Het speelveld van de gemeentelijke internal auditor

In de eerdere artikelen van deze reeks over controlling en auditing binnen decentrale overheden wordt vooral beschreven wat de taak en toegevoegde waarde van de auditfunctie is en hoe deze kan worden ingebed in de gemeentelijke organisatiestructuur. In dit artikel gaan de auteurs onder meer in op de noodzaak dat niet de auditor, maar het management zelf de selectie van de auditonderwerpen voor haar rekening neemt.

Inleiding
Met de invoering van het dualisme stond de wetgever voor ogen om het functioneren van het lokale bestuur meer inzichtelijk te maken en op een hoger plan te brengen. Door de herschikking van verantwoordelijkheden tussen raad en college diende de lokale democratie aan vitaliteit, herkenbaarheid en vertrouwen te winnen. Om het college te bewegen tot meer transparantie en tot het afleggen van verantwoording werd in 2003 artikel 213a aan de Gemeentewet toegevoegd. Dit wetsartikel verplicht het college om onderzoek te doen naar de doelmatigheid en doeltreffendheid van het gevoerde bestuur.

Het doorvoeren van deze verplichting leidde van meet af aan tot een verscheidenheid aan oplossingen. Een qua interne beheersing vooruitstrevende gemeente koos voor het in beeld brengen van alle lopende onderzoeken. Uit die inventarisatie bleek dat sommige toetsende onderzoeken het predikaat ‘collegeonderzoek’, conform de nieuwe wet, reeds verdienden. Gemeenten die beschikten over een interne accountantsdienst voldeden naar eigen bevinden al aan de verplichting tot kritische reflectie, omdat men naast de onderzoeken in het kader van de jaarrekeningcontrole, in beginsel gericht op getrouwheid en rechtmatigheid, ook al zogenaamde operational audits gericht op doelmatigheid en doeltreffendheid, uitvoerde. Veel, vooral kleinere, gemeenten stelden wel de noodzakelijke verordening op, doch namen vervolgens een zekere afwachtende houding aan. In de jaren die volgden werden bij gemeenten schoorvoetend internal auditors aangesteld dan wel de concerncontroller beijverde zich om het fenomeen collegeonderzoek inhoud te geven.

In de voorgaande artikelen van deze reeks wordt vooral beschreven wat de taak en toegevoegde waarde van de auditfunctie is en hoe deze kan worden ingebed in de gemeentelijke organisatiestructuur. Deze structuurvarianten kunnen als best practices worden beschouwd. In dit artikel gaan we in op het object van onderzoek van de 213a-audits en dan met name op de wijze waarop de keuze van de onderzoeksonderwerpen tot stand dient te komen. We beginnen daarbij met een analyse van de modelverordening voor artikel 213a, die in 2003 door de Vereniging Nederlandse Gemeenten (VNG) werd uitgebracht. In die verordening wordt uitgegaan van een cyclische benadering, waarbij periodiek alle processen, programma’s en organisatie-eenheden aan een audit moeten worden onderworpen. Er wordt geen aandacht besteed aan het verschijnsel risico’s en aan het uitgangspunt dat risicoanalyses aan de basis dienen te staan van de selectie van auditonderwerpen. Het uitgangspunt dat de organisatie haar risico’s in beeld zou moeten hebben om de schaarse auditcapaciteit zodanig aan te wenden dat het management aanvullende zekerheid zou kunnen verkrijgen ten aanzien van haar meest kritische punten van zorg, deed in het begin van deze eeuw meer en meer opgeld (Schellekens, 2002).

We beginnen dit artikel met de rol van de auditor bij de keuze van auditobjecten; in de praktijk blijkt hierover veel onduidelijkheid te bestaan.

De rol van de auditor
In tegenstelling tot wat bij private organisaties gebruikelijk is, stelt de gemeentelijke internal auditor veelal zelf het auditplan op. Het conceptplan komt meestal tot stand na een inventarisatieronde langs de (decentrale) managers. Vervolgens vindt afstemming met de concerncontroller plaats en wordt het plan, al dan niet via de directie, aangeboden aan het college; een afschrift daarvan gaat naar de raad. Deze aanpak vraagt van de auditor diepgaande kennis van de organisatie; nodig om keuzen te kunnen maken uit de veelheid en complexiteit van diensten, processen, projecten en beleidsprogramma’s.

Het Instituut van Internal Auditors (IIA) stelt zich op het standpunt dat de internal auditfunctie geen werkzaamheden dient te verrichten die van inrichtende, uitvoerende of ondersteunende aard zijn; het toetsen van en oordelen over de kwaliteit van sturing en beheersing van de organisatie vraag om een strikt onafhankelijke positie. Daarmee wordt voorkomen dat ‘de slager het eigen vlees keurt’. Om desondanks tegemoet te komen aan veel praktijksituaties waarin van de auditor toch wordt gevraagd een bijdrage te leveren die als inrichtend of primair controlerend kan worden geclassificeerd, heeft het IIA een tweetal handreikingen gedaan. IIA Nederland stelt dat bij een onvolkomen inrichting van een organisatie internal audit er goed aan doet om onderzoek uit te voeren naar de inrichting van risicomanagement en de interne controlefunctie (IIA Nederland, 2008).

Een andere handreiking komt van de internationale IIA-organisatie (IIA Inc., 2004). Die stelt dat de auditor, onder bepaalde voorwaarden, kan helpen bij het ontwikkelen van interne beheersingsmaatregelen.
Het gaat hierbij om tijdelijke maatregelen. De internal auditor dient zich vanuit zijn complementaire rol verre te houden van het selecteren van auditonderwerpen, beschrijven van procedures en inrichten van risicomanagement; daarmee wordt de eigenlijke functie van de auditor ondermijnd. Het is aan de internal auditor om te bevorderen dat het management, daarin ondersteund door de concerncontroller, zelf de verantwoordelijkheid neemt voor de totstandkoming van het auditplan.

Modelverordening voor artikel 213a
De VNG heeft in 2003 een modelverordening opgesteld voor de uitwerking van artikel 213a. Deze verordening geeft aanwijzingen voor de te onderzoeken objecten, te hanteren frequentie en te beschouwen aspecten. Artikel 2 van de verordening luidt:

1. Het college onderzoekt jaarlijks de doelmatigheid van (onderdelen van) organisatie-eenheden van de gemeente en de uitvoering van taken door de gemeente. Iedere gemeentelijke organisatie-eenheid en gemeentelijke taak wordt minimaal eens in de pm jaar in zijn geheel aan een dergelijke toets onderworpen.
2. Het college toetst jaarlijks de doeltreffendheid van minimaal pm delen van programma’s en paragrafen.
   
   

De modelverordening gaat uit van een cyclische benadering. In een nader te bepalen periode van een aantal jaren dienen alle organisatieeenheden, de bestaande processen en de begrotingsprogramma’s te worden onderzocht op de aspecten doelmatigheid en doeltreffendheid.

In figuur 1 hebben wij de drie invalshoeken van de modelverordening weergegeven. Een programma is in de regel toegewezen aan één directeur en daarmee ook aan één organisatie-eenheid (één domein). Binnen één organisatie-eenheid vallen doorgaans meerdere programma’s. Dwars op de functioneel ingestoken programma’s staan de processen die de uitvoering van de bedrijfsvoeringactiviteiten verzorgen. De volgende drie typen processen worden onderscheiden:

• sturende processen: dit zijn processen die zorgen voor het vormen van de strategie en het programmeren en evalueren daarvan; door het voortbrengen van kaders en doelen zijn deze vooral gericht op het aansturen van de primaire processen;
• primaire processen, gericht op het aan de omgeving leveren van die toegevoegde waarde waartoe de organisatie is ingesteld;
• ondersteunende processen die essentiële ondersteuning leveren aan het effectief kunnen uitvoeren van de primaire processen en andere ondersteunende processen.
  
  

Figuur 1. De drie typen onderzoeksobjecten volgens de modelverordening van de VNG

Hoewel in de modelverordening geen verklaring voor een cyclische benadering is te vinden wordt wel geïmpliceerd dat het college alle organisatieonderdelen, processen en programma’s aan een onderzoek moet onderwerpen. Gezien de beperkte auditcapaciteit is het natuurlijk niet mogelijk om de organisatie periodiek integraal door te lichten. De vraag die wel moet worden beantwoord is welke onderwerpen, gezien de daarmee samenhangende risico’s, in enig jaar dienen te worden onderzocht. Een inventarisatie van alle mogelijke auditobjecten vormt het aangrijpingspunt voor deze integrale risicoanalyse; nodig voor het kunnen rangschikken van die thema’s en processen, die cruciaal zijn voor het functioneren van de organisatie. Een methode die goed toepasbaar is en in de praktijk ook wordt gehanteerd, is dat eerst de (strategische) risico’s in kaart worden gebracht, bijvoorbeeld in zogenaamde Control Self Assessment (CSA-)sessies, en dat vervolgens de processen, projecten of thema’s die verband houden met deze risico’s als object van onderzoek worden genomen.

Inventarisatie potentiële auditobjecten
Zoals gezegd onderscheidt de modelverordening van de VNG drie invalshoeken voor de 213a-audits. Wij volgen deze opsomming en gaan nader in op de door de VNG gehanteerde driedeling:

• de organisatie-eenheden
• de begrotingsprogramma’s
• de processen

Organisatie-eenheden
Met de invoering van artikel 213a startte een aantal gemeenten met het uitvoeren van organisatiegerichte onderzoeken op basis van het zogenaamde Kwaliteitsmodel voor Overheidsorganisaties, een op de overheid toegesneden variant van het INK-model.
Na een eerste cyclus van organisatiegericht onderzoek werd in de praktijk veelal afgezien van een tweede ronde; die zou te weinig toegevoegde waarde opleveren. Wel brak bij gemeenten de wens door om meer te focussen op maatschappelijk relevante onderwerpen en problemen in de bedrijfsvoering (M. van den Heuvel en E. Wolters, 2009).

Begrotingsprogramma’s
De modelverordening geeft aan dat bij onderzoek naar de beheersing van de begrotingsprogramma’s kan worden gedacht aan het meten van effecten aan de hand van indicatoren en aan de toepassing van meningspeilingen en benchmarking. Onderzoekers komen in de praktijk meestal tot de (frustrerende) conclusie dat de doeltreffendheid van de programma’s niet is vast te stellen; doelen zijn niet meetbaar geformuleerd, nulmetingen ontbreken en prestatieindicatoren zijn niet valide of ontbreken.
Daarbij komt dat het evalueren van doelmatigheid en doeltreffendheid van beleid geen taak van de auditor. Het is een primair proces, dat deel uitmaakt van de beleidscyclus en door de beleidsmedewerker dient te worden uitgevoerd. Uit een oogpunt van aanvullende zekerheid kan de internal auditor wel onderzoek doen naar de wijze waarop de generieke processen van ontwikkelen, uitvoeren en evalueren van beleid zijn ingericht. Daaruit kan voortvloeien dat de auditor een advies uitbrengt op het gebied van kaderstellingen en meetcriteria.

Processen
Een gemeente kent vele producten en diensten; en dientengevolge een groot aantal processen zoals: het ontwikkelen van beleid op velerlei terrein, het beheer van de openbare ruimte, het verstrekken van reisdocumenten en rijbewijzen, het zorgen voor veiligheid en handhaving, het verstrekken van vergunningen, het verlenen van subsidies, het opleggen en innen van belastingen en het organiseren van verkiezingen.
Door het creëren van overzicht ontstaat er inzicht in de totale omvang van en samenhang tussen de processen van de gemeente. Inventarisatie en identificatie zijn een eerste stap in de ordening en analyse van de processen.

Een eerste globale ordening van de gemeentelijke processen is opgesteld door Hiemstra (2003). Hij onderscheidt zes hoofdprocessen; naast ‘Besturen’ en ‘Ondersteunen’ benoemt hij de volgende vier primaire processen.

• Verlenen van diensten – Dit hoofdproces heeft betrekking op individuele contacten tussen de gemeente en haar burgers. De burger is ‘klant’ van de gemeente. De overheid is dienstverlener en dient haar diensten doelmatig maar ook zorgvuldig (tijdig, fatsoenlijk, betrouwbaar) te verrichten.
• Regelgeven en handhaven – Bij dit proces maakt de gemeente gebruik van haar verticale bevoegdheden. De burger heeft de rol van ‘onderdaan’. De prestaties van gemeenten dienen voorspelbaar en consequent te zijn. Naast doelmatigheid domineert het streven naar rechtmatigheid (legaliteit, integriteit).
• Beheren en onderhouden van de openbare ruimte – De burger is in dit proces ‘gebruiker’ van de openbare ruimte. De gemeente dient als ‘beheerder’ op een doelmatige wijze de openbare ruimte schoon, heel en veilig te houden.
• Ontwikkelen en ordenen – In dit proces probeert de gemeente maatschappelijke ontwikkelingen te beïnvloeden door beleid te ontwikkelen en uit te voeren. De gemeente kan hierbij zelf initiatief nemen, maar is afhankelijk van de medewerking en initiatieven van burgers, bedrijven en maatschappelijke organisaties, die de rol van ‘partner’ hebben. De gemeente dient op samenwerking te zijn gericht en over eigenschappen als innovatiekracht, ondernemingszin, flexibiliteit en lerend vermogen te beschikken.
  
  

Tabel 1. Burgerrollen en de hoofdprocessen van de gemeente
Bron: Hiemstra (2003)

Het procesmodel van Hiemstra kan in het (risico) analyseproces worden gebruikt door vanuit de hoofdprocessen de verschillende prestaties van de gemeente vast te stellen en vervolgens de eisen en (inherente) risico’s die aan deze prestaties zijn verbonden te benoemen. De gemeente Amsterdam bijvoorbeeld heeft het model van Hiemstra als uitgangspunt genomen bij een diepgravend onderzoek naar de vraag waarom gemeenten onvoldoende presteren (Gerritsen & De Lange, 2007).

Een verder uitgewerkte gemeentelijke ‘procesplaat’ is opgesteld door het Kwaliteitsinstituut Nederlandse Gemeenten (KING). Daarin worden zo’n dertig bedrijfsprocessen, geordend naar clusters, onderscheiden. De gemeente Zaanstad heeft deze procesplaat aangevuld door per bedrijfsproces de gerelateerde producten en subprocessen aan te geven.

In de onderstaande tabel is het onderdeel sturende processen weergegeven.

Tabel 2. De gemeentelijke procesplaat, onderdeelsturende processen
Bron: KING (2011)

KING is bij het opstellen van het procesoverzicht uitgegaan van generieke processen; dat willen zeggen van processen die afdeling- en sectoronafhankelijk zijn. Een voorbeeld daarvan is het subsidieproces. Met het generieke proces kan iedere denkbare door de gemeente te verlenen subsidie worden aangevraagd en verleend. Audits kunnen nu juist op dat generieke niveau plaatsvinden.

Het gemeentelijke proceslandschap zoals dat tot dusver is uitgewerkt door KING kent een aantal beperkingen:

• Het overzicht geeft nog onvoldoende inzicht in de procesketens binnen de gemeentelijke organisatie. In de praktijk blijken de grootste risico’s en problemen juist te ontstaan op de interfaces tussen processen.
• De verbinding met externe partijen in de vorm van procesketens en netwerken ontbreekt, terwijl een steeds groter deel van de publieke doelen moet worden gerealiseerd door vergaande samenwerking met maatschappelijke partijen.
• Gemeenten zullen zelf de koppeling moeten leggen tussen de te leveren resultaten, zoals geformuleerd in de programma’s van de eigen begroting, en de processen waarmee deze resultaten moeten worden bereikt.
• Daarnaast valt op dat er enorme verschillen bestaan in de omvang en het abstractieniveau van de in de procesplaat opgenomen producten en processen. Zo lijken bijvoorbeeld de producten ‘Aangifte doen van geboorte’ en ‘Jeugdzorg’ nevengeschikt qua omvang en impact. Niets is minder waar: achter het laatste ‘product’ gaat een wereld van interne en externe procesketens en netwerken schuil.

Gemeenten zullen zelf aan de slag moeten gaan om met name de belangrijkste interne en externe procesketens in beeld te brengen, inclusief de inherente risico’s die aan deze ketens zijn verbonden. De controller, die verantwoordelijk is voor de inrichting en werking van het management control systeem, zal hierin een voortrekkersrol moeten vervullen.

Tot slot merken we hier op dat veel beleid wordt uitgevoerd in de vorm van projecten. In een vorig artikel in deze reeks werd reeds gewezen op het feit dat de grootste risico’s voor een gemeente vaak schuilen in de grote (ruimtelijke) projecten. Systematische aandacht van de internal auditor voor grote projecten is daarom van belang.

Conclusie
De schaarste aan auditcapaciteit maakt het noodzakelijk om keuzen te maken. Het is daarbij van belang dat in beginsel die onderzoeken worden uitgevoerd die voor het college een hoog risico vertegenwoordigen. Dat impliceert dat de gemeente dient te beschikken over methoden en kaderstellingen om het management te laten participeren in een proces van inventarisatie, selectie en waardering van processen, projecten en thema’s zodanig, dat de objecten die (hoge) risico’s met zich meebrengen in een auditprogramma kunnen worden opgenomen.
In dit artikel hebben we enkele modellen gepresenteerd die behulpzaam kunnen zijn bij het in kaart brengen en analyseren van de processen van de gemeente en het methodisch toepassen van risicoanalyses. Naar het hierboven genoemde voorbeeld van de gemeente Amsterdam kunnen gemeenten zelf aan de slag met het toepassen van de gepresenteerde modellen.

Veel gemeenten zijn bij de implementatie van artikel 213a uitgegaan van het hanteren van de modelverordening van de VNG. Onze kritiek op dit model is dat de cyclische benadering doet veronderstellen dat het college uiteindelijk alle organisatieonderdelen, processen en programma’s aan een inspectie dient te onderwerpen. Dit in tegenstelling tot het bij internal auditing gehanteerde uitgangspunt dat het college er juist belang bij heeft om de schaarse auditcapaciteit aan te wenden voor onderzoek naar de kwaliteit van inrichting van door de lijn zelf geselecteerde hoog risicovolle beheersingsvraagstukken.

Drs. Harold Harleman RO (h.harleman@zaanstad.nl) is adviseur Risicomanagement & Audit bij de gemeente Zaanstad. Arie Molenkamp (www.publicauditing.nl) is organisatieadviseur, publicist en opleider. De auteurs zijn beide bestuurslid van de Kenniskring Auditing Decentrale Overheden (KADO). Zij schreven dit artikel op persoonlijke titel.

Literatuur

• Bestuursacademie Nederland (2009). Overheidsontwikkelmodel. Inhoud en toepassing van het model. Bestuursacademie Nederland.
• Driessen, A.J.G. & Molenkamp, A. (2012). Internal auditing; een managementkundige benadering. Kluwer, Deventer. ISBN 9 789013 108484.
• Gerritsen & De Lange. (2007). De slimme gemeente. Reed Business.
• Hiemstra, J. (2003). Presterende gemeenten. Hoe gemeenten beter kunnen presteren. Kluwer, Alphen aan den Rijn.
• Heuvel, M. van den en E. Wolters (2009). ‘Bepaal als gemeente je eigen weg met collegeonderzoek’. B&G, januari 2009, pag. 20-22.
• IIA Inc. (2004). Risk management; the role of internal auditing in enterprise-wide risk management. IIA Inc., Florida. Position Paper.
• IIA Nederland (2008). De internal auditor in Nederland. IIA Nederland, Position paper.
• Kwaliteits Instituut Nederlandse Gemeenten. (2011). GEMMA Procesarchitectuur 2.0. KING, Den Haag.
• Schellekens, F. (2000). Geïntegreerd risicomanagement; de bijdrage van de operational auditor. Kluwer, Deventer. ISBN 9 789031 1221998
• Vereniging Nederlandse Gemeenten. (2003). De modelverordening artikel 213a Gemeentewet. VNG, Den Haag.