Controleplan Financial Audits. Bedrijfsvoering / Audit en Interne Controle

Vergelijkbare documenten
Controleplan Bekostigings- gegevens. Bedrijfsvoering / Audit en Interne Controle

Toezicht op Financiën. Wim Touw 17 april 2013

Voortgangsrapportage

SiSa cursus Gemeente en accountant. 21 november 2013

Algemene toelichting Intern controleplan 2012

Controleprotocol Het Waterschapshuis vanaf boekjaar 2013

Controleprotocol Jaarrekening Gemeente De Bilt 2014

CONTROLEPROTOCOL VOOR DE ACCOUNTANTSCONTROLE OP DE JAARREKENING 2016 VAN DE GEMEENTE TEN BOER.

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Controleplan Project- verantwoordingen. Bedrijfsvoering / Audit en Interne Controle

Controleprotocol Werkorganisatie Duivenvoorde

Controleprotocol gemeente Coevorden

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Object van controle is de jaarrekening Tevens geeft de accountant aan of het jaarverslag met de jaarrekening verenigbaar is.

Verordening controle op het financieel beheer en op de inrichting van de financiële organisatie van Wetterskip Fryslân.

Gemeente Dordrecht. Auditplan 2014

Controleprotocol voor de accountantscontrole op de jaarrekening van de gemeente Mill en Sint Hubert

Aan de Raad en het College van Gemeente Woerden Postbus AA WOERDEN. Beh. Ambt.: Afschr.: B.V.O.: Rotterdam, 8 november 2017

CONTROLEPROTOCOL VOOR DE ACCOUNTANTSCONTROLE OBJECT VAN CONTROLE: JAARREKENING 2014 EN 2015

1.1 Wat wordt in de risicoanalyse bedoeld met inherente en significante risico s? (5 punten)

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies >

MEMO AAN DE GEMEENTERAAD

Controleprotocol Gemeente Loon op Zand

Clientserviceplan 2009 Gemeente Doetinchem

Controleprotocol voor de accountantscontrole op de jaarstukken 2015 van de gemeente Velsen

Controleprotocol specifieke maatregelen AMIF en ISF

Hellendoom. Aan de raad. III II III IIII IIII III III II (code voor postverwerking)

BIJLAGEN FINANCiËN. Balans per 31 december Activa

Copro 16105C. Rijksdienst voor Ondernemend Nederland. Mededeling GMO Groenten en fruit : WAP 2014 bijlage III

Controleprotocol provincie Utrecht

Controleprotocol voor de accountantscontrole op de jaarrekening 2009 van Waterschap Rivierenland

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

Controleprotocol subsidie Vervoersautoriteit MRDH - Openbaar Vervoer, concessie Bus -

INTERN CONTROLEPLAN 2014 Rechtmatigheid Gemeente Marum

Plan van aanpak accountantscontrole 2015 gemeente Woudrichem. Woudrichem 22 september 2015 Rein-Aart van Vugt Dennis van Vollevelde

Slagvaardig partnerschap

CONTROLEPROTOCOL. Voor de accountantscontrole op de jaarrekeningen

A. Verklaring over de in het jaarverslag opgenomen jaarrekening 2017

Met veel belangstelling heeft SRA-Bureau Vaktechniek kennisgenomen van het consultatiedocument NBA Handreiking 1141 Data-analyse bij de controle.

CONTROLEPROTOCOL. voor de accountantscontrole op de jaarrekening 2010 van de gemeente Leeuwarderadeel

Auditcommissie Reglement 2016

Deelplan IC Memoriaalboekingen Gemeente Lingewaard

1 Inleiding. 2 Doel protocol. 3 Rechtmatigheid

Controle protocol Stichting De Friesland

Reglement van de auditcommissie van de Raad van Toezicht van Hogeschool Van Hall Larenstein

Deelplan IC Treasury Gemeente Lingewaard

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant

Verordening 217 Concept aangeboden aan de Provinciale Staten

Controle protocol. 1 Doelstelling. 2 Eisen en aanwijzingen. 3 Toleranties en gewenste zekerheid

Deelplan IC Investeringen en kredieten Gemeente Lingewaard

Document:13IT Controleprotocol voor de accountantscontrole op de jaarrekening van het Waterschap Brabantse Delta

Behandeld door drs. M. Bruinsma RA

Gemeente De Bilt Management letter

Hoofdlijnen Corporate Governance Structuur

Bijlage 2: Controleprotocol Algemene Subsidieverordening Lansingerland 2018

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

Datum collegevergadering : Stuurgroep Datum raadsvergadering : 14 februari Portefeuillehouder : B. Huizing Volgnummer : 9B.

Controleprotocol voor de accountantscontrole op de jaarstukken 2015 van de gemeente Purmerend

Samenvattend auditrapport

Controleverklaring van de onafhankelijke accountant

Controleprotocol accountantscontrole jaarrekening 2011 Waterschap Rivierenland

Gemeenschappelijke Regeling Maasveren Limburg Noord. Accountantsverslag 2014 april 2015

Intern controleplan gemeente Venray. Boekjaar 2011


Besluit van Provinciale Staten

Ons oordeel Wij hebben de jaarrekening 2016 van de gemeente IJsselstein te IJsselstein gecontroleerd.

Deloitte. 6 NOV, OTL BAR-org-anisatie INGEKOMEN

REGLEMENT AUDITCOMMISSIE VAN DE RAAD VAN TOEZICHT ROC RIVOR

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS

/ IJssels. Intern controleplan Samenwerking

MPGR GR drs. F.P. Smilde

Controleverklaring van de onafhankelijke accountant

Vast te stellen het volgende in artikel 14 van de Subsidieverordening Rotterdam 2014 bedoelde SVR2014-subsidiecontroleprotocol.

Controleverordening gemeente Papendrecht 2015

2 Algemene uitgangspunten voor de controle (getrouwheid én rechtmatigheid)

Cliëntnaam: Cliëntnummer: Jaar: Verantwoordelijk accountant: Ja Nee Opmerkingen OPDRACHTGERICHTE KWALITEITSBEOORDELING

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services


Financiële verordening ex. artikel 212 Gemeentewet Bedrijfsvoeringsorganisatie Reinigingsdienst Waardlanden

Pack PE-KE v4.0 NBA NEMACC Symposium, 29 april

Stichting Bewaarder Robeco

CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT. A. Verklaring over de in de jaarstukken opgenomen jaarrekening 2016

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en

Administrateur. Context. Doel. Rapporteert aan/ontvangt hiërarchische richtlijnen van: Directeur dienst Afdelingshoofd

Financiële verordening VRU

De belangrijkste uitkomsten van het onderzoek naar de Jaarrekening 2013 zijn:

Gemeenschappelijke Regeling RUD Drenthe. Managementletter 2014

Ons oordeel Wij hebben de jaarrekening 2016 van Lavide Holding N.V. te Alkmaar gecontroleerd.

BLAD GEMEENSCHAPPELIJKE REGELING

Reglement van de auditcommissie van Stadgenoot

Reglement Bestuur HOOFDSTUK 1 ALGEMEEN

REGLEMENT AUDITCOMMISSIE WONINGBOUWVERENIGING OUDEWATER

CONTROLEPROTOCOL Subsidieprogramma Transitie II en Pieken

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

Aan het bestuur en de directie van Stichting Katholiek Basisonderwijs Haarlem-Schoten Reviusstraat SJ HAARLEM

d. Het controleprotocol is geen werkprogramma, maarde geeft een aantal minimale eisen ten aanzien van de verplicht uit te voeren controlepunten.

Aanbieding continuering accountants dienstverlening Deloitte Accountants B.V. voor de boekjaren 2019 tot en met 2021

CONTROLEPROTOCOL 2015

Controleverklaring van de onafhankelijke accountant. Verklaring over de in de jaarstukken opgenomen jaarrekening 2016

Transcriptie:

Financial Audits Bedrijfsvoering / Audit en Interne Controle

Inleiding De afdeling Audit en Interne Controle (AIC) toetst in opdracht van het CvB de werking van de interne beheersingsmaatregelen. Deze controles dragen bij aan het in control zijn van de Universiteit Leiden. Goed werkende interne beheersing draagt bij aan betrouwbare financiele informatie, waarvan de jaarrekening het sluitstuk is. De werkzaamheden van AIC liggen in het verlengde van de werkzaamheden van de externe accountant. De doelstelling verschilt wel: AIC is intern gericht en geeft het CvB zekerheid, de accountant is extern gericht en geeft de gebruikers van de jaarrekening (bv het ministerie van OCW) zekerheid. De accountant zal gebruik maken van de werkzaamheden van AIC. Daarom dienen deze werkzaamheden te voldoen aan de daaraan te stellen eisen. In het vervolg van dit plan zal daar aandacht aan worden geschonken. Globale aanpak In grote lijnen ziet de controle aanpak er als volgt uit: 1) Permanente omgevingsanalyse. Dit is gericht op kennisvergaring voor de verdere planning en inrichting van het auditproces. De uitkomsten van de omgevingsanalyse zijn richtinggevend voor de vervolgens te verrichten procesanalyse. 2) Procesanalyse Per relevant proces verkrijgen van inzicht in de diverse subprocessen en de ondersteunende informatiesystemen, het per subproces in kaart brengen van de relevante risico s, het identificeren van de getroffen beheersingsmaatregelen. Vervolgens worden de systeemgerichte werkzaamheden (systeemtests) gepland en uitgevoerd en tot slot worden de specifieke vervolgwerkzaamheden voor het desbetreffende subproces bepaald. Dit wordt vastgelegd in het controleprogramma. 3) Controleprogramma, uitvoeren systeemtests Van de geïdentificeerde beheersingsmaatregelen wordt tijdens de interimcontrole met behulp van uit te voeren systeemgerichte werkzaamheden de werking vastgesteld via systeemtests. Op basis van de resultaten van de systeemtests wordt vastgesteld welke (aanvullende) gegevensgerichte werkzaamheden moeten worden verricht. Deze gegevensgerichte werkzaamheden concentreren zich rond de eindejaarscontrole. 4) Tenslotte wordt in hoofdstuk 4 aandacht geschonken aan de planning. 2

1 De omgevingsanalyse Inleiding 1.1 In dit hoofdstuk komen de uitgangspunten en doelstellingen aan de orde van de omgevingsanalyse die AIC verricht. De omgevingsanalyse is gericht op kennisvergaring voor de verdere planning en inrichting van het auditproces. De uitkomsten van de omgevingsanalyse zijn richtinggevend voor de vervolgens te verrichten procesanalyse. De omgevings- en de procesanalyse worden zodanig opgezet, dat zij de grondslag bieden voor de brede audittaak van AIC. 1.2 De omgevingsanalyse moet AIC inzicht bieden in: - de doelstellingen die de eenheid nastreeft en de omgeving waarin dit gebeurt; - de (interne en externe) risico s die het management onderkent ten aanzien van het realiseren van deze doelstellingen; - de gevolgen en de significantie van deze risico s voor het beleid c.q. de beleidsdoelstellingen, de activiteiten/prestaties, de bedrijfsvoering en het jaarverslag; - de belangrijkste beheersingsmaatregelen die de eenheid heeft getroffen om deze risico s af te dekken. De omgevingsanalyse wordt verricht per eenheid. Bij de procesanalyse zullen de in de omgevingsanalyse verkregen inzichten worden verdiept en toegespitst op de te onderscheiden afzonderlijke processen. Deze vormen immers het onderzoeksobject van de procesanalyse. 1.3 De omgevingsanalyse wordt zodanig ingericht en uitgevoerd dat naast het verkrijgen van inzicht in de risico s en interne beheersingsmaatregelen, ook inzicht wordt verkregen in het gevoerde financieel en materieelbeheer en de daartoe bijgehouden administraties. De omgevingsanalyse moet zijn gericht op het onderkennen, inschatten en evalueren van (materiële) risico s dat de interne beheersingsmaatregelen falen in het wegnemen of toereikend reduceren van factoren die het realiseren van gestelde beleids- en bedrijfsvoeringsdoelstellingen in de weg staan. Het gaat hier derhalve om meer dan het beoordelen van maatregelen van interne controle die specifiek gericht zijn op het voorkomen, ontdekken en doen corrigeren van fouten in de financiële stromen of standen. 1.4 De omgevingsanalyse omvat schematisch weergegeven de volgende stappen: 3

STAPPEN VAN DE OMGEVINGSANALYSE (PER EENHEID) Analyseren achtergrond van de beleidsterreinen In kaart brengen actuele ontwikkelingen Analyseren van de planning- & control-cyclus Beoordelen van het besturings- en beheersingskader Analyseren van de automatiseringsomgeving Inventariseren van de inhoud van de beschikbare rapportages Identificeren van de omgevings- en organisatierisico s Benoemen transactiestromen/saldi, vaststellen auditcriteria en inventariseren relevante niet-financiële informatiestromen Selectie en planning van de procesanalyse Deze negen stappen worden onderstaand achtereenvolgens toegelicht. Het verrichten van omgevingsanalyse moet overigens niet geïnterpreteerd worden als het éénmalig en in dwingende volgorde doorlopen van deze stappen. Omgevingsanalyse is een permanent beoordelingsproces. 1.5 De uitkomsten van de omgevingsanalyse worden gedocumenteerd vastgelegd. Stap 1: Analyseren achtergrond van de beleidsterreinen 1.6 Het analyseren van de achtergrond van de beleidsterreinen houdt in dat een inventariserende beschrijving wordt opgesteld van de beleidsdoelstellingen waarvoor de eenheid zich geplaatst ziet en de belangrijkste taken die de eenheid daartoe verricht. Het verkrijgen van inzicht in de achtergrond van de beleidsterreinen houdt normaliter een analyse in van: - de beleidsdoelstellingen en -strategieën en de instrumenten die worden gehanteerd om de operationele doelstellingen te bereiken; 4

- de organisatiestructuur en de organisatie-inrichting, de aard van de activiteiten, Controleplan - de primaire en ondersteunende beleids- en bedrijfsvoeringsprocessen op het terrein van de beleids- en begrotingsvoorbereiding, -uitvoering en -evaluatie; - de afhankelijkheden van relevante externe partijen (andere overheden, samenwerkingsverbanden). 1.7 AIC wint informatie in over de activiteiten van de organisatieonderdelen door middel van: interviews met leiding en personeel van het organisatieonderdeel; de kennisname van: - de begroting met inbegrip van de daarin opgenomen toelichting (met bijzondere aandacht voor de geformuleerde doelstellingen en prestatiegegevens); - beleidsplannen voor de lange(re) termijn; - de van toepassing zijnde uitvoeringswetten en regelgeving; - opgestelde procesbeschrijvingen (handboeken, flow charts, organogrammen ed); - besluiten CvB, faculteitsbestuur, directies; - beleids- en bedrijfsvoeringsnota's; - tussentijdse financiële overzichten (BFR s) alsmede interne jaarrekeningen - interne rapporten aan de leiding betreffende operationele en financiële informatie ter beoordeling van de beleids- en bedrijfsvoering. Stap 2: In kaart brengen actuele ontwikkelingen 1.8 Actuele ontwikkelingen kunnen het realiseren van bepaalde beleidsdoelstellingen beïnvloeden. Deze ontwikkelingen kunnen derhalve de significantie van een belangrijk risico beïnvloeden. Zo zal bijvoorbeeld na het plaatsvinden van een ramp de handhavingsprioriteit groter zijn. AIC zal moeten beoordelen of de eenheid dergelijke factoren voldoende in beeld heeft en zich voldoende rekenschap geeft van hun betekenis voor de beleids- en de bedrijfsvoering. Hierbij gaat het er vooral om dat AIC inspeelt op behoeften en deze behoeften in een zo vroeg mogelijk stadium signaleert. Stap 3: Analyseren van de planning- & control-cyclus 1.9 Het analyseren van de planning- & control-cyclus dient AIC inzicht te bieden in de wijze waarop het management: - het realiseren van de gestelde doelstellingen beheerst en daarbij de effectiviteit van het instrumentarium bewaakt; 5

- mensen en middelen aanstuurt, verdeelt en beheerst voor de diverse activiteiten; - de sterke en zwakke punten van de organisatie analyseert; Controleplan - risicoanalyse hanteert als beheersinstrument om de doelstellingen te realiseren en aan de uitkomsten van de verrichte risicoanalyse beheersingsmaategelen verbindt; - de IT-strategie bepaalt; - de beleidsontwikkeling c.q. de ontwikkeling van nieuwe instrumenten aanstuurt; - invulling geeft aan het redresseren van uit rapportages gebleken tekortkomingen in de planning- & control-cyclus. 1.10 Een wezenlijk element van de planning- & control-cyclus is het risicomanagement dat de (lijn)managers verrichten. AIC zal in dat verband binnen het te beoordelen proces van risicomanagement nagaan of sprake is van een onderbouwde risk policy voor het identificeren en analyseren van risicofactoren, wat daarvan de uitgangspunten zijn, of de risk policy is afgestemd op de te realiseren beleidsdoelstellingen en of er adequate interne richtsnoeren zijn geformuleerd ter invulling van de risk policy. Voorts is uiteraard van belang dat het (lijn)management aan gesignaleerde risicofactoren adequate maatregelen van interne beheersing koppelt. Ten slotte zal AIC nagaan op welke wijze de gekozen risicobeheersingsinstrumenten worden geïmplementeerd en hoe het hele proces van risicomanagement intern wordt geëvalueerd. Stap 4: Beoordelen van het besturings- en beheersingskader 1.11 Onder besturings- en beheersingskader wordt verstaan de algemene attitude en betrokkenheid van het (lijn)management ten opzichte van de beleids- en de bedrijfsvoering en de opstelling van het jaarverslag en het belang daarvan voor de eenheid. Een in opzet goede beleids- en bedrijfsvoering kan teniet worden gedaan door een zwak besturings- en beheersingskader. 1.12 AIC schenkt bij de beoordeling van het besturings- en beheersingskader aandacht aan de volgende aspecten: de organisatiestructuur, de verdeling van bevoegdheden en verantwoordelijkheden (inclusief beoordeling van taak- en deskundigheidsprofielen); de filosofie van de leiding en de stijl van werken; de positie van de control-functie; cultuuraspecten en ethiek (inclusief integriteit); profiel van het personeel en het personeelsbeleid; de communicatiestructuur (stijl en wijze van communiceren). 6

Stap 5: Analyseren van de automatiseringsomgeving 1.13 De processen worden veelal ondersteund door geautomatiseerde informatiesystemen. IT wordt steeds vaker ingezet om de effectiviteit en de efficiency te verbeteren. AIC zal de volgende werkzaamheden verrichten, gericht op het in kaart brengen van de risicofactoren die IT met zich brengt: analyseren in hoeverre het lijnmanagement risicoanalyse heeft toegepast ten aanzien van de informatiesystemen van de organisatie en analyseren wat het management heeft gedaan om te bepalen welke informatiesystemen belangrijk zijn voor de organisatie (hoe groot is de afhankelijkheid van de organisatie van deze systemen); bepalen van het belang voor de organisatie en de aandacht van de organisatie voor de beveiliging van informatie(systemen); bepalen van het belang voor de organisatie en de aandacht van de organisatie voor de betrouwbaarheid van de informatie(systemen); nagaan of de organisatie voldoende aandacht heeft voor de procesondersteunende kwaliteit van de informatiesystemen. Stap 6: Inventariseren van de inhoud van de beschikbare rapportages 1.14 AIC maakt een vastlegging van het doel en de inhoud van de door het management, de controlfunctie verrichte onderzoeken c.q. opgestelde rapportages die van betekenis zijn voor de invulling van de algemene controletaak. Belangrijke rapportages zijn de BFR s. Bij het inventariseren en beoordelen van rapportages kan het bijvoorbeeld ook gaan om onderzoeken met betrekking tot het gevoerde financieel en materieelbeheer, andere onderzoeken naar de bedrijfs- en beleidsvoering en beleidsevaluatieonderzoeken. In dat verband dient ook aandacht te worden besteed aan en de wijze waarop deze rapportages tot stand zijn gekomen, de manier waarop intern met deze rapportages is omgegaan en hoe aan de bevindingen follow up is gegeven. Stap 7: Identificeren van de omgevings- en organisatierisico s 1.15 De doelstelling van deze stap is het benoemen en omschrijven van de omgevings- en organisatierisico s en de mogelijke gevolgen daarvan voor de kwaliteit van de beleids- en de bedrijfsvoering, voor de deugdelijkheid van het jaarverslag (zowel ten aanzien van de daarin opgenomen financiële als niet-financiële informatie) en de rechtmatigheid van de verrichte beheershandelingen. Het belangrijkste aspect hierbij is het beoordelen van de wijze waarop het 7

management risicoanalyse verricht (het management is daarvoor immers primair Controleplan verantwoordelijk) en het kennisnemen van de resultaten daarvan. In de ideale situatie is deze stap derhalve beperkt tot de vaststelling dat het management zich op adequate wijze van deze taak heeft gekweten, zodat AIC kan steunen op de uitkomsten van de risicoanalyse die het management heeft uitgevoerd. 1.16 In concreto kan bij omgevings- en organisatierisico s bijvoorbeeld worden gedacht aan: de ervaring, kennis en integriteitsbewustzijn van het management; recente wijzigingen in de leiding; de mate waarin de leiding en het personeel bereid (verantwoordelijkheidsbesef) en in staat (niveau, opleiding, ervaring etc.) zijn om een correct verloop van de beleids- en bedrijfsvoeringsprocessen te realiseren; ongewone druk op de leiding (zijn er mogelijke tendenties om de uitkomsten van de begrotingsuitvoering te flatteren of te deflatteren?); de relevante aspecten van de activiteiten van de eenheid en de aard en complexiteit van de wet- en regelgeving die moet worden uitgevoerd; de stand van de automatisering: zijn de geautomatiseerde hulpmiddelen die worden gehanteerd bij de beleids- en bedrijfsvoeringsprocessen en bij de registratie van de uitkomsten daarvan betrouwbaar? voorbeeld: geautomatiseerde uitvoering suggereert een lager risico waar het leidt tot een grotere consistentie in de verwerking. Automatisering kan echter ook leiden tot een hoger risico als het computersysteem niet is getest en op een slechte manier is ingevoerd. 1.17 Bij het beschrijven van de omgevings- en organisatierisico s moet expliciet de koppeling worden aangegeven met het desbetreffende (sub)proces waarmee het onderkende risico wordt beheerst of zou moeten worden beheerst. Mede op basis hiervan kan in de volgende fase een selectie worden gemaakt van de processen die moeten worden beoordeeld in de procesanalyse. Stap 8: Benoemen transactiestromen/saldi, controlecriteria 1.18 Bij deze stap dienen de financiële stromen en saldi naar aard en omvang te worden vastgesteld en benoemd. Voor de beoordeling van de bedrijfsvoering en in het bijzonder het financieel beheer is kennis van deze stromen en saldi onmisbaar. 1.19 Nadat de te onderscheiden stromen en saldi in kaart zijn gebracht, stelt AIC per stroom/saldo vast welke controlecriteria hierop van toepassing zijn. De naar een bepaalde stroom/saldo 8

vertaalde controlecriteria worden aangeduid als specifieke controlecriteria. Het in kaart brengen van deze specifieke controlecriteria is nodig omdat de controle door de extern accountant van de financiële informatie in het jaarverslag wordt gepland en uitgevoerd per financiële stroom/saldo en voor ieder(e) stroom/saldo veelal verschillende controlecriteria gelden. Hierbij speelt de aard van de desbetreffende stromen en saldi een belangrijke rol. 1.20 AIC beoordeelt welke van de geïdentificeerde transactiestromen/saldi significant zijn. Dit gebeurt door na te gaan wat de betekenis van de onderscheiden transactiestromen/saldi is voor de controle van de totstandkoming en de inhoud van het jaarverslag en voor de beoordeling van het gevoerde financieel en materieelbeheer en de ten behoeve daarvan bijgehouden administraties. Bij de beoordeling daarvan spelen de van toepassing zijnde kritieke controlecriteria een belangrijke rol. 1.21 Voorts moet worden aangegeven welk (sub)proces aan elk van de omschreven transactiestromen/saldi verbonden is c.q. daarop van invloed is. Daarmee wordt de link gelegd naar de fase van de procesanalyse die na de omgevingsanalyse plaatsvindt. Stap 9: Selectie en planning van de procesanalyse 1.22 In de vorige twee stappen is een relatie gelegd tussen omgevings- en organisatierisico s respectievelijk transactiestromen/saldi enerzijds en de (sub)processen die daaraan gerelateerd zijn. Bij deze vervolgstap wordt gerecapituleerd welke processen van significant belang zijn voor de controle van de totstandkoming en de inhoud van het jaarverslag en voor de beoordeling van het gevoerde financieel en materieelbeheer en in dat kader bijgehouden administraties. Vervolgens wordt een onderbouwde conclusie getrokken welke van de geïdentificeerde processen zijn geselecteerd om te worden onderworpen aan procesanalyse in dit controlejaar. 2 De procesanalyse Inleiding 9

2.1 Volgend op de omgevingsanalyse verricht AIC een onderzoek per daarvoor geselecteerd beleids- of bedrijfsvoeringsproces. De hoofdlijnen van deze procesanalyse worden in dit hoofdstuk beschreven. De uitkomsten van de procesanalyse bepalen voor een belangrijk deel de aard en de omvang van de specifieke vervolgwerkzaamheden (de hierna volgende fase van de controleaanpak). De procesanalyse wordt zodanig opgezet en uitgevoerd dat de resultaten ervan niet alleen bruikbaar zijn voor de uitvoering van de algemene controletaak, maar eveneens van betekenis kunnen zijn ten behoeve van eventuele andere onderzoeken die AIC verricht. 2.2 De centrale doelstelling van het verrichten van procesanalyse is per proces inzichtelijk te maken hoe (een onderdeel van) de organisatie de beleids- en bedrijfsvoeringsprocessen beheerst. Het gaat hierbij net zoals bij omgevingsanalyse zowel om processen die verband houden met de opstelling van het jaarverslag en de saldibalans, als om processen die samenhangen met het voeren van het financiële en het materieelbeheer (en de daartoe bijgehouden administraties). De procesanalyse richt zich op de doeltreffendheid, doelmatigheid, ordelijkheid en controleerbaarheid van elk proces, de rechtmatigheid van de uitkomsten daarvan alsmede de betrouwbaarheid van de beheersinformatie over de werking van deze processen. Deze eisen zijn primair van belang voor het management, dat immers verantwoordelijk is voor het goed functioneren van de processen. 2.3 Met betrekking tot een proces en het getroffen stelsel van interne beheersingsmaatregelen dient een onderscheid gemaakt te worden tussen de opzet en de werking. De opzet van een proces of een beheersingsmaatregel heeft betrekking op het geheel van structurele en procedurele regels om het geheel van beschikbaar gestelde mensen en middelen overeenkomstig het vooraf vastgestelde doel te laten functioneren. De werking van een proces of beheersingsmaatregel heeft betrekking op de vraag of de mensen en middelen in een bepaalde periode overeenkomstig deze opzet functioneren (onder de werking wordt hierbij tevens het bestaan van de desbetreffende maatregelen begrepen). 2.4 Voorafgaand aan een beschrijving van de successievelijke stappen waaruit de procesanalyse is opgebouwd, wordt onderstaand eerst kort ingegaan op de relatie tussen de inherente beleids- en bedrijfsvoeringsrisico s en de interne beheersingsrisico s. Een goed begrip van de diverse risicobegrippen die daarbij een rol spelen is nodig voor het vervolg van dit hoofdstuk. De relatie tussen de inherente beleids- en bedrijfsvoeringsrisico s en de interne beheersing 2.5 Onderstaande toepassing van het risicoanalysemodel gaat uit van een brede benadering die zich niet enkel beperkt tot de controle van de financiële informatie in het jaarverslag en de saldibalans. 10

Het is evenwel van belang dat AIC er tijdig in het controleproces voor zorgt dat sprake is van een voldoende focus op deze financiële informatie. Dit is vooral nodig omdat de oordeelsvorming daarover ondersteunt bij de afgifte van een accountantsverklaring door de externe accountant. Het inherent beleids- en bedrijfsvoeringsrisico 2.6 Het inherent beleids- en bedrijfsvoeringsrisico is de kans dat de gestelde beleids- en bedrijfsvoeringsdoelstellingen niet worden gerealiseerd onder de veronderstelling dat daarop geen maatregelen van interne beheersing van toepassing zouden zijn. Dit risico heeft te maken met proces- en activiteitgebonden factoren die het bereiken van de gestelde beleids- en bedrijfsvoeringsdoelstellingen in gevaar (kunnen) brengen en met de omgeving waarin de desbetreffende processen en activiteiten zich afspelen. Deze omgeving is reeds in kaart gebracht en beoordeeld in het kader van de omgevingsanalyse. Inherente beleids- en bedrijfsvoeringsrisico s kunnen betrekking hebben op de effectiviteit en efficiency van de processen en activiteiten, de kwaliteit van de informatievoorziening en de rechtmatigheid van de (financiële) beheershandelingen. 2.7 AIC kan het inherent beleids- en bedrijfsvoeringsrisico inschatten. Het is echter op korte termijn niet te beïnvloeden en geldt derhalve voorshands als een gegeven. Factoren die de omvang van het inherent beleids- en bedrijfsvoeringsrisico beïnvloeden zijn onder andere de complexiteit van de desbetreffende processen (bijvoorbeeld de ingewikkeldheid van 3e geldstroom uitvoeringsregelingen), de kwaliteit van de met de uitvoering van deze processen belaste functionarissen alsmede de aard en kwaliteit van de hen ter beschikking staande (technische) hulpmiddelen. Als er bijvoorbeeld sprake is van een gecompliceerde subsidieregeling, terwijl er op de uitvoerende eenheid sprake is van kwalitatieve en kwantitatieve onderbezetting, is de kans dat zich in de uitvoering van een proces een tekortkoming voordoet aanmerkelijk groter dan op een adequaat bezette eenheid die een meer eenvoudige regeling uitvoert. Het interne beheersingsrisico 2.8 Het interne beheersingsrisico is het risico dat het management door ontoereikende beheersingsmaatregelen aanwezige inherente beleids- en bedrijfsvoeringsrisico s niet afdoende weet te beheersen. Dit betekent dat het niet behalen van een beleids- of bedrijfsvoeringsdoelstelling niet tijdig wordt voorkomen of ontdekt en daarop geen herstelactie volgt. 2.9 Eén van de doelstellingen van interne beheersing is uiteraard het waarborgen van een rechtmatige begrotingsuitvoering en een deugdelijke (betrouwbare) rapportage daarover in het jaarverslag. Het risico dat er materiële fouten in het jaarverslag zitten maakt aldus deel uit van het inherent beleids- en bedrijfsvoeringsrisico. De begrippen interne beheersing en inherent - 11

beleids- en bedrijfsvoeringsrisico zijn evenwel ruimer omdat ze zijn gericht op het bereiken van alle beleids- en bedrijfsvoeringsdoelstellingen. Onder meer de doeltreffendheid en de doelmatigheid van de bedrijfsvoering (in het bijzonder het financieel en materieelbeheer) vallen daar ook onder. 2.10 Het niveau van het bestaande besturings- en beheersingskader en de kwaliteit van de getroffen interne beheersingssystemen bepalen de hoogte van het interne beheersingsrisico. Het besturings- en beheersingskader bestaat globaal uit de organisatiestructuur, de houding en het toezicht van de leiding en de bekwaamheid en attitude van het personeel. Het besturings- en beheersingskader moet de voorwaarden scheppen voor een effectief stelsel van maatregelen van interne beheersing; het bepaalt de atmosfeer waarin en de condities waaronder de functionarissen hun werk doen. 2.11 Bij het inschatten van het interne beheersingsrisico gaat het, evenals bij de inherente beleids- en bedrijfsvoeringsrisico s, niet om een exacte benadering van de werkelijkheid. De betekenis van de getroffen beheersingsmaatregelen kan doorgaans niet exact, doch slechts globaal worden ingeschat. 2.12 De combinatie van het inherent beleids- en bedrijfsvoeringsrisico en het interne beheersingsrisico bepaalt het risico dat er bij de uitvoering van processen iets mis gaat waardoor de gestelde beleids- of bedrijfsvoeringsdoelstellingen niet bereikt worden. Het verantwoordelijke (lijn)management dient er voor te zorgen dat dit samengestelde risico zo laag mogelijk is. Het is de taak van AIC te constateren dat dit inderdaad zo is c.q. dat dit zeer waarschijnlijk is. De stappen waaruit de procesanalyse bestaat 2.13 De procesanalyse omvat schematisch weergegeven de volgende stappen STAPPEN VAN DE PROCESANALYSE (PER PROCES) Opstellen plan van aanpak Verkrijgen van algemeen inzicht in het proces Uitvoeren van de procesanalyse 12

Plannen van de te verrichten systeemgerichte werkzaamheden Uitvoeren systeemgerichte werkzaamheden en evalueren uitkomsten daarvan Rapporteren over de bevindingen naar aanleiding van de verrichte procesanalyse Controleprogramma Uitkomsten procesanalyse In het vervolg van dit hoofdstuk komt elk van deze stappen achtereenvolgens in nader detail aan bod. Het plan van aanpak voor de procesanalyse (stap 1), de planning van de te verrichten systeemgerichte werkzaamheden (stap 4) en de vaststelling van de uit te voeren specifieke vervolgwerkzaamheden (stap 7) kunnen gezamenlijk beschouwd worden als het controleprogramma. 2.14 Kort samengevat komt de procesanalyse neer op het per proces verkrijgen van inzicht in de diverse subprocessen en de ondersteunende informatiesystemen, het per subproces in kaart brengen van de relevante risico s, het identificeren van de getroffen beheersingsmaatregelen en als uitkomst het bepalen van de omvang van het zogeheten restrisico. Vervolgens worden de systeemgerichte werkzaamheden (systeemtests) gepland en uitgevoerd en tot slot worden de specifieke vervolgwerkzaamheden voor het desbetreffende subproces bepaald. Van de geïdentificeerde beheersingsmaatregelen worden derhalve allereerst de opzet en het bestaan vastgesteld. In de conclusie met betrekking tot de uit te voeren systeemgerichte werkzaamheden (stap 4) moet worden aangegeven van welke beheersingsmaatregelen aansluitend de werking moet worden vastgesteld via systeemtests. Op basis van de geëvalueerde restrisico s en de resultaten van de systeemtests wordt vastgesteld welke (aanvullende) gegevensgerichte werkzaamheden in de volgende fase van de controleaanpak moeten worden verricht. Stap 1: Opstellen plan van aanpak 2.15 De procesanalyse vangt aan met het kennisnemen van de uitkomsten van de omgevingsanalyse. Vervolgens wordt per proces een plan van aanpak voor de procesanalyse opgesteld. Dit plan van aanpak voor de procesbeoordeling bevat in elk geval een omschrijving van: - de doelstellingen van het onderzoek (hangt mede af van het type audit); 13

- het onderzoeksobject en de daaraan te stellen eisen; - de scope en beperkingen van het onderzoek; - de aanpak van het onderzoek; - de uitvoering van het onderzoek; Controleplan - de manier waarop de (concept)bevindingen met de gecontroleerde zullen worden afgestemd; - de wijze van rapportering over de uitkomsten van het onderzoek; - de ten aanzien van het onderzoek geldende randvoorwaarden. Stap 2: Verkrijgen van algemeen inzicht in het proces 2.16 Bij deze stap wordt bezien of en op welke wijze het management het geselecteerde proces in hoofdlijnen in kaart heeft gebracht en wordt inzicht verkregen in de doelstellingen van het proces en de daarbij te onderkennen subprocessen (inclusief hun input en output), de ondersteunende informatiesystemen en de afhankelijkheid daarvan, de omspannende procescontroles, de kritieke succesfactoren, de meetindicatoren en de getroffen beheersingsmaatregelen. Daarbij worden de risico s geanalyseerd die de realisatie van de onderkende doelstellingen bedreigen. Informatie wordt hiervoor verkregen door interviews met betrokken functionarissen, bestudering van de aanwezige documentatie en waarnemingen welke beheersingsmaatregelen daadwerkelijk door het management zijn getroffen. AIC maakt hierbij in beginsel zoveel mogelijk gebruik van beschrijvingen die het (lijn)management zelf reeds heeft opgesteld, zoals het handboek Financiën. Het is niet de bedoeling dat AIC zelf de processen nog eens (gedeeltelijk) gaat beschrijven. In zekere zin kan deze stap beschouwd worden als een procesgerichte uitwerking c.q. verdieping van de omgevingsanalyse. 2.17 Indien sprake is van belangrijke geautomatiseerde informatiesystemen moet worden vastgesteld of bij deze stap de inzet van IT-deskundigheid wenselijk is voor het verkrijgen van inzicht in de getroffen beheersingsmaatregelen (general controls en application controls). Dat zal sterker het geval zijn wanneer het gaat om complexe systemen, indien er sprake is van een grote afhankelijkheid en wanneer de omvang van de financiële stromen of saldi waarvoor deze systemen van belang zijn relatief groot is. AIC werkt bij dit onderdeel samen met de afdeling Informatiemanagement van Bedrijfsvoering. Stap 3: Uitvoeren van procesanalyse 14

2.18 Op basis van de verkregen kennis van het proces, de geformuleerde procesdoelstellingen, de gedefinieerde risico s en de getroffen beheersingsmaatregelen voert AIC in deze fase daadwerkelijk de procesanalyse uit. 2.19 Het uitvoeren van procesanalyse kan gebeuren door het opstellen van bijvoorbeeld een procesanalysematrix. Deze zou kunnen bestaan uit de volgende acht kolommen die per subproces/activiteit (een regel in de matrix) zouden moeten worden ingevuld: - omschrijving van het onderscheiden subproces c.q. de activiteit; - beschrijving van de input; - beschrijving van de output; - omschrijving van de inherente beleids- en bedrijfsvoeringsrisico s; - inschatting van deze inherente risico s (hoog, gemiddeld, laag); - omschrijving van de van toepassing zijnde normen/eisen (controlecriteria); - beschrijving van de getroffen beheersingsmaatregelen; - inschatting van het interne beheersingsrisico; 2.20 De procesanalysematrix zorgt voor standaardisatie van de beoordelingen Bovendien dwingt het gebruik van de procesanalysematrix tot het doorlopen van alle bovengenoemde punten. Het staat AIC evenwel vrij te kiezen voor een andere wijze van het verrichten van procesanalyse en het vastleggen van de uitkomsten daarvan dan door het opstellen van een procesanalysematrix. Stap 4: Plannen systeemgerichte werkzaamheden 2.21 Systeemgerichte werkzaamheden worden uitgevoerd om zekerheid te krijgen over de effectiviteit van de werking van de interne beheersingsmaatregelen (waarbij de controle op de werking wordt geacht tevens te zijn gericht op de vaststelling van het bestaan van de desbetreffende beheersingsmaatregelen). AIC dient door middel van deze werkzaamheden bewijsmateriaal te verkrijgen ter bevestiging van de gemaakte inschatting van het interne beheersingsrisico op een gemiddeld dan wel op een laag niveau. Systeemtests worden verricht door het toepassen van lijncontroles of proceduretests, waarbij ten aanzien van een geselecteerde transactie het gehele proces wordt gevolgd. Er wordt nagegaan of alle met die transactie samenhangende handelingen in overeenstemming met de beschreven opzet zijn verricht. 2.22 Voor het vaststellen van de werking van geprogrammeerde beheersingsmaatregelen zal vooral ten aanzien van application controls overleg moeten plaatsvinden met de externe accountant. 15

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback