Hoogheemraadschap van Delfland AUDITSTATUUT 1048075 Auditstatuut (AMH 7.14.01) Team: Concerncontrol/Interne Audit Status: Concept 0.8
1 Inleiding... 3 2 Definitie verbijzonderde interne controle... 3 3 Doel... 3 4 Typen Audits... 4 4.1 Audittype op basis van doelstelling... 4 4.2 Audittype op basis van te onderzoeken object... 4 4.3 Verbijzonderde onderzoeken... 5 5 Deskundigheid en professionaliteit... 5 6 Positionering en objectiviteit... 6 7 De opdrachtgever en rapportagelijnen... 6 8 De werkwijze: transparant en reproduceerbaar... 7 9 Relatie Interne Audit met andere interne controlfuncties... 7 10 De samenwerking tussen de Interne Audit en de externe accountant... 8 Bijlage 1. Rollenprotocol Auditstatuut... 10 2
1 Inleiding De controlefunctie speelt een belangrijke rol om het bestuur en de ambtelijke organisatie te ondersteunen bij het in control komen en zijn. In artikel 2 lid 3 van de Controleverordening is opgenomen dat het college van dijkgraaf en hoogheemraden, in het vervolg college genoemd, de kaders voor de verbijzonderde interne controle vastlegt in het Auditstatuut. In dit statuut worden de kaders en randvoorwaarden voor de verbijzonderde interne controle (waar onder de doelmatig- en doeltreffendheid onderzoeken) nader uitgewerkt, welke worden uitgevoerd door de oren van Interne Audit. Achtereenvolgens worden de volgende onderwerpen in dit statuut behandeld: Definitie verbijzonderde interne controle Doel Typen s Deskundigheid en professionaliteit Positionering en objectiviteit Opdrachtgever en rapportagelijnen De werkwijze De relatie van Interne Audit met andere interne assurance functies De samenwerking tussen Interne Audit en de externe accountant. 2 Definitie verbijzonderde interne controle Verbijzonderde interne controle (internal ) Audits in opdracht van en/of ten dienste van het college bestaan uit specifieke onderzoeken, vaak uitgevoerd door door de oren van Interne Audit, waarmee wordt nagegaan of de administratieve organisatie en de daarvan uitmakende, reguliere interne controlemaatregelen juist werken en worden nageleefd. Het Auditstatuut is gebaseerd op de uitgangspunten voor de opzet en inrichting van een interne /onderzoeksfunctie, zoals die door het Instituut van Internal Auditors (IIA) in 2005 zijn geformuleerd. Het IIA heeft de volgende, internationaal algemeen aanvaarde definitie van internal vastgesteld: Internal is een onafhankelijke, objectieve functie die zekerheid verschaft en adviesopdrachten uitvoert, om meerwaarde te leveren en de operationele activiteiten van de organisatie te verbeteren. De internal functie helpt de organisatie haar doelstellingen te realiseren door met een systematische, gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement, beheersing en governance te evalueren en te verbeteren.. 3 Doel De heeft tot doel het geven van aanvullende zekerheid (assurance) aan het bestuur en management van het Hoogheemraadschap van Delfland over de effectiviteit en de beheersing (het in control komen en zijn) van de bedrijfsvoering. Dit heeft betrekking op zowel risicomanagement op procesniveau als op strategisch niveau. (zie paragraaf 9 figuur 1). 3
De taak van de or is het in opdracht van het verantwoordelijke management en bestuur evalueren van de beheersing van de bedrijfsvoering door het uitvoeren van s en hierover te rapporteren aan de opdrachtgever. In paragraaf 7 wordt ingegaan op de informatie/ rapportagefunctie van de or aan het management. Bij Delfland is de taak om s uit te voeren ondergebracht bij Interne Audit. Interne Audit voert diverse soorten s uit om zich een oordeel te vormen over de mate waarin risicomanagement-, beheersings- en besturingsprocessen toereikend zijn om de doelstellingen van het Hoogheemraadschap van Delfland te realiseren. Randvoorwaarden De or heeft volledige en onbeperkte toegang tot alle gegevens en eigendommen van het Hoogheemraadschap van Delfland, die naar het oordeel van de or noodzakelijk zijn voor de goede uitvoering van de -werkzaamheden. Alle gegevens en middelen, die gedurende het uitvoeren van de activiteiten in handen zijn worden zorgvuldig en vertrouwelijk, in overeenstemming met de gedragsregels van het IIA, behandeld. 4 Typen Audits Audits kunnen worden onderscheiden naar doelstelling, te onderzoeken object (operational of financiële s) of thema (verbijzonderde onderzoeken). Hieronder worden deze verschillende s kort toegelicht. 4.1 Audittype op basis van doelstelling Omdat de s het leervermogen van de organisatie moeten versterken, dienen zij aan te sluiten op het interventieniveau van het management. Daarmee kunnen s verschillende doelstellingen hebben, die ieder een eigen aanpak vragen: Probleemsignalerend, waarbij wordt onderzocht of een proces, organisatieonderdeel of aspect van de organisatie afwijkt van de gewenste situatie en daarmee een probleem vormt; Diagnostisch, waarbij het onderzoek is gericht op toetsen van de juistheid van door het verantwoordelijke management veronderstelde oorzaken van het voorkomen van een bepaald (beheers)probleem; Ontwerp- of oplossingsgericht, waarbij de effectiviteit van de door het management voorgestelde oplossing of ontwerp centraal wordt onderzocht. 4.2 Audittype op basis van te onderzoeken object 4.2.1 Audits Audits kunnen ook worden onderscheiden op basis van het te onderzoeken object: Het onderzoeksterrein van de omvat de strategische controls, management controls en de operationele controls van een organisatie. Audits, ook wel genoemd operational s, zijn s waarbij de beheersing van de bedrijfsonderdelen en processen wordt onderzocht, inclusief de beheersing van de processen voor periodieke interne en externe verslaggeving van financiële en niet-financiële gegevens, de geautomatiseerde systemen en de informatieen technologie omgeving. 4.2.2 Interne Controle (procesmatige s) De Verenigde Vergadering heeft op 3 juli 2008 ingestemd met een aantal principiële keuzes ten aanzien van het onderwerp rechtmatigheid (Kenmerk VV 694625. Implementatie nieuwe waterschapswet Rechtmatigheid, d.d. 3 juli 2008). Hierbij zijn de eisen van het Waterschapsbesluit leidend. De Unie van Waterschappen heeft een handreiking opgesteld om aan deze eisen te kunnen voldoen. Door een goede afbakening van de omvang van de 4
controle wordt geval een basis gelegd om een goedkeurende accountantsverklaring ten aanzien van de rechtmatigheid te verkrijgen bij de jaarrekening. Delfland richt zich primair op financiële rechtmatigheid, inclusief de getrouwheid, van de financiële informatie ten behoeve van de financiële verantwoording aan externe partijen. Dit is het exclusieve domein van de externe accountant. Deze kan daarbij in voorkomende gevallen gebruik maken van de uitkomsten van de onderzoeken van de or. De onderzoeken gericht op de beheersing van (financiële) verslaggevingprocessen kunnen ook bruikbaar zijn voor de extern accountant bij de beoordeling van de jaarrekening. Voor het proces inzake de Interne Controle door de externe accountant is separaat het Controleprotocol opgesteld. 4.3 Verbijzonderde onderzoeken Verder kan het bestuur, de rekeningcommissie of de secretaris-directeur aan de or de opdracht geven bijzondere of themaonderzoeken uit te voeren. De belangrijkste deskundigheid van de medewerkers van Interne Audit is immers kennis en onderzoeksmethodologie, waardoor zij in staat zijn bijzondere onderzoeken uit te voeren, respectievelijk de verantwoordelijkheid te dragen voor een deugdelijke en doelmatige uitvoering van dergelijke onderzoeken. Vanwege dezelfde deskundigheid is bepaald dat Interne Audit op verzoek methodologische ondersteuning biedt bij alle andere vormen van onderzoek binnen het Hoogheemraadschap van Delfland. 5 Deskundigheid en professionaliteit De toenemende complexiteit in producten, processen en geautomatiseerde gegevensverwerkende systemen maakt het noodzakelijk dat de functie over voldoende specialistische kennis beschikt om zijn werkzaamheden met de benodigde deskundigheid uit te voeren. We maken daarbij onderscheid in drie soorten kennisgebieden: Onderzoekskennis. De oren beschikken over voldoende deskundigheid om s zodanig te ontwerpen dat zij na uitvoering een betrouwbaar resultaat opleveren en dat het resultaat doelmatig tot stand is gekomen. Dit vereist kennis op gebied van onderzoeksmethodologie. Daarbij dienen deze medewerkers over die onderzoekstechnische vaardigheden te beschikken die het mogelijk maken de onderzoeken volgens het onderzoeksontwerp uit te voeren. Materiekennis. Het wezenlijke van en is het toetsen van een gegeven aan een bepaalde norm en het inschatten van het risico als de norm niet wordt gehaald. Dit vereist kennis van het onderzoeksobject. Adviesvaardigheden. Met behulp van specifieke kennis, technieken en vaardigheden vraagstukken kunnen analyseren en verwoorden en een concrete of procesgerichte oplossing aanreiken die wordt geaccepteerd en gebruikt. Een belangrijk punt hierbij is dat niet de or de te hanteren norm bepaalt, maar het opdrachtgevende management en bestuur. Van de or mag echter wel een adviserende rol worden verwacht. Indien een geschilpunt is omtrent de norm dat heeft de or de mogelijkheid dit voor te leggen aan de Coördinator Interne Audit voor eventuele verder afstemming met concerncontroller en secretaris-directeur. Voor specifieke s kan het noodzakelijk zijn dat de or zelf zijn materiedeskundigheid uitbreid. In situaties waarbij dit een te grote tijdsinvestering met zich mee zou brengen, kan worden besloten deze specialistische kennis van buiten tijdelijk aan te trekken. Het Hoogheemraadschap van Delfland is een omvangrijke organisatie waarin veel disciplines vertegenwoordigd zijn. 5
Wanneer het team materiedeskundigheid te kort komt, zal in eerste instantie worden getracht deze aan te vullen vanuit de organisatie zelf. Pas nadat is vastgesteld dat de gevraagde kennis niet geleverd kan worden, zal specialisme van buiten de organisatie worden aangetrokken. 6 Positionering en objectiviteit Om een zo hoog mogelijke objectiviteit van de flunctie te waarborgen, is deze functie zo hoog mogelijk in de organisatie verankerd. Interne Audit is onafhankelijk van de te beoordelen risicomanagement-, beheersings- en besturingsprocessen. Onafhankelijk betekent in dit geval dat Interne Audit niet voor de besluitvorming over deze processen verantwoordelijk is. De integriteit van de or wordt ook geborgd, omdat het is uitgesloten dat ors op welke manier dan ook nadeel ondervinden ten gevolge van het verschaffen van informatie m.b.t. de uitgevoerde. Dit zijn twee belangrijke voorwaarden om de (schijn) te voorkomen dat subjectieve overwegingen het onderzoek van de ors zouden kunnen beïnvloeden. Om de objectiviteit zoveel te borgen is er voor gekozen Interne Audit vanuit doelmatigheidsoverweging te positioneren binnen de stafafdeling Concerncontrol. Dit ook vanwege de sterke relatie inzake control tussen de controllers (planning&control-cyclus) en Interne Audit (toetsing). De concerncontroller functioneert als sponsor en coördinator van de werkzaamheden van Interne Audit: Sponsor in de zin dat hij/zij de werkzaamheden van Interne Audit het team expliciet legitimeert, waardoor het team snel een goede positionering binnen het Hoogheemraadschap van Delfland kan verwerven. De secretaris-directeur bepaalt in samenspraak met de concerncontroller de relatieve relevantie, nut en noodzaak van de onderzoeken. In deze zin bepaalt de hoofd Interne in overleg met de concerncontroller welke werkzaamheden worden uitgevoerd en daarmee de planning van Interne Audit. 7 De opdrachtgever en rapportagelijnen In beginsel kan iedere manager van het Hoogheemraadschap van Delfland opdracht verstrekken tot het uitvoeren van een in zijn of haar verantwoordelijkheidsgebied. De opdrachtgever stelt het doel van de vast, waarbij expliciet wordt aangegeven tot welke actie wordt overgegaan naar aanleiding van het resultaat. Daartoe stelt de opdrachtgever het stelsel van normen vast dat de or tijdens het onderzoek hanteert om zijn resultaat op te baseren. En geeft hij/zij opvolging aan het resultaat, zoals in de doelstelling aangegeven. Van de or mag hierbij een adviserende rol worden verwacht. De rolverdeling van opdrachtgever en or kent drie mogelijke vormen: 1. De opdrachtgever is het bestuur, de rekeningcommissie, de secretaris-directeur of de concerncontroller, welke een opdracht verstrekt aan Interne Audit; 2. De opdrachtgever is de lijn (sectorhoofd/teamleider), die een opdracht verstrekt aan Interne Audit; 3. De opdrachtgever is manager in de lijn (sectorhoofd/teamleider), die een opdracht verstrekt aan een medewerker (bedrijfskundige/controller) die niet werkzaam is binnen Interne Audit. Indien de opdrachtgever het bestuur, de rekeningcommissie, secretaris-directeur, concerncontroller of manager in de lijn is en de wordt uitgevoerd door Interne Audit 6
(punten 1 en 2), worden de resultaten van de interne in eerste instantie gerapporteerd aan de opdrachtgever. D&H, secretaris-directeur en concerncontroller ontvangen een kopie van de verslag na afronding van het proces. De portefeuillehouder voor de controledocumenten van Interne Audit en daarvan afgeleide rapportages is de portefeuillehouder Organisatie. Indien de opdrachtgever de lijn (sectorhoofd/teamleider) is en de wordt uitgevoerd door een medewerker welke niet werkzaam is bij Interne Audit (punt 3), dan worden de resultaten van de interne in beginsel alleen gerapporteerd aan het opdrachtgevende management. Van dit management wordt verlangd dat zij ten behoeve van het hogere management het resultaat evalueert en aangeeft welke eventuele acties genomen worden. De resultaten van de kunnen ter toetsing worden voorgelegd aan de concerncontroller. Interne Audit kan deze toets uitvoeren in opdracht van de concerncontroller. In bijlage 1. Rollenprotocol Auditstatuut is het bovenstaande inzichtelijk weergegeven. 8 De werkwijze: transparant en reproduceerbaar Voor het uitvoeren van de interne s wordt binnen Delfland gebruik gemaakt van een standaard ontwerp. Dit format is gebaseerd op de onderzoeksmethodologie van Piet Verschuren en Hans Doorewaard 1. De omvang van de en de doelstelling (probleemsignalerend/diagnostisch) van de kunnen van invloed op zijn hoe het format wordt toegepast. Voor de financial s wordt het format van het standaard controlememorandum afgestemd met de accountant. Zoals reeds aangegeven stelt de opdrachtgever de doelstelling en het te hanteren normenkader vast. Daarbij heeftde or een coachende, respectievelijk adviserende rol. Dit betekent dat de opdrachtgever de wat- en waarom-vraag bepaalt. Vervolgens zal de or een ontwerp opstellen waarin ook de methode van aanpak, de hoe-vraag wordt uitgewerkt. Het geheel wordt ter goedkeuring voorgelegd aan de opdrachtgever Om de transparantie en reproduceerbaarheid te vergroten wordt uitdrukkelijk geadviseerd het ontwerp van Auditing Consulting Services (ACS) te gebruiken om te rapporteren over het uitvoeren van s. Dit ontwerp geeft richting aan het opzetten van een onderzoeksopzet en het inventariseren van de kennisbehoefte bij de opdrachtgever. Daarnaast beantwoordt het ontwerp de Wat, waarom en hoe -vraag. En ook waarborgt het de relevantie en efficiëntie van het onderzoek. Voor meer informatie inzake het gebruik van het ontwerp kan contact worden opgenomen met Interne Audit. Na uitvoering van de worden de onderzoeksgegevens verwerkt om te komen tot een eindoordeel. De meeste interne s betreffen organisatieonderdelen of processen met een beperkte omvang, waarbij het aantal geraadpleegde bronnen meestal beperkt is. De or is in dergelijke situaties aangewezen op een kwalitatieve wijze van gegevensverwerking. Om te voorkomen dat dit belangrijke onderdeel van de impliciet en op basis van onduidelijke criteria verloopt, wordt gebruik gemaakt van eenvoudige, maar transparante verwerkingstechnieken. Ten behoeve van de reproduceerbaarheid zullen alle voor de opzet en uitvoering van de relevante besluiten, alsmede alle bevindingen en de hierop gebaseerde conclusies, zorgvuldig in een onderzoeksdossier worden opgenomen. 9 Relatie Interne Audit met andere interne controlfuncties 1 Piet Verschuren & Hans Doorewaard (2007) Het ontwerpen van een onderzoek. Den Haag: Lemma. 7
De interne functie (or) binnen Delfland is niet alleen voorbehouden aan Interne Audit, maar kan ook door andere functionarissen worden uitgevoerd. Conform het Three lines of defense model, waarin de verdedigingslinies van risicomanagement zijn uitgewerkt, kunnen dat o.a. de bedrijfskundige in het primaire proces (1 e verdedigingslinie), de controller (2 e verdedigingslinie) of Interne (3 e verdedigingslinie) zijn. Echter alleen Interne heeft daarnaast ook een kaderstellende en monitorende rol in het proces. Hieronder zijn de 5 verdedigingslinies van risicomanagement uit het handboek Risicomanagement van Urjan Klaassen opgenomen. Figuur 1. De vijf verdedigingslinies 2 van risicomanagement. In tegenstelling tot Interne Audit (3 e verdedigingslinie) hebben andere control functies, zoals KAM (Kwaliteit, ARBO en Milieu), bedrijfskundigen (1 e verdedigingslinie) en controllers (2 e verdedigingslinie) binnen de sectoren, een uitvoerende rol binnen de risicobeheersingssystemen. In de praktijk betekent dit dat deze functionarissen vaak (mede) verantwoordelijk zijn voor het beleid en/of de implementatie van maatregelen met betrekking tot risicomanagement of compliance. Daarnaast spelen deze functies een al dan niet ondersteunende rol bij de uitvoering van het beleid en de rapportage over de behaalde resultaten. Omdat het de taak van Interne Audit is om de opzet en werking van de risicobeheersingssystemen te beoordelen, vallen ook de controlefuncties binnen zijn onderzoeksgebied. Bij goed functionerende controlefuncties zal Interne Audit zijn eigen werkzaamheden hierop afstemmen, om doublures in werkzaamheden te voorkomen. 10 De samenwerking tussen de Interne Audit en de externe accountant De taakopdracht van de externe accountant is de certificering van de te publiceren jaarrekening. Dit houdt in dat hij controleert of de jaarrekening een getrouw beeld geeft van de grootte en samenstelling van het vermogen op de balansdatum en van het resultaat over het afgelopen boekjaar. Bij zijn controle zal de externe accountant gebruik moeten maken van de 2.Het overzicht is overgenomen uit Drs. Urjan Claassen, Handboek Risicomanagement, Kluwer 2009. Onder de 2 e verdedigingslinie valt control en onder de 3 e verdedigingslinie valt de interne functie. 8
goede werking van de maatregelen van interne controle in de processen die in de jaarrekening uitmonden. Om te voorkomen dat organisatieonderdelen meermalen door ors worden benaderd, wordt zoveel mogelijk uitgegaan van het single principe: de controlewerkzaamheden die elkaar niet overlappen, die op elkaar voortbouwen en waar nodig elkaar versterken en verbeteren. Hiermee wordt voorkomen dat de organisatie extra wordt belast tijdens de controleperiode. Dit maakt een goede samenwerking noodzakelijk tussen Interne Audit van het Hoogheemraadschap van Delfland en de externe accountant. Ter bevordering van een goede samenwerking wisselen Interne Audit en de externe accountant periodiek wederzijds hun planningen, realisatie en controlebevindingen uit en stemmen deze op elkaar af. Bij de samenwerking blijven Interne Audit en de externe accountant zelfstandig verantwoordelijk voor hun eigen oordeelsvorming en rapportages. Namens de concerncontroller stelt Interne Audit voor de directie managementteam (DMT), rekeningcommissie en college de managementrapportages samen van de bevindingen en aanbevelingen van de uitgevoerde financiële s. Deze rapportages worden opgesteld naar aanleiding van de controles uitgevoerd voor de interim controle en bij de jaarrekening. 9
Bijlage 1. Rollenprotocol Auditstatuut In het onderstaande overzicht zijn weergegeven de organen of functionarissen die de opdrachtgever of opdrachtnemer zijn wat betreft de verschillende onderzoeken die kunnen worden uitgevoerd. Ook zijn weergegeven de organen en functionarissen die omtrent de uitkomsten van de onderzoeken dienen te worden geïnformeerd. De opdrachtgever en opdrachtnemer en de informatieplicht zijn beschreven in paragraaf 7. De opdrachtgever en rapportagelijnen en de verschillende onderzoeken zijn beschreven in paragraaf 4. Soorten s. Figuur 2. Rolverdeling opdrachtgever en opdrachtnemer en informatieplicht van de opdrachtgever. Audits SH/TL SH/TL CC SD D&H RC VV Opdrachtgever Opdrachtnemer Bedrijfsk /controller Informeren VV RC D&H SD CC SH/TL INFO INFO OG INFO INFO INFO OG INFO INFO OG INFO OG INFO OG INFO INFO OG INFO INFO INFO OG INFO INFO INFO Onderzoeken Jaarrekeningcontrole Verbijzonderde onderzoeken Verbijzonderde onderzoeken Accountant OG INFO INFO INFO INFO INFO Externe or Rapporteert aan opdrachtgever, tenzij anders overeengekomen Rapporteert aan opdrachtgever, tenzij anders overeengekomen Afkorting VV RC D&H SD CC SH/TL OG INFO keuze Voluit Verenigde vergadering Rekeningscommisie College van dijkgraaf en Hoogheemraden Secretaris-directeur Concerncontroller Sectorhoofd/Teamleider Opdrachtgever Verplicht informeren Informeren indien daartoe aanleiding is. 10