Masterplan Interne Controle Financële Rechtmatigheid 2009

Geldend van 21-01-2009 t/m heden

Intitulé

Masterplan Interne Controle Financële Rechtmatigheid 2009

Hoofdstuk 1. Inleiding

Vanaf 1 januari 2009 zal de accountant, naast een oordeel van getrouwheid, de processen van het Waterschap Brabantse Delta (hierna: WBD) op rechtmatigheid gaan toetsen. Voor u ligt het Masterplan IC 2009 (hierna: Masterplan) van WBD, waarin expliciet op de controle op rechtmatigheid wordt ingegaan.

Het doel van dit Masterplan is om de samenhang in het kader van de interne controle op rechtmatigheid te beschrijven en aan te geven welke specifieke activiteiten in 2009 zullen worden ontwikkeld. Het Masterplan zal jaarlijks geactualiseerd worden.

Interne controle is een belangrijk middel om de naleving van interne werkprocessen vast te stellen. Ten aanzien van de controle op de getrouwheid is er in de processen en in de praktijk al sprake van allerhande interne controles die in de processen worden uitgevoerd. Denk aan functiescheiding tussen een beschikkende en controlerende functionaris. Verbijzonderde interne controle is hier een aanvulling op, gericht op een beoordeling of de beoogde interne controles in de processen daadwerkelijk worden uitgevoerd.

Als in dit document wordt gesproken over “interne controle” gaat het om deze laatst genoemde verbijzonderde interne controle. Worden de processen nageleefd, zoals opgesteld? Worden de controles in de processen uitgevoerd? De focus hierbij wordt gelegd op het voldoen aan financiële rechtmatigheid, waarmee dit document een aanvulling wil zijn op de reguliere controles in het kader van getrouwheid.

Hoofdstuk 2. Leeswijzer

In dit Masterplan komen achtereenvolgens de volgende onderwerpen aan de orde. In de komende derde paragraaf zal worden ingegaan op het totaalbeeld van de interne controle binnen WBD, hoe is deze georganiseerd. In de vierde paragraaf zal kort worden ingegaan op de verschillende stappen die tijdens de interne controle worden onderkend. In de daaropvolgende vijfde paragraaf zullen de zes belangrijkste risicogebieden van WBD – de zes belangrijkste processen – in relatie tot financiële rechtmatigheid worden benoemd, waarbij eveneens enkele noties zullen worden gegeven van de processen. In de laatste en zesde paragraaf zal de planning van de interne controle in 2009 worden weergegeven.

Hoofdstuk 3. Opzet interne controle

Voor de interne controle in het kader van de rechtmatigheidscontrole gelden binnen WBD een aantal kaders. Het Algemeen Bestuur (hierna: AB) stelt het controleprotocol voor de accountantscontrole vast. Een bijlage van het controleplan is het normenkader, waarin wordt aangegeven welke interne en externe regelgeving van toepassing is in het kader van de rechtmatigheidscontrole. Het normenkader wordt jaarlijks geactualiseerd.

Het normenkader wordt vervolgens intern in de organisatie geoperationaliseerd in een toetsingskader waarin per proces wordt aangegeven welke wet- en regelgeving van toepassing is en specifiek welke bepalingen van belang zijn voor de toetsing van de rechtmatigheidsaspecten (hier gelden specifiek de voorwaardencriteria recht, hoogte en duur). Het toetsingskader wordt intern opgesteld en komt terug in de controleplannen.

In het Masterplan worden de kaders voor de interne controle voor een specifiek jaar beschreven. Het Masterplan gaat in op het gehele proces van interne controle in het kader van financiële rechtmatigheid en kent een grote samenhang met de verschillende controleplannen per proces. Het Masterplan wordt door het DB vastgesteld.

Per proces wordt een controleplan opgesteld wat door de concerncontroller wordt beoordeeld en door het dagelijks bestuur wordt vastgesteld. Dit controleplan bevat de volgende elementen 1 :

  • -

    het onderdeel van het toetsingskader dat van toepassing is op het betreffende proces;

  • -

    de doelstelling van de interne controle;

  • -

    de aanpak van de interne controle;

  • -

    de periodiciteit van de interne controle;

  • -

    de belangrijkste risico’s van het proces;

  • -

    de belangrijkste key-controls in het proces;

  • -

    het aantal uit te voeren deelwaarnemingen;

  • -

    de uitvoering en rapportage van de interne controle.

Vooralsnog is bepaald dat alleen interne regelgeving onderdeel van de interne controle uitmaakt. Gedurende 2009 zal dit worden aangevuld met externe regelgeving. WBD zal hierin samen oplopen met de Unie. Tevens wordt in de loop van 2009 de focus van de controleplannen uitgebreid met de reguliere controles in het kader van getrouwheid.

Samenvattend ziet bovenstaande gevisualiseerd er als volgt uit:

afbeelding binnen de regeling

Hoofdstuk 4. Stappenplan Interne Controle

Op het moment dat (a) is bepaald welke processen zullen worden onderzocht en (b) de controleplannen met daarbij behorende checklisten opgesteld zijn, dienen de volgende stappen doorlopen te worden:

  • a)

    informeren functionele afdeling over opzet en inhoud van de interne controle;

  • b)

    uitvoeren eerste risicoanalyse;

  • c)

    uitvoeren interne controle door middel van beoordeling opzet en werking van de interne processen;

  • d)

    uitvoeren foutenanalyse;

  • e)

    bespreken resultaten met functionele afdeling;

  • f)

    rapporteren van bevindingen, formuleren van aanbevelingen en verbeterpunten;

  • g)

    bepalen van vervolgacties;

  • h)

    monitoring van de opvolging van vervolgacties en eventueel gerepareerde fouten.

Ad a) – Informeren functionele afdeling over opzet en inhoud van de interne controle

De afdeling(en) waar het proces wordt uitgevoerd worden geïnformeerd. Daarbij wordt een gesprek met de proceseigenaar aangegaan, wordt de opzet, inhoud en frequentie van de interne controle toegelicht en wordt aangegeven welke rol exact van de medewerkers wordt verwacht. Daarbij kan een afdelingshoofd/proceseigenaar desgewenst extra vragen in de checklist laten opnemen.

Na het bereiken van overeenstemming over de planning en de wijze waarop de organisatie bij de interne controle wordt betrokken, kan worden gestart met het uitvoeren van de eerste risicoanalyse.

Ad b) – Uitvoeren eerste risicoanalyse

In een eerdere fase is de AO/IC van de in paragraaf 5 genoemde processen beschreven. Daarbij is specifiek gekeken naar de risico’s die in het proces voorkomen en de beheersmaatregelen die deze risico’s pogen af te dekken. Per proces geldt dat de startsituatie anders is; in het ene geval betreft het een manier van werken die volledig is ingeburgerd in de organisatie, in het andere geval gaat het om een proces wat compleet nieuw is. Dit betekent dat verwacht mag worden dat het verschil tussen opzet, bestaan en werking per proces anders is.

Om die reden is besloten om aan het begin van 2009 per proces een risicoanalyse uit te voeren. Dit houdt in dat het controleplan, zoals dat per proces geldt, voor elk proces wordt doorlopen. Op die manier kan een eerste inschatting worden verkregen van eventuele verschillen tussen opzet van het proces en de werking hiervan in de praktijk.

In het controleplan is een aanpak voor de feitelijke controle beschreven; deze risicoanalyse kan hierop van invloed zijn 2 . Op het moment dat bij een bepaald proces wordt geconstateerd dat een specifiek onderdeel niet goed functioneert, dient hier nader op ingezoomd te worden door (a) het aantal deelwaarnemingen te verhogen (zie verder) of (b) een nadere analyse van de opzet uit te voeren.

Op het moment dat de risicoanalyse is uitgevoerd en de gevolgen hiervan voor de organisatie zijn bepaald, kan de feitelijke interne controle conform de daarvoor geldende planning (zie paragraaf 6) starten.

Ad c) – Uitvoeren interne controle door middel van beoordeling opzet en werking van de interne processen

Tijdens de uitvoering van de interne controle wordt het controleplan in uitvoering gebracht. Op basis van de beschrijving in het controleplan wordt een deelwaarneming getrokken en worden de geselecteerde dossiers conform de in het controleplan opgenomen checklist beoordeeld. In de checklist zijn de controles opgenomen die, rechtstreeks dan wel indirect in het kader van financiële rechtmatigheid moeten worden uitgevoerd.

De uitvoering van de organisatie gerichte interne controle is voor het verkrijgen van inzicht in de opzet, het bestaan en werking van de administratieve organisatie en de interne controle daarbinnen. Op basis van dit inzicht kan een oordeel worden gegeven of het proces voldoende waarborgen biedt ten aanzien van de rechtmatigheid. Binnen de organisatiegerichte controle worden een beperkt aantal gegevensgerichte controle werkzaamheden uitgevoerd.

Het kan zijn dat tijdens de interne controle bevindingen, afwijkingen worden geconstateerd. Bepaald dient te worden of de afwijkingen van directe invloed zijn op de rechtmatigheid van het proces. Per proces kan op deze wijze worden bepaald of de materialiteit van bevindingen dusdanig is dat het proces als rechtmatig kan worden beschouwd 3 . Hiervoor wordt onderstaande tabel 4 als richtlijn gebruikt.

Strekking accountantsverklaring

Goedkeuringstolerantie

Goedkeurend

Beperking

Oordeelonthouding

Afkeurend

Fouten in de jaarrekening (% lasten)

<= 1%

> 1% < 3%

-

>= 3%

Onzekerheden in de controle (% lasten)

<= 3%

> 3% < 10%

>= 10%

-

Wanneer deze afwijkingen van directe invloed zijn op de rechtmatigheid van een proces dient meer inzicht te worden verkregen in het type fout (structureel of incidenteel). Hiervoor kan de deelwaarneming worden uitbereid, maar dit biedt geen extra controle zekerheid. De onderstaande tabel geeft de omvang van de gegevensgerichte controle werkzaamheden weer om de werking van een proces vast te stellen.

Frequentie van de handeling

Aantal selecties

Geen tekortkomingen

Tekortkoming(en)

Diverse malen per dag

25

In geval van geconstateerde tekortkomingen zal het aantal deelwaarnemingen worden verhoogd conform hetgeen gebruikelijk bij de geldende accountantscontrole.

Dagelijks

15

Wekelijks

5

Maandelijks

2

Per Kwartaal

1

Jaarlijks

1

Ad d) – Uitvoeren foutenanalyse

De controleplannen hebben betrekking op het systeem van interne beheersing (de controles in een proces) die zijn opgesteld ter realisatie van de beheersdoelstellingen van het proces. Er wordt, zoals aangegeven, een oordeel over opzet, bestaan en werking van het totale systeem van interne beheersing in het proces gegeven op basis van de bevindingen, fouten die in de vorige stap zijn geconstateerd.

De volgende uitgangspunten bij het vaststellen of de interne beheersing wel of niet heeft gewerkt, gelden als kader voor het uitvoeren van een foutenanalyse:

  • -

    Er is een fout in het proces ontdekt en deze is hersteld: de interne beheersing heeft gewerkt. Bijvoorbeeld: een fout is in het proces niet ontdekt bij de eerste collegiale toets, maar wel bij de fiattering door het afdelingshoofd. Uiteindelijk bevat de post geen onjuistheden en is de beheersdoelstelling gerealiseerd.

  • -

    In het proces heeft zich een fout voorgedaan welke niet is ontdekt: de interne beheersing heeft niet gewerkt. Bijvoorbeeld: een fout is in het proces bij de eerste collegiale toets en bij de fiattering door het afdelingshoofd niet ontdekt. De beheersdoelstelling is niet gerealiseerd; dit telt als één fout.

  • -

    Er zijn geen onjuistheden geconstateerd, maar de interne beheersing is niet (overal) zichtbaar uitgevoerd. Bijvoorbeeld: de collegiale toets is niet zichtbaar gemaakt. De beheersdoelstelling is niet zichtbaar gerealiseerd; dit telt als één fout.

Op de geconstateerde fouten wordt een analyse losgelaten. Het kan gaan om geconstateerde fouten in de opzet van het proces, alsmede om fouten in het werking van het proces.

De fouten en onzekerheden worden ingedeeld naar structurele en incidentele fouten en onzekerheden. Bij structurele fouten (de fout treedt herhaaldelijk op) is het van belang om in beeld te brengen wat de omvang in de (deel)massa is. In de praktijk zullen incidentele fouten (de fout treedt niet vaker als zodanig op) veelal onderbouwd kunnen worden en leiden tot aanbevelingen (in plaats van een uitbreiding van het aantal deelwaarnemingen).

Ad e) – Bespreken resultaten met functionele afdeling

De resultaten worden met de proceseigenaar besproken. Van belang is om te bepalen of het gaat om incidentele of structurele bevindingen.

Ad f) – Rapporteren van bevindingen, formuleren van aanbevelingen en verbeterpunten

Alle bevindingen die worden geconstateerd worden in een rapportage opgeschreven. In het rapport worden de volgende elementen opgenomen:

  • -

    een opsomming van de geconstateerde fouten (structureel / incidenteel);

  • -

    een verantwoording hoe met deze geconstateerde fouten in de interne controle is omgegaan (verhoging deelwaarneming?);

  • -

    aanbevelingen over herstel van fouten;

  • -

    aanbevelingen over de bedrijfsvoering (opmerkingen over dossiervorming, ondoelmatig werken, e.d.);

  • -

    een oordeel over de AO/IC (opzet, bestaan en werking);

  • -

    een algemeen oordeel over de ‘rechtmatigheid van het proces’.

De rapportage wordt afgestemd met de proceseigenaar. De definitieve rapportage wordt naar de proceseigenaar (onderdeel van de functionele afdeling) gestuurd met een afschrift aan het betreffende MT-lid en de concerncontroller.

Ad g) – Bepalen van vervolgacties

Naar aanleiding van de uitgevoerde interne controle en de daaruit naar voren gekomen uitkomsten, dient samen met de afdeling vervolgacties bepaald te worden. Hierbij zijn vele varianten denkbaar:

  • -

    een aantal onjuistheden zijn geconstateerd, maar kunnen hersteld worden;

  • -

    van alle posten identificeren of een bepaalde fout opgetreden kan zijn;

  • -

    dossiervorming is niet op orde en dient te worden verbeterd;

  • -

    de werking is (aantoonbaar) voldoende gebleken, maar de vastlegging in de AO/IC dient verbeterd te worden;

  • -

    de opzet (AO/IC) is voldoende gebleken, maar deze wordt niet (aantoonbaar) nageleefd, waardoor de medewerkers geïnstrueerd moeten worden;

  • -

    de interne regelgeving is niet in overeenstemming met de geldende praktijk, waardoor de interne regelgeving herzien moet worden.

  • -

    bepaalde elementen uit het toetsingskader zijn verouderd, niet in lijn met geldend beleid, e.d., waardoor deze aangepast dient te worden;

  • -

    het treffen van maatregelen om oorzaak voor de fouten weg te nemen (actieplan, verantwoordelijkheden, deadlines, bewaking op correcte en tijdige opvolging van acties).

  • -

    etc.

Indien mogelijk dienen de geconstateerde gebreken gerepareerd te worden. Met name daar waar de dossiervorming en niet uitgevoerde controles op orde kan worden gebracht, is het veelal mogelijk om onvolkomenheden te repareren. Het al dan niet repareren van fouten is een aangelegenheid van de functionele afdeling; het afdelingshoofd/proceseigenaar is hiervoor verantwoordelijk.

Ad h) – Monitoring van de opvolging van vervolgacties en eventueel gerepareerde fouten

Gedurende de periode na de interne controle wordt de opvolging van de vervolgacties en/of de gerepareerde tekortkomingen door de uitvoerder van de interne controle gemonitord. Ook over termijnen van uitvoering dienen met de afdeling afspraken gemaakt te worden. Het afdelingshoofd/proceseigenaar alsmede de concerncontroller worden over de opvolging geïnformeerd.

Hoofdstuk 5. De zes processen; de zes risicogebieden

Binnen de beperkingen van elke organisatie moeten keuzes worden gemaakt welke processen voor 2009 onderzocht gaan worden. Met de volgende zes processen is een materieel belangrijk deel van de uitgaven en inkomsten afgedekt. Deze zes processen zijn in afstemming met het MT bepaald 5 .

  • 1.

    Belastingen. Binnen het proces belastingen ligt de focus op de heffing en invordering van de belastingen van het waterschap. Omdat het een veelal geautomatiseerd proces betreft, is ook het deelproces rondom gegevensbeheer object van onderzoek; hierin worden alle gegevens die benodigd zijn voor de heffing, door WBD ingelezen (belangrijk onderdeel is de jaarlijkse aanpassing van stamgegevens als heffingsbedragen).

  • 2.

    Subsidies. Geconstateerd is dat WBD in beperkte mate gebruik maakt van subsidiering aan derden, maar dat inkomende subsidies een belangrijk onderdeel uit maakt van de financiering van allerhande projecten, afkomstig uit het Investeringsplan. De interne controle zal dan ook worden toegespitst op deze subsidiestromen.

  • 3.

    Vaste Activa. Bij het proces rondom vaste activa gaat het om het opnemen van de vaste activa die afkomstig zijn uit gedane investeringen.

  • 4.

    Inkoop & Aanbesteden. Inkoop & Aanbesteden is een zeer belangrijk proces waarin op vele verschillende manieren in aanraking wordt gekomen met allerhande regelgeving. De interne controle voorziet er in, om alle verschillende aspecten van het proces rondom inkoop mee te nemen.

  • 5.

    Salarissen. Centraal in de uitbetaling van de salarissen, staat het muteren van de P&O-administratie. Hier bestaan verschillende triggers voor (indiensttreding, uitdiensttreding, declaraties, overige mutaties). Tijdens de interne controle zal het mutatieproces van de administratie dan ook een belangrijk aandachtspunt zijn. Daarnaast zal specifiek worden gekeken naar het declaratieproces en de uiteindelijke en feitelijke uitbetaling van de salarissen.

  • 6.

    Treasury. Onder treasury wordt in deze verstaan: het binnenhalen van geldleningen of het tijdelijk uitzetten van geld door WBD.

Voor meer informatie over deze processen, alsmede de specifieke controleaanpak, wordt verwezen naar het interne controleplan wat van toepassing is op de genoemde processen en de daarachter liggende procesbeschrijvingen.

Hoofdstuk 6. Planning 2009

Er zijn twee varianten denkbaar voor het uitvoeren van de interne controle een gespreide controle of een geclusterde controle. Bij een gespreide controle wordt het aantal in het controleplan beschreven deelwaarnemingen gespreid over de onderzoeksperiode. Bijvoorbeeld in het geval van 25 deelwaarnemingen, worden periodiek een aantal deelwaarnemingen uitgevoerd. Bij een geclusterde controle worden alle deelwaarnemingen, meestal na afloop of tegen het einde van de onderzoeksperiode, uitgevoerd. Beide methodes hebben voor- en nadelen.

Voor 2009 geldt dat de interne controle gespreid over de onderzoeksperiode wordt uitgevoerd. Groot voordeel hiervan, zeker wanneer met dergelijke zaken als interne controle op rechtmatigheid wordt gestart, is dat de organisatie periodiek en feitelijk continu in positieve zin geconfronteerd wordt met de begrippen interne controle en rechtmatigheid. Zeker binnen een organisatie waarin beide aspecten nog een eigen plek moeten krijgen, is dit voor de beleving en het organisatiegevoel van cruciaal belang.

In concreto betekent dit dat in januari 2009 de eerste risicoanalyse kan plaatsvinden. Tot medio februari kunnen de eerste resultaten daarvan worden besproken en kunnen de controleplannen eventueel worden aangepast. Daarna kan conform de controleplannen de feitelijke interne controle worden uitgevoerd. Hiertoe zal door de uitvoerende medewerker een onderzoekskalender worden opgesteld.

Hoofdstuk 7. Tot slot

Het is van belang dat rechtmatigheidaspecten onderdeel uitmaken van de reguliere bedrijfsvoering. Rechtmatigheid verdient een plaats in het interne controleraamwerk, risicomanagement en, in algemene zin, het kwaliteitsgericht handelen van de organisatie. Daarbij gaat het om het rechtmatig handelen te borgen in de werkwijze en cultuur van de organisatie. Een effect van de interne controle zal dan ook zijn dat de AO/IC structureel ingebed en verbeterd wordt binnen de organisatie.

Het zal in het begin van de uitvoering van dit Masterplan dan wellicht ook op bepaalde momenten zoeken zijn; voor de uitvoerders van de interne controle, maar ook voor de organisatie. Rechtmatigheid is ‘nieuw’; interne controle daarop ook. Dit Masterplan biedt een basis om een stapje dichterbij integraal risicomanagement te kunnen komen. Daarbij wordt de wens uitgesproken dat ‘interne controle’ een vanzelfsprekend onderdeel van de werkprocessen uitmaakt; enerzijds door het continue verbeteren van de processen, anderzijds door het periodiek uitvoeren van deze ‘verbijzonderde interne controle’.

Noot
1

NB. Omdat de controleplannen uitvoerig per proces op de genoemde elementen ingaan, worden deze in dit Masterplan niet expliciet besproken.

Noot
2

Het controleplan is een dynamisch document wat, m.n. naar aanleiding van de eerste risicoanalyse, aan verandering onderhevig kan zijn al naar gelang de constateringen tijdens de eerste risicoanalyse en verdere interne controle.

Noot
3

Deze constatering staat in beginsel los van de totale beoordeling van rechtmatigheid binnen de organisatie (als een proces onrechtmatig wordt aangemerkt, hoeft het niet zo te zijn dat de materialiteit hiervan dusdanig is dat totale controle in de organisatie onrechtmatig is), maar

geeft een indicatie van hoe een proces loopt en hoe groot de omvang van de geconstateerde bevindingen is.

Noot
4

Afkomstig uit het controleprotocol van het Waterschap Brabantse Delta.

Noot
5

In 2009 zal worden bepaald of deze zes risicogebieden moeten worden aangepast c.q. aangevuld.