

7-9 december

Mastercourse publieke sector VERA Den Haag • www.nivra.nl

Ik wens Barbara, Jasper, Joyce, Kavita, Mirjam, Ralf, Rui, Sabine en Toine een succesvolle en leerzame tijd toe binnen de rijksauditfunctie! Kijk voor meer informatie over het audit traineeship op http://www.rad.nl/001002/Audit_Traineeship/

14 december

Verantwoorden en auditen op basis van balans tussen regels en vertrouwen Den Haag • www.nivra.nl

16 december

Verslaglegging bij baten-lastendiensten Den Haag • www.rijksacademie.nl

16 december

Ledenvergadering NIVRA Zeist • www.nivra.nl

1

MAGAZIEN 25

Folder strategische conferentie IODAD (http://www.rad.nl/000904/Vergaderverslagen/IODAD) MAGAZIEN 26

ZIENKENNISNET

Sharing Knowledge

DOOR Rob Bouman

Op 4 september 2009 organiseerde ESAA (Erasmus School of Accounting & Assurance) haar jaarlijkse symposium als kick-off van het nieuwe collegejaar. In de zaal zaten ca. 400 deelnemers geboeid te luisteren naar een serie sprekers, die allen werden ingeleid door de dagvoorzitter prof. Gortemaker.

Als eerste spreker trad prof. Vosselman op, die inging op de interactie tussen “control” en “trust”. Control is een bureaucratisch mechanisme waarbij allerlei regels ervoor moeten zorgen dat iedereen in het gareel blijft. Die blijken echter geen garantie daarvoor te geven. Investeren in vertrouwen, gericht op de lange termijn relatie, voorkomt de neiging tot het dichttimmeren van alle risico’s en teveel controleren. Dhr. Kool, programmamanager bij de Belastingdienst, gaf vanuit zijn praktijkervaring aan dat dit blijkt te werken. Tijdens bezoeken aan bedrijven wordt gesproken over de problemen en wordt samen naar oplossingen gezocht. Er wordt vanuit gegaan dat de interne controle bij grote, professionele bedrijven op orde is, waardoor kan worden volstaan met horizontaal toezicht. Vervolgens gaf prof. Wallage in een vlammend betoog en met vele voorbeelden aan dat het met steeds meer regels reageren op incidenten leidt tot het zich daarachter verschuilen en het niet meer durven nemen van verantwoordelijkheid. Met een mooi woord: hypegiaphobia. Met o.a. verwijzingen naar de Belastingdienst maar ook naar bedrijven als Interpolis en Essent gaf hij negen regels voor Trust. Voor auditors is naast een goede dosis professional judgment ook een goede balans tussen hard en soft controls noodzakelijk. Uiteraard moet je niet uitgaan van blind vertrouwen, maar van geïnformeerd vertrouwen. Misbruik van vertrouwen moet snel en hard worden afgestraft. Daarna werd een paneldiscussie gevoerd. Diverse vragen werden door alle sprekers of de dagvoorzitter beantwoord. Prof. Cools, die niet aan de paneldiscussie deelnam, had een hele eigen invalshoek. Hij had alle boekhoudschandalen sinds 1600 (het VOC-tijdperk) onderzocht en kwam tot de conclusie dat controle goed is, maar vertrouwen beter. De oorzaak waarom iets misgaat is altijd gedrag, ondanks de regels. Via een inkijk in hoe de menselijke hersens werken bij het krijgen van beloningen beredeneerde hij dat. Zijn oplossing daarvoor is het creëren van gezamenlijke doelen en waarden waardoor een vertrouwensband ontstaat. De algehele conclusie van het symposium was derhalve dat vertrouwen het beste wapen is tegen boekhoudschandalen in plaats van meer regels. Of alle auditors al zo ver zijn dat ze dit ook direct gaan toepassen durf ik echter sterk te betwijfelen.