Internal audit als deelfunctie van concerncontrol

In een reeks artikelen over controlling en auditing1 binnen overheidsorganisaties worden de functies van de internal auditor en die van de concerncontroller beschreven. Dit vierde artikel gaat in op het model waarin de internal auditfunctie een deelfunctie is van concerncontrol. Hierbij komen van belang zijnde ontwikkelingen aan bod en geven de auteurs aan welke redenen en succesfactoren er zijn voor een combinatie van concerncontrol en internal auditing.

In het eerste artikel in deze reeks (‘De samenwerking tussen internal auditor en concerncontroller’) staan drie modellen beschreven voor de inrichting van concerncontrol en internal auditing aan de hand van het Three lines of Defense-model.

Figuur. De functies internal audit en concerncontrol binnen het Three lines of Defence-model

In dit artikel beschrijven wij de invulling van het tweede model. Dit betekent dat concerncontrol en internal auditing in een onafhankelijke positie in de derde lijn opereren. Zij verstrekken aanvullende zekerheid aan het bestuur en het lijnmanagement over de effectiviteit van maatregelen voor het benutten van kansen en voor het beheersen van risico’s en doen voorstellen voor verbetering.
Wij gaan eerst in op de ontwikkelingen die van belang zijn voor concerncontrol en internal auditing. Vervolgens geven wij de redenen aan waarom internal auditing als deelfunctie binnen concerncontrol vaak voorkomt. Daarna benoemen wij succesfactoren voor het gezamenlijk functioneren van concerncontrol en internal auditing.

Ontwikkelingen
Hieronder schetsen we een aantal ontwikkelingen die belangrijk zijn voor concerncontrol en internal auditing. Vervolgens geven we kort aan waar dan de kansen liggen in de combinatie van concerncontrol en internal auditing.

Bevorderen van horizontaal toezicht
Als gevolg van de invoering van de Wet revitalisering generiek toezicht wordt het belang van horizontaal toezicht groter. Een goed werkend intern beheerssysteem is een noodzakelijke voorwaarde voor een goed werkend horizontaal toezicht. Bij de inrichting en het doen functioneren van het beheerssysteem is in het bijzonder een rol weggelegd voor concerncontrol, namelijk die van adviseren over dan wel toezien op een verantwoorde opzet, bestaan en werking van dit beheerssysteem.
De combinatie van internal auditing en concerncontrol biedt een kans om de gehele doelstellingsrealisatie, inclusief de systemen van informatiehuishouding en archivering te verbeteren. Hier kan de externe toezichthouder op steunen. Concerncontrol adviseert over en ziet toe op het functioneren van dit beheerssysteem. Bij tekortkomingen of om aanvullende zekerheid te verkrijgen kan internal auditing nader onderzoek doen. Op basis van dit onderzoek worden verbeteringen doorgevoerd.

Sturen op output
Sturen op output is steeds belangrijker geworden. Daarmee zien we dat het sturen op resultaten bovenaan op de agenda van de manager staat. Voor het management is het vooral een uitdaging om de organisatie daarbij in control te houden. Door onder andere digitalisering, automatisering en Het Nieuwe Werken kan het management steeds minder op input sturen.
Voor internal auditing en concerncontrol is dit een uitgelezen kans om de toegevoegde waarde die zij kunnen leveren met betrekking tot organisatieontwikkeling en om het meten van resultaten te effectueren. Door hun expertise kunnen ze de adviserende en toetsende rol vervullen in een fase van de organisatie waar continuïteitsverstoringen zich voordoen.

Borgen van goed openbaar bestuur
In de Nederlandse code voor goed openbaar bestuur2 staan de uitgangspunten voor het professioneel functioneren van de besturen van gemeenten, waterschappen, provincies en het rijk. Het is een informeel instrument dat een beroep doet op de eigen verantwoordelijkheid van besturen om een gewetensvolle invulling te geven aan hun taken en verantwoordelijkheden in het openbaar bestuur. Speciale aandacht is er voor integriteit.

Concerncontrol en internal auditing kunnen als onafhankelijke eenheid hierin een belangrijk rol spelen, als onderzoeker, adviseur of coach. Bij bijvoorbeeld integriteit kan dat door dit onderwerp op de agenda te zetten en bespreekbaar te maken. Het kan ook opgenomen worden als onderdeel in het risicomanagement. Het lerend en zelfreinigend vermogen wordt geëvalueerd, zodat de organisatie alerter is op de principes van goed openbaar bestuur.

Bijdrage van internal auditing aan risicomanagement
Concerncontrol kan een belangrijke onafhankelijke rol spelen bij risicomanagement vanuit haar streven naar een goede beheersing en sturing van de organisatie. Internal auditing onderzoekt of dat in de praktijk wel of niet werkt en doet voorstellen ter verbetering. Zij kunnen hierin samen optrekken en elkaar versterken. Risicomanagement gaat niet alleen over financiële risico’s, maar ook over bijvoorbeeld personele, juridische, communicatieve, organisatorische en imagorisico’s. Internal auditing3 kan op verschillende manieren bijdragen aan de kwaliteit van het risicomanagementsysteem, afhankelijk van de fase waarin de organisatie zich bevindt:

• in de ontwerpfase van het risicomanagementsysteem door te adviseren en/of te faciliteren;
• in de transitiefase naar het nieuwe risicomanagementsysteem door het geven van een second opinion;
• in de consolidatiefase bij de lerende organisatie door het uitvoeren van een audit naar het geïmplementeerde risicomanagementsysteem.

Digitale dienstverlening
In het huidige regeerakkoord4 is de doelstelling opgenomen dat de dienstverlening door de overheid beter moet. Dat betekent een forse ambitie voor de overheden, maar ook een kans om met een gezamenlijke en effectieve aanpak te komen voor een duidelijke verbetering van digitale overheidsinformatie, minder administratieve lasten voor burgers en efficiencywinst.

Hierin kan de combinatie van concerncontrol, internal auditing en ICT een belangrijke bijdrage leveren door de opzet, bestaan en werking van ICT-beheersmaatregelen te toetsen en voorstellen te doen ter verbetering van de monitoring, welke door het lijnmanagement wordt uitgevoerd.

Redenen om de functies te combineren
Bij een rondvraag onder deelnemers aan de Kenniskring Auditing Decentrale Overheden (KADO) is bij tien van de vijftien organisaties model 2 het meest van toepassing. Hiervoor is een aantal redenen aan te geven.

De gezamenlijke kritieke massa
Ten eerste constateren we dat de grootte van de ambtelijke organisaties van de meeste provincies en gemeenten minder dan 1.000 fte is. Het aantal medewerkers dat werkzaam is bij concerncontrol of internal auditing, is afhankelijk van het takenpakket doorgaans hooguit één procent hiervan. De omvang is dus beperkt. Dus puur getalsmatig is een bundeling van concerncontrol en internal auditing logisch.
We willen benadrukken dat de huidige bezuinigingen de slagkracht van concerncontrol en internal auditing al op veel plaatsen beperkt hebben. Dat is nadelig voor internal auditing, omdat deze dan mogelijk wordt versmald tot een toetsinstrument van controlsystemen.
Dit is volgens ons een onwenselijke ontwikkeling en in strijd met de code of good governance, gezien de maatschappelijke belangen die een overheid nastreeft waarbij zij de morele plicht heeft dat zo integer mogelijk te doen.

Indien concerncontrol en internal auditing in één organisatorische eenheid werken is het voordeel dat er meer kritieke massa is om bepaalde zaken onder de aandacht te brengen. Door de bedrijfsmatige invalshoek die beide doorgaans kiezen, is de kans op een overeenkomstige boodschap redelijk groot.
Nadeel van een kleine controlfunctie – en daarmee een kleine auditfunctie – is dat het op peil houden van vakkennis, delen van ervaringen en elkaar reviewen niet vanzelf binnen de afdeling zelf plaats kan vinden. Dit zal buiten de eigen organisatie moeten worden gezocht, omdat in een aantal gevallen de internal auditfunctie slechts uit één persoon bestaat.
Verder maakt het bereiken van een kritieke massa beide functies minder kwetsbaar voor uitval en/of ziekte.

Verwevenheid vakgebieden
De vakgebieden van concerncontrol en internal auditing zijn verweven met elkaar. Beiden houden zich bijvoorbeeld bezig met risicomanagement, weliswaar vanuit hun eigen invalshoek. Concerncontrol heeft bijvoorbeeld een kaderstellende rol met betrekking tot risicomanagement. Internal auditing gebruikt deze kaderstelling of goede praktijkvoorbeelden van risicomanagement als referentie bij het uitvoeren van onderzoeken. Over administratieve organisatie of bestuurlijke informatieverzorging kan op hoofdlijnen hetzelfde worden gesteld. De concerncontroller is verantwoordelijk voor het systeem van checks and balances. Voor internal auditing is dit systeem object van onderzoek. Door de verwevenheid van vakgebieden is er ook verwevenheid van expertise.
Er zit ook overlap in de competenties. Van zowel de concerncontroller als de auditor wordt verwacht dat zij onafhankelijk zijn, toetsende vaardigheden bezitten, een sterk analytisch vermogen hebben en effectief kunnen communiceren. Om kennis en ervaring gemakkelijk met elkaar te kunnen delen ligt het voor de hand om deze functies in één organisatorische eenheid onder te brengen. Verder kunnen ze elkaar dan gemakkelijker scherp houden.
Voor de organisatie is de functiescheiding tussen concerncontrol en internal auditing minder relevant. Concerncontrol en internal auditing hebben namelijk een vergelijkbare functie. Deze wordt wel aangeduid als het geweten van een organisatie en bieden reflectie op de organisatie.

Concerncontrol en internal auditing helpen beiden om de Deming-cirkel sluitend te maken: plan-do-check-act. Hun rol speelt zich vooral af bij de check en het doorzetten hiervan naar act. Daarmee vormen zij een katalysator voor de lerende organisatie. Verder zien wij de beweging bij concerncontrol en internal auditing om een grotere rol bij ‘plan’ te krijgen. Door hen vooraf te betrekken kunnen problemen voorkomen worden. Het is geen vanzelfsprekendheid dat managers behoefte hebben aan een kritische meedenker vooraf, waarbij het gevoel kan ontstaan dat deze het proces alleen maar ophoudt en onzekerheid toevoegt. Toch zouden veel projecten gebaat zijn bij een wat meer kritische houding en bredere blik vooraf, omdat projecten te optimistisch kunnen worden ingeschat en er tunnelvisie kan ontstaan.
Om praktische redenen zal de algemeen directeur de span of control willen beperken en niet de auditoren rechtstreeks willen aansturen. Het onderbrengen van internal auditing bij concerncontrol is dan een voor de hand liggende samenvoeging.

Succesfactoren
Hieronder benoemen we factoren die bijdragen aan het succesvol functioneren van de combinatie concerncontrol en internal auditing.

Taakverdeling
Het is van belang een goede taakverdeling af te spreken. Het gaat hierbij om afspraken welke taken concerncontrol kan uitvoeren en welke taken internal auditing kan uitvoeren. Enerzijds zullen er taken zijn die door zowel concerncontrol als internal auditing gedaan kunnen worden. Hiermee wordt bewerkstelligd dat er flexibiliteit is in de uitvoering van werkzaamheden. Anderzijds wordt ook duidelijkheid gegeven over de taken die concerncontrol of internal auditing niet uitvoeren dan wel onder bepaalde voorwaarden. Voor internal auditing kan hiertoe worden verwezen naar een diagram van het IIA Verenigd Koninkrijk en Ierland.5 Het implementeren van beheersmaatregelen is bijvoorbeeld een taak die internal auditing niet behoort uit te voeren, terwijl concerncontrol wel bepaalde beheersmaatregelen kan implementeren, zoals autorisaties in een financieel systeem.

Verordening
Een belangrijke wettelijke bepaling is de verplichting tot het uitvoeren van onderzoeken op grond van artikel 213a en 217a van respectievelijk de Gemeentewet en de Provinciewet.
Dit artikel bepaalt dat GS of B&W onderzoeken uitvoeren naar doelmatigheid en doeltreffendheid van het gevoerde bestuur. Bovendien zijn hiervoor nadere regels vastgesteld in een bijbehorende verordening. Met deze wettelijke bepaling en bijbehorende verordening is de positie van internal auditing verankerd.
Een andere succesfactor is het bekrachtigen van de onafhankelijke rol van concerncontrol in een verordening. Daar is aangegeven wat de taken, verantwoordelijkheden en bevoegdheden zijn, zoals de mogelijkheid om te escaleren naar het bestuur en het recht op informatie. Hierbij geldt de kanttekening dat een beroep doen op de verordening om te escaleren een laatste redmiddel is voor concerncontrol dan wel internal auditing.
Het is goed om de onafhankelijkheid van zowel de rol van concerncontrol als de rol internal auditing vast te leggen. Dit kan betekenen dat ieder zijn eigen mening geeft en dat deze van elkaar kunnen verschillen. Dit kan een spanningsveld opleveren tussen onafhankelijkheid en effectiviteit in de zin van het versterken van elkaars boodschap.

Een ander aspect is dat het werk van concerncontrol object van onderzoek is voor internal auditing. Internal auditing dient daarom onafhankelijk van concerncontrol te kunnen werken. Om de afhankelijkheid te verminderen, is het wenselijk dat er nadere bepalingen bij verordening worden vastgelegd. Een voorbeeld hiervan is onderzoek doen van internal auditing naar de implementatie van het risicomanagementsysteem. Indien internal auditing concerncontrol ondersteunt door middel van onderzoeken naar het risicomanagementsysteem en de concerncontroller ook de leidinggevende is van internal auditing dan is dat naar onze mening uitgesloten.

Controlstatuut en auditstatuut
Het college stelt idealiter een controlstatuut en een auditstatuut vast om nadere invulling te geven aan de kaders uit de verordening in de relatie tussen het college, de ambtelijke organisatie en daarbinnen concerncontrol en internal auditing. In het controlstatuut en auditstatuut wordt onder andere vastgelegd wat de doelstellingen zijn van concerncontrol en internal auditing, hoe deze zijn gepositioneerd in de organisatie en wat hun belangrijkste producten zijn.
Bij het uitvoeren van audits hoort een bepaalde manier van werken om vertrouwelijkheid te garanderen, feiten te toetsen, te zorgen voor goede dossiervorming en dergelijke. Dit is bij internal auditing vaak verankerd in een auditstatuut. Hier staan ook aspecten in over houding en gedrag. Indien internal auditing binnen concerncontrol is ondergebracht, is dit minder vanzelfsprekend. Toch blijft het belangrijk dat ook vanuit control afspraken gemaakt worden over de do’s en don’ts bij de uitvoering van een audit.

Positionering
Bij een kleine afdeling concerncontrol en internal auditing is een scherpe prioritering van bijvoorbeeld onderzoeken nodig, omdat vanwege de beperkte capaciteit niet alles opgepakt kan worden. De concerncontroller kan ervoor kiezen meer in te zetten op advisering, bijvoorbeeld omdat audits door hun feitenonderzoek gemiddeld meer tijd kosten. Hierdoor kan internal auditing uitgehold raken.
Om capaciteit voor audting niet te laten weglekken naar andere taken, is het verstandig internal auditing als zelfstandige afdeling te plaatsen. Een andere succesfactor is dat de concerncontroller hoog in de organisatie is gepositioneerd. Een concerncontroller fungerend onder bijvoorbeeld een manager bedrijfsvoering gaat wringen, omdat hier verschillende belangen kunnen spelen. Om de onafhankelijkheid te borgen geldt ook voor internal auditing dat deze functie zo hoog mogelijk is gepositioneerd in de hiërarchie. Achtergrond hiervan is dat internal auditing bij verschil van mening met de lijn zo min mogelijk managers hoeft te passeren om zijn boodschap over het voetlicht te kunnen brengen bij het bestuur of de directie.
Een aanstelling van de concerncontroller door het bestuur heeft als voordeel dat indien de concerncontroller verschil van inzicht met de directie heeft, deze zijn eigen standpunt kan behouden en als laatste redmiddel zich tot het bestuur kan wenden. De praktijk heeft immers laten zien dat het van belang is dat een concerncontroller de ruimte krijgt om zijn plicht te vervullen zoals het aankaarten van misstanden. Uiteindelijk is de organisatie en de politiek gebaat bij deze signalerende functie.
Vanuit de code of good governance is het eveneens van belang de concerncontroller de ruimte te geven kritisch naar de eigen organisatie te kijken en te signaleren als deze vanuit zijn professie denkt dat zaken niet goed gaan.

Voor zowel concerncontrol als internal auditing is het van belang betrokken te zijn bij het college van Burgemeester en Wethouders dan wel Gedeputeerde Staten. Concerncontrol kan het college gevraagd en ongevraagd adviseren en de juiste en volledige informatie verstrekken die nodig is voor besluitvorming. Internal auditing geeft hier uitvoering aan door het onderzoeksprogramma te laten vaststellen en de resultaten van de onderzoeken te rapporteren aan het college conform artikel 213a Gemeentewet en 217a Provinciewet.
Daarnaast is het aan te bevelen een auditstuurgroep of Audit Committee6 in te stellen die tot taak heeft het adviseren van het management op ten minste de volgende drie terreinen:

• het borgen van de kwaliteit van de bedrijfsvoering, inclusief de financiële verslaggeving;
• de regie op het auditbeleid;
• het risicomanagementbeleid en de uitkomsten daarvan.

Ten slotte is een succesfactor dat concerncontroller en auditor elkaar goed kunnen verstaan. Uiteindelijk blijft het mensenwerk. Alleen met respect voor elkaars rollen, kunnen deze rollen worden versterkt.

Conclusie
Idealiter is internal auditing de third line of defense. Door de geringe schaalgrootte bij de meeste decentrale overheden is het ’t meest effectief om concerncontrol en internal audit te combineren. De combinatie concerncontrol en internal auditing kunnen door meer samen te werken elkaars positie versterken. Om dit voordeel te kunnen benutten is het aan te bevelen nadrukkelijk invulling te geven aan de succesfactoren. Om de meerwaarde van deze functies nog verder te vergroten is het tevens aan te bevelen in te spelen op de hiervoor genoemde ontwikkelingen die op decentrale overheden afkomen.

De auteurs zijn bestuursleden van de stichting Kenniskring Auditing Decentrale Overheden (KADO). Roelant Nieboer is tevens audit programmamanager bij de provincie Noord-Holland, Marga Schrauwen is adviseur control en coördinator auditing bij de provincie Gelderland en Sandra Gerssen is concernauditor bij de gemeente Apeldoorn. Zij schreven dit artikel op persoonlijke titel.

Noten
1 De eerdere artikelen in deze reeks zijn verschenen in TPC(2013)4, blz. 23 e.v. (‘De samenwerking tussen internal auditor en concerncontroller’), TPC(2013)5, blz. 11 e.v. (‘De brede internal auditfunctie’) en TPC(2014)1, blz. 10 e.v. (‘Nut en noodzaak van projectauditing bij lagere overheden’).
2 Bron: Nederlandse Code voor goed openbaar bestuur, uitgave van ministerie van BZK ( juni 2009).
3 Bron: Geïntegreerd Risicomanagement. De bijdrage van de auditor, Frits Schellekens (Kluwer, 2002).
4 Bron: Visiebrief digitale overheid 2017 (23 mei 2013).
5 Bron: Position Statement: The Role of Internal Audit in Enterprise wide Risk Management, Institute of Internal Auditors – UK and Ireland, 2004.
6 Bron: IBO Regeldruk en Controletoren, aanbeveling versterken rol Auditcommittee Rijk; Regeling Audit Comittees 2012.