Financial Audits Bedrijfsvoering / Audit en Interne Controle
Inleiding De afdeling Audit en Interne Controle (AIC) toetst in opdracht van het CvB de werking van de interne beheersingsmaatregelen. Deze controles dragen bij aan het in control zijn van de Universiteit Leiden. Goed werkende interne beheersing draagt bij aan betrouwbare financiele informatie, waarvan de jaarrekening het sluitstuk is. De werkzaamheden van AIC liggen in het verlengde van de werkzaamheden van de externe accountant. De doelstelling verschilt wel: AIC is intern gericht en geeft het CvB zekerheid, de accountant is extern gericht en geeft de gebruikers van de jaarrekening (bv het ministerie van OCW) zekerheid. De accountant zal gebruik maken van de werkzaamheden van AIC. Daarom dienen deze werkzaamheden te voldoen aan de daaraan te stellen eisen. In het vervolg van dit plan zal daar aandacht aan worden geschonken. Globale aanpak In grote lijnen ziet de controle aanpak er als volgt uit: 1) Permanente omgevingsanalyse. Dit is gericht op kennisvergaring voor de verdere planning en inrichting van het auditproces. De uitkomsten van de omgevingsanalyse zijn richtinggevend voor de vervolgens te verrichten procesanalyse. 2) Procesanalyse Per relevant proces verkrijgen van inzicht in de diverse subprocessen en de ondersteunende informatiesystemen, het per subproces in kaart brengen van de relevante risico s, het identificeren van de getroffen beheersingsmaatregelen. Vervolgens worden de systeemgerichte werkzaamheden (systeemtests) gepland en uitgevoerd en tot slot worden de specifieke vervolgwerkzaamheden voor het desbetreffende subproces bepaald. Dit wordt vastgelegd in het controleprogramma. 3) Controleprogramma, uitvoeren systeemtests Van de geïdentificeerde beheersingsmaatregelen wordt tijdens de interimcontrole met behulp van uit te voeren systeemgerichte werkzaamheden de werking vastgesteld via systeemtests. Op basis van de resultaten van de systeemtests wordt vastgesteld welke (aanvullende) gegevensgerichte werkzaamheden moeten worden verricht. Deze gegevensgerichte werkzaamheden concentreren zich rond de eindejaarscontrole. 4) Tenslotte wordt in hoofdstuk 4 aandacht geschonken aan de planning. 2
1 De omgevingsanalyse Inleiding 1.1 In dit hoofdstuk komen de uitgangspunten en doelstellingen aan de orde van de omgevingsanalyse die AIC verricht. De omgevingsanalyse is gericht op kennisvergaring voor de verdere planning en inrichting van het auditproces. De uitkomsten van de omgevingsanalyse zijn richtinggevend voor de vervolgens te verrichten procesanalyse. De omgevings- en de procesanalyse worden zodanig opgezet, dat zij de grondslag bieden voor de brede audittaak van AIC. 1.2 De omgevingsanalyse moet AIC inzicht bieden in: - de doelstellingen die de eenheid nastreeft en de omgeving waarin dit gebeurt; - de (interne en externe) risico s die het management onderkent ten aanzien van het realiseren van deze doelstellingen; - de gevolgen en de significantie van deze risico s voor het beleid c.q. de beleidsdoelstellingen, de activiteiten/prestaties, de bedrijfsvoering en het jaarverslag; - de belangrijkste beheersingsmaatregelen die de eenheid heeft getroffen om deze risico s af te dekken. De omgevingsanalyse wordt verricht per eenheid. Bij de procesanalyse zullen de in de omgevingsanalyse verkregen inzichten worden verdiept en toegespitst op de te onderscheiden afzonderlijke processen. Deze vormen immers het onderzoeksobject van de procesanalyse. 1.3 De omgevingsanalyse wordt zodanig ingericht en uitgevoerd dat naast het verkrijgen van inzicht in de risico s en interne beheersingsmaatregelen, ook inzicht wordt verkregen in het gevoerde financieel en materieelbeheer en de daartoe bijgehouden administraties. De omgevingsanalyse moet zijn gericht op het onderkennen, inschatten en evalueren van (materiële) risico s dat de interne beheersingsmaatregelen falen in het wegnemen of toereikend reduceren van factoren die het realiseren van gestelde beleids- en bedrijfsvoeringsdoelstellingen in de weg staan. Het gaat hier derhalve om meer dan het beoordelen van maatregelen van interne controle die specifiek gericht zijn op het voorkomen, ontdekken en doen corrigeren van fouten in de financiële stromen of standen. 1.4 De omgevingsanalyse omvat schematisch weergegeven de volgende stappen: 3
STAPPEN VAN DE OMGEVINGSANALYSE (PER EENHEID) Analyseren achtergrond van de beleidsterreinen In kaart brengen actuele ontwikkelingen Analyseren van de planning- & control-cyclus Beoordelen van het besturings- en beheersingskader Analyseren van de automatiseringsomgeving Inventariseren van de inhoud van de beschikbare rapportages Identificeren van de omgevings- en organisatierisico s Benoemen transactiestromen/saldi, vaststellen auditcriteria en inventariseren relevante niet-financiële informatiestromen Selectie en planning van de procesanalyse Deze negen stappen worden onderstaand achtereenvolgens toegelicht. Het verrichten van omgevingsanalyse moet overigens niet geïnterpreteerd worden als het éénmalig en in dwingende volgorde doorlopen van deze stappen. Omgevingsanalyse is een permanent beoordelingsproces. 1.5 De uitkomsten van de omgevingsanalyse worden gedocumenteerd vastgelegd. Stap 1: Analyseren achtergrond van de beleidsterreinen 1.6 Het analyseren van de achtergrond van de beleidsterreinen houdt in dat een inventariserende beschrijving wordt opgesteld van de beleidsdoelstellingen waarvoor de eenheid zich geplaatst ziet en de belangrijkste taken die de eenheid daartoe verricht. Het verkrijgen van inzicht in de achtergrond van de beleidsterreinen houdt normaliter een analyse in van: - de beleidsdoelstellingen en -strategieën en de instrumenten die worden gehanteerd om de operationele doelstellingen te bereiken; 4
- de organisatiestructuur en de organisatie-inrichting, de aard van de activiteiten, Controleplan - de primaire en ondersteunende beleids- en bedrijfsvoeringsprocessen op het terrein van de beleids- en begrotingsvoorbereiding, -uitvoering en -evaluatie; - de afhankelijkheden van relevante externe partijen (andere overheden, samenwerkingsverbanden). 1.7 AIC wint informatie in over de activiteiten van de organisatieonderdelen door middel van: interviews met leiding en personeel van het organisatieonderdeel; de kennisname van: - de begroting met inbegrip van de daarin opgenomen toelichting (met bijzondere aandacht voor de geformuleerde doelstellingen en prestatiegegevens); - beleidsplannen voor de lange(re) termijn; - de van toepassing zijnde uitvoeringswetten en regelgeving; - opgestelde procesbeschrijvingen (handboeken, flow charts, organogrammen ed); - besluiten CvB, faculteitsbestuur, directies; - beleids- en bedrijfsvoeringsnota's; - tussentijdse financiële overzichten (BFR s) alsmede interne jaarrekeningen - interne rapporten aan de leiding betreffende operationele en financiële informatie ter beoordeling van de beleids- en bedrijfsvoering. Stap 2: In kaart brengen actuele ontwikkelingen 1.8 Actuele ontwikkelingen kunnen het realiseren van bepaalde beleidsdoelstellingen beïnvloeden. Deze ontwikkelingen kunnen derhalve de significantie van een belangrijk risico beïnvloeden. Zo zal bijvoorbeeld na het plaatsvinden van een ramp de handhavingsprioriteit groter zijn. AIC zal moeten beoordelen of de eenheid dergelijke factoren voldoende in beeld heeft en zich voldoende rekenschap geeft van hun betekenis voor de beleids- en de bedrijfsvoering. Hierbij gaat het er vooral om dat AIC inspeelt op behoeften en deze behoeften in een zo vroeg mogelijk stadium signaleert. Stap 3: Analyseren van de planning- & control-cyclus 1.9 Het analyseren van de planning- & control-cyclus dient AIC inzicht te bieden in de wijze waarop het management: - het realiseren van de gestelde doelstellingen beheerst en daarbij de effectiviteit van het instrumentarium bewaakt; 5
- mensen en middelen aanstuurt, verdeelt en beheerst voor de diverse activiteiten; - de sterke en zwakke punten van de organisatie analyseert; Controleplan - risicoanalyse hanteert als beheersinstrument om de doelstellingen te realiseren en aan de uitkomsten van de verrichte risicoanalyse beheersingsmaategelen verbindt; - de IT-strategie bepaalt; - de beleidsontwikkeling c.q. de ontwikkeling van nieuwe instrumenten aanstuurt; - invulling geeft aan het redresseren van uit rapportages gebleken tekortkomingen in de planning- & control-cyclus. 1.10 Een wezenlijk element van de planning- & control-cyclus is het risicomanagement dat de (lijn)managers verrichten. AIC zal in dat verband binnen het te beoordelen proces van risicomanagement nagaan of sprake is van een onderbouwde risk policy voor het identificeren en analyseren van risicofactoren, wat daarvan de uitgangspunten zijn, of de risk policy is afgestemd op de te realiseren beleidsdoelstellingen en of er adequate interne richtsnoeren zijn geformuleerd ter invulling van de risk policy. Voorts is uiteraard van belang dat het (lijn)management aan gesignaleerde risicofactoren adequate maatregelen van interne beheersing koppelt. Ten slotte zal AIC nagaan op welke wijze de gekozen risicobeheersingsinstrumenten worden geïmplementeerd en hoe het hele proces van risicomanagement intern wordt geëvalueerd. Stap 4: Beoordelen van het besturings- en beheersingskader 1.11 Onder besturings- en beheersingskader wordt verstaan de algemene attitude en betrokkenheid van het (lijn)management ten opzichte van de beleids- en de bedrijfsvoering en de opstelling van het jaarverslag en het belang daarvan voor de eenheid. Een in opzet goede beleids- en bedrijfsvoering kan teniet worden gedaan door een zwak besturings- en beheersingskader. 1.12 AIC schenkt bij de beoordeling van het besturings- en beheersingskader aandacht aan de volgende aspecten: de organisatiestructuur, de verdeling van bevoegdheden en verantwoordelijkheden (inclusief beoordeling van taak- en deskundigheidsprofielen); de filosofie van de leiding en de stijl van werken; de positie van de control-functie; cultuuraspecten en ethiek (inclusief integriteit); profiel van het personeel en het personeelsbeleid; de communicatiestructuur (stijl en wijze van communiceren). 6
Stap 5: Analyseren van de automatiseringsomgeving 1.13 De processen worden veelal ondersteund door geautomatiseerde informatiesystemen. IT wordt steeds vaker ingezet om de effectiviteit en de efficiency te verbeteren. AIC zal de volgende werkzaamheden verrichten, gericht op het in kaart brengen van de risicofactoren die IT met zich brengt: analyseren in hoeverre het lijnmanagement risicoanalyse heeft toegepast ten aanzien van de informatiesystemen van de organisatie en analyseren wat het management heeft gedaan om te bepalen welke informatiesystemen belangrijk zijn voor de organisatie (hoe groot is de afhankelijkheid van de organisatie van deze systemen); bepalen van het belang voor de organisatie en de aandacht van de organisatie voor de beveiliging van informatie(systemen); bepalen van het belang voor de organisatie en de aandacht van de organisatie voor de betrouwbaarheid van de informatie(systemen); nagaan of de organisatie voldoende aandacht heeft voor de procesondersteunende kwaliteit van de informatiesystemen. Stap 6: Inventariseren van de inhoud van de beschikbare rapportages 1.14 AIC maakt een vastlegging van het doel en de inhoud van de door het management, de controlfunctie verrichte onderzoeken c.q. opgestelde rapportages die van betekenis zijn voor de invulling van de algemene controletaak. Belangrijke rapportages zijn de BFR s. Bij het inventariseren en beoordelen van rapportages kan het bijvoorbeeld ook gaan om onderzoeken met betrekking tot het gevoerde financieel en materieelbeheer, andere onderzoeken naar de bedrijfs- en beleidsvoering en beleidsevaluatieonderzoeken. In dat verband dient ook aandacht te worden besteed aan en de wijze waarop deze rapportages tot stand zijn gekomen, de manier waarop intern met deze rapportages is omgegaan en hoe aan de bevindingen follow up is gegeven. Stap 7: Identificeren van de omgevings- en organisatierisico s 1.15 De doelstelling van deze stap is het benoemen en omschrijven van de omgevings- en organisatierisico s en de mogelijke gevolgen daarvan voor de kwaliteit van de beleids- en de bedrijfsvoering, voor de deugdelijkheid van het jaarverslag (zowel ten aanzien van de daarin opgenomen financiële als niet-financiële informatie) en de rechtmatigheid van de verrichte beheershandelingen. Het belangrijkste aspect hierbij is het beoordelen van de wijze waarop het 7
management risicoanalyse verricht (het management is daarvoor immers primair Controleplan verantwoordelijk) en het kennisnemen van de resultaten daarvan. In de ideale situatie is deze stap derhalve beperkt tot de vaststelling dat het management zich op adequate wijze van deze taak heeft gekweten, zodat AIC kan steunen op de uitkomsten van de risicoanalyse die het management heeft uitgevoerd. 1.16 In concreto kan bij omgevings- en organisatierisico s bijvoorbeeld worden gedacht aan: de ervaring, kennis en integriteitsbewustzijn van het management; recente wijzigingen in de leiding; de mate waarin de leiding en het personeel bereid (verantwoordelijkheidsbesef) en in staat (niveau, opleiding, ervaring etc.) zijn om een correct verloop van de beleids- en bedrijfsvoeringsprocessen te realiseren; ongewone druk op de leiding (zijn er mogelijke tendenties om de uitkomsten van de begrotingsuitvoering te flatteren of te deflatteren?); de relevante aspecten van de activiteiten van de eenheid en de aard en complexiteit van de wet- en regelgeving die moet worden uitgevoerd; de stand van de automatisering: zijn de geautomatiseerde hulpmiddelen die worden gehanteerd bij de beleids- en bedrijfsvoeringsprocessen en bij de registratie van de uitkomsten daarvan betrouwbaar? voorbeeld: geautomatiseerde uitvoering suggereert een lager risico waar het leidt tot een grotere consistentie in de verwerking. Automatisering kan echter ook leiden tot een hoger risico als het computersysteem niet is getest en op een slechte manier is ingevoerd. 1.17 Bij het beschrijven van de omgevings- en organisatierisico s moet expliciet de koppeling worden aangegeven met het desbetreffende (sub)proces waarmee het onderkende risico wordt beheerst of zou moeten worden beheerst. Mede op basis hiervan kan in de volgende fase een selectie worden gemaakt van de processen die moeten worden beoordeeld in de procesanalyse. Stap 8: Benoemen transactiestromen/saldi, controlecriteria 1.18 Bij deze stap dienen de financiële stromen en saldi naar aard en omvang te worden vastgesteld en benoemd. Voor de beoordeling van de bedrijfsvoering en in het bijzonder het financieel beheer is kennis van deze stromen en saldi onmisbaar. 1.19 Nadat de te onderscheiden stromen en saldi in kaart zijn gebracht, stelt AIC per stroom/saldo vast welke controlecriteria hierop van toepassing zijn. De naar een bepaalde stroom/saldo 8
vertaalde controlecriteria worden aangeduid als specifieke controlecriteria. Het in kaart brengen van deze specifieke controlecriteria is nodig omdat de controle door de extern accountant van de financiële informatie in het jaarverslag wordt gepland en uitgevoerd per financiële stroom/saldo en voor ieder(e) stroom/saldo veelal verschillende controlecriteria gelden. Hierbij speelt de aard van de desbetreffende stromen en saldi een belangrijke rol. 1.20 AIC beoordeelt welke van de geïdentificeerde transactiestromen/saldi significant zijn. Dit gebeurt door na te gaan wat de betekenis van de onderscheiden transactiestromen/saldi is voor de controle van de totstandkoming en de inhoud van het jaarverslag en voor de beoordeling van het gevoerde financieel en materieelbeheer en de ten behoeve daarvan bijgehouden administraties. Bij de beoordeling daarvan spelen de van toepassing zijnde kritieke controlecriteria een belangrijke rol. 1.21 Voorts moet worden aangegeven welk (sub)proces aan elk van de omschreven transactiestromen/saldi verbonden is c.q. daarop van invloed is. Daarmee wordt de link gelegd naar de fase van de procesanalyse die na de omgevingsanalyse plaatsvindt. Stap 9: Selectie en planning van de procesanalyse 1.22 In de vorige twee stappen is een relatie gelegd tussen omgevings- en organisatierisico s respectievelijk transactiestromen/saldi enerzijds en de (sub)processen die daaraan gerelateerd zijn. Bij deze vervolgstap wordt gerecapituleerd welke processen van significant belang zijn voor de controle van de totstandkoming en de inhoud van het jaarverslag en voor de beoordeling van het gevoerde financieel en materieelbeheer en in dat kader bijgehouden administraties. Vervolgens wordt een onderbouwde conclusie getrokken welke van de geïdentificeerde processen zijn geselecteerd om te worden onderworpen aan procesanalyse in dit controlejaar. 2 De procesanalyse Inleiding 9
2.1 Volgend op de omgevingsanalyse verricht AIC een onderzoek per daarvoor geselecteerd beleids- of bedrijfsvoeringsproces. De hoofdlijnen van deze procesanalyse worden in dit hoofdstuk beschreven. De uitkomsten van de procesanalyse bepalen voor een belangrijk deel de aard en de omvang van de specifieke vervolgwerkzaamheden (de hierna volgende fase van de controleaanpak). De procesanalyse wordt zodanig opgezet en uitgevoerd dat de resultaten ervan niet alleen bruikbaar zijn voor de uitvoering van de algemene controletaak, maar eveneens van betekenis kunnen zijn ten behoeve van eventuele andere onderzoeken die AIC verricht. 2.2 De centrale doelstelling van het verrichten van procesanalyse is per proces inzichtelijk te maken hoe (een onderdeel van) de organisatie de beleids- en bedrijfsvoeringsprocessen beheerst. Het gaat hierbij net zoals bij omgevingsanalyse zowel om processen die verband houden met de opstelling van het jaarverslag en de saldibalans, als om processen die samenhangen met het voeren van het financiële en het materieelbeheer (en de daartoe bijgehouden administraties). De procesanalyse richt zich op de doeltreffendheid, doelmatigheid, ordelijkheid en controleerbaarheid van elk proces, de rechtmatigheid van de uitkomsten daarvan alsmede de betrouwbaarheid van de beheersinformatie over de werking van deze processen. Deze eisen zijn primair van belang voor het management, dat immers verantwoordelijk is voor het goed functioneren van de processen. 2.3 Met betrekking tot een proces en het getroffen stelsel van interne beheersingsmaatregelen dient een onderscheid gemaakt te worden tussen de opzet en de werking. De opzet van een proces of een beheersingsmaatregel heeft betrekking op het geheel van structurele en procedurele regels om het geheel van beschikbaar gestelde mensen en middelen overeenkomstig het vooraf vastgestelde doel te laten functioneren. De werking van een proces of beheersingsmaatregel heeft betrekking op de vraag of de mensen en middelen in een bepaalde periode overeenkomstig deze opzet functioneren (onder de werking wordt hierbij tevens het bestaan van de desbetreffende maatregelen begrepen). 2.4 Voorafgaand aan een beschrijving van de successievelijke stappen waaruit de procesanalyse is opgebouwd, wordt onderstaand eerst kort ingegaan op de relatie tussen de inherente beleids- en bedrijfsvoeringsrisico s en de interne beheersingsrisico s. Een goed begrip van de diverse risicobegrippen die daarbij een rol spelen is nodig voor het vervolg van dit hoofdstuk. De relatie tussen de inherente beleids- en bedrijfsvoeringsrisico s en de interne beheersing 2.5 Onderstaande toepassing van het risicoanalysemodel gaat uit van een brede benadering die zich niet enkel beperkt tot de controle van de financiële informatie in het jaarverslag en de saldibalans. 10
Het is evenwel van belang dat AIC er tijdig in het controleproces voor zorgt dat sprake is van een voldoende focus op deze financiële informatie. Dit is vooral nodig omdat de oordeelsvorming daarover ondersteunt bij de afgifte van een accountantsverklaring door de externe accountant. Het inherent beleids- en bedrijfsvoeringsrisico 2.6 Het inherent beleids- en bedrijfsvoeringsrisico is de kans dat de gestelde beleids- en bedrijfsvoeringsdoelstellingen niet worden gerealiseerd onder de veronderstelling dat daarop geen maatregelen van interne beheersing van toepassing zouden zijn. Dit risico heeft te maken met proces- en activiteitgebonden factoren die het bereiken van de gestelde beleids- en bedrijfsvoeringsdoelstellingen in gevaar (kunnen) brengen en met de omgeving waarin de desbetreffende processen en activiteiten zich afspelen. Deze omgeving is reeds in kaart gebracht en beoordeeld in het kader van de omgevingsanalyse. Inherente beleids- en bedrijfsvoeringsrisico s kunnen betrekking hebben op de effectiviteit en efficiency van de processen en activiteiten, de kwaliteit van de informatievoorziening en de rechtmatigheid van de (financiële) beheershandelingen. 2.7 AIC kan het inherent beleids- en bedrijfsvoeringsrisico inschatten. Het is echter op korte termijn niet te beïnvloeden en geldt derhalve voorshands als een gegeven. Factoren die de omvang van het inherent beleids- en bedrijfsvoeringsrisico beïnvloeden zijn onder andere de complexiteit van de desbetreffende processen (bijvoorbeeld de ingewikkeldheid van 3e geldstroom uitvoeringsregelingen), de kwaliteit van de met de uitvoering van deze processen belaste functionarissen alsmede de aard en kwaliteit van de hen ter beschikking staande (technische) hulpmiddelen. Als er bijvoorbeeld sprake is van een gecompliceerde subsidieregeling, terwijl er op de uitvoerende eenheid sprake is van kwalitatieve en kwantitatieve onderbezetting, is de kans dat zich in de uitvoering van een proces een tekortkoming voordoet aanmerkelijk groter dan op een adequaat bezette eenheid die een meer eenvoudige regeling uitvoert. Het interne beheersingsrisico 2.8 Het interne beheersingsrisico is het risico dat het management door ontoereikende beheersingsmaatregelen aanwezige inherente beleids- en bedrijfsvoeringsrisico s niet afdoende weet te beheersen. Dit betekent dat het niet behalen van een beleids- of bedrijfsvoeringsdoelstelling niet tijdig wordt voorkomen of ontdekt en daarop geen herstelactie volgt. 2.9 Eén van de doelstellingen van interne beheersing is uiteraard het waarborgen van een rechtmatige begrotingsuitvoering en een deugdelijke (betrouwbare) rapportage daarover in het jaarverslag. Het risico dat er materiële fouten in het jaarverslag zitten maakt aldus deel uit van het inherent beleids- en bedrijfsvoeringsrisico. De begrippen interne beheersing en inherent - 11
beleids- en bedrijfsvoeringsrisico zijn evenwel ruimer omdat ze zijn gericht op het bereiken van alle beleids- en bedrijfsvoeringsdoelstellingen. Onder meer de doeltreffendheid en de doelmatigheid van de bedrijfsvoering (in het bijzonder het financieel en materieelbeheer) vallen daar ook onder. 2.10 Het niveau van het bestaande besturings- en beheersingskader en de kwaliteit van de getroffen interne beheersingssystemen bepalen de hoogte van het interne beheersingsrisico. Het besturings- en beheersingskader bestaat globaal uit de organisatiestructuur, de houding en het toezicht van de leiding en de bekwaamheid en attitude van het personeel. Het besturings- en beheersingskader moet de voorwaarden scheppen voor een effectief stelsel van maatregelen van interne beheersing; het bepaalt de atmosfeer waarin en de condities waaronder de functionarissen hun werk doen. 2.11 Bij het inschatten van het interne beheersingsrisico gaat het, evenals bij de inherente beleids- en bedrijfsvoeringsrisico s, niet om een exacte benadering van de werkelijkheid. De betekenis van de getroffen beheersingsmaatregelen kan doorgaans niet exact, doch slechts globaal worden ingeschat. 2.12 De combinatie van het inherent beleids- en bedrijfsvoeringsrisico en het interne beheersingsrisico bepaalt het risico dat er bij de uitvoering van processen iets mis gaat waardoor de gestelde beleids- of bedrijfsvoeringsdoelstellingen niet bereikt worden. Het verantwoordelijke (lijn)management dient er voor te zorgen dat dit samengestelde risico zo laag mogelijk is. Het is de taak van AIC te constateren dat dit inderdaad zo is c.q. dat dit zeer waarschijnlijk is. De stappen waaruit de procesanalyse bestaat 2.13 De procesanalyse omvat schematisch weergegeven de volgende stappen STAPPEN VAN DE PROCESANALYSE (PER PROCES) Opstellen plan van aanpak Verkrijgen van algemeen inzicht in het proces Uitvoeren van de procesanalyse 12
Plannen van de te verrichten systeemgerichte werkzaamheden Uitvoeren systeemgerichte werkzaamheden en evalueren uitkomsten daarvan Rapporteren over de bevindingen naar aanleiding van de verrichte procesanalyse Controleprogramma Uitkomsten procesanalyse In het vervolg van dit hoofdstuk komt elk van deze stappen achtereenvolgens in nader detail aan bod. Het plan van aanpak voor de procesanalyse (stap 1), de planning van de te verrichten systeemgerichte werkzaamheden (stap 4) en de vaststelling van de uit te voeren specifieke vervolgwerkzaamheden (stap 7) kunnen gezamenlijk beschouwd worden als het controleprogramma. 2.14 Kort samengevat komt de procesanalyse neer op het per proces verkrijgen van inzicht in de diverse subprocessen en de ondersteunende informatiesystemen, het per subproces in kaart brengen van de relevante risico s, het identificeren van de getroffen beheersingsmaatregelen en als uitkomst het bepalen van de omvang van het zogeheten restrisico. Vervolgens worden de systeemgerichte werkzaamheden (systeemtests) gepland en uitgevoerd en tot slot worden de specifieke vervolgwerkzaamheden voor het desbetreffende subproces bepaald. Van de geïdentificeerde beheersingsmaatregelen worden derhalve allereerst de opzet en het bestaan vastgesteld. In de conclusie met betrekking tot de uit te voeren systeemgerichte werkzaamheden (stap 4) moet worden aangegeven van welke beheersingsmaatregelen aansluitend de werking moet worden vastgesteld via systeemtests. Op basis van de geëvalueerde restrisico s en de resultaten van de systeemtests wordt vastgesteld welke (aanvullende) gegevensgerichte werkzaamheden in de volgende fase van de controleaanpak moeten worden verricht. Stap 1: Opstellen plan van aanpak 2.15 De procesanalyse vangt aan met het kennisnemen van de uitkomsten van de omgevingsanalyse. Vervolgens wordt per proces een plan van aanpak voor de procesanalyse opgesteld. Dit plan van aanpak voor de procesbeoordeling bevat in elk geval een omschrijving van: - de doelstellingen van het onderzoek (hangt mede af van het type audit); 13
- het onderzoeksobject en de daaraan te stellen eisen; - de scope en beperkingen van het onderzoek; - de aanpak van het onderzoek; - de uitvoering van het onderzoek; Controleplan - de manier waarop de (concept)bevindingen met de gecontroleerde zullen worden afgestemd; - de wijze van rapportering over de uitkomsten van het onderzoek; - de ten aanzien van het onderzoek geldende randvoorwaarden. Stap 2: Verkrijgen van algemeen inzicht in het proces 2.16 Bij deze stap wordt bezien of en op welke wijze het management het geselecteerde proces in hoofdlijnen in kaart heeft gebracht en wordt inzicht verkregen in de doelstellingen van het proces en de daarbij te onderkennen subprocessen (inclusief hun input en output), de ondersteunende informatiesystemen en de afhankelijkheid daarvan, de omspannende procescontroles, de kritieke succesfactoren, de meetindicatoren en de getroffen beheersingsmaatregelen. Daarbij worden de risico s geanalyseerd die de realisatie van de onderkende doelstellingen bedreigen. Informatie wordt hiervoor verkregen door interviews met betrokken functionarissen, bestudering van de aanwezige documentatie en waarnemingen welke beheersingsmaatregelen daadwerkelijk door het management zijn getroffen. AIC maakt hierbij in beginsel zoveel mogelijk gebruik van beschrijvingen die het (lijn)management zelf reeds heeft opgesteld, zoals het handboek Financiën. Het is niet de bedoeling dat AIC zelf de processen nog eens (gedeeltelijk) gaat beschrijven. In zekere zin kan deze stap beschouwd worden als een procesgerichte uitwerking c.q. verdieping van de omgevingsanalyse. 2.17 Indien sprake is van belangrijke geautomatiseerde informatiesystemen moet worden vastgesteld of bij deze stap de inzet van IT-deskundigheid wenselijk is voor het verkrijgen van inzicht in de getroffen beheersingsmaatregelen (general controls en application controls). Dat zal sterker het geval zijn wanneer het gaat om complexe systemen, indien er sprake is van een grote afhankelijkheid en wanneer de omvang van de financiële stromen of saldi waarvoor deze systemen van belang zijn relatief groot is. AIC werkt bij dit onderdeel samen met de afdeling Informatiemanagement van Bedrijfsvoering. Stap 3: Uitvoeren van procesanalyse 14
2.18 Op basis van de verkregen kennis van het proces, de geformuleerde procesdoelstellingen, de gedefinieerde risico s en de getroffen beheersingsmaatregelen voert AIC in deze fase daadwerkelijk de procesanalyse uit. 2.19 Het uitvoeren van procesanalyse kan gebeuren door het opstellen van bijvoorbeeld een procesanalysematrix. Deze zou kunnen bestaan uit de volgende acht kolommen die per subproces/activiteit (een regel in de matrix) zouden moeten worden ingevuld: - omschrijving van het onderscheiden subproces c.q. de activiteit; - beschrijving van de input; - beschrijving van de output; - omschrijving van de inherente beleids- en bedrijfsvoeringsrisico s; - inschatting van deze inherente risico s (hoog, gemiddeld, laag); - omschrijving van de van toepassing zijnde normen/eisen (controlecriteria); - beschrijving van de getroffen beheersingsmaatregelen; - inschatting van het interne beheersingsrisico; 2.20 De procesanalysematrix zorgt voor standaardisatie van de beoordelingen Bovendien dwingt het gebruik van de procesanalysematrix tot het doorlopen van alle bovengenoemde punten. Het staat AIC evenwel vrij te kiezen voor een andere wijze van het verrichten van procesanalyse en het vastleggen van de uitkomsten daarvan dan door het opstellen van een procesanalysematrix. Stap 4: Plannen systeemgerichte werkzaamheden 2.21 Systeemgerichte werkzaamheden worden uitgevoerd om zekerheid te krijgen over de effectiviteit van de werking van de interne beheersingsmaatregelen (waarbij de controle op de werking wordt geacht tevens te zijn gericht op de vaststelling van het bestaan van de desbetreffende beheersingsmaatregelen). AIC dient door middel van deze werkzaamheden bewijsmateriaal te verkrijgen ter bevestiging van de gemaakte inschatting van het interne beheersingsrisico op een gemiddeld dan wel op een laag niveau. Systeemtests worden verricht door het toepassen van lijncontroles of proceduretests, waarbij ten aanzien van een geselecteerde transactie het gehele proces wordt gevolgd. Er wordt nagegaan of alle met die transactie samenhangende handelingen in overeenstemming met de beschreven opzet zijn verricht. 2.22 Voor het vaststellen van de werking van geprogrammeerde beheersingsmaatregelen zal vooral ten aanzien van application controls overleg moeten plaatsvinden met de externe accountant. 15