De minister is verantwoordelijk voor de interne beheersing van zijn ministerie. Wij toetsen de interne beheersing aan de relevante wet- en regelgeving. Daarnaast letten wij specifiek op een aantal belangrijke beheersingsmaatregelen die de minister moet nemen, de zogenaamde ‘key controls’.

Als wij afwijkingen van de wet- en regelgeving constateren, of als een key control ontbreekt, zijn dit tekortkomingen. Die kunnen leiden tot (ernstige) onvolkomenheden. Daarbij is onder andere van belang:

  • Hoe lang deed de tekortkoming zich voor?
  • Hoe hoog was het financiële risico?
  • Hoe ernstig verstoorde de tekortkoming de bedrijfsvoering van het ministerie?

Algemene normen en nadere uitwerking

Interne beheersing omvat het geheel aan maatregelen die ervoor zorgen dat een ministerie de gestelde (strategische) organisatiedoelen haalt. Het ministerie blijft daarbij binnen de gestelde randvoorwaarden zoals kosten, en houdt zich aan gemaakte afspraken en geldende procedures (compliance). De minister moet de interne beheersing gestructureerd hebben ingericht en hier verantwoording over afleggen, zodat het beheer doelmatig, rechtmatig, ordelijk en controleerbaar is.

Key-controls

De kwaliteit van de interne beheersing beoordelen wij aan de hand van de volgende 4 generieke beheersingsmaatregelen (key controls) en de uitwerking daarvan. We toetsen deze maatregelen in samenhang met elkaar.

1. Heldere vaststelling van taken en verantwoordelijkheden

  • De secretaris-generaal is de eindverantwoordelijke voor de kwaliteit van de interne beheersing en is daarover verantwoording verschuldigd aan de minister.
  • De interne beheersing is allereerst een management aangelegenheid. De rijksoverheid hanteert het ‘Three Lines Model’ als raamwerk voor de identificatie en beoordeling van de functies, rollen en verantwoordelijkheden die in een organisatie aanwezig moeten zijn voor de interne beheersing.
  • Daarnaast is voor ieder deel binnen de interne beheersing duidelijk wie waarvoor verantwoordelijk en aanspreekbaar is. Bij de verdeling van de taken en verantwoordelijkheden is zorggedragen voor voldoende functiescheiding en tegenkrachten (countervailing powers). Dit zorgt voor optimale borging van de effectiviteit van de interne beheersing en de betrouwbaarheid van de informatievoorziening daarover.
  • Het functioneren van de interne beheersing en de kwaliteit van de verantwoording over de behaalde (financiële) resultaten (jaarverslag) zijn onderdeel van het toezicht door degenen die zijn belast met governance. Intern is dit bijvoorbeeld het auditcommittee dat de hoogste leiding ondersteunt. Extern zijn dit de Eerste en Tweede Kamer der Staten-Generaal voor de democratische controle op de uitvoering van het beleid en de begrotingen door de ministers.

2. Gestructureerde inrichting interne beheersing

  • De interne beheersing en/of het interne toezicht daarop is risicogeoriënteerd vormgegeven. Het is ook zodanig ingericht dat tijdens het proces of door verbijzonderde interne controle geconstateerde fouten in de werking (van key controls) kunnen worden hersteld. Bovendien is er een systeem van interne monitoring en rapportering. 
  • De ADR geeft zekerheid over de betrouwbaarheid van de informatie over de bedrijfsvoering (zijlichtfunctie).  

3. Sturing op evaluatie en verbetering van interne beheersing

  • Evaluatie van de interne beheersing in algemene zin, de interne beheersing van het financieel en materieelbeheer, en de interne beheersing van de jaarverslaggeving staan minstens 1 keer per jaar op de agenda van het audit committee.
  • In het audit committee wordt de follow-up van de bevindingen van de ADR en van de Algemene Rekenkamer besproken.
  • Van de ADR wordt verlangd dat deze in ieder geval ook expliciet rapporteert over de kwaliteit van de interne beheersing.

4. Transparant verantwoorden over de interne beheersing

De minister moet zich verantwoorden over de mate waarin sprake is van een beheerste bedrijfsvoering, bij voorkeur in de vorm van een expliciet geformuleerd in-control statement. In de huidige praktijk is dat nog niet het geval, maar geschiedt dit in de vorm van een bedrijfsvoeringsparagraaf in het jaarverslag die het karakter van een uitzonderingsrapportage heeft. De minister kan zich daarbij baseren op de informatie van het management en de ADR.

Oplossen onvolkomenheden

Wanneer een onderdeel van het beheer niet op orde is kunnen wij dit als onvolkomenheid aanmerken. Wij verwachten dat een minister maatregelen neemt om het beheer structureel op orde te brengen. Om dit gestructureerd te doen vragen wij van ministers dat zij hiervoor een plan opstellen. Uit dit plan moet blijken dat er sprake is van logisch, gestructureerd en planmatig werken. Vervolgens dient dit plan uitgevoerd te worden. Hierbij verwachten wij dat de volgende aspecten in acht zijn genomen.

Aanpak

  1. De gekozen verbetermaatregelen zijn daadwerkelijk een oplossing voor de geconstateerde problemen. Dit vereist dat er oorzakenanalyse is gedaan zodat de juiste punten worden aangepakt.
  2. Er is een realistische en voldoende ambitieuze tijdsplanning voor de ontwikkeling en implementatie van die maatregelen opgesteld.
  3. De verantwoordelijkheden zijn goed belegd. De verantwoordelijkheden voor de uitvoering zijn beschreven en er is een sponsor/manager vanuit de Bestuursraad/SG/pSG benoemd die als eindverantwoordelijke voor de realisatie van het plan is aangewezen.
  4. Er is een realistische en goed onderbouwde raming van de personele inzet en mogelijke kosten gemaakt.

Uitvoering

  1. De voorgenomen maatregelen worden uitgevoerd volgens de opgestelde tijdsplanning.
  2. Er is een relevant monitoringsinstrument ingericht; deze monitoring is ordelijk en controleerbaar vastgelegd en leidt tot tijdige tussentijdse rapportages aan management, bestuursraad/pSG en audit committee. FEZ monitort als interne toezichthouder/second line of defense en kan dit aantonen. De opgestelde voortgangsrapportages geven een juist beeld van de mate waarin geconstateerde problemen zijn opgelost. Idealiter bevestigt het onderzoek van de ADR (third line of defense) dit.
  3. De aanpak en de voortgang worden besproken in relevante gremia (in uitvoeringsgremia, maar ook in de bestuursraad en het auditcommittee).

Verantwoording

  1. De minister verantwoordt zich adequaat aan de Tweede Kamer (bijvoorbeeld in de bedrijfsvoeringsparagraaf in het jaarverslag) en schept een valide beeld.

Wet- en regelgeving

Nederlandse wetten

De wettelijke regels voor de interne beheersing van een ministerie staan in de Comptabiliteitswet 2016 (CW2016). Hierin is toegelicht dat het beheer moet voldoen aan de normen doelmatigheid, rechtmatigheid, ordelijkheid en controleerbaarheid. Een nadere uitwerking van de normen voor de processen en verantwoordelijkheden van interne beheersing bij het Rijk is te vinden in de comptabele regelgeving die de minister van Financiën heeft uitgevaardigd op basis van de CW2016.

Ministeriële regelingen en besluiten

  • Regeling agentschappen;
  • Regeling audit committees van het Rijk;
  • Regeling beheer onroerende zaken Rijk;
  • Regeling financieel beheer van het Rijk;
  • Regeling grote projecten;
  • Regeling IOFEZ van het Rijk;
  • Regeling materieelbeheer roerende zaken van het Rijk;
  • Regeling periodiek evaluatieonderzoek;
  • Regeling rijksbegrotingsvoorschriften;
  • Besluit Auditdienst Rijk;
  • Besluit FEZ van het Rijk.

Raamwerken en standaarden van interne beheersing (niet de status van wet- en regelgeving)

De bovengenoemde wetten, regelingen en besluiten zijn gebaseerd op het Three Lines Model. De essentie van dit model is dat een organisatie over 3 verdedigingslinies moet beschikken als interne beheersing over risico’s:

  1. De eerste lijn wordt gevormd door de beleidsafdelingen en het toezicht in de lijn.
  2. De tweede lijn is het organisatiebrede toezicht op de interne beheersing (de concerncontroller en het centraal risicomanagement, FEZ).
  3. De derde lijn is de interne auditor, de Auditdienst Rijk (ADR).

COSO is een managementmodel dat is ontwikkeld door The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Het model beschrijft waaraan een systeem van interne beheersing moet voldoen, wil een organisatie risico’s beheersen. In COSO is interne beheersing gedefinieerd als een proces van actoren gericht op het beheerst bereiken van organisatiedoelen. COSO is breder dan alleen interne beheersing van het financieel beheer. Maar de gegeven kaders zijn voor het financieel beheer en binnen de Rijksoverheid goed bruikbaar.

Ontleend aan de principes uit het Internal Control Framework 2013 (COSO 2013): 

  • Er moet een structuur van interne beheersing zijn.
  • De leiding toont een sterke betrokkenheid bij integriteit en ethische waarden. Bij dit punt gaat het om duidelijke uitingen van geldende waarden, onder meer in standaarden en gedragscodes, zowel in beleid als in de praktijk. Deze waarden moeten zichtbaar zijn in werkwijzen, aanwijzingen, richtlijnen en andere vormen van communicatie. Ook moeten ze zichtbaar zijn in de acties en besluitvormingen van het management op verschillende plaatsen in de organisatie en van de hoogste leiding.
  • Op het niveau van de hoogste leiding wordt toezicht gehouden op de ontwikkeling en werking van de interne beheersing.
  • Binnen dat toezicht ontwikkelt het management structuren (met inbegrip van bevoegdheden en verantwoordelijkheden) voor en informatievoorziening over het bereiken van de doelen.
  • Binnen die structuren worden individuele personen aangesproken op hun verantwoordelijkheid binnen de interne beheersing.
  • Er moet sprake zijn van heldere risicoanalyse en expliciet risicomanagement. Daarbij moet niet alleen aandacht zijn voor het risico van het niet bereiken van de organisatiedoelen, maar ook voor het risico van fraude, en het risico van veranderingen die van invloed zijn op het systeem van de interne beheersing.
  • Op grond van deze risicoanalyse moeten keuzes gemaakt zijn voor de beheersmaatregelen.
  • De organisatie moet zich voorzien van betrouwbare informatie die de werking van de interne beheersing ondersteunt, en gebruikt wordt om te communiceren over de werking van de interne beheersing. COSO onderstreept ook het belang van communicatie met derden over de waarden, cultuur en de interne beheersing van de organisatie. Daarbij wordt een relatie gelegd met in control statements van dienstverleners.
  • De organisatie zorgt voor monitoring van het functioneren van de interne beheersing. Hieronder vallen ook het uitvoeren van evaluatieve onderzoeken, en evaluaties van en tijdige communicatie over geconstateerde afwijkingen met degenen die verantwoordelijk zijn voor correctieve acties of toezicht daarop.