Tegenwoordig worden steeds hogere eisen gesteld aan het functioneren van organisaties. Begrippen als governance, maatschappelijk verantwoord ondernemen, betrouwbaarheid en rechtmatigheid staan daarbij centraal. Toezichthouders, burgers, medewerkers en overige belanghebbenden willen graag weten of ze te maken hebben met een partij die integer is, maatschappelijk verantwoord optreedt en ‘in control’ is.

 

Een organisatie is pas ‘in control’ zodra dit ook aantoonbaar is. Het aantoonbaar maken vindt plaats door het uitvoeren van interne controle. Een goede interne controle geeft inzicht in de werking van onze organisatie, draagt bij aan het herstellen van fouten en het verbeteren van de efficiency. Daarnaast maakt een adequate interne controle een soepele accountantscontrole mogelijk. Kortom: een goede interne controle loont!

 

De accountant krijgt ieder jaar opdracht van het Algemeen bestuur om in zijn controleverklaring bij de jaarrekening een oordeel te geven over de getrouwheid van de jaarrekening en de rechtmatigheid van het financieel beheer. De accountant richt zich hier met name op de financiële rechtmatigheid. De financiële rechtmatigheid heeft betrekking op baten, lasten en balansmutaties.

 

Om de interne controlewerkzaamheden te structureren en af te stemmen op de externe accountantscontrole is het voorliggende intern controleplan opgesteld. Belangrijke onderwerpen die in dit intern controleplan aan de orde komen zijn het doel en de reikwijdte van de interne controle, de kaders voor de rechtmatigheid, de risicoanalyse en de dossiervorming. De verdere uitwerking van het controleplan vindt per proces plaats in werkplannen.

 

2.1 Doel en reikwijdte interne controle

 

Interne controle is het proces dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen op gebied van:

 

• de effectiviteit en efficiency van de bedrijfsprocessen;

• de betrouwbaarheid van de financiële informatieverzorging;

• de naleving van relevante wet- en regelgeving, beleidsrichtlijnen en procedures;

• het bewaken van activa of waarden.

 

Feitelijk is interne controle de controle op de oordeelsvorming en activiteiten van anderen, voor zover deze controle wordt uitgevoerd ten behoeve van het Dagelijks bestuur en de directie. De interne controle heeft tot doel het voorkomen, tijdig signaleren en corrigeren van onvolkomenheden in de uitoefening van activiteiten. Daarnaast bieden de bevindingen van de interne controle de mogelijkheid om zo nodig nieuwe maatregelen te treffen om gesignaleerde onvolkomenheden in de toekomst te voorkomen.

 

Om te komen tot deze procesverbetering maken wij gebruik van de ‘Plan-do-check-act’ cyclus.

 

Figuur 1: Plan-do-check-act cyclus

 

De cyclus van Plan-do-check-act blijft zich herhalen, zodat sprake is van een continue verbetering van de processen.

 

De uitkomsten van de interne controlewerkzaamheden zijn mede bepalend voor de strekking van de controleverklaring bij de jaarrekening. Zonder deze werkzaamheden is een goedkeurende controleverklaring op voorhand niet mogelijk.

 

Doordat de personele capaciteit van de Metropoolregio Eindhoven is aangepast aan de beperkte schaalgrootte van de organisatie, is het niet altijd mogelijk om de gewenste functiescheidingen in de processen te verankeren. Interne controle vindt vaak niet in de processen zelf plaats, behoudens zelfcontrole. De Metropoolregio kiest voor verbijzonderde interne controle – dit wil zeggen dat de interne controlewerkzaamheden worden ondergebracht bij één of meerdere personen die geen onderdeel uitmaken van het te controleren proces.

 

2.2 Interne controle versus externe controle

 

Externe controle betreft de controle die wordt uitgevoerd door derden voor anderen dan de het Dagelijks bestuur en de directie. De externe controle wordt primair uitgevoerd ten behoeve van het algemeen bestuur. Het onderscheid tussen interne controle en externe controle betreft dus niet alleen diegene die de controlewerkzaamheden uitvoert, maar wordt vooral bepaald door het verschil in doelgroep. Verder heeft de externe controle, zoals uitgevoerd door de accountant, tot doel de getrouwheid en rechtmatigheid van de jaarrekening vast te stellen als grondslag voor de af te geven controleverklaring. De interne controle kan meerdere doelen nastreven, die door de directie worden vastgesteld.

 

Uit voorgaande blijkt dat de externe controle zich in beginsel richt op de betrouwbaarheid en rechtmatigheid van een beperkt deel van de informatievoorziening van de organisatie (namelijk de jaarrekening), terwijl de interne controle de gehele (financiële) informatievoorziening (inclusief managementrapportages) en ook de efficiency van de bedrijfsvoering tot haar aandachtsgebied kan rekenen.

 

Natuurlijk zijn er ook overeenkomsten tussen interne en externe controle. De door het Algemeen bestuur en de directie te definiëren doelstellingen zullen namelijk voor een groot deel overeenkomen met de doelstellingen van de externe accountant. Zo zal de directie de interne controle willen inzetten voor het bepalen van de getrouwheid van managementrapportages en processen. Bij de opzet van de interne controle is het dan ook van belang deze af te stemmen op de werkzaamheden van de externe accountant.

 

Voor het bewerkstelligen van een efficiënte interne controle wordt, in aansluiting op de aanpak van de externe accountant, uitgegaan van een organisatiegerichte controlebenadering. Bij een dergelijke controlebenadering staan de aanwezige procedures en administratieve organisatie binnen de organisatie centraal. De interne controle richt zich op de aspecten getrouwheid en rechtmatigheid welke in de hierna volgende hoofdstukken worden toegelicht.

 

3.1 Aspecten van getrouwheid

 

Onder getrouwheid wordt verstaan dat de verantwoorde informatie juist en toereikend moet zijn, niet te optimistisch maar ook niet te pessimistisch en geschikt voor het doel waartoe de verantwoording wordt afgelegd.

 

 

De betrouwbaarheid van de verantwoording raakt de aspecten juistheid en volledigheid. Juistheid betekent aanvaardbaarheid van de verantwoorde transactie. Een juistheidcontrole vindt normaliter plaats op de lasten en uitgaven. Een voorbeeld van controle op juistheid is de controle van de inkoopfacturen. Bij deze controle worden de inkoopfacturen onder meer gecontroleerd op de volgende aspecten:

 

• Voldoet de factuur aan alle gestelde eisen?

• Komt de op de factuur genoemde levering/factuurbedrag overeen met de bestelling?

• Heeft de bestelling daadwerkelijk plaatsgevonden?

 

Volledigheid wil zeggen dat alle in de verantwoording op te nemen gegevens ook inderdaad zijn opgenomen. De opbrengsten worden primair op volledigheid gecontroleerd. Een voorbeeld hiervan is de controle op de volledige verwerking van de gemeentelijke bijdragen.

 

De aanvaardbaarheid ziet op de vraag of onze organisatie op redelijke gronden tot de gehanteerde grondslagen en veronderstellingen heeft kunnen komen. Een voorbeeld hiervan is de waardering en de onderbouwing van voorzieningen in de jaarrekening.

 

Of een verantwoording toereikend is, hangt af van het feit of al hetgeen noodzakelijk is voor een goede interpretatie van de verantwoording duidelijk en voldoende is weergegeven. Hiermee wordt beoogd dat de verslaggeving van de Metropoolregio Eindhoven in overeenstemming is met het Besluit Begroting en Verantwoording (BBV).

 

3.2 Specifieke controledoelstellingen

 

De aspecten van getrouwheid (de algemene controledoelstellingen) zijn onder te verdelen in de volgende specifieke controledoelstellingen.

 

 

Het aspect volledigheid is te onderscheiden in ‘individuele volledigheid’ en ‘collectieve volledigheid’. Individuele volledigheid betreft de volledige verantwoording van een individuele transactie en wordt vastgesteld door middel van detailcontroles. De collectieve volledigheid betreft de verantwoording van alle relevantie transacties met betrekking tot een bepaald proces in een bepaalde periode. De collectieve volledigheid kan worden vastgesteld door het beoordelen van de aanwezigheid van de noodzakelijke functiescheidingen in het proces, verbandscontroles, cijferbeoordelingen en bevestigingen van derden (bijvoorbeeld een saldo-opgave).

 

Bestaan heeft betrekking op de vraag of datgene wat aan activa en passiva in de verantwoording is opgenomen ook daadwerkelijk bestaat, ofwel aanwezig is. Bij de bestaanscontrole wordt voornamelijk gebruik gemaakt van inventarisatie (kasgeld), standaard bankverklaringen (banksaldi), afloopcontrole (debiteuren) en van ontstaanscontrole (debiteuren).

 

Eigendom houdt verband met het feit of bepaalde activa ook tot het eigendom van de Metropoolregio Eindhoven behoren. Het eigendom van onroerende zaken wordt vastgesteld middels kadastrale recherche. Daarentegen wordt het eigendom van roerende zaken vastgesteld aan de hand van offertes, orderbevestigingen, facturen, contracten en eventuele andere interne en externe documenten.

 

Accuratesse heeft betrekking op de zorgvuldigheid en nauwkeurigheid van de financiële administratie. Bij accuratessecontroles wordt bijvoorbeeld nagegaan of de ingekomen factuur geautoriseerd is door de bevoegde medewerker, rekenkundig juist is en correct verwerkt is in de financiële administratie.

 

Tijdigheid handelt over de vraag of het tijdstip waarop een gebeurtenis wordt verantwoord overeenstemt met het werkelijke tijdstip van de betreffende gebeurtenis.

 

Bij het aspect waardering wordt vastgesteld of een actief of passief juist is gewaardeerd. Belangrijke ijkpunten hierbij zijn de financiële verordening (ex. artikel 212 Gemeentewet) en het Besluit Begroting en Verantwoording (BBV).

 

De presentatie en toelichting van de baten, lasten en balansmutaties in de begroting, bestuursrapportages en jaarstukken moet in overeenstemming zijn met het Besluit Begroting en Verantwoording.

 

4.1 Financiële en niet-financiële rechtmatigheid

 

In het Besluit Accountantscontrole Decentrale Overheden (BADO) wordt onderscheid gemaakt tussen het juridische begrip rechtmatigheid en de rechtmatigheid in het kader van de accountantscontrole. Het juridische begrip rechtmatigheid heeft betrekking op alle geldende wet- en regelgeving. Rechtmatigheid heeft in dit kader te maken met het naleven van alle relevante wet- en regelgeving.

 

Het begrip rechtmatigheid in het kader van de accountantscontrole is een minder omvattend begrip. In dit verband heeft rechtmatigheid een duidelijke relatie met het financiële beheer. Het doel hierbij is om vast te stellen dat baten, lasten en balansmutaties rechtmatig tot stand zijn gekomen (de financiële rechtmatigheid). De accountant hoeft niet vast te stellen of alle handelingen binnen de Metropoolregio Eindhoven conform de geldende wet- en regelgeving zijn verricht. De aandacht blijft beperkt tot die handelingen waaruit financiële gevolgen voortkomen die als baten, lasten en/of balansmutaties in de jaarrekening dienen te worden verantwoord. Voorbeelden hiervan zijn:

 

• -

  overdrachten aan of van rechtspersonen (bijvoorbeeld subsidies);

• -

  transacties waarbij een tegenprestatie wordt verkregen of geleverd;

• -

  financieringen, waaronder opgenomen en uitgezette leningen en daarbij behorende rente

  en aflossingen;

• -

  vermogensmutaties zoals mutaties van reserves en voorzieningen en de afschrijvingssystematiek.

 

Voor rechtmatigheid bij handelingen en beslissingen van niet-financiële aard wordt de term niet-financiële rechtmatigheid gebruikt. Het gaat hier om het naleven van wetgeving over bijvoorbeeld privacy, milieu, arbeidsomstandigheden, archivering en openbaarheid bestuur. Deze handelingen hebben geen directe financiële consequenties. Het niet naleven van dergelijke wetgeving kan indirect echter wel financiële gevolgen hebben, bijvoorbeeld door claims of boetes. Deze risico’s moeten worden beheerst door een systeem van risicomanagement. Bij risicomanagement staat het identificeren en classificeren van risico’s centraal. Met name de risico’s waarbij de kans hoog is dat deze zich zullen voordoen en waarbij de gevolgen groot zijn, dienen met voorrang afgedekt te worden.

 

In de onderstaande matrix zijn de uitgangspunten van risicomanagement weergegeven.

 

Figuur 2: Uitgangspunten risicomanagement

 

Middels het voorliggende intern controleplan worden de meest risicovolle processen binnen onze organisatie met voorrang onderwerp van interne controle gemaakt. De uitwerking van de risicoanalyse vindt in hoofdstuk 6 plaats.

 

4.2 Criteria rechtmatigheid

 

Om rechtmatigheid te beoordelen worden een aantal criteria gehanteerd. In het Besluit Begroting en Verantwoording (BBV) zijn deze criteria limitatief voorgeschreven, te weten:

 

• calculatiecriterium;

• valuteringscriterium;

• leveringscriterium;

• adresseringscriterium;

• volledigheidscriterium;

• aanvaardbaarheidscriterium;

• begrotingscriterium;

• misbruik en oneigenlijk gebruik (M&O) criterium;

• voorwaardencriterium.

 

Deze criteria zijn verder toegelicht in bijlage 1. De eerste zes criteria worden van oudsher al door de accountant in de getrouwheidscontrole getoetst. Niet (geheel) afgedekt door de controle op getrouwheid zijn het begrotingscriterium, het voorwaardencriterium en het misbruik en oneigenlijk gebruik criterium. Voor het verkrijgen van een goedkeurende controleverklaring van de accountant voor wat betreft rechtmatigheid, is met name het begrotings- en voorwaardencriterium relevant.

 

4.3 Normenkader

 

‘Rechtmatig’ wordt in het Van Dale Groot woordenboek van de Nederlandse taal omschreven als ‘in overeenstemming met of volgens het recht, de regels’. Rechtmatig handelen wil dus zeggen dat de geldende wet- en regelgeving wordt nageleefd.

 

De wet- en regelgeving bestaat uit externe regelgeving en interne regelgeving. Samen vormen deze het normenkader voor de rechtmatigheidscontrole.

 

Figuur 3: Normenkader

 

De externe regelgeving bestaat uit:

 

• •

  algemene verbindende voorschriften van de EU, zoals de Europese aanbestedingsrichtlijnen;

• •

  formele wetten;

• •

  Algemene Maatregelen van Bestuur;

• •

  ministeriële Regelingen;

• •

  jurisprudentie.

 

De interne regelgeving bestaat uit:

 

• besluiten Algemeen bestuur;

• verordeningen;

• richtlijnen en protocollen en dergelijke met een wettelijke grondslag (zoals verordeningen en formele beleidsregels);

• de begroting.

 

Een overzicht van het normenkader voor onze organisatie wordt jaarlijks opgenomen in het accountantscontroleprotocol.

 

 

Tijdens de interne en externe controle wordt niet iedere euro gecontroleerd. De controles vinden plaats met in achtneming van een bepaalde goedkeurings- en rapportagetolerantie.

 

Onder goedkeuringstolerantie wordt verstaan het bedrag dat de som van fouten in de jaarrekening of onzekerheden in de controle aangeeft, die in een jaarrekening maximaal mogen voorkomen, zonder dat de bruikbaarheid van de jaarrekening voor de oordeelsvorming door de gebruikers kan worden beïnvloed. De goedkeuringstolerantie is bepalend voor de oordeelvorming en de strekking van de af te geven accountantsverklaring.

 

De rapportagetolerantie is een bedrag dat gelijk is aan of lager is dan de bedragen voortvloeiend uit de goedkeuringstolerantie. Een lagere rapportagetolerantie leidt in beginsel niet tot aanvullende controlewerkzaamheden, maar wel tot een uitgebreidere rapportage van bevindingen.

 

Het algemeen bestuur heeft in het verleden besloten om de goedkeurings- en rapportagetolerantie vast te stellen overeenkomstig de minimumeisen in het Besluit Accountantscontrole Provincies en Gemeenten (BAPG). Deze luiden als volgt:

 

 

 

Niet alle risico’s zijn even belangrijk in het kader van de interne controle. Met name de processen welke een groot financieel belang vertegenwoordigen en waarbij het risico op fouten het grootst is dienen de hoogste prioriteit te krijgen in de uitvoering van de interne controle.

 

In de volgende situaties kan sprake zijn van een verhoogd risico:

 

• -

  Nieuwe dan wel aangepaste regelgeving: aangepaste regels vragen om implementatie, interpretatie en gewenning binnen de organisatie.

• -

  Externe spelregels: de afgelopen jaren is nadrukkelijk meer aandacht en een verscherpte controle ontstaan op naleving van EU-regelgeving (bijvoorbeeld aanbesteding en staatssteun).

• -

  Uitgebreide regels met betrekking tot het voorwaardencriterium: wanneer regels veel voorwaarden met zich meebrengen is de kans op afwijkingen groter.

• -

  Relaties met derden: wanneer relaties met derden bestaan, ontstaan vaak discussies over afstemming en interpretatie van voorwaarden.

 

Daarnaast kunnen de bevindingen uit voorgaande interne controlewerkzaamheden en de bevindingen van de externe accountant aandachtspunten opleveren voor de interne controle.

 

Op basis van bovenstaande criteria komen wij tot de volgende risicogebieden voor onze organisatie:

 

 

 

7.1 Structuur werkplannen

 

Voor het daadwerkelijk uitvoeren van interne controlewerkzaamheden is het zaak om de belangrijkste processen verder uit te werken in deelprocessen, beheersingsdoelstellingen en beheersmaatregelen. De opzet van de werkplannen volgt de hierna volgende structuur.

 

Figuur 6: Structuur werkplannen

 

7.2 Aantal waarnemingen

 

Onze accountant stelt dat doorgaans 40 (deel)waarnemingen door de intern controleur verricht moeten worden om een proces adequaat te kunnen testen. Dit aantal kan naar beneden bijgesteld worden indien het aantal transacties binnen het proces gering is en/of weinig risico’s te verwachten zijn. Voorwaarde hierbij is dat gemotiveerd wordt vastgelegd waarom het aantal (deel)waarnemingen naar beneden is bijgesteld.

 

7.3 Uitwerking interne controle plan

 

In bijlage 4 is per proces een matrix opgesteld waarin deelprocessen, beheersingsdoelstellingen en beheersmaatregelen zijn opgenomen. Ten behoeve van de verbijzonderde interne controle zijn vervolgens de te verrichten waarnemingen inclusief aantallen opgenomen.

 

8.1 Structuur dossiers

 

Het effectief functioneren van de interne controle kan achteraf alleen worden vastgesteld indien de verrichte controlewerkzaamheden adequaat zijn gedocumenteerd. In dit hoofdstuk komen de richtlijnen aan de orde die gehanteerd dienen te worden voor het documenteren van de interne controlewerkzaamheden en de bevindingen.

 

De dossiervorming van de interne controle omvat 3 dossiers, te weten:

 

• het algemeen dossier;

• het controledossier;

• het stamdossier.

 

Het algemeen dossier en het controledossier zijn lopende dossiers. Dat betekent dat deze dossiers elk jaar opnieuw opgebouwd moeten worden. Het stamdossier daarentegen is een vast dossier. Dit dossier is niet alleen voor de lopende controleperiode van belang, maar ook voor de controles in de volgende jaren. De inhoud van de dossiers is vastgelegd in bijlage 2.

 

8.2 Vastlegging van de controlewerkzaamheden

 

Alle verrichte controlewerkzaamheden moeten zichtbaar zijn. Om deze reden dienen alle controlewerkzaamheden te leiden tot vastleggingen in het controledossier. Zo dienen aansluitingen die worden gelegd bij de uitvoering van verbandscontroles zichtbaar plaats te vinden en te zijn onderbouwd met de stukken waaruit deze aansluitingen blijken.

 

De vastlegging van de interne controlewerkzaamheden dient niet alleen inzicht te geven in de verrichte controlehandelingen, maar ook wanneer deze is verricht, door wie en in welk dossier de vastlegging dient te worden opgeborgen. Met andere woorden de dossierstukken moeten identificeerbaar zijn.

 

Om deze reden dienen alle dossierstukken te zijn voorzien van een vermelding van:

 

• naam interne controlefunctionaris;

• datum uitvoering controle;

• periode (boekjaar) waarop de controle betrekking heeft.

 

Na afloop van de controle van een proces legt de functionaris zijn/haar bevindingen vast in een controlememorandum, dat wordt opgeborgen in het controledossier. Hierbij zal de volgende indeling worden gehanteerd:

 

• controledoel;

• normenkader;

• aanwezige risico’s (gemotiveerd op basis van de risicoanalyse en aanwezige zekerheden in de organisatie);

• aandachtpunten vanuit vorige controles;

• verrichte werkzaamheden;

• bepaling deelwaarneming;

• bevindingen;

• aanbevelingen;

• conclusie.

 

Een format voor het controlememorandum is opgenomen in bijlage 3.

 

8.3 Geautomatiseerde bestanden

 

Ten behoeve van de uitvoering van de controlewerkzaamheden zal onder andere gebruik worden gemaakt van geautomatiseerde toepassingen (spreadsheetprogramma’s en tekstverwerkingsprogramma’s). Vanwege de continuïteit van de opgebouwde bestanden is het van belang dat deze bestanden met de nodige veiligheidswaarborgen beschikbaar blijven. Opslag op het netwerk verzekerd in ieder geval dat ze in de back-up procedure worden opgenomen.