Controlplan Gemeente Etten-Leur
Inhoud Inleiding... 3 Leeswijzer... 3 Deel 1 Controlplan... 4 1.1 Missie... 5 1.2 Doorontwikkeling control... 6 1.3 De controlkaart... 6 Deel 2 Uitvoeringsprogramma... 8 2.1 Hoe, wat en waarom interne controle?... 9 2.2 Doorontwikkeling interne controle... 11 2.3 Risicoanalyses... 12 2
Inleiding In de zomer van 2012 is de notitie Concerncontrol Gemeente Etten-Leur opgesteld. In deze notitie staat het in control zijn van de organisatie centraal. Om dit thema verder uit te werken is het Controlplan Gemeente Etten-Leur opgesteld. Dit plan bestaat uit twee delen: 1. Controlplan: hoe komen en blijven we in control en op welke wijze gaan we hierover communiceren; 2. Uitvoeringsprogramma: beschrijft de systematiek van de interne controles als onderdeel van het in control zijn. Dit Controlplan Gemeente Etten-Leur is met name bedoeld voor College, gemeentesecretaris/ directeur, MT, financiële functie en betrokken financieel medewerkers. Ter beoordeling / afstemming is dit plan aan zowel de financiële functie als de accountant voorgelegd. Leeswijzer Omdat het Controlplan Gemeente Etten-Leur bedoeld is voor verschillende gebruikersgroepen binnen de organisatie is geprobeerd op een eenvoudige wijze onderscheid te maken tussen de hoofdlijnen en nadere uitwerking. De hoofdlijn is vervat in de vetgedrukte tekst. Wij wensen u veel leesplezier en zijn uiteraard graag bereid tot nadere toelichting! Frank van Groesen Jac Bastiaanssen Pieter Koks Sylvain van Erk 3
Deel 1 Controlplan 4
1.1 Missie In de notitie Concerncontrol Gemeente Etten-Leur is de missie van Unit Control als volgt gedefinieerd: Unit Control levert onafhankelijk en objectief een bijdrage aan het in control zijn van de lerende organisatie. De concerncontroller is, ten behoeve van college en directie, verantwoordelijk voor de inrichting en het onderhoud van een samenhangend systeem van sturing, beheersing en verantwoording dat waarborgen schept voor het in control zijn van de organisatie. Daarnaast stuurt de concerncontroller de Unit Control aan. De Unit Control valt hiërarchisch direct onder de directie en maakt daarmee géén onderdeel uit van de lijnorganisatie. De Unit Control wordt daardoor in staat gesteld om onafhankelijk, professioneel en betrokken te handelen. De organisatie is in control als zij haar organisatiedoelstellingen op effectieve en efficiënte wijze weet te realiseren. Dat betekent dat de beheersing (van risico s) op orde moet zijn. Hierbij spelen hard- en softcontrols een rol. Een goede balans van beide typen control bepaalt in welke mate de gemeente Etten-Leur in control is. Ter illustratie zijn in onderstaande figuur enkele hard- (blauw) en softcontrols (paars) genoemd in relatie tot in control zijn. Hardcontrols zijn te definiëren als concrete/meetbare afspraken en richtlijnen waarvan wordt vastgesteld dat deze nageleefd zijn. Softcontrols zijn te definiëren als maatregelen welke meer dan hardcontrols ingrijpen op c.q. appelleren aan het persoonlijk functioneren van de medewerkers. 5
De toegevoegde waarde van Unit Control bij het in control zijn van de organisatie zit vooral in de begrippen onafhankelijk en objectief. Unit Control is in staat om vanuit haar positie binnen de organisatie een onafhankelijk en objectief beeld te vormen van de mate waarin de beheersing (van risico s) op orde is en welke hard- en softcontrols hierbij een rol spelen. Dit leidt tot een totaalbeeld van de organisatie van de mate waarin zij in control is en, als tegenhanger, waar de organisatie onbeheerste risico s loopt. Op basis van deze beelden wil Unit Control de organisatie ondersteunen bij het in control zijn en blijven. 1.2 Doorontwikkeling control De gemeente Etten-Leur is volop in ontwikkeling. Denk aan de toekomstverkenning / takendiscussie, organisatieontwikkeling, decentralisaties, samenwerkingsverbanden (waaronder OMWB, BWB, RWB, ISD, KCC 1 ), digitalisering en ICT. Verder spelen ook grote ontwikkelingen zoals Nieuwe Nobelaer en het nieuwe sportcentrum een belangrijke rol binnen de gemeente. Maar ook de economische tegenwind en als gevolg daarvan de miljardenbezuinigingen stellen de organisatie voor grote uitdagingen. De mate van in control zijn, bepaalt of we succesvol met deze ontwikkelingen om kunnen gaan. Met al deze ontwikkelingen, en alles wat in de (nabije) toekomst nog op ons af gaat komen, is monitoring van de doelstellingen en beheersing van de risico s van groot belang. We moeten ons meer bewust zijn van de mate waarin we in control zijn. Ieder vanuit zijn eigen rol en verantwoordelijkheid. 1.3 De controlkaart Om de organisatie inzicht te bieden in het in control zijn, is de controlkaart ontwikkeld. Het doel van de controlkaart is om voor de (belangrijke) processen en projecten op een aantal deelgebieden de mate van in control zijn in kaart te brengen. Deze controlkaart wordt zowel per afdeling opgesteld als op het totale organisatieniveau. De controlkaart is vooral een communicatiemiddel; een hulpmiddel om de mate van in control inzichtelijk te maken op basis waarvan het gesprek kan worden aangegaan. Dit vergoot het bewustzijn en het lerend vermogen. Voorbeeld controlkaart Doelen Risico- TBV* Informatie- Financieel Juridisch HRM management voorziening Proces A - - - Proces B - - Project A - - * Taken, Bevoegdheden, Verantwoordelijkheden De controlkaart zal samen met de verschillende betrokkenen vanuit de organisatie worden opgesteld. Input hiervoor wordt vanuit verschillende informatiebronnen verkregen (denk aan interne en externe controles, organisatieadviseurs, externe ontwikkelingen). Door deze brede input op 1 OMWB: Omgevingsdienst Midden- en West-Brabant, BWB: Belastingsamenwerking West-Brabant, RWB: Regio West-Brabant, ISD: Intergemeentelijke Sociale Dienst, KCC: Klant Contact Centrum 6
elkaar af te stemmen ontstaat een beeld van de mate van in control zijn binnen de afdeling en organisatie. De omgeving verandert, dus ook de controlkaart zal periodiek worden bijgesteld. Daarmee wordt het een dynamische controlkaart. Hierbij is het belangrijk om op te merken dat gesignaleerde actieen verbeterpunten op gestructureerde wijze worden opgepakt en gevolgd. Dit heeft direct effect op het lerend vermogen van onze organisatie. Verder helpt het de afdelingshoofden bij het sturen van hun afdelingen en geeft directie en bestuur inzicht in hoe de organisatie er voor staat. Kortom: - Samen met de afdeling en organisatie de mate van in control zijn in beeld brengen; - Samen het gesprek voeren over de mate van in control zijn; - Samen benoemen en volgen van actiepunten (SMART). 7
Deel 2 Uitvoeringsprogramma 8
2.1 Hoe, wat en waarom interne controle? In deel 1, het controlplan, is ingegaan op het brede begrip in control zijn. Eén van de pijlers van in control zijn, betreft interne controles. Voorheen was het onderdeel interne controles vastgelegd in een (uitgebreid) intern controleplan. Het uitvoeringsplan zoals beschreven in dit deel komt ter vervanging van het oude interne controleplan. Wat en waarom interne controle? Interne controle is het proces dat gericht is op het verkrijgen van een redelijke mate van zekerheid over het bereiken van doelstellingen op gebied van: - De effectiviteit en efficiency van de bedrijfsprocessen; - De betrouwbaarheid van de financiële informatieverzorging; - De naleving van relevante wet- en regelgeving, beleidsrichtlijnen en procedures; - Het bewaken van activa of waarden. In de Financiële verordening gemeente Etten-Leur 2008 (ex artikel 212 Gemeentewet) is in artikel 11 het formele kader opgenomen. Hierin staat het volgende over interne controle: Artikel 11. Interne controle Het college zorgt ten behoeve van het getrouwe beeld van de jaarrekening en de rechtmatigheid van de baten en lasten en de balansmutaties voor de jaarlijkse interne toetsing van de getrouwheid van de informatieverstrekking en de rechtmatigheid van de beheershandelingen. Bij afwijkingen neemt het college maatregelen tot herstel. Centrale begrippen voor de interne en de externe controle zijn getrouwheid en rechtmatigheid. Voor de gemeentelijke jaarrekening zijn deze onder te verdelen naar de volgende toetsingscriteria: Getrouwheid Calculatiecriterium bedragen juist berekend Valuteringscriterium tijdstip juist Leveringscriterium juistheid ontvangen goederen/diensten Adresseringscriterium juiste rechthebbende Volledigheidscriterium alle opbrengsten verantwoord Aanvaardbaarheidscriterium past binnen activiteiten gemeente en tegenprestatie aanvaardbaar Rechtmatigheid Begrotingscriterium Voorwaardencriterium M&O criterium binnen kader geautoriseerde begroting gestelde eisen bij uitvoering financiële beheershandelingen interne toetsing juistheid en volledigheid verstrekte gegevens en rechtshandelingen derden in overeenstemming met doel 9
Normenkader rechtmatigheid Voor de interne controle wordt aangesloten bij het normenkader rechtmatigheid. Jaarlijks wordt door de gemeenteraad het normenkader vastgesteld. Dit normenkader is de basis voor de (externe) accountantscontrole op de financiële rechtmatigheid. Onder de financiële rechtmatigheid wordt verstaan dat alle financiële beheershandelingen conform de geldende wet- en regelgeving - zoals opgenomen in het normenkader rechtmatigheid - hebben plaatsgevonden. Het normenkader rechtmatigheid wordt per financieel proces uitgewerkt. Dit betekent dat op artikelniveau van de regelgeving is gekeken welke bepalingen financiële consequenties hebben. Binnen de afdeling zullen deze spelregels geborgd en aantoonbaar moeten zijn. Vervolgens vindt toetsing plaats door Unit Control. Single Information Single Audit (SISA) /Specifieke controleverklaringen van de accountant Met betrekking tot SISA en overige specifieke controleverklaringen geldt dat deze intern worden gecontroleerd aan de hand van de relevante controlestandaarden. Daarna wordt de verantwoording aangeboden aan de accountant. Als onduidelijkheid bestaat over de te hanteren controlestandaarden zal vóóraf overleg met de accountant plaatsvinden met het oog op een effectieve en efficiënte werkwijze. Hoe interne controle? Het uitgangspunt voor de interne controle is dat preventieve maatregelen 2 en procescontroles 3 zoveel mogelijk een plaats krijgen binnen de afdelingen. Daarnaast vindt de verbijzonderde interne controle plaats door de Unit Control. Deze controle bestaat uit het toetsen van de werking van de procescontroles en de eindcontrole op betrouwbaarheid (juistheid, volledigheid, tijdigheid) en rechtmatigheid. Daarbij wordt gesteund op het voorwerk door de afdelingen. De interne controles zullen zoveel mogelijk door het jaar heen plaats moeten vinden. Op deze wijze wordt het management in staat gesteld om de processen tijdig bij te sturen. Dus de planning van de controles is belangrijk. Voor de bepaling van de processen die in dit uitvoeringsprogramma zijn opgenomen is gekeken naar de financiële omvang. Alleen de grootste processen worden expliciet getoetst, dat wil uiteraard niet zeggen dat er op de andere processen geen interne controle nodig zou zijn. Dit zijn de grootste processen: - Inkopen & kredieten - Personeel - Grondexploitatie - Uitkeringen / WMO - Subsidies - Algemene uitkering - Belastingen 2 Hieronder worden de interne beheersmaatregelen verstaan; maatregelen die worden getroffen om risico s te beperken. 3 Dit betreffen interne controlewerkzaamheden om vast te stellen dat het proces heeft gewerkt zoals vooraf is bepaald. O.a. wordt beoordeeld of de getroffen beheersingsmaatregelen hun werk hebben gedaan. 10
- Bouwleges - Overige opbrengsten - SISA - Treasury - Financieel afsluitingsproces Per proces is een risicoanalyse gemaakt. Deze analyse is nu vooral ingestoken op getrouwheid en rechtmatigheid. Deze risico s zullen door de afdeling beheerst moeten worden door middel van beheersingsmaatregelen. Er heeft een clustering plaatsgevonden van de beheersingsmaatregelen (het kan namelijk zijn dat één beheersingsmaatregel verschillende risico s afdekt). Bij de beheersingsmaatregelen is - afhankelijk van de aard en omvang van het proces - een periodiciteit aangegeven waarbinnen de afdeling moet handelen. Tot slot is aangegeven op welke wijze en met welke frequentie de concerncontrol zal plaatsvinden door de Unit Control. Het is van belang dat de uitgevoerde controles transparant en vastgelegd zijn. Daarbij is een goede archivering essentieel. De interne controle vindt onder andere plaats aan de hand van checklisten al dan niet gekoppeld aan het normenkader rechtmatigheid. Op grond van een analyse van de interne controle-uitkomsten wordt aangegeven welke aanvullende werkzaamheden eventueel moeten plaatsvinden. Tevens worden verbeteracties/herstelacties geformuleerd. 2.2 Doorontwikkeling interne controle Alle ontwikkelingen waarmee we als organisatie worden geconfronteerd vragen niet alleen verandering van ons in control denken en handelen, het brengt ook veranderingen in de interne controle met zich mee. Te denken valt hierbij aan onderwerpen als ICT en verbonden partijen. Hier werd tot op heden beperkt aandacht aan besteed. Gezien het toenemende belang gaan we deze onderwerpen meer bij de interne controles te betrekken. Om aansluiting te vinden bij de ontwikkelingen binnen de organisatie en het in control denken, is het van belang dat de interne controles hier goed op worden afgestemd. Dit vraagt allereerst om een goede samenwerking tussen Unit Control en de verschillende afdelingen binnen de organisatie. Door elkaar regelmatig op te zoeken en bij te praten, kan vooraf op de ontwikkelingen worden ingespeeld en kunnen de interne controlewerkzaamheden aan de veranderende omstandigheden worden aangepast. Op deze manier wordt voorkomen dat veranderende, en daardoor vaak meer risicovolle, omstandigheden buiten de scope van interne controle vallen terwijl anderzijds tijd en energie wordt gestoken in interne controlewerkzaamheden voor zaken die (intussen) minder risicovol zijn. Dus maatwerk met een beter inzicht in de beheersing van de risico s en met een efficiënte inzet van middelen. 11
Een praktijkvoorbeeld is de meedoenwebshop die in 2013 is gelanceerd. In overleg met de afdeling Samenleving zijn hier risico s voor onderkend waaraan bij de interne controle aandacht zal worden besteed. Deze werkzaamheden waren oorspronkelijk niet gepland. Door elkaar op te zoeken en het er met elkaar over te hebben kan hier bij de interne controle echter toch gericht op worden ingespeeld en ontstaat inzicht in het feit of bepaalde risico s zich ook daadwerkelijk voordoen. Zoals hierboven vermeld, vraagt deze manier van werken een goede samenwerking tussen Unit Control en de verschillende afdelingen. Samen kunnen we de interne controles nog effectiever en efficiënter maken. Ook hier geldt, interne controle is iets van de organisatie en niet alleen van Unit Control. 2.3 Risicoanalyses Om uitvoering te kunnen geven aan de beschreven werkwijze gaat Unit Control samen met de afdelingen de risicoanalyses vullen. Voor de grootste (financiële) processen worden de risico s in kaart gebracht. Daarbij wordt breder gekeken naar de risico s die de doelstellingen van de organisaties in de weg staan. Deze risicoanalyse is dus breder dan voorheen werd ingestoken. Nadat de risico s voor het proces in kaart zijn gebracht, worden de bijbehorende beheersingsmaatregelen beschreven. Op grond daarvan kan inzichtelijk worden gemaakt waar binnen een proces risico s worden gelopen en waar aanvullende interne controlewerkzaamheden noodzakelijk zijn om na te gaan of dit risico ook tot uiting is gekomen. Voor die onderdelen binnen het proces waar de interne beheersingsmaatregelen als voldoende worden gekwalificeerd, kan worden volstaan met zeer beperkte interne controlewerkzaamheden. Om er voor te zorgen dat de interne controlewerkzaamheden zo effectief en efficiënt mogelijk worden uitgevoerd, is het periodiek bespreken en actualiseren van deze risicoanalyses van belang. Het bijhouden van de risicoanalyses is dus iets wat Unit Control en de betreffende afdelingen samen zullen doen. De afdeling levert de input vanuit de dagdagelijkse kennis over en ervaringen met dit proces. Unit Control levert de input vanuit de bevindingen van de verbijzonderde interne controles en de bevindingen van de accountant. Op deze manier ontstaat een dynamisch uitvoeringsprogramma dat wordt aangepast wanneer de omstandigheden daar om vragen. Gestart is nu om de risicoanalyse voor het proces inkopen te actualiseren. Voor verbonden partijen wordt een risicokaart opgesteld. De risicoanalyses voor de overige processen (zie paragraaf 2.1) zullen de komende periode in samenspraak tussen Unit Control en de betrokken afdeling(en) geactualiseerd worden. 12