Besluit van Gedeputeerde Staten van Utrecht van 26-8-2014, nr. 80F80D7E, tot vaststelling van het Controllerstatuut
 
Gedeputeerde Staten van Utrecht,
 
Gelet op artikel 11 van het Organisatiebesluit provincie Utrecht 2004,
 
Besluiten:
 
Artikel 1: Inleiding
 
In dit besluit worden de taken, verantwoordelijkheden en bevoegdheden van de concerncontroller en de onder hem ressorterende medewerkers binnen de eenheid concerncontrol zoals dit in artikel 11 van het Organisatiebesluit provincie Utrecht 2004 is vastgelegd, nader uitgewerkt. Daaronder is begrepen de positionering van- en functionele relatie met de business controllers.
Artikel 2: Definities
 
In dit statuut wordt verstaan onder:
  • 1.
    Control: Control is het door het management aangestuurde interne proces met het oog op het sturen en beheersen van de uit te voeren werkprocessen zodat de gewenste resultaten en daarmee beoogde strategische doelen worden behaald.
  • 2.
    Concerncontrol: Waar control zich richt op de beheersing van een werkproces, een afdeling of een project, richt concerncontrol zich op het gehele ‘systeem van control’ binnen de organisatie als geheel. De aandachtsgebieden van concerncontrol zijn Governance, Risk management en Compliance (GRC):
    • a.
      Governance richt zich op het sturen van doelen en resultaten van de gehele organisatie. Het gaat om de interne beheersing van de organisatie waarbij vier elementen centraal staan namelijk sturing, beheersing, verantwoording en toezicht;
    • b.
      Risk (risico-)management is een systeem dat op een gestructureerde wijze organisatierisico’s in kaart brengt en deze op een voor de organisatie economische wijze beheerst zodanig dat sprake is van het managen van effecten van onzekerheden op doelrealisatie op alle sturingsniveaus en het behalen van de doelstellingen (1) op een zo optimaal mogelijke wijze kan gebeuren;
    • c.
      Compliance gaat om het naleven van de externe en interne wet- en regelgeving, alsmede de formele en informele interne regels.
  • 3.
    Lines of Defense (LoD): verdeling van verantwoordelijkheden binnen het ‘systeem van control’ binnen de gehele organisatie met als doel het bevorderen van een effectieve samenhang van werkzaamheden door een efficiënte samenwerking. De Lines of Defense bestaan uit:
    • d.
      De eerste Line of Defense: Het management(2) van de provincie Utrecht;
    • e.
      De tweede Line of Defense: Medewerkers belast met de verbijzondere interne controle (de business controllers);
    • f.
      De derde Line of Defense: De medewerkers werkzaam binnen de eenheid concerncontrol (ook wel geduid als internal control);
    • g.
      De vierde Line of Defense: De (externe) medewerkers die namens Provinciale Staten belast zijn met het toezicht op de provinciale organisatie namelijk de accountant en de Randstedelijke Rekenkamer (ook wel geduid als external control).
  • 4.
    Kwaliteitsborging & Control: Duiding van de resultaatsverantwoordelijkheden, functionele bevoegdheden en taken die in de vorm van procesrollen zijn belegd bij medewerkers belast met control en concerncontrol (3).
  • 5.
    Kwaliteitscyclus: Het cyclisch proces van sturen op de kwaliteit van de inrichting en werking van werkprocessen en de kwaliteit van afstemming tussen en binnen de verschillende werkprocessen met als doel om als organisatie ‘in control’ te zijn en te blijven.
  • 6.
    In Control: De werk- en bedrijfsprocessen zijn ‘in control’ als de stappen van Plan-Do-Check-Act (PDCA-cirkel) systematisch worden doorlopen. Dat betekent dat naast de voorbereidende- en uitvoerende werkzaamheden (Plan en Do) ook invulling wordt gegeven aan het monitoren en beoordelen (Check) en het bijstellen en informeren (Act).
  • 7.
    In control verklaring: een verklaring van een verantwoordelijke afdelingsmanager over de kwaliteit van werkprocessen waarin wordt verklaard dat een (deel-)proces of activiteit aan de door directie gestelde eisen voldoet. Deze eisen hebben te maken met een adequate sturing, beheersing van risico’s en naleving van (interne-) wet- en regelgeving (GRC).
  • 8.
    Verbijzonderde interne controle: Interne controleactiviteiten die aanvullend op de interne controlewerkzaamheden worden verricht op –onderdelen van - werkprocessen met een groot risicoprofiel.
  • 9.
    Procesbeheer: het ontwerpen, actualiseren en vastleggen van werkprocessen, inclusief bijbehorende procedurebeschrijvingen, werkinstructies en autorisatieprofielen. Procesbeheer is een specialistische, ondersteunende rol waarbij de primaire taak is om te zorgen voor actuele procesbeschrijvingen actueel, welke worden opgesteld conform de geldende procesconventie.
  • 10.
    (Interne) audit: een onderzoek uitgevoerd door of in opdracht van de eenheid concerncontrol met als doel het verstrekken van een oordeel aan een opdrachtgever op grond van objectief en onafhankelijk onderzoek. Het is mogelijk dat een audit wordt uitgevoerd op grond van de Provinciewet , art 217, lid a. Belangrijk onderdeel van een audit is het formuleren van een normenkader. In het normenkader wordt vastgelegd aan welke normen de werkelijkheid wordt getoetst. Daarnaast wordt voor een audit een standaard procedure gevolgd voor opdrachtverlening, hoor- en wederhoor en rapportage. Indien de resultaten van het onderzoek daartoe aanleiding geven kan aan een audit adviezen of aanbevelingen verbonden, waarmee de opdrachtgever wordt geholpen bij het doorvoeren van verbeteringen.
  • 11.
    Onderzoek: Een onderzoek, niet zijnde een audit, uitgevoerd door of in opdracht van de eenheid concerncontrol waarbij in overleg met of in afstemming met de opdrachtgever een aantal werkzaamheden worden uitgevoerd. Dit onderzoek kan leiden tot conclusies en/of aanbevelingen, maar dit vindt plaats in overleg met de opdrachtgever.
  • 12.
    Advies: Op grond van haar onderzoek dan wel audit staat het de concerncontroller vrij om apart een persoonlijk advies te formuleren, bestemd voor intern beraad, en die aan de verantwoordelijk afdelingsmanager, directeur dan wel bestuurder te geven. Dit advies moet worden beschouwd als een persoonsgebonden advies met een persoonlijke opvatting van de concerncontroller en is alleen bestemd voor de geadresseerde van dat advies. De geadresseerde van het advies kan zelf bepalen wat er met het advies gebeurd en in hoeverre verspreiding van het advies gewenst is. De adviezen moeten worden gezien als persoonlijke beleidsopvattingen voor intern beraad in het kader van de Wet openbaarheid van bestuur ex. Artikel 11 Wob.
  • 13.
    Business controller: Een medewerker die door de afdelingsmanager is belast met de rol van business controller en als zodanig functioneel verantwoordelijk is voor de uitvoering en kwaliteit van een aantal procesrollen binnen de cluster Kwaliteitsborging & Control, waaronder de procesrollen verbijzonderde interne controle, financiële bedrijfsvoering en procesbeheer. De business controller is een integraal adviseur van de afdelingsmanager en heeft een functionele lijn richting de eenheid concerncontrol voor de invulling van verschillende rollen op het gebied van kwaliteitsborging & control en de afdeling management ondersteuning voor zaken met betrekking tot de financiële bedrijfsvoering. Hij verricht werkzaamheden die tot de eerste en tweede Line of Defense kunnen worden beschouwd.
    • (1)
      Bron: beleidskader risicomanagement; vastgesteld door PS op 10-9-2012
    • (2)
      Onder het management wordt hier verstaan de directie, de afdelingsmanagers en teamleiders
    • (3)
      In de visienota ‘Systeem van control’ zijn 11 procesrollen gedefinieerd.
Artikel 3 Positie en bevoegdheden van de eenheid concerncontrol
 
  • 1.
    De concerncontroller wordt in het uitoefenen van zijn functie ondersteund door een aantal medewerkers van de eenheid concerncontrol en de plaatsvervangend concerncontroller (adjunctcontroller).
  • 2.
    De concerncontroller is hiërarchisch ondergeschikt aan de algemeen directeur/provinciesecretaris.
  • 3.
    De functie van concerncontroller en adjunct controller is onverenigbaar met enig ander dienstverband binnen de Provincie Utrecht.
  • 4.
    Gedeputeerde Staten, of namens hen de provinciesecretaris/algemeen directeur, zijn opdrachtgever van de concerncontroller.
  • 5.
    De concerncontroller is bevoegd om, met medeweten van een lid van Gedeputeerde Staten belast met concerncontrol en provinciesecretaris/algemeen directeur, audits en onderzoeken, conform art 2, lid 10 en 11, uit te voeren indien dit naar de mening van de concerncontroller uit hoofde van zijn functie noodzakelijk is.
  • 6.
    De concerncontroller is bevoegd om adviezen te geven, conform art 2, lid 12, indien dit naar de mening van de concerncontroller uit hoofde van zijn functie noodzakelijk is.
  • 7.
    De concerncontroller kan de business controller functionele aanwijzingen geven dan wel informatie uit de afdeling via de business controller opvragen. Desgewenst kan de business controller de afdelingsmanager daarover informeren. Anderzijds dient de business controller (vermoedens van-) misstanden naar de concerncontroller te melden, met medeweten van de afdelingsmanager. De concerncontroller verstrekt, met medeweten van de business controller, de afdelingsmanager gevraagd en ongevraagd informatie over het functioneren van de businesscontroller.
Artikel 4: Onafhankelijkheid
 
  • 1.
    De medewerkers van de eenheid concerncontrol hebben een onafhankelijke en onpartijdige positie binnen de provinciale organisatie en de aan de provincie gelieerde verbonden partijen.
  • 2.
    De bevoegdheden van de medewerkers van de eenheid concerncontrol kunnen niet worden ingeperkt door die van provinciale commissies of instanties met een vergelijkbare taakstelling.
  • 3.
    De concerncontroller stelt in samenspraak met de business controllers jaarlijks een onderzoeksplan CCO op, stemt het onderzoeksplan af met het lid van Gedeputeerde Staten belast met concerncontrol en de provinciesecretaris/algemeen directeur. In dit werkplan staan de onderzoeken (en audits) die de eenheid CCO wil gaan uitvoeren. Hij informeert de afdelingsmanagers over het werkplan.
  • 4.
    De concerncontroller informeert provinciesecretaris/algemeen directeur en het GS-lid verantwoordelijk voor concerncontrol over de realisatie van het onderzoeksplan CCO door middel van een rapportage en/of een mondelinge toelichting.
  • 5.
    De concerncontroller is bevoegd om gevraagd en ongevraagd adviezen te geven bij audits en onderzoeken conform art 2, lid 10 en 11. Belangrijke adviezen dienen schriftelijk te worden gegeven en gedocumenteerd.
  • 6.
    De schriftelijke adviezen van de concerncontroller kunnen, indien dit expliciet is aangegeven door de vermelding van ‘intern beraad’ en ‘persoonlijk’ worden gezien als een strikt persoonlijk advies van de concerncontroller aan de persoon tot wie het advies zich richt. Dit advies zal conform art 2, lid 13 niet aan derden worden verstrekt, behalve door degene die het advies heeft gekregen.
  • 7.
    De concerncontroller heeft een eigen werkbudget waardoor hij in staat is externe adviezen in te winnen en, onder zijn aansturing en verantwoordelijkheid, onderzoek door derden te laten uitvoeren als dit naar de mening van de concerncontroller uit hoofde van zijn functie noodzakelijk is.
  • 8.
    De business controllers zijn ongedeeld verantwoordelijk voor de kwaliteit en uitvoering van de verbijzonderde interne controles die in de afdeling plaatsvinden. Dit betekent dat hij ervoor dient te zorgen dat de verbijzonderde interne controles conform voldoen aan gestelde eisen. De administratieve organisatie en interne controles (AO/IC) zijn de verantwoordelijkheid van de afdelingsmanager. De business controller zou desgevraagd een oordeel kunnen geven over de kwaliteit van de AO/IC.
Artikel 5: Onbevooroordeeldheid en integriteit
 
  • 1.
    De medewerkers van de eenheid concerncontrol en de business controllers zijn onbevooroordeeld en integer in hun functioneren.
  • 2.
    De medewerkers van de eenheid concerncontrol en de business controllers streven de hoogste mate van objectiviteit na bij het verzamelen, evalueren en communiceren van informatie over de resultaten van de beleidontwikkeling en -uitvoering en de doelmatigheid en rechtmatigheid van handelen.
  • 3.
    De medewerkers van de eenheid concerncontrol en de business controllers handelen in overeenstemming met de ambtseed die zij hebben afgelegd bij in diensttreding(4). Daarbij zullen zaken die hen uit hoofde van hun functie vertrouwelijk ter kennis komen of waarvan zij het vertrouwelijke karakter moeten inzien, geheim houden voor anderen dan die personen aan wie zij uit hoofde van hun functie tot mededeling verplicht zijn.
  • 4.
    De medewerkers van de eenheid concerncontrol en de business controllers worden op geen enkele wijze benadeeld als gevolg van het uitoefenen van hun taken krachtens dit statuut.
  • (4)
    Een deel van de ambtseed luidt als volgt: Ik zal zorgvuldig omgaan met informatie. Ik zal zorgvuldig, onkreukbaar en betrouwbaar zijn en niets doen dat het aanzien van de provincie zal schaden.
Artikel 6: Opzet en inrichting van het systeem van control
 
  • 1
    Het ‘systeem van control’ voor de gehele organisatie is gebaseerd op het principe van de Lines of Defense. Het vertrekpunt daarvan is dat de primaire verantwoordelijkheid voor control is verankerd in de lijnorganisatie. De inrichting en werking van de eerste Line of Defense is een verantwoordelijkheid van het management. Door het management worden daartoe medewerkers procesrollen opgedragen op het gebied van Kwaliteitsborging & Control met bijbehorende resultaat verantwoordelijkheden, functionele bevoegdheden en taken. De business controller is functioneel verantwoordelijk voor een goede uitvoering van deze procesrollen. De business controller is verantwoordelijk voor de tweede Line of Defense (de verbijzonderde interne controle) in de afdeling.
  • 2
    De concerncontroller is verantwoordelijk voor de opzet van ‘het systeem van control’. De concerncontroller kan daartoe kaders stellen en deze doen vaststellen. Binnen dit kader moet het lijnmanagement medewerkers aanwijzen die verschillende rollen op het gebied van Kwaliteitsborging & Control zullen invullen.
  • 3
    Concerncontrol is verantwoordelijk voor de afstemming tussen de Lines of Defense. De medewerkers uit de verschillende Lines of Defense maken gebruik van en steunen op elkaars bevindingen (single audit). In dat kader ziet de eenheid concerncontrol erop toe dat de controlactiviteiten en onderzoeksprogramma’s van de Lines of Defense op elkaar worden afgestemd. De eenheid concerncontrol onderhoud daartoe contacten met de accountant en de Randstedelijke Rekenkamer (de vierde Line of Defense).
  • 4
    De Lines of Defense dienen gezamenlijk ervoor te zorgdragen dat de organisatie ‘in control’ is, met andere woorden dat er een optimale mix is van sturing (governance), risicomanagement en naleving van wet- en regelgeving (compliance). De concerncontroller kan vanuit zijn verantwoordelijkheid voor de afstemming tussen de Lines of Defense aanwijzingen geven voor de medewerkers die een rol spelen bij de eerste en tweede Line of Defense.
  • 5
    Misstanden die door de business controllers worden geconstateerd dienen te worden gerapporteerd aan de concerncontroller, al dan niet met medeweten van de afdelingsmanager. De concerncontroller kan op basis van deze informatie eigen onderzoek verrichten ter verificatie van de informatie en/of besluiten deze informatie op passende wijze te rapporteren aan het lijnmanagement, de Directie/CMT dan wel het lid van Gedeputeerde Staten verantwoordelijk voor concerncontrol.
  • 6
    Het lijnmanagement is verantwoordelijk voor het inrichten van hun werkprocessen, het toedelen van verschillende procesrollen en een actuele beschrijving van de administratieve organisatie (AO) en interne controle (IC). De AO/IC dient te worden beschreven in lijn met de terzake gestelde kaders van de concerncontroller. Binnen de werkprocessen dienen adequate interne controle maatregelen te zijn (in opzet, inrichting en werking) zodat zichtbaar kan worden aangetoond dat er een adequaat werkend stelsel van functiescheiding in het proces is en zaken adequaat en controleerbaar zijn vastgelegd (audit trail).
  • 7
    Binnen de afdelingen zijn, toegesneden op de aard en omvang van de werkprocessen binnen de afdeling, business controllers aangewezen die verantwoordelijk zijn voor het uitvoeren van alle verbijzonderde interne controlemaatregelen (tweede Line of Defense). Deze business controllers hebben ten behoeve van hun werkzaamheden toegang tot alle informatie in de organisatie en controleren de werking van de processen binnen de eigen afdeling, en stemmen zo nodig af met andere afdelingen. De aard van de werkprocessen kan ertoe leiden dat de uitvoering van werkzaamheden in de tweede Line of Defense niet verenigbaar is met werkzaamheden in de eerste Line of Defense in verband met gewenste controletechnische functiescheiding. Gezien de ongedeelde verantwoordelijkheid voor de VIC dient de business controller bij mogelijke belangenverstrengeling zijn taken bij de eerste Line of Defense bij andere medewerkers neer te leggen.
  • 8
    De business controller is conform art 4, lid 8, ervoor verantwoordelijk dat de werkzaamheden van de medewerkers belast met de rol van verbijzonderde interne controle worden opgenomen in het verbijzonderde interne controle programma (VICP). Het VICP is gebaseerd op een risicoanalyse van de (materiële-) processen in de organisatie, opmerkingen van de controlerende accountant en ervaringen in het verleden en behelst een aantal aanvullende interne controlewerkzaamheden op de opzet, bestaan en werking van de werkprocessen. De concerncontroller is bevoegd om kaders te stellen en uit dien hoofde aanwijzingen te geven. De business controller is ongedeeld verantwoordelijk voor de tot standkoming van het VICP en de afstemming met de concerncontroller en de externe accountant.
  • 9
    De concerncontroller dient ervoor te zorgdragen dat het VICP en de bevindingen van de verbijzonderde interne controle worden gerapporteerd aan het management en voert, ter beoordeling van de kwaliteit van de verbijzonderde interne controles, een review uit op de bevindingen van de verbijzondere interne controles.
  • 10
    De externe accountant steunt in zijn controleaanpak op de werkzaamheden die zijn uitgevoerd in het kader van de VICP (single audit). In dat kader kan de accountant aanwijzingen geven om extra werkzaamheden te verrichten voor hun oordeelsvorming in het kader van de accountantscontrole. Dit zal met name gebeuren als is geconstateerd dat de interne controle op sommige punten tekort schiet of het risicoprofiel van een proces volgens de accountant veranderd is. De coördinatie van de aanvullende en/of verbeterakties in het kader van de jaarrekening en de managementletter berust bij de afdeling Managementondersteuning.
Artikel 7: Control(e) en vertrouwen
 
  • 1.
    De activiteiten binnen het ‘systeem van control’ zijn erop gericht om met zo weinig mogelijk checks and balances een zo groot mogelijke zekerheid te hebben dat de producten en beoogde doelstellingen van de organisatie op een beheerste wijze gerealiseerd worden. Daarbij wordt het uitgangspunt van single audit toegepast, dat wil zeggen dat de Lines of Defense gebruik maken van en steunen op elkaars bevindingen.
  • 2.
    Bij sommige handelingen van interne controle kan er, uit efficiencyoverwegingen, voor worden gekozen om in het werkproces niet alle voorliggende informatie te controleren, maar dit op basis van een (mathematisch onderbouwde) steekproef te doen. Hierbij worden het risicoprofiel van het werkproces of de activiteit betrokken bij de bepaling van de omvang van de steekproef. Deze overwegingen dienen te worden vastgelegd in een werkprocesspecifiek verbijzonderde interne controleplan (VICP) dat onder verantwoordelijkheid van de procesbeheerder wordt opgesteld en door de verantwoordelijk manager (proceseigenaar) geautoriseerd. De uitgangspunten en uitvoering van het controleplan kan in het kader van de verbijzonderde interne controle wordt getoetst en zo nodig met de accountant worden besproken.
  • 3.
    Een belangrijke doelstelling van de organisatie is om de controlelast terug te dringen en meer vertrouwen te geven aan de professionals die werkzaam zijn in de lijnorganisatie. Daarbij kan vertrouwen niet onvoorwaardelijk of ‘blind’ zijn. Er moet sprake te zijn van zogenaamd gerechtvaardigd vertrouwen op basis van een mix van controles, ervaringen uit het verleden en acceptabele risico’s.
  • 4.
    Er dient aan een aantal kritische succesvoorwaarden te worden voldaan voordat kan worden gesteld dat er niet alleen sprake is van gerechtvaardigd vertrouwen geven, maar dat de organisatie ook nog ‘in control’ is:
  • a.
    Er is duidelijkheid over de wederzijdse verwachtingen en partijen hebben zicht of de ander (voldoende) ‘in control’ is om de gemaakte afspraken na te komen;
  • b.
    Betrokkenen bezitten de vereiste kwaliteiten om de verwachtingen waar te kunnen maken;
  • c.
    Betrokkenen hebben en houden een gemeenschappelijk belang;
  • d.
    Betrokkenen hebben een positief beeld (intuïtief gevoel) over en weer;
  • e.
    Betrokkenen zorgen voor een goede informatie-uitwisseling (open communicatie);
  • f.
    Betrokkenen hebben goed zicht op de risico’s en zijn bereid deze te accepteren (‘risk-appetite);
  • g.
    De essentiële elementen die de basis vormen voor het vertrouwen, mogen gecontroleerd worden;
  • h.
    De oorzaak van een inbreuk wordt als die zich voorgedaan heeft, geanalyseerd en besproken;
  • i.
    Sancties zijn bij verkeerde intenties het uitgangspunt.
  • 5.
    De concerncontroller is eigenaar van de kwaliteitscyclus en voert in dat kader de regie op het proces van opstellen, beoordelen van de ICV’s van de bedrijfskritische werkprocessen. Mede op basis hiervan kan de concerncontroller een in control verklaring opstellen voor het gehele concern.
  • 6.
    Als onderdeel van de zogenaamde kwaliteitscyclus wordt in het kader van het gerechtvaardigd vertrouwen onder de verantwoordelijk afdelingsmanager en door de business controller een of meer kwaliteitsscans(5) uitgevoerd. Zo nodig wordt een verbeterplan opgesteld. Dit vormt de basis van een ‘in control verklaring’ (ICV), waarin de afdelingsmanager verklaart aan de Directie dat zijn werkproces, activiteit of project ten aanzien van een aantal kwaliteitscriteria voldoen aan de gestelde eisen en de risico’s in voldoende mate zijn afgedekt.
  • (5)
    Zie voor een nadere uitleg van de kwaliteitscyclus de nota “systeem van control”
Artikel 8: Producten en werkwijze van de eenheid concerncontrol
 
  • 1.
    De producten van de eenheid concerncontrol bestaan uit kaders, in control verklaring op concernniveau, strategische risicoinventarisatie, instrumenten zoals de kwaliteitsscans en ondersteunende systemen, audits, onderzoeken en (mondelinge dan wel schriftelijke) adviezen;
  • 2.
    De producten dienen volgens een gestandaardiseerde en gedocumenteerde werkwijze tot stand te komen en adequaat te worden gedocumenteerd;
  • 3.
    In opdracht van het College van Gedeputeerde Staten voert de eenheid concerncontrol de zogenaamde 217a onderzoeken, zoals bedoeld in art 2, lid 10 van de provinciewet, uit naar de doelmatigheid en doeltreffendheid van het gevoerde bestuur. Het College stelt jaarlijks de onderzoeksagenda vast en maakt daarin de keuze voor het onderwerp uit een aantal velden dat door de concerncontroller in overleg met de Directie/CMT en de GS-lid verantwoordelijk voor concerncontrol wordt aangedragen. Het College wijst een verantwoordelijk Gedeputeerde aan voor het onderzoek. De resultaten van het onderzoek (het auditrapport met de managementreactie van de Directie) worden vastgesteld door het College en vervolgens ter informatie naar Provinciale Staten gezonden. Een samenvatting van het auditrapport wordt opgenomen in de jaarrekening.
  • 4.
    Een 217a-audit, zoals bedoeld in art 2, lid 10, bestaat uit een drietal fasen; een voorbereidingsfase, een onderzoeksfase en een rapportage fase. De voorbereidingsfase wordt afgesloten met een door GS vastgesteld plan van aanpak met daarin het normenkader en onderzoeksaanpak. Onderdeel van de onderzoeksfase is hoor- en wederhoor van betrokkenen bij het onderzoek. IN de rapportagefase krijgt de Directie krijgt inzicht in de rapportage en de mogelijkheid voor het opstellen van een managementreactie alvorens de rapportage aan Gedeputeerde Staten wordt aangeboden.
  • 5.
    Op verzoek van Directie, het GS-lid verantwoordelijk voor concerncontrol en/of het College van Gedeputeerde Staten kan de eenheid concerncontrol belast worden met het monitoren van de aanbevelingen die gedaan zijn in onderzoeken door de eenheid concerncontrol of door de Randstedelijke Rekenkamer.
 
Aldus vastgesteld in de vergadering van gedeputeerde staten van Utrecht van 23 september 2014.
 
Gedeputeerde Staten van Utrecht,
 
Voorzitter
 
Secretaris
 
Bijlage 1 : Relevante delen uit het Organisatiebesluit
In deze bijlage is een aantal relevante artikelen uit het organisatiebesluit opgenomen.
In artikel 7a van het organisatiebesluit staat het volgende:
1.De concerncontroller kan de directievergaderingen bijwonen en, als adviseur, deelnemen aan de beraadslagingen van de directie;
In artikel 8 staat het volgende:
1.De ambtelijke organisatie is verdeeld in afdelingen, te weten:
Afdelingen voor:
  • a.
    Bestuurs- en Directieondersteuning;
  • b.
    Fysieke Leefomgeving;
  • c.
    Managementondersteuning;
  • d.
    Mobiliteit, Economie en Cultuur;
  • e.
    Services;
  • f.
    Uitvoering Fysieke Leefomgeving;
  • g.
    Vergunningverlening en Handhaving;
  • h.
    Wegen.
  • 2.
    Naast de in het eerste lid genoemde afdelingen, kent de organisatie een eenheid voor concerncontrol welke wordt aangestuurd door de concerncontroller. Onverminderd het bepaalde in artikel 7a, derde lid, wordt de concerncontroller voor de toepassing van dit besluit en de hierop gebaseerde uitvoeringsbesluiten, beschouwd als afdelingsmanager.
In Artikel 11 van het organisatiebesluit staat het volgende:
Artikel 11
  • 1.
    De concerncontroller, en de onder hem ressorterende medewerkers, hebben een belangrijke adviserende en betrokken rol ten behoeve van de directie en gedeputeerde staten. De concerncontroller kan gevraagd en ongevraagd informatie verstrekken en adviseren aan de directie en gedeputeerde staten.
  • 2.
    De concerncontroller kan, indien hij dat nodig vindt en met medeweten van de secretaris, rechtstreeks aan gedeputeerde staten informatie en adviezen geven.
  • 3.
    De concerncontroller heeft toegang tot alle informatie in de organisatie, mits de toegang tot die informatie noodzakelijk is voor de uitoefening van de functie van concerncontroller. Het bepaalde in de vorige volzin geldt niet indien het persoonsgegevens betreft als bedoeld in paragraaf 2 van de Wet bescherming persoonsgegevens, tenzij de toegang tot die informatie kennelijk geen inbreuk op de persoonlijke levenssfeer maakt.
  • 4.
    De concerncontroller is verantwoordelijk voor:
  • a.
    de control op de concernvoorwaarden met betrekking tot de middelenfuncties, (concern)projecten en de integrale beleidsprestaties;
    b. de control op systeemniveau, waartoe behoren de concernbrede Planning en Controlcyclus en sturingscycli binnen afdelingen;
    c. het ontwikkelen en implementeren van kwaliteitsmanagement en risicomanagement.
  • 5.
    De afdeling Managementondersteuning is verantwoordelijk voor de kaderstelling, regie en uitvoering van de Planning en Controlcyclus binnen de concernvoorwaarden zoals deze door de directie zijn vastgesteld op grond van adviezen van de concerncontroller.
In Artikel 15 van het organisatiebesluit staat het volgende:
  • 1.
    Het algemene mandaat van de secretaris geldt niet voor:
  • a.
    Het aanstellen, schorsen en ontslaan van personeelsleden in de functie van directeur of concerncontroller;
Bijlage 2: Mandaatbesluit secretaris
In deze bijlage zijn de relevante artikelen uit het organisatiebesluit opgenomen.
Artikel 7.
De concerncontroller is bevoegd in naam van de secretaris inlichtingen te vragen aan alle provinciale functionarissen.
Naar boven