Control, audit en risicomanagement (CAR), samen in één ondersteunend bureau: Het CAR-model in de gemeente Deventer

In een reeks artikelen over controlling en auditing1 binnen overheidsorganisaties wordt aandacht besteed aan de verschillende manieren om concerncontrol en internal audit in organisaties te verankeren. In deze bijdrage wordt ingegaan op een model waarbij deze functies in een klein, maar hoogwaardig management- en bestuursondersteunend bureau zijn samengevoegd. Het betreft een casus binnen de gemeente Deventer. Waarom werd dit gedaan, wat is er bereikt, wat niet, waarom niet, tot welke reflectie leidt dit en welke leerpunten zijn bruikbaar voor anderen?

Het schrijven en spreken over inrichting en positionering van functies is een geliefd onderwerp van controllers en auditoren. Te vaak zien we echter nog dat dit een discussie is op grond van onwrikbare inzichten en voorkeursmodellen. De verkenning wat functies geacht worden te doen, mist vaak diepte en de slag wordt gemist om te bepalen waarom bepaalde modellen werken in een bepaalde context en waarom andere, die misschien theoretisch beter zijn, juist weer niet. In deze bijdrage wordt de ontwikkelingsgang van control en audit in de gemeente Deventer geschetst, waarbij de ontwikkeling overigens nooit af is en soms zelfs een tijdelijke stap terug nodig is om daarna des te sterker te kunnen doorontwikkelen.

Inleiding
In het eerste artikel van de reeks is ingegaan op het Three Lines of Defence-principe. Volgens dit principe zijn er drie verdedigingslinies: managementcontrol gericht op beheersing van het primaire proces, concerncontrol gericht op systeembeheersing en betrouwbare informatieprocessen en internal audit gericht op toetsing en reflectie.2 In het tweede artikel is de brede internal auditfunctie beschreven. In een navolgend artikel komt het model aan de orde waarbij internal audit en concerncontrol vanuit een gezamenlijke eenheid toezien op decentrale controlfuncties.

In deze bijdrage gaan we in op een model waarbij er wel activiteiten van de zogeheten derde verdedigingslinie worden verricht, maar de grens tussen tweede en derde lijn niet zo manifest aanwezig is als in andere modellen. De audit- en concerncontrolfuncties komen samen in een functie concerncontroller, tevens hoofd van een klein bestuursen managementondersteunend bureau, ook wel ‘smaldeel’ genoemd. Dit bureau is direct gekoppeld aan de gemeentesecretaris in zijn functie van algemeen directeur en daarnaast is het toegewezen aan de bestuurlijke portefeuillehouder voor control, in casu de burgemeester. Het model heeft onder andere door een column3 en presentatie op enkele symposia bekendheid verworven. Vanuit vele landstreken wordt er navraag naar gedaan en komen net aangestelde concerncontrollers op bezoek. Naast het organisatorische aspect, waarin de variant zich onderscheidt, is er ook een onderscheid in accenten die zijn gelegd. Daarbij moet direct gesteld worden dat we dit kunnen relateren aan een aantal externe ontwikkelingen, zoals de zes die zijn beschreven in de eerste bijdrage4, maar ook aan de min of meer toevallige aanwezige ambities, capaciteiten en voorkeuren van functionarissen in een organisatie. Het model dat hier besproken wordt, dankt enerzijds zijn opkomst aan de dualisering, maar is anderzijds ontegenzeggelijk ook te herleiden tot de vakmatige achtergronden en dus ambities van een aantal betrokkenen. En die daarbij aansluiting vonden bij gaande veranderingen in de besturingsvoorkeuren van het topmanagement. Zo wilde het management af van stafsturing en zelf vorm en invulling geven aan het managementcontrolsysteem en werd het beheer daarvan belegd bij de directeur Bedrijfsvoering. Daarmee verviel de taak van de concerncontroller om dit systeem te ontwerpen, periodiek bij te stellen en te beheren en kon hij zich ontwikkelen in de richting van de public-controllersfunctie zoals die zo inspirerend is omschreven door Van Egten en Veldman:
“De functie van public controller is (…) een coördinerende functie in een publieke of maatschappelijke organisatie waarin het leiderschap wordt geadviseerd bij het plannen van de maatschappelijke en financiële resultaten van de organisatie, het ontwerpen en implementeren van het managementcontrolsysteem en het afleggen van rekenschap. (…) De public controller is er voor de organisatie-onderzoeker, analyticus, criticus en informatieverstrekker. De primaire en ondersteunende processen in de organisatie (...) worden bestudeerd en er vindt op een afstandelijke, onbevooroordeelde en daarmee gewetensvolle wijze rapportage over de bevindingen aan het leiderschap plaats.”5
Daarmee schuift de concerncontroller op van een ingebedde en intern verankerde rol van hoofd Planning & Control en bedrijfseconomisch rapporteur naar een meer onafhankelijke, ‘losse’ rol als adviseur, onderzoeker en rapporteur. Stond de concerncontroller vroeger in het Nederlandse lokaal bestuur zeer dicht bij de functie van hoofd Financiën of Middelen (of viel daar zelfs mee samen), de tendens is toch een verzelfstandiging van de functie, waarbij meer wordt opgeschoven naar die van hoofd Audit. Het in dit artikel beschreven model is daar een voorbeeld van, het is dan ook geen uniek Deventers model.

Ontstaansgeschiedenis
Het ontstaan van een dergelijke nieuwe functieinvulling door concerncontrol is situationeel bepaald en kan alleen achteraf zuiver rationeel worden geduid, als het ontstane wortel heeft geschoten. Gaan we terug naar de ontstaansgeschiedenis dan zien we dat de accenten bij concerncontrol allereerst lagen op beheer op orde, invoering van interne controle, het kwaliteitsmodel INK6, verbetering van de administratieve organisatie en bestuurlijke informatievoorziening. Dat waren basisvraagstukken die destijds vanuit het middelendomein7 werden geagendeerd en waar alle verbeteracties op waren gericht. Het hoofd Middelen, een hogere managementfunctie, focuste zich in die rol op het positioneren van de middelenfuncties in een ondersteuningsmodel, waarbij de organisatie in de helpstand kwam te staan. Toch is dit model in een organisatie waarin het beheer niet op orde is, het management de eerstelijns controltaken niet vervult en dit ook (nog) niet wordt verwacht, een juiste (tijdelijke) keuze. De bereikte mijlpalen en successen bleven echter beperkt, omdat het management in een leunstand bleef, er sprake was van inputsturing en er te weinig werd gedaan aan het opsporen van risico’s en het doorlichten van processen, kortom er was geen auditfunctie. Een eerste focusverschuiving vond plaats na de invoering van de dualisering, de rekenkamerfunctie, de onderzoeksverplichting 213a GW en vooral ook de noodzaak de rechtmatigheidsverklaring van de accountant te verkrijgen. De organisatie liep in rechtmatigheidscontrole en doelmatigheidsonderzoek bepaald niet achterop. Toch bleef het geheel van activiteiten aanbodgericht en kwam de eerste lijn niet tot wasdom. Na een reorganisatie, waarbij programmamanagement op kop kwam (dus focus outputsturing) en stevig werd ingezet op managementverantwoordelijkheid en het benutten van de kracht van de samenwerking met verbonden partijen, is in het kielzog dan het smaldeel ontstaan. Dat daarbij niet het ideale model is gekozen, dat van een brede, vrijgestelde internal-auditfunctie, heeft vooral te maken met omvang, besturingsfilosofie en volwassenheidsniveau van de organisatie, waarbij er geen behoefte is aan vrijgestelde stafbureaus, vrijgesteld van het ‘hands on’ bijstaan van de organisatie bij iets belangrijks als instrumentontwikkeling. Natuurlijk speelde ook hier beschikbare capaciteiten en achtergronden van sleutelfiguren mee.

In het allereerste artikel uit deze reeks is aangegeven dat er drie interne factoren zijn die positionering en focus van audit en concerncontrol bepalen en zes externe factoren. De drie interne zijn:

• omvang van de organisatie, verhouding staf/lijn,
• besturingsfilosofie en stijl van management,
• volwassenheidsniveau, zaken op orde.

Daarenboven zijn er zes externe invloeden:

• dualisering: BBV-regels, rechtmatigheidsverklaring en onderzoeksverplichting,
• rekenkamerfunctie,
• horizontaal toezicht,
• opkomst belang verbonden partijen,
• introductie outputsturing,
• invoering risicomanagement.

Hiervan kan worden gesteld dat de eerste drie interne factoren zeker verklarend zijn voor de keuze van het CAR-model, maar dat dit model nooit zou zijn ingevoerd als er daarmee geen antwoord kwam op de zes externe invloeden. Van die zes zijn met name dualisering, rekenkamerfunctie, verbonden partijen, outputsturing en risicomanagement aan de orde geweest. Daarbij is uiteraard ook gebruik gemaakt van externe dynamiek om de relevantie van het model te onderbouwen. Factoren die niet worden genoemd in het artikel, maar zeker ook mee gingen spelen tijdens de rit waren: projecten, en het grondbedrijf dat niet in control was, toenemende druk op de middelen, taakverzwaring (Wmo), landelijke discussie over teveel externe inhuur en niet in de laatste plaats de kredietcrisis.

Invloeden die er laten bij zijn gekomen zijn er overigens ook, bijv. de toegenomen transparantie-eisen vanuit de samenleving, i.e. de overheid moet informatie sneller ontsluiten en besluiten veel beter communiceren.

Het smaldeel heeft gefunctioneerd van 2007 tot en met 2012. De bereikte successen waren zichtbaar en werden (h)erkend, maar tegelijkertijd was er sprake van een stagnatie in de ontwikkeling van de controlfunctie op met name het niveau van de decentraal belegde ondersteunende controlbureaus en de samenwerking daarvan met de centrale financial-controlfunctie, belegd in een stafafdeling Financieel Beleid (al heette die toen anders). Kortom de aansluiting moest worden overbrugd. Ook wilde de nieuwe directie sterk inzetten op horizontaal werken met zo weinig mogelijk schakel-op-schakeltoetsing en -advisering. Tot slot werd sterk ingezet op managementcontrol en wilde het management zelf verantwoordelijkheid dragen voor het ontwerpen en inregelen van het managementcontrolsysteem. Om de bereikte resultaten beter te laten landen in de klassieke controlteams is ervoor gekozen de functie van concerntroller geheel los te maken van de sturing op een afzonderlijk team. Het team is ondergebracht in een groot cluster waarin alle met planning en control in ruime zin betrokken functies centraal zijn samengebracht, met duidelijke functionele lijnen naar de nu losse concerncontroller. Naast voordelen is een nadeel dat onafhankelijk toezicht op het presteren van het nieuwe cluster nu niet aanwezig is; wel is door middel van een auditcharter geborgd dat audit zonder managementbemoeienis zijn professioneel onderzoeks- en doorlichtingswerk kan uitvoeren. Diverse evaluaties maken zaken scherper. In de toekomst kan niet uitgesloten worden dat er toch weer een smaldeel wordt afgezonderd. De persoonlijke verwachting van auteur dezes is dan dat dit eerder dichter tegen strategie en bestuursondersteuning aan wordt gepositioneerd dan tegen financial controlling.

Tot zover de ontwikkelingsgeschiedenis die een open einde heeft en nog eens heeft duidelijk gemaakt hoe belangrijk het is dat control- en auditmodellen zich goed verbinden met inrichtingsmodellen in brede zin en zich, zij het kritisch becommentariërend, committeren aan de basisinrichtingsprincipes van de organisatie. Zonder aanpassing tot een kerncompetentie van een controller of auditor te willen verklaren, moet enige flexibiliteit hierin wel worden getoond wil men op de kaart blijven als functie. Uiteindelijk immers blijkt de relevantie uit het verrichte werk en niet uit de positie of de formatieomvang.

Kernopdrachten en werkwijze van het smaldeel
De kernopdrachten van het team waren in de beginfase vrij breed geformuleerd, waardoor afstemmingsproblemen ontstonden met de middelenfuncties en financieel beleid, die zich toeleggen op kaderstelling, financial control en beleid, en het ontwikkelen en tevens beheren van de planning-en-controlcyclus en systemen daarbij. Hier is in het begin veel ruis over ontstaan en weggenomen na een adviestraject onder leiding van de toenmalige directeur Bedrijfsvoering. De kerntaken waren nadien:
a toezien op handhaving kaders en besluiten van raad, college en directie; toezien op beheersing majeure projecten;
b scheppen van rechtmatigheidskaders en kaders voor integriteit; adviseren over andere kaders en beoordelen van (onderlinge) consistentie van kaders;
c toetsen van het planning & controlsysteem en de daaraan verbonden bestuurlijke informatievoorziening;
d zorgdragen voor systemen van risicobeheersing;
e adviseren over ontwerpbesluitvorming ten behoeve van college en directie
f opzetten en uitvoeren van het onderzoeksprogramma 213 GW en het auditprogramma volgens het INK/OO-model.

De lezer die zijn literatuur kent, zal geneigd zijn dit pakket te zien als typisch voor een auditafdeling. Toch zitten er wel degelijk ook elementen in die de benaming afdeling Concerncontrolling rechtvaardigen, zoals de rol ten aanzien van kaderstelling, besluitvorming en risicomanagement. Het pakket past zeker bij de definitie van public controlling.

Het bureau kreeg een formatie mee van 4 fte, waarvan 1 fte voor de concerncontroller en 3 fte voor personen met elk een professionele verankering in het vakgebied auditing (dat werd gaande de rit bij sollicitaties een toetredingsvoorwaarde) en daarnaast specialisatie op verbijzonderde interne controle, kwaliteitsdoorlichting, administratieve organisatie/ informatievoorziening en beleidscontrol (later). De concerncontroller zelf richtte zich sterk op projectcontrol, integriteitsvraagstukken, inrichtingsadviezen, majeure interne knelpunten, samenwerking in ketens en toezicht op verbonden partijen, en niet in de laatste plaats op het adviseren over voorgenomen besluitvorming en interne kaderstelling in ruime zin. In het begin was er grote twijfel of zo’n klein bureau wel goed kon gedijen. In de praktijk bleek de geringe omvang in fte een voordeel: er waren geen afstemmingsproblemen door de korte lijnen, geen formatiebelangen, waardoor er frank en vrij kon worden geadviseerd, gesignaleerd en vooral ook verbonden (het bureau als smeermiddel in een complexe organisatie met tal van afstemmingsperikelen). Daarnaast stond het bureau niet alleen: er was een behoorlijk budget voor inhuur van externe expertise en er werd functioneel gestuurd op de decentraal belegde verbijzonderde interne controle. Door deze randvoorwaarden en door de juiste spelers er op het juiste moment bij te betrekken bleek het toch goed mogelijk als kleine staf gezag op te bouwen en relevante bevindingen te presenteren. Ook het buiten de planning & controlcyclus staan bleek uiteindelijk een groot voordeel, omdat alleen op die wijze aandacht voor knelpunten kan ontstaan (die nu juist niet in de cyclus worden meegerapporteerd) en niet meegegaan wordt in de cyclusdruk (de ‘waan van de dag’), wat gelegenheid biedt zaken thematisch aan te vliegen en de organisatie in een leerstand te krijgen. Het hielp ook het automatisme waar de organisatie als geheel control en audit afficheert met ‘die van Financiën’ te doorbreken.

Natuurlijk moest het bureau ook voortdurend aan zijn imago en netwerk bouwen om op de kaart te blijven. Relevant is te vermelden dat dit gebeurde door consequent in alle gesprekken, uitingen en wat dies meer zij, de organisatiedoelen voorop te stellen, een goed evenwicht te houden tussen bestuurlijke aansturing (dicht tegen college aan) en ondersteuning van het management in zijn diverse lagen, hoog in te zetten op kernwaarden als neutraliteit en objectiviteit (ook ten aanzien van de middelenfuncties en financiën) en door zorg te dragen voor juiste verbinden met sleutelorganen en -figuren, waarin een auditcommissie als afstemmingsorgaan een belangrijke is geweest. Ook werd stevig ingezet op externe contacten door onder meer kennisdeling in de kenniskringen voor public auditing en risicomanagement.

Relevantie
Het team zette zich stevig op de kaart door sterk te focussen op projectaudits en het monitoren van grote bestuurlijke prioriteiten zoals de ambities ten aanzien van publieke dienstverlening. Het uitvoeren van een nulmeting risicobewustzijn en risicobeheersing was een andere belangrijke stap. Deze nulmeting leidde tot het opstarten van een groot implementatietraject voor risicomanagement. Ook het onderzoeksprogramma 213 GW, waarvoor in de tussentijd ook een onderzoeksprotocol was ontwikkeld, leverde interessante thematiek op. De onderwerpkeuze werd beter onderbouwd, maar daarbij werd ook steeds ruimte gereserveerd voor invliegers. Van belang was ook dat uit het college onderzoeksvragen kwamen die leidden tot separate onderzoekstrajecten. Uiteraard werd de relevantie verder versterkt door de komst van de kredietcrisis in het najaar 2008; een onderzoek naar het beheer van planbegrotingen door de grondbedrijffunctie liep toen echter al en heeft geleid tot aanzienlijke verbeteringen in het instrumentarium.

Bereikte resultaten
Het beoordelen van de toegevoegde waarde van audit en concerncontrol is moeilijk, maar kan niet worden ontweken. Een resultaat in de vorm van een rapport of een signalering is meetbaar, maar uiteindelijk wil men de effecten van het beschikken over die functies op tafel hebben. Dat is lastig want als de functies hun werk goed doen zijn er minder slecht onderbouwde besluiten, minder faalprojecten en minder verschillen tussen plan en realisatie, en minder kredietoverschrijdingen. De functies ontlenen hun effectiviteit dus aan ontsporingen die zijn voorkomen door haar aanwezigheid of betere besluiten die zijn genomen. Hier heeft geen onderzoek naar plaatsgevonden. Dat had misschien opheffing van het team als zodanig kunnen voorkomen.

Op bepaalde deelgebieden zijn goede resultaten bereikt, maar op andere helemaal geen voortgang. Het meer vanuit effecten en prestaties inzetten van instrumenten en rapportages in de planning & controlcyclus kwam tot stilstand door dominantie op het financiële domein en daarmee op inputsturing en financiële rechtmatigheid. Risicomanagement bleef ook teveel in de financiële hoek hangen, omdat er competentiestrijd over het eigenaarschap ontstond. Beleidscontrol kwam afgezien van het op afroep en soms in een thematisch onderzoek beoordelen van consistentie en passendheid van kaders niet systematisch van de grond, omdat er nog geen behoefte bleek beleidsprocessen strakker in te bedden. De organisatie staat nogal eens, al dan niet onder politieke invloed, in een defensieve stand en is dan niet op leren en willen verbeteren gericht. Hier stuitten wij dus op het ontwikkelings- en aspiratieniveau van een organisatie. Er zijn grenzen en soms ervaart men die als men ertegen aanstoot.

Door niemand onweersproken is dat het smaldeel een goede fit wist op te bouwen met beslissers op college- en directieniveau en met de auditcommissie, en in een samenwerkingsmodel met de rekenkamer van de gemeente tot mooie coproducties kwam. Dit zijn blijvende resultaten.

Reflectie en leerpunten voor anderen
Inmiddels blijkt uit een veelheid aan vacatures de figuur van een klein smaldeel concerncontrol/audit bij veel gemeentelijke organisaties aan de orde te zijn. Het smaldeel is een kleine vloot geworden! Er is aan de andere kant ook een pleidooi hoorbaar voor de klassieke centrale afdeling Financiën met het hoofd als concerncontroller.8 De vraag is of dit niet een terugval is naar het bekende, terwijl zoveel inmiddels is verbeterd en opgebouwd. Gemeenten hebben behoorlijke slagen gemaakt de afgelopen 25 jaar. Nu managementcontrol beter uit de verf komt en de transparantie toeneemt en onverminderd druk ervaart uit de samenleving, is er wellicht ook minder behoefte aan aparte controlafdelingen. Daarbij hoort dan juist wel weer de figuur van een kleine auditafdeling die de organisatie beoordeelt en kritisch bijstaat. Zo bezien is de ontwikkeling zodanig dat de eerste lijn sterker uit de verf komt, de tweede lijn wordt beperkt en de derde lijn zich eveneens sterker kan profileren.

Frank Galesloot heeft jarenlang gewerkt als achtereenvolgens hoofd Middelen, bedrijfsvoeringscontroller en momenteel beleidsgerichte concerncontroller en auditor. Hij is naast zijn hoofdfunctie in Deventer actief in een tweetal gemeentelijke rekenkamers.
Het artikel werd op persoonlijke titel geschreven. De auteur dankt de gemeentesecretaris van Deventer voor medewerking aan deze publicatie.

Noten
1 De eerdere artikelen in deze reeks zijn verschenen in TPC(2013)4, blz. 23 e.v. (‘De samenwerking tussen internal auditor en concerncontroller’), TPC(2013)5, blz. 11 e.v. (‘De brede internal auditfunctie’), TPC(2014)1, blz. 10 e.v. (‘Nut en noodzaak van projectauditing bij lagere overheden’) en TPC(2014)3, blz. 34 e.v. (‘Internal audit als deelfunctie van concerncontrol’).
2 Dit zien we terug in veel literatuur. R.N. Anthony zag als geen ander het verschil tussen controlling en auditing. In zijn handboek Management control in nonprofit organizations (New York, 2003) ziet hij de controller vooral als de staffunctionaris die het managementcontrolsysteem ontwerpt en beheert en erop toeziet dat dit systeem de juiste planning-en-controlinformatie oplevert. Hij beschrijft het spectrum van auditing activiteiten uitvoerig, maar waagt zich nog niet aan een bespreking van de positionering van de auditor ten opzichte van de controller. Hij lijkt vooral external auditing te prefereren. De discussie is inmiddels wel op gang gekomen. Men zie bijv. Trends en ontwikkelingen in operational auditing onder redactie van A. Molenkamp (2004). Dit boek wijdt een geheel hoofdstuk aan het spel tussen auditor en controller.
3 Column van Arie Molenkamp over het smaldeel.
4 Dualisering, rekenkamerfunctie, horizontaal toezicht, verbonden partijen, outputsturing en risicomanagement.
5 C.A. van Egten en W. Veldman, De controlfunctie in de publieke en non-profitsector, Den Haag, 2006.
6 De organisatie werkt met de afgeleide variant van het INK-model, te weten het Overheidsontwikkelmodel.
7 Oftewel de organisatorische bundeling van de ondersteunende PIOFACH-functies, de lezers welbekend.
8 Men zie bijvoorbeeld H. Puts, ‘Gemeentecontroller: van macht naar samenwerking’, Controllersmagazine, juni/juli 2009. Hierin wordt als mogelijke toekomst voor de gemeentecontroller de rol gezien van hoofd Financiën en tevens MT-lid, financial controller in plaats van brede controller.