Strategisch controleplan Gemeente Dordrecht Geactualiseerd voor 2010 en verder
18 augustus 2010 SBC/CC/Auditteam
1
1. Aanleiding voor actualisatie Dit strategisch controleplan betreft een actualisatie van het plan uit 2007. Het plan werd destijds opgesteld om de capaciteit van het auditteam van het SBC zo effectief mogelijk aan te wenden ten behoeve van de controle op de rechtmatigheid van de meest risicovolle gemeentelijke processen. Nu, drie jaar later, is er als gevolg van interne en externe ontwikkelingen behoefte dit strategisch controleplan te actualiseren. Het geactualiseerde plan is zodanig opgezet dat zij minimaal voor de komende drie jaar een deugdelijke grondslag biedt voor de uit te voeren audits. Achtereenvolgens komen aan de orde: • De verbijzonderde interne controlefunctie (hoofdstuk 2) • De controleaanpak in hoofdlijnen (hoofdstuk 3); • De procedure tot selectie van de audits gebaseerd op risico analyse (hoofdstuk 4); • De geselecteerde audits op basis van de hiervoor genoemde stappen (hoofdstuk 5). 2. De verbijzonderde interne controlefunctie IC en verbijzonderde IC Met interne controle (IC) wordt gedoeld op de controleactiviteiten die als waarborg in de administratieve organisatie (AO) zijn ingebouwd.1 Een deugdelijke AO/IC vormt de basis voor een betrouwbare informatievoorziening, die van belang is voor het besturen van de organisatie en voor het afleggen van verantwoording door het College aan de Raad. IC wordt zoveel als mogelijk gedaan tijdens en binnen de uitvoering van de AO (werkprocessen) met zichtbare vastlegging van de resultaten. Bij verbijzonderde IC heeft iemand van buiten het betreffende werkproces zichtbaar, dat wil zeggen waarneembaar door derden, een controle uitgevoerd op de naleving van de AO/IC.2 De accountant Voor de accountant is de kwaliteit van de AO en (verbijzonderde) IC bepalend voor de noodzakelijke breedte en diepgang van zijn controle. Hoe hoger de kwaliteit van de AO en (verbijzonderde) IC, hoe minder controlewerkzaamheden de accountant hoeft uit te voeren om een accountantsverklaring bij de gemeentelijke jaarrekening te kunnen afgeven. Sinds 2004 moet die verklaring ook een rechtmatigheidsoordeel bevatten. Onder rechtmatigheid wordt verstaan dat de in de jaarrekening verantwoorde lasten, baten en balansmutaties rechtmatig tot stand zijn gekomen, dat wil zeggen "in overeenstemming zijn met de begroting en met de van toepassing zijnde wettelijke regelingen, waaronder gemeentelijke verordeningen".3 Het auditteam De opdracht van de Raad aan de accountant is zo geformuleerd dat deze zijn controle zo doelmatig mogelijk kan uitvoeren. Dit betekent dat de accountant uit moet kunnen gaan van een toereikende AO/IC. Dit zou niet alleen moet blijken uit de opzet (werkprocesbeschrijvingen) maar ook uit de controles op het bestaan en de werking van die AO/IC (verbijzonderde IC). De verbijzonderde ICfunctie is sinds 2005/2006 belegd bij het auditteam van het SBC. Het uit drie fte bestaande team valt eigenstandig onder de verantwoordelijkheid van de stadscontroller. De missie van het auditteam is het voorzien in de behoefte aan controle en advies, zodat het College de verantwoordelijkheid met betrekking tot de begrotingsuitvoering kan dragen.
1
De AO omvat het gehele complex van organisatorische maatregelen, inclusief het stelsel van maatregelen van IC, dat erop is gericht binnen organisaties een betrouwbare gegevensverwerking te realiseren. 2 Het volgende voorbeeld dient ter verduidelijking van het verschil tussen IC en verbijzonderde IC. Alvorens de gemeente een subsidieaanvraag in behandeling neemt, beoordeelt een medewerker van het Subsidiebureau of de aanvragende instelling alle benodigde stukken heeft bijgevoegd. De uitkomst hiervan legt hij vast in het zaaksysteem. Na afhandeling kan de aanvraag in de steekproef van de verbijzonderde interen controle terecht komen. Een medewerker die geen taak heeft in het subsidieproces zal dan controleren of de in het zaaksysteem vastgelegde uitkomst van de beoordeling of alle benodigde stukken zijn bijgevoegd, juist is. De verbijzonderde IC medewerker zal zijn bevindingen in een controledossier vastleggen. 3 Artikel 213 Gemeentewet stelt dat de accountantsverklaring bij de jaarrekening een oordeel moet geven over: • de getrouwe weergave van de baten en lasten en de activa en passiva; • de rechtmatige totstandkoming van de baten en lasten en balansmutaties (in overeenstemming met zowel de begroting als de wettelijke regelingen, waaronder gemeentelijke verordeningen); • de inrichting van het financieel beheer en de financiële organisatie (maken deze een getrouwe en rechtmatige verantwoording mogelijk?); • het in overeenstemming zijn met het Besluit Begroting en Verantwoording Provincies en Gemeenten; • de verenigbaarheid van het jaarverslag met de jaarrekening.
2
De taken van het auditteam zijn in hoofdlijnen tweeledig: 1. de regie en coördinatierol voor de AO/IC binnen de gemeente en 2. het uitvoeren van interne controles (audits) die tot doel hebben vast te stellen dat de begrotingsuitvoering voldoet aan de gestelde criteria van rechtmatigheid, maar van waaruit ook wordt geadviseerd over maatregelen ter verbetering van de geconstateerde tekortkomingen. Het doel is dus tweeledig (dual purpose): a. het vaststellen van de rechtmatigheid, b. het verbeteren van de kwaliteit van de AO/IC (processen) in de toekomst.
3. De controleaanpak in hoofdlijnen Gegevensgerichte controleaanpak Een controleaanpak is in het algemeen onder te verdelen naar gegevens- en systeemgericht. Een gegevensgerichte aanpak richt zich op de uitkomsten van een proces. Aangezien de uitkomsten hun neerslag vinden in de financiële administratie (en uiteindelijk in de jaarrekening), is de controle bij een dergelijke aanpak primair op de gegevens in die administratie gericht. De accountant van de gemeente zal dan ook altijd gegevensgerichte werkzaamheden moeten uitvoeren om tot een accountantsverklaring bij de jaarrekening te kunnen komen. Systeemgerichte controleaanpak Bij een systeemgerichte aanpak wordt de doelstelling van de controle bereikt door een beoordeling van de opzet en werking van de AO/IC. De filosofie achter een dergelijke aanpak is dat de omvang van de gegevensgerichte werkzaamheden verminderd kan worden, indien gesteund wordt op de in de processen opgenomen controlemaatregelen. De verbijzonderde interne controles van het auditteam dienen bij voorkeur uitgevoerd te worden volgens een systeemgerichte aanpak, omdat de focus niet alleen ligt op de uitkomsten van het proces maar ook op het proces zelf. Hiermee wordt bereikt dat naast het vaststellen van de rechtmatigheid van de begrotingsuitvoering ook geadviseerd kan worden over de mogelijkheden tot verdere verbetering van de bedrijfsprocessen. Zeven stappen De strategische keuze van het auditteam voor controle op processen (de controleobjecten) vloeit ook voort uit het feit dat de controle op de uitkomsten primair een taak is van de accountant. Bij elk controleobject bestaat de controleaanpak uit de volgende zeven stappen, die in bijlage 2A nader zijn beschreven4: 1. Het opstellen van een controleplan; 2. Het identificeren van de risico’s; 3. Het inventariseren van de beheersmaatregelen; 4. Het toetsen van de werking van de beheersmaatregelen; 5. Het inschatten van de restrisico’s; 6. Het uitvoeren van gegevensgerichte detailcontroles ter toetsing van de uitkomsten; 7. Het rapporteren.
4. De procedure voor een strategische keuze van audits Selectiecriteria Om de auditcapaciteit zo effectief mogelijk aan te wenden zal een keuze gemaakt moeten worden in de uit te voeren audits. Die keuze is nodig, omdat het - gezien het aantal en de complexiteit van de processen - niet mogelijk is om elk jaar de opzet, het bestaan en de werking van de beheersmaatregelen van alle processen te toetsen. De selectie zal ten eerste gebaseerd zijn op een risicoanalyse. Hiermee wordt bereikt dat de auditcapaciteit wordt ingezet op de gebieden waar de grootste risico’s voor de rechtmatigheid te verwachten zijn. Daarnaast spelen ook factoren als plaats van de AO/IC (gemeente en/of regio) en managementbehoefte een belangrijke rol bij de selectie van audits. Al deze factoren bij elkaar bepalen uiteindelijk het frequentieschema, waarin de controleaanpak uit hoofdstuk 3 (systeemgericht en gegevensgericht) ook weer naar voren komt.
4
In feite kan de controleaanpak onderverdeeld worden naar drie te controleren aspecten. Het eerste aspect betreft de beoordeling van de opzet van een proces, dat wil zeggen hoe zit een proces in elkaar en welke beheersmaatregelen zijn getroffen (stappen 2 en 3 van de controleaanpak). In de tweede plaats kan getoetst worden of de in het proces opgenomen beheersmaatregelen ook daadwerkelijk bestaan en werken zoals opgezet (stappen 4 en 5 van de controleaanpak). In de derde plaats kunnen de uitkomsten van het proces op rechtmatigheid worden gecontroleerd (stap 6 van de controleaanpak).
3
Risicoanalyse Na het inventariseren van de controleobjecten (de processen achter de financiële stromen) worden per proces de risicofactoren op het gebied van de rechtmatigheid ingeschat. Het betreft de volgende vijf risicofactoren, die in bijlage 2B nader zijn beschreven: a. Financieel belang; b. Regelgeving; c. Gegevens van derden; d. Ervaringen uit het verleden; e. Externe invloeden. De uitkomst van de risico-analyse is een rangschikking van de processen van hoog via gemiddeld naar laag risico. Die rangschikking vormt de basis voor de selectie van de processen die aan een audit onderworpen gaan worden. Plaats van de AO/IC De afgelopen jaren zijn, als gevolg van mandatering en delegatie van taken, delen van de AO/IC verplaatst naar diverse Gemeenschappelijke Regelingen. De financiële stromen die met die taken gemoeid zijn, maken echter onveranderd deel uit van de gemeentelijke jaarrekening. Dat betekent dat de gemeente eindverantwoordelijk blijft voor de rechtmatige totstandkoming van ook die baten en lasten. Anders gezegd: de gemeente blijft systeemverantwoordelijk, terwijl de proces- en taakverantwoordelijkheden nu (gedeeltelijk) buiten de gemeente kunnen liggen.5 Hier uit vloeit voort dat de Gemeenschappelijke Regelingen verantwoordelijk zijn voor de (verbijzonderde) interne controle op die (delen van) processen die daar worden uitgevoerd6. De eindverantwoordelijkheid (systeemverantwoordelijkheid) blijft echter bij de gemeente7. De gemeentelijke eindverantwoordelijkheid voor naar de regio verplaatste AO/IC is voor het auditteam van het SBC een belangrijke reden om op het terrein van verbijzonderde IC naar samenwerking in de regio te zoeken. In het geval een proces geknipt is (een deel vindt bij de gemeente en een ander deel vindt bij een Gemeentelijke Regeling plaats) kan die samenwerking vorm krijgen door het gezamenlijk uitvoeren van één audit op het gehele proces. Dit is efficiënter dan dat elke organisatie afzonderlijk van elkaar een eigen audit naar een deel van het proces uitvoert. De samenwerking kan nog verder verbreed worden door bij zo’n gezamenlijke audit ook andere gemeenten te betrekken die aan de GR deelnemen.8 Managementbehoefte Naast de min of meer “verplichte” audits gericht op een rechtmatige begrotingsuitvoering, kunnen ook zogenaamde ad hoc audits worden onderscheiden, dat wil zeggen audits die niet expliciet voor of aan het begin van het desbetreffende jaar zijn gepland, maar waaraan het management bij het realiseren van een optimale beheersing van de organisatie wel behoefte heeft. In dit strategisch meerjaren plan is een zekere ruimte voor het uitvoeren van dergelijke ad hoc audits vrijgehouden. Deze insteek ligt geheel in de lijn van de flexibele manier van werken die het SBC nastreeft. Afhankelijk van de situatie (is een proces op orde of niet) kan worden overgegaan tot een ad hoc audit. Het is een tijdelijke en in principe eenmalige verbijzonderde interne controle die na procesverbetering weer aan het verantwoordelijke organisatieonderdeel wordt toevertrouwd (op basis van vertrouwen en verantwoordelijkheid). Frequentieschema Zoals aan het begin van dit hoofdstuk is gesteld, is het niet effectief om alle processen jaarlijks te controleren. Om die reden wordt er gebruik gemaakt van een frequentieschema, dat als volgt luidt: Processen met hoge risico’s • Eens in de drie jaar worden de opzet, het bestaan en de werking van de interne beheersmaatregelen in de administratieve organisatie gecontroleerd (systeemgerichte controle). In één van de twee overige jaren wordt nogmaals de opzet van de beheersmaatregelen beoordeeld. Komen uit deze beoordeling geen belangrijke wijzigingen naar voren, dan wordt hiermee volstaan en blijft de controle van bestaan en werking achterwege. • Jaarlijks worden de uitkomsten van het proces op rechtmatigheid gecontroleerd door middel van een deelwaarneming (gegevensgerichte controle). 5
Zie bijlage 2C voor een nadere uitleg van de begrippen systeem-, proces- en taakverantwoordelijkheid. Bij voorkeur zijn hierover in dienstverleningsovereenkomsten goede afspraken gemaakt. 7 Zie hiervoor ook de “notitie gelden door derden” van het Platform Rechtmatigheid (www.platformrechtmatigheid.nl) 8 Voor zo’n brede samenwerking komt bijvoorbeeld de audit naar het crediteurenproces in aanmerking komt. 6
4
Processen met gemiddelde risico’s • Eens in de zes jaar worden de opzet, het bestaan en de werking van de interne beheersmaatregelen in de administratieve organisatie gecontroleerd (systeemgerichte controle). In één van de vijf overige jaren wordt nogmaals de opzet van de beheersmaatregelen beoordeeld. Komen uit deze beoordeling geen belangrijke wijzigingen naar voren, dan wordt hiermee volstaan en blijft de controle van bestaan en werking achterwege. • Tweejaarlijks worden de uitkomsten van het proces op rechtmatigheid gecontroleerd door middel van een deelwaarneming (gegevensgerichte controle). Als de uitkomsten van de controle onvoldoende zijn, dan wordt risicoprofiel van het proces aangepast en niet langer als gemiddeld maar als hoog aangemerkt.
5. Het meerjaren controleplan In het vorige hoofdstuk is onder andere een relatie gelegd tussen processen en risico’s. Daarbij is echter nog niet aan de orde gesteld dat een risico-inschatting in de loop van de tijd kan wijzigen. Een proces dat op dit moment als hoog risico wordt aangemerkt, kan bijvoorbeeld door het treffen van interne beheersmaatregelen een risico-inschatting van gemiddeld krijgen. Het auditteam zal daarom jaarlijks een risico analyse op gemeentelijk niveau uitvoeren om de risico’s in kaart te brengen en hiermee rekening te houden in het jaarlijkse controleplan. In een dergelijk jaarplan worden alle controles van de processen opgenomen, dus ook de processen met een laag risico. In dit laatste hoofdstuk van het strategisch controleplan zal worden aangegeven welke processen met een risico-inschatting hoog of gemiddeld in welk jaar object van controle zijn. Daartoe zijn in bijlage 1 de processen geïnventariseerd, onderscheiden naar gemeentelijke, gemengde en GRaudits en aan een risicoanalyse onderworpen. Het navolgende meerjaren controleplan is hiervan de resultante. Daarbij is rekening gehouden welk frequentieschema van toepassing is. In het jaarlijkse controleplan zal per controleobject een schatting worden gemaakt van de benodigde tijd, rekening houdend met doel en reikwijdte van de audit. Voorts wordt daarin per controleobject een nadere toelichting opgenomen van het proces, de doelstelling van de controle en de van toepassing zijnde controlecriteria. In bijlage 2D is hiervoor een format opgenomen. Processen met hoog risico
2010
2011
2012
2013
2014
2015
Inkoop en aanbesteding *) • Opzet, bestaan en werking • Opzet • Gegevensgericht Crediteurenproces *) **) • Opzet, bestaan en werking • Opzet • Gegevensgericht Grondexploitaties *) • Opzet, bestaan en werking • Opzet • Gegevensgericht Naleving treasurystatuut *) **) • Opzet, bestaan en werking • Opzet • Gegevensgericht Subsidieverstrekkingen *) • Opzet, bestaan en werking • Opzet • Gegevensgericht Sturing • • •
op Verbonden Partijen *) Opzet, bestaan en werking Opzet Gegevensgericht
5
Processen met gemiddeld risico
2010
2011
2012
2013
2014
2015
Ondersteunende processen *) **) • Opzet, bestaan en werking • Opzet • Gegevensgericht Vastgoedbeheer *) • Opzet, bestaan en werking • Opzet • Gegevensgericht Mutaties in reserves en voorzieningen *) • Opzet, bestaan en werking • Opzet • Gegevensgericht Entreegelden *) • Opzet, bestaan en werking • Opzet • Gegevensgericht Belastingen, heffingen en leges *) **) • Opzet, bestaan en werking • Opzet • Gegevensgericht Personeelsbeheer *) **) • Opzet, bestaan en werking • Opzet • Gegevensgericht
*) komt bij elke gemeente voor; mogelijkheid om samen te werken met andere gemeenten **) geknipt proces; efficiënt om samen te werken met SCD
6
BIJLAGE 1: Inventarisatie processen, plaatsbepaling AO/IC en risicoanalyse voor 2010 en verder
A. Het inventariseren van de financiële stromen en achterliggende hoofd- en ondersteunende processen, inclusief plaatsbepaling Rechtmatigheid betreft het naleven van wet- en regelgeving. Het toetsen van de rechtmatigheid is mogelijk per wet- en regelgeving, per sector, per programma, per product en per financiële stroom of proces. In het algemeen verdient de toetsing per proces de voorkeur. Zo is het proces inkopen gebaseerd op diverse wetten en loopt dit proces door verschillende sectoren, programma’s en producten heen. Door een proces te selecteren en deze op rechtmatigheid te toetsen, worden dezelfde lasten verspreid over de sectoren, gelijktijdig beoordeeld. Een proces kan worden omschreven als een verzameling aan elkaar gerelateerde activiteiten die op een planmatige wijze worden afgehandeld teneinde een vooraf gedefinieerd resultaat te realiseren. In deze bijlage is een overzicht van de belangrijkste processen van de gemeente opgenomen, gebaseerd op de financiële stromen in de gemeentelijke jaarrekening. Bovendien is per hoofd- en ondersteunend proces aangegeven waar de AO/IC zich bevindt, bij de gemeente of ondergebracht bij een regionaal onderdeel. Financiële stromen in gemeentelijke jaarrekening Bijdragen aan (onderdelen van) Gemeenschappelijke Regelingen, zoals het SCD, de MZHZ en de VR Kapitaallasten (rente en afschrijving) Subsidieverstrekkingen
Uitkeringen WSW-uitgaven Personeelslasten
Investeringen in (on)roerende zaken (activa) en overige kosten (o.a. inhuur derden)
Algemene uitkering incl. doeluitkeringen, WWB (inkomens- en werkdeel), WSW-bijdrage e.d.
Hoofdprocessen
Plaats AO/IC hoofdprocessen
Ondersteunende processen
Sturing op Verbonden Partijen middels het vorm geven aan de contramalfunctie (sturing op basis van DVO’s) **) Beheer kapitaalgoederen
Gemeente
A.O.P. *) Tussenrekeningenbeheer Crediteurenbeheer Betaalproces A.O.P. *)
Plaats AO/IC ondersteunend processen SCD en gemeente SCD en gemeente SCD en gemeente SCD SCD en gemeente
Uitvoering subsidieverordeningen, inclusief leerlingenvervoer
Gemeente
A.O.P. *) Tussenrekeningenbeheer Crediteurenbeheer Betaalproces
SCD en gemeente SCD en gemeente SCD en gemeente SCD
Verstrekken uitkeringen Uitvoeren sociale werkvoorziening Personeelsbeheer
SDD Drechtwerk
• Aankopen en bouwrijp maken van grond • Aankoop en onderhoud gebouwen en materieel • Inkoop en aanbesteding Subsidieontvangsten (deels verantwoording middels SiSa)
Gemeente
A.O.P. *) Tussenrekeningenbeheer Betaalproces A.O.P. *) Crediteurenbeheer Betaalproces
SCD SCD SCD SCD SCD SCD
A.O.P. *) Tussenrekeningenbeheer Ontvangstverwerking
SCD en gemeente SCD en gemeente SCD
Gemeente
SCD en gemeente
Gemeente
en gemeente en gemeente en gemeente en gemeente
7
Financiële stromen in gemeentelijke jaarrekening Lokale belastingen, heffingen en leges
Opbrengsten uit ondernemersactiviteiten
Aantrekken en Uitzetten van gelden Mutaties in reserves en voorzieningen
Hoofdprocessen
Plaats AO/IC hoofdprocessen
Ondersteunende processen
• Oplegging en inning van belastingen, heffingen en leges • Vergunningverlening en handhaving • Verstrekkingen Burgerzaken • Verkopen/pachten/huren van onroerende zaken (grondexploitatie en vastgoedbeheer incl. onderwijshuisvesting) • Entreegelden (parkeren, zwemmen, theater, e.d.) Treasury en cashmanagement
GBD / gemeente
A.O.P. *) Tussenrekeningenbeheer Debiteuren- en incassobeheer Ontvangstverwerking Kasprotocollen
• Begrotingsproces • Besluitvorming en validatie
Gemeente
MZHZ / gemeente (afhankelijk van soort) Gemeente
SCD en gemeente
Plaats AO/IC ondersteunend processen SCD en gemeente SCD en gemeente SCD en gemeente SCD Gemeente en SCD
A.O.P. *) Tussenrekeningenbeheer Debiteuren- en incassobeheer Ontvangstverwerking Kasprotocollen
SCD en gemeente SCD en gemeente
A.O.P. *) Ontvangstverwerking Betaalproces A.O.P. *)
SCD en gemeente SCD SCD SCD en gemeente
SCD en gemeente SCD Gemeente en SCD
*) A.O.P. staat voor algemeen ondersteunende processen (A.O.P.). Deze algemeen ondersteunende processen vinden zowel bij het SCD als de gemeente plaats. Tot de A.O.P. worden gerekend: • Administratie, dossiervorming en archivering (vastlegging) en Automatisering (beveiliging) • Risicomanagement (Naris) en Control, inclusief projectcontrol (budgetbewaking en begrotingsrechtmatigheid) • Verslaglegging en P&C-cyclus (BBV en andere verslaggevings- en waarderingsvoorschriften) **) Een aantal hoofdprocessen komen ook bij de Verbonden Partijen zelf voor, zoals bijvoorbeeld inkoop en aanbesteding. Dit biedt kansen voor samenwerking, zeker op het gebied van auditing.
8
B. Onderscheid gemeentelijke, gemengde en GR-audits Gemeentelijke audits (worden mogelijk ook door andere regionale partijen zelfstandig uitgevoerd, dus kansen op samenwerking) 1. Sturing op Verbonden Partijen 2. Beheer kapitaalgoederen 3. Uitvoering subsidieverordeningen, inclusief leerlingenvervoer 4. Aankopen en bouwrijp maken van grond 5. Aankoop en onderhoud gebouwen en materieel 6. Inkoop en aanbesteding 7. Subsidieontvangsten 8. Oplegging en inning van belastingen, heffingen en leges 9. Vergunningverlening en handhaving 10. Verstrekkingen Burgerzaken 11. Verkopen/pachten/huren van onroerende zaken (grondexploitatie en vastgoedbeheer incl. onderwijshuisvesting) 12. Entreegelden (parkeren, zwemmen, theater en overige kaartverkopen) 13. Begrotingsproces, Besluitvorming en validatie t.a.v. reserves en voorzieningen (o.a. middels onderhoudsplanningen) Gemengde audits op geknipte processen*) / accountantsmededeling bij het SCD-deel van de processen 1. Algemeen ondersteunende processen (A.O.P.) 2. Tussenrekeningenbeheer 3. Crediteurenbeheer 4. Personeelsbeheer 5. Vergunningverlening en Handhaving 6. Debiteuren- en incassobeheer 7. Kasprotocollen 8. Treasury en cashmanagement 9. Betaalproces 10. Ontvangstverwerking *) Het is ondoelmatig om geknipte processen ook geknipt te auditten, dus deels in een gemeentelijke audit en deels in een GR-audit. GR-audits en/of accountantscontroles (al dan niet via SiSa leidend tot accountantsverklaringen bij regionale onderdelen) 1. Verstrekken uitkeringen (SDD, SiSa) 2. Uitvoeren sociale werkvoorziening (Drechtwerk, SiSa) 3. Oplegging en inning van belastingen, heffingen en leges (GBD)
9
C. Risicoanalyse: de inschatting van de risico’s per proces Om de auditobjecten (processen) te kunnen rangschikken op basis van risicobenadering is voor ieder proces vastgesteld welke van de vijf risicofactoren van toepassing zijn en tot welke inherente risico-inschatting dit leidt: een hoog, een gemiddeld of een laag risico.
RISICOFACTOREN Financieel belang
1
Algemeen ondersteunende processen (Financiële) Administratie
Regelgeving
GEMIDDELD
LAAG
X
Budgetbewaking en begrotingsrechtmatigheid
X
Verslaggeving (voorschriften)
X
Overige ondersteunende processen Beheer tussenrekeningen
X X
X
Debiteuren- en incassobeheer
X
Kasprotocollen
X
Betaalproces
HOOG
X
Automatisering (beveiliging)
Crediteurenbeheer
Externe invloeden
X
Dossiervorming en archivering
2
Gegevens Ervaringen derden verleden
Inschatting inherent risico
X
Ontvangstverwerking 3
Personeelsbeheer Indiensttredingen Uitdiensttredingen Wijzigingen dienstverbanden Salarisadministratie Vergoedingen en inhoudingen
X X
Detacheringen
10
RISICOFACTOREN Financieel belang
4
Treasury en cashmanagement Naleving treasurystatuut
Regelgeving
Gegevens Ervaringen derden verleden
X
Inschatting inherent risico Externe invloeden
HOOG
GEMIDDELD
LAAG
X
Leningenadministratie Liquiditeitenplanning 5
6
Sturing op Verbonden Partijen Sturing o.b.v. dienstverleningsovereenkomsten
X
X
Belastingen, heffingen en leges Opleggen van aanslagen (incl. kwijtschelden)
X
Innen belastingen en heffingen Uitvoeren M&O-beleid
X
Vergunningverlening en handhaving
X
X
Verstrekkingen Burgerzaken 7
8
Uitvoeren subsidieverordeningen, incl. leerlingenvervoer Subsidieverleningen X
X
Leerlingenvervoer
X
Uitvoering Sociale Zekerheid (SDD en Drechtwerk) Inkomensondersteuning
X
Reïntegratie (werk en scholing)
X
Zorg (WMO en schuldhulpverlening)
X
Sociale werkvoorziening (WSW)
X
Uitvoeren M&O-beleid 9
X
Subsidievaststellingen
X X X
Beheer kapitaalgoederen Materieelbeheer en onderhoud Waardering en afschrijving
11
RISICOFACTOREN Financieel belang
10
Grondexploitaties Aankoop gronden
Regelgeving
Gegevens Ervaringen derden verleden
X
Bodemsanering
Inschatting inherent risico Externe invloeden
HOOG
GEMIDDELD
LAAG
X X
Bouw- en woonrijp maken Huren en pachten van gronden Verkoop gronden
X
X
Verhuren en verpachten (erfpacht) van gronden Waardering gronden 11
X
Vastgoedbeheer, incl. onderwijshuisvesting Aankoop gebouwen Onderhoud gebouwen
X
X X
Huren van gebouwen Verkoop gebouwen
X
Verhuren van gebouwen 12
13
Inkoop en aanbesteding Aankoop materieel / Investeringen in werken
X
X
Inhuur derden
X
Inkoop leveringen en diensten
X
X
Subsidieontvangsten Aanvragen Verantwoorden
14
X
Entreegelden Parkeren (straat en garages)
X
Voorstellingen, tentoonstellingen, zwembaden 15
Mutaties in reserves en voorzieningen Begrotingsproces Besluitvorming en validatie
X
12
BIJLAGE 2: Vaktechniek Inhoud: A. Controleaanpak in zeven stappen B. Risicofactoren C. Systeem-, proces- en taakverantwoordelijkheid D. Format uitwerking controleobject in jaarlijkse controleplan
A. Controleaanpak in zeven stappen 1 Het opstellen van een controleplan In deze stap wordt inzicht verkregen in het proces. Hiertoe wordt een korte beschrijving of schematische weergave van het proces opgesteld. Aandachtspunten hierbij zijn: de doelstelling van het proces, de activiteiten en de input plus output per activiteit. Nadat dit inzicht is verkregen kan een controleplan worden opgesteld. Hierbij wordt ingegaan op de doelstelling en de reikwijdte van de controle, de te hanteren controletolerantie, de planning en de samenstelling van het controleteam. 2 Het identificeren van de risico’s Een risico is te omschrijven als de kans op een gebeurtenis dat de procesdoelstelling niet wordt gerealiseerd. Als wij spreken over financiële processen dan zal één van de doelstellingen zijn het waarborgen van de ordelijkheid en rechtmatigheid van de begrotingsuitvoering. Ordelijk wil zeggen juist, tijdig, volledig, geautoriseerd en controleerbaar. Rechtmatig wil zeggen in overeenstemming met de wet- en regelgeving. De risico’s worden geïdentificeerd per activiteit. In de praktijk is gebleken dat het identificeren van maximaal twee hoge risico’s per activiteit als toereikend is te beschouwen. 3 Het inventariseren van de beheersmaatregelen Aan de hand van interviews, procesbeschrijvingen e.d. wordt geïnventariseerd welke beheersmaatregelen zijn getroffen om de risico’s te mitigeren. Voorbeelden van beheersmaatregelen zijn functiescheiding, geprogrammeerde controles, herhaald uitvoeren van een handeling en autorisatie. Hierbij dient onderkend te worden dat één maatregel meerdere risico’s kan afdekken. Deze stap is beperkt tot de opzet van de beheersmaatregelen. De opzet heeft betrekking op het geheel van regels en procedures. 4 Het toetsen van de werking van de beheersmaatregelen Het toetsen van de werking van de beheersmaatregelen wordt verricht door het uitvoeren van systeemtests. Hierbij wordt per transactie het proces gevolgd en wordt vastgesteld dat de in opzet getroffen beheersmaatregel ook daadwerkelijk heeft gefunctioneerd. De omvang van de uit te voeren systeemtests wordt bepaald door het financieel belang en de inschatting van het risico. Hoe lager het risico is ingeschat des te meer bewijs dient verzameld te worden (door middel van de systeemtest) dat deze inschatting juist is. 5 Het inschatten van de restrisico’s Het restrisico is het risico dat overblijft na de getroffen beheersmaatregel. De inschatting van het restrisico is een combinatie van de kans dat het risico zich daadwerkelijk voordoet (na het effect van de beheersmaatregel) en de impact daarvan. Deze inschatting wordt gemaakt in termen van hoog, middel en laag. Het inzicht in de risico’s en de beheersmaatregelen biedt tevens aanknopingspunten voor de adviesfunctie. Er bestaat immers inzicht welke risico’s onvoldoende afgedekt zijn door beheersmaatregelen. Praktisch gezien betekent dit dat voor ieder inschatting als “Hoog” een advies voor de proceseigenaar kan worden opgesteld op welke wijze het risico verder gemitigeerd kan worden. 6 Het uitvoeren van gegevensgerichte controlewerkzaamheden De gegevensgerichte controles hebben tot doel vast te stellen dat de verantwoorde bedragen rechtmatig zijn. De omvang van de gegevensgerichte controles wordt bepaald door de van toepassing zijnde evaluatietolerantie, de uitkomsten van de systeemtests en de inschatting van het restrisico. Deze gegevensgerichte controles worden uitgevoerd aan de hand van checklisten. Er kunnen drie vormen van gegevensgerichte controles worden onderscheiden: cijferanalyse, controle aan de hand van bewijsstukken en de overige maatregelen (bijvoorbeeld cijfermatige aansluitingen, narekenen van cijferopstellingen). 7 Het rapporteren Als sluitstuk van de controle wordt een rapport uitgebracht. Dit rapport heeft de volgende indeling: inleiding (doel en reikwijdte van de audit), oordeel over enerzijds de mate waarin de risico’s worden beheerst en anderzijds of sprake is van een rechtmatige begrotingsuitvoering en tenslotte de detailbevindingen en aanbevelingen.
B. Risicofactoren 1 Financieel belang Bij de controle van de jaarrekening hanteert de accountant een goedkeuringstolerantie. Deze tolerantie is vastgesteld op 1% van het totaal van de lasten. Hiermee komt tot uitdrukking dat bij het bepalen van de risicogebieden rekening moet worden gehouden met het financieel belang van een proces.
13
2 Regelgeving Rechtmatigheid duidt onder andere op de mate waarin het gevoerde beheer in overeenstemming is met voorwaarden uit wet- en regelgeving. De kwantiteit en kwaliteit van die voorwaarden bepaalt het risico van onrechtmatig handelen, want hoe meer regelgeving hoe groter de kans dat hiervan wordt afgeweken. Een hoge kwaliteit van regelgeving (eenduidig, duidelijk en consistent) bevordert de rechtmatigheid. Nieuwe regelgeving vraagt in het algemeen om implementatie, interpretatie en gewenning en vormt een risico voor de rechtmatigheid. Dit laatste geldt ook voor complexe en/of uitgebreide regelgeving. 3 Gegevens van derden Uitkeringen en subsidies worden vastgesteld aan de hand van door derden verstrekte gegevens, op basis waarvan wordt bepaald of belanghebbende aan de voorwaarden voldoet. Intern dient getoetst te worden of de verstrekte gegevens betrouwbaar, juist en volledig zijn. De invulling van dit controlebeleid (misbruik en oneigenlijk gebruik: M&O)is een belangrijk rechtmatigheidsaspect, waarbij discussies kunnen ontstaan over de interpretatie van de voorwaarden of de effectiviteit van het controlebeleid. 4 Ervaringen uit het verleden De bevindingen uit eerdere audits of de bevindingen van de accountant kunnen een directe aanleiding zijn om een proces te selecteren. Daarnaast kunnen interne documenten die in het kader van de P&C cyclus worden opgesteld, zoals een bestuursrapportage, aanwijzingen bevatten om een proces te selecteren voor een audit. 5 Externe invloeden Bepaalde externe omstandigheden kunnen een risico vormen en van invloed zijn op de uitkomsten van processen. Zo dient de uitvoering de laatste jaren bijvoorbeeld meer en meer te voldoen aan externe regelgeving. Daarnaast wegen soms politieke of publieke belangen mee.
C. Systeem-, proces- en taakverantwoordelijkheid Systeemverantwoordelijkheid houdt in dat de gemeente de opzet van de AO/IC bepaalt en de beschrijving van de opzet vaststelt, dan wel dat de gemeente hieromtrent afspraken maakt met de Gemeenschappelijke Regeling aan wie de taken gemandateerd of gedelegeerd zijn. De procesverantwoordelijke bewaakt de uitvoering van de AO/IC (bestaat en werkt het proces in de praktijk overeenkomstig de beschreven opzet). Die bewaking kan onder andere vorm gegeven worden door (verbijzonderde) interne controle. Dit betekent dat de plaats van de AO/IC bepaalt of de gemeente of de Gemeenschappelijke Regeling verantwoordelijk is voor de uitvoering van een audit op het proces. De taakverantwoordelijken tenslotte zijn de daadwerkelijke uitvoerders van het proces. Vanuit de systeemverantwoordelijkheid dient de gemeente zorg te dragen voor actuele AO/IC-beschrijvingen. Deze vormen de basis voor een structurele waarborging van de rechtmatigheid. Binnen de gemeente zijn daartoe de proceseigenaren aangewezen die uit dien hoofde verantwoordelijk zijn voor een adequate opzet van het proces. Zij dienen er voor te zorgen dat processen zijn beschreven en periodiek worden geanalyseerd om te bezien of verbeteringen nodig zijn. Het auditteam heeft hierin een regie- en coördinatierol. Daarnaast zal het auditteam in die gevallen waar sprake is van de implementatie van verbeteringen, een audit op het verbeterde proces kunnen uitvoeren. Zo’n verbijzonderde interne controle heeft dan ten doel vast te stellen dat de versterkte opzet van de AO/IC daadwerkelijk functioneert. Benadrukt wordt dat de verantwoordelijkheid voor de interne controlemaatregelen die in het proces zijn opgenomen, niet bij het auditteam maar bij de systeemverantwoordelijke proceseigenaren ligt, bijvoorbeeld bij gemeentelijke sectoren of onderdelen van Gemeenschappelijke Regelingen.
D. Format uitwerking controleobject in jaarlijkse controleplan Controleobject:
Inschattting benodigde tijd:
Doelstelling en reikwijdte van de controle:
Toelichting:
Controlecriteria: 1. Calculatiecriterium: 2. Valuteringscriterium: 3. Leveringscriterium: 4. Adresseringscriterium: 5. Volledigheidscriterium: 6. Aanvaardbaarheidscriterium: 7. Begrotingscriterium: 8. Voorwaardencriterium: 9. Misbruik en Oneigenlijk gebruik criterium: 10. Juistheid: 11. Tijdigheid:
14
