Intern controleplan CAK Het CAK in control

Transcriptie

1 Intern controleplan CAK 2014 Het CAK in control Den Haag, 28 maart 2014

2 Aan het directieteam van het CAK Een transparant controleplan Hierbij presenteren wij het intern controleplan CAK Met dit plan geeft het CAK invulling aan de interne en externe behoefte om op een transparante wijze inzicht te geven aan de omvang en planning van de uit te voeren interne controles. Dit plan is reeds vastgesteld door de bestuursvoorzitter van het CAK. Het doel van Interne Controle (IC) is om het management en de proceseigenaren van het CAK toegevoegde waarde te leveren bij het verder verbeteren van de opzet, het bestaan en werking van relevante beheersmaatregelen in de belangrijkste processen. Op basis van de uitgevoerde controle werkzaamheden is IC in staat om een uitspraak te doen over aspecten zoals getrouwheid van informatieverstrekking en financiële rechtmatigheid. Dit betekent dat IC vooral gericht is op het vaststellen van: Het juist gebruik van gedelegeerde bevoegdheden; Het opvolgen van de wet- en regelgeving, voorschriften, procesbeschrijvingen en werkinstructies; Betrouwbaarheid (juistheid, volledigheid, tijdigheid) en rechtmatigheid van transacties en daarbij behorende gegevensverwerking; Betrouwbaarheid (juistheid, volledigheid, tijdigheid) en rechtmatigheid van intern en externe verantwoordingsinformatie. Met de bevindingen van IC worden risico s in het financiële beheer en de werking van de administratieve organisatie in kaart gebracht. Dit stelt het management in staat om op basis van die bevindingen en aanbevelingen daarover deze risico s te beperken en de beheersing van de bedrijfsprocessen verder te verbeteren. Daarnaast zijn de uitkomsten van IC van belang voor de externe accountant. Voor de controle van de jaarrekening en de bestuurlijke rechtmatigheidsverantwoordingen zal de externe accountant moeten kunnen steunen op de werkzaamheden van IC. De werkzaamheden van IC zullen in 2014 met name gericht zijn op het vaststellen van de rechtmatige uitvoering van niet geautomatiseerde processen. Voor de geautomatiseerde processen wordt gesteund op de IT audit werkzaamheden van de externe accountant in het kader van de jaarrekeningcontrole, de Third Party Mededeling op het Wmo proces, de audit op het beslismodel Wtcg en de naleving van het belastingconvenant. Bij de planning en uitvoering van de werkzaamheden van interne controle zal nauw contact onderhouden worden met de stafafdelingen S&B en IM. Zowel voor het vaststellen van de gecontroleerde invoering van wijzigingen in wet- en regelgeving alsmede voor de beschikbaarheid van betrouwbare verantwoordingsinformatie. De externe druk op betere checks and balances door het versterken van transparantie en kritisch vermogen binnen het CAK neemt toe. De minister van Financiën en de Algemene Rekenkamer stellen dat organisaties binnen de semipublieke sector zich transparanter zouden moeten verantwoorden door een verplicht te stellen rapportage over het in control zijn ten aanzien van het financieel beheer en naleving van de geldende governance code. Zover is het nog niet maar dit past wel in de ambitie van IC om de uitvoering van de interne controles verder te professionaliseren. Een eerste stap hiertoe is reeds gezet middels het aanpassen van het rapportagesjabloon en de wijze waarop de controle bevindingen worden gerapporteerd. Ook het opstellen van een eenduidige planning en de uitvoering ervan maakt onderdeel van dit verbetertraject. De opzet van de interne controle van de wettelijke taken wordt in begin april 2014 herzien. Het doel is om de controles continu aan te laten sluiten bij de CAK processen en de ingerichte organisatie van het CAK. Met vriendelijke groet, Edwin Korving Teamleider Interne Controle

3 Managementsamenvatting CAK aantoonbaar in control Interne controle gericht op naleving AO/IC Interne en externe controle in balans Heldere aanpak interne controle Frequentie controleactiviteiten vastgesteld Uitvoering controle in lijn met procedure Operational control brengt kwaliteit interne beheersing op hoger niveau Vaststelling beheersmaatregelen IT omgeving deels naar IC Rol fraudecoördinator belegd binnen IC Overige werkzaamheden IC Bijlagen: Procedure uitvoeren interne controle Strategische risicoanalyse Spoorboekje P&C-cyclus Procesplaat CAK Planning controleactiviteiten KPI s 2014 team Interne Controle

4 CAK aantoonbaar in control Toepassen Three-lines of defence model Versterken van checks and balances en kritisch vermogen Groeipad naar transparante verantwoording over het in control zijn ten aanzien van financieel beheer en governance Heldere Planning & Control cyclus Professionalisering van administratieve organisatie en interne beheersing Verder optimaliseren van interne organisatie Doorontwikkeling van risicomanagement Naleving doelmatigheidskader (groeimodel) Waarborgen van tijdig en juist toepassen (gewijzigde) wet- en regelgeving

5 Interne controle gericht op naleving AO/IC Controle op toepassing en naleving Planning & Control cyclus Controle op rechtmatige uitvoering primaire en secundaire processen Controle op de naleving van Identity & Access management Heldere doorvertaling van bevindingen uit controles naar financiële en niet-financiële risico s (impact) Verbeteren inhoud intern controledossier Q1/Q2 2014: Geautomatiseerde omgeving niet in scope

6 Interne en externe controle in balans Een afgestemde risicoanalyse en controle aanpak Afstemming uitvoering, documentatie en rapportage tussen IC en externe accountant Afstemming omtrent impact bevindingen IC op werkzaamheden externe accountant Interne controle werkzaamheden volgens planning en werkinstructies uitgevoerd IC coördineert werkzaamheden van externe accountant

7 Heldere aanpak door interne controle Risicoanalyse geeft richting aan intern controleplan Proces gericht tenzij Frequentie wordt bepaald aan de hand van risicoprofiel van het proces (risico gerichte controle) Uitvoering conform de vastgestelde procedure uitvoering lijncontrole Rapportage conform vastgesteld sjabloon rapportage lijncontrole in de zgn. Pyramid Thinking Stijl

8 Frequentie controleactiviteiten vastgesteld Controle proces Wettelijke taak Frequentie Beschikken ZmV, ZzV, Wmo 4 x per jaar Registreren ZmV, ZzV, Wmo 4 x per jaar Financieel afhandelen ZmV, ZzV, Wmo 4 x per jaar Uitvoering Wtcg Wtcg 2 x per jaar Uitvoering CER CER 2 x per jaar Uitvoering FI FI 3 x per jaar Klachten ZmV, ZzV, Wmo, Wtcg, CER 2 x per jaar Bezwaar ZmV, ZzV, Wmo, Wtcg, CER 2 x per jaar IAM n.v.t. 4 x per jaar Bankrekeningnummers n.v.t. 1 x per jaar HR n.v.t. 2 x per jaar Inkoop (w.o. EA-richtlijnen) n.v.t. 4 x per jaar Bestuurlijke rechtmatigheidsverantwoordingen ZmV, ZzV, Wmo, Wtcg, CER 1 x per jaar Personeelsvereniging n.v.t. 4 x per jaar

9 Uitvoering controle in lijn met procedure Voorbereiding d.m.v. desk research en auditgesprek afdelingsmanager en proceseigenaar Op basis van risicoanalyse en beoordeling AO/IC matrix worden omvang en reikwijdte werkzaamheden gedefinieerd Controle op opzet, bestaan en werking beheersmaatregelen in AO/IC matrix Controle op financiële en cijfermatige vastlegging Controle op handmatige verwerking Controle op toepassing relevante wet- en regelgeving Omvang testwerkzaamheden op basis van met externe accountant afgestemd model Bespreking bevindingen en rapportage met afdelingsmanager en proceseigenaar Afronden en review controle dossier Vastlegging ernstige tekortkomingen op CVA-lijst

10 Operational control brengt kwaliteit interne beheersing op hoger niveau Verder inrichten en professionaliseren Planning & Control cyclus Monitoren en onderhouden doelmatigheidskader Inrichten CAK-breed risicomanagement Verantwoordelijk voor opstellen bestuurlijke rechtmatigheidsverantwoordingen Onderhouden en opvolgen voortgang CVA-lijst Ondersteuning management op het gebied van planning, verantwoording en sturing Gesprekspartner (i.s.m. S&B) voor VWS, NZa, ADR, CVZ en externe accountant op het gebied van toezicht en controle

11 Vaststelling beheersmaatregelen IT omgeving deels naar IC Vaststellen betrouwbaarheid en continuïteit geautomatiseerde omgeving nu volledig belegd bij externe accountant M.i.v. Q verschuiving van aantonen beheersing van externe accountant naar het CAK Kritische blik op implementatie CRS-concept Kritische blik op geautomatiseerde omgeving divisie Klantcontacten Per kwartaal controle op naleving Identity & Access management

12 Rol fraudecoördinator belegd binnen IC Onderdeel van integriteitsbeleid Uitvoering conform vastgestelde werkinstructie Uitvoering in nauwe samenwerking met andere afdelingen Rol uitgevoerd door aangewezen medewerker IC, eindverantwoordelijkheid bij teamleider IC Verantwoordelijk voor bekendheid fraudebeleid binnen het CAK Deelname fraude-box Manifestgroep

13 Overige werkzaamheden IC Dagelijkse controle op toepassing bevoegdhedenschema (betaalorganisatie en autorisatie facturen en formulieren) Controle op verwerking betaalformulieren FI Controle op HR formulieren en salarisbetalingen Vrijgeven betalingen Voorbereiding dossier TPM Wmo ten behoeve van externe accountant Gevraagd en ongevraagd advies aan diverse teams en afdelingen

14 Bijlagen Procedure uitvoeren interne controle Strategische risicoanalyse Spoorboekje P&C-cyclus Procesplaat CAK Planning controleactiviteiten KPI s 2014 team Interne Controle

15 Bijlagen

16 Strategische risicoanalyse CAK Dreiging Primaire doelstelling Secundaire doelstellingen 1) Het CAK is dé uitvoerder van financiële en administratieve regelingen voor zorg en welzijn in het publieke domein ) Het Rijksportaal Decentralisatie van de taken door opdrachtgever(s) Verschuiving van taken naar andere rijksdiensten / uitvoerders dan het CAK Mogelijk wijzigingen in de status van ZBO's waardoor er minder zelfbeslissingsrecht bestaat Ketenpartijen accepteren de doelstellingen van het CAK niet waardoor er weerstand is bij het verwezenlijken van de CAK doelstellingen Kwalitatief onvoldoende uitvoering van de wettelijke taken door het CAK CAK breed is onvoldoende kennis van de strategische doelstellingen en worden niet uitgewerkt naar concrete plannen. De centrale functie wordt niet gerealiseerd door onvoldoende financiële middelen De centrale functie komt in gevaar bij onvoldoende naleving van financiële rechtmatigheidsvereisten Wetgeving sluit niet aan op de uitvoering van de taken en heeft mogelijk ongewenste gevolgen voor de klant 2017 De centrale functie komt in gevaar bij onvoldoende aandacht voor Identity- en Accessmanagement 3) Digitaal, tenzij 2017 Begrotingstekort doordat naast de digitale ook de bestaande kanalen opengehouden moeten worden Digitalisering wordt beperkt gerealiseerd door onvoldoende sturingsmogelijkheden gedurende het aansluiten van de keten De klant ervaart digitalisering als een maatschappelijk ongewenste ontwikkeling, daardoor ontbreekt het draagvlak Criteria van "tenzij" in de mate van digitalisering zijn onvoldoende duidelijk, hierdoor is ook niet duidelijk wanneer de doelstelling zijn behaald 4) Flexibele organisatie 2015 De gewenste flexibiliteit wordt niet bereikt door het ontbreken van een strategische personeelsplanning De gewenste flexibiliteit wordt niet bereikt door beperkte verandercapaciteit van de geautomatiseerde systemen 5) Professionele uitvoering 2015 Het gewenste uitvoeringsniveau wordt niet bereikt door onvoldoende gekwalificeerd personeel

17

18

19

20