Horizontaal toezicht • De adviseur van de strateeg: een kwestie van vertrouwen • Stilstand is achteruitgang: de I-accountant • Het uniform subsidiekader: 'controle is goed, vertrouwen is beter' »

Horizontaal toezicht • De adviseur van de strateeg: een kwestie van vertrouwen • Stilstand is achteruitgang: de I-accountant • Het uniform subsidiekader: 'controle is goed, vertrouwen is beter' »

VERTRO UWEN

AR KW AL TA AD BL O V RO

RIJK

SAUDITORS • JAARGANG 5

3

15

2 3 4

5

9

12

15

19

21

23

25

26

26 27

C O V E R S TO R Y V E R T R O UW E n

Frequentie: 4 maal per jaar

ZIeN(*) is een vakblad voor en door rijksauditors en een uitgave van IODAD, ministerie van Financiën.

RedactieRaad ministerie van Defensie:

Roy Jansen ministerie van Financiën:

René Witte ministerie van Justitie:

Ada de Vette ministerie van OCW:

Wes Galekop ministerie van SZW:

Wim Kers Rijksauditdienst:

Sander van der Kraan Karin Straver Hans van der Wielen Leon Dirks Roos Kalker Met dank aan:

ed Boers, VenW Piet van Leerdam, SZW Jan van Schoonhoven, Rijkswaterstaat Aam van den Bos, RAD Rob Bouman, RAD Hugo elings, RAD Piet Goeyenbier, RAD Karsten Klein, RAD Herman Smeets, RAD

cOÖRdiNatie &

eiNdRedactie Rijksauditdienst:

Sander van der Kraan Karin Straver

VORmgeViNg KAN Creative Agency

Amsterdam

ZieN(*) Korte Voorhout 7 Postbus 20201 2500 ee Den Haag zien@rad.nl Telefoon: 06 556 92 835

Voorwoord Audits Stelling

'Vertrouwen geven en in control zijn gaan prima samen'.

Horizontaal toezicht

Duo-interview met de gemeente Den Haag en de Belastingdienst.

De adviseur van de strateeg:

een kwestie van vertrouwen

Rondetafelgesprek over de rol van vertrouwen bij het werk van de auditor.

Stilstand is achteruitgang …

Interview met Hans Verkruijsse over de I-accountant.

Het uniform subsidiekader

'Controle is goed, vertrouwen is beter' - maar wel verantwoord vertrouwen!

The Office Trust but verify…

Inspecties naar de beveiliging op luchthavens.

Help, een journalist aan de lijn!

Karsten Klein en Wim Kers over de Wet openbaarheid bestuur (WOB).

Auditor van de toekomst

Interview met Ender Atalay en Marnix Eedens over hun onderzoek naar het auditen van ‘groene’ datacenters.

Rijksbrede operational auditdag:

'De auditor als strategisch adviseur'.

Een verslag van dit congres.

Het audit traineeship

Een rijksbrede wens gaat in vervulling.

Congresagenda Sharing Knowledge Een verslag van het ESAA-symposium Trust!

5

9

Beste mensen,

Vertrouwen is de basis van ons professioneel handelen. Professioneel bergt het Latijnse woord

“professio” in zich. een kloosterling doet zijn professie als hij zich door geloften bindt aan zijn gemeenschap. Voor ons betekent “professie” dat de klant ons in vertrouwen kan nemen. en dat de maatschappij erop mag rekenen dat wij onomwonden zeggen waar het op staat. Als dat vertrouwen er niet is, verliest de auditprofessie zijn geloofwaardigheid.

De geloofwaardigheid van ons beroep is de laatste jaren danig op de proef gesteld. Daar is al genoeg over geschreven. In dit nummer van ZIeN(*) kijken we naar de manier waarop wijzelf vertrouwen schenken aan onze klant. Om vertrouwd te worden, moet je vertrouwen durven te geven. Is het nodig bij elke subsidieafrekening een accountantsverklaring te vragen? Of kun je op een onderbouwde manier vertrouwen stellen in de ontvanger? Kan de Belastingdienst een samenwerkingsrelatie opbouwen met belastingplichtigen die hun zaken op orde hebben?

Vertrouwen staat niet op zichzelf. Met alleen vaststellen of regels zijn nageleefd, komen we er namelijk niet. Regels blijken geen garantie voor goed gedrag. Investeren in vertrouwen geeft zicht op de cultuur van een organisatie. een cultuur die moet leiden tot gedeelde doelen en waarden.

en dat blijkt meer op te leveren dan regels.

Verantwoord vertrouwen maakt audits tot meer dan routinecontroles. een auditor die een vertrouwensrelatie weet op te bouwen met zijn klant, krijgt eerder zicht op de strategische risico’s. Alleen van daaruit kan hij optimaal zijn meerwaarde leveren.

Hans van der Wielen, Voorzitter Redactieraad

12

'Vertrouwen geven en in control zijn gaan prima samen'

Pieter van Nes, MT-lid Rijks- auditdienst Wanneer is een organisatie binnen de rijksoverheid "in control"? Als alle processen goed zijn ingericht en zonder grote risico's functioneren? Of als de bedrijfsvoering het beleid op een optimale wijze ondersteunt? Welke rol speelt het geven van vertrouwen hierin? Wie vertrouw je: de organi- satie met zijn systemen of de mensen werkzaam in de organisatie? Of is vertrouwen een weerspiegeling van de cultuur binnen een organisatie?

Cultuur in de zin van het bereiken van een zeker niveau van volwassenheid waarin medewerkers zich aan regels houden, transparant zijn en, indien dat niet het geval is, bereid zijn daarover verantwoording af te leggen. Het geven van vertrouwen heeft vooral te maken met de cultuur binnen een organisatie. Maar hoe kan je dan vaststellen dat een organisatie terecht met een beroep op vertrouwen het aantal interne beheersingsmaatregelen terugdringt. Hoe weet een manager

dat de cultuur binnen zijn organisatie dat niveau van volwassenheid heeft bereikt? Hier ligt een mooie uitdaging voor de interne auditor om de manager hierin te ondersteunen. Niet door het verschaffen van informatie over de mate waarin de harde beheersingsmaat- regelen worden nageleefd, maar juist door informatie te verschaffen over de wijze waarop soft controls binnen een organisatie functioneren. In die zin gaan vertrouwen geven en in control zijn prima samen, maar dan vooral bezien vanuit het cultuuraspect.

Jan van Schoonhoven, Hoofd PPS Kennispool, Rijkswaterstaat

“Vertrouwen zonder controle” is vaak ingegeven door een gebrek aan betrokkenheid met wat de andere partij aan het doen is. Vertrouwen geven is niet iets over de schutting gooien.

Vertrouwen staat niet op zich zelf. Het gezamenlijke doel, de samenwerking, we- derzijds respect en begrip zijn allemaal onderdelen die passen in een goede werkomgeving.

AUDITSINBEELD STELLING

Het eerstvolgende nummer van ZIeN(*) zal in het teken staan van de IODAD-dag 2009.

Op deze dag staan de ‘auditors van morgen’ centraal en wordt aan de hand van rijksbrede thema’s en workshops gekeken naar de rol van de auditfunctie over een aantal jaar. «

De volgende

AR KW AL TA AD BL O V RO

RIJK

SA

UDITORS • JAARGANG 5

Blind vertrouwen is niet zinvol, noch motiverend. Blind vertrouwen kan voortkomen uit desinteresse of tijdsge- brek. Dan krijgt diegene die zegt: “ver- trouwen is goed, controleren beter” al- tijd gelijk. Dus: stel eisen, kijk mee, wees een klankbord en stel juist kritische vragen. Het zal leiden tot wederzijds respect en daarmee vertrouwen.

Ed Boers, senior beleids- medewerker, afdeling Management Control, in- spectie VenW Vertrouwen moet je verdienen: ener- zijds moeten de persoon/organisatie beschikken over adequate competen- ties, maar anderzijds zijn de intenties van groot belang. Gebruik je empa- thisch vermogen en vraag jezelf af of er gelegenheden zijn om de fout in te gaan en wat het belang zou kunnen zijn om dit te doen. Onafgedwongen open- heid en transparantie, ook in het geval van gemaakte fouten, vormen cruciale voorwaarden vertrouwen te verdie- nen. Verdiend vertrouwen geven en in control zijn gaan prima samen.

Brochure “Vertrouwen geven en in control zijn.

Gaat dat samen?”

Op 25 juni 2009 heeft het ministerie van Financiën een congres georganiseerd over het thema "Vertrouwen geven en in control zijn. Gaat dat samen?" voor overheids- controllers en - auditors. Ter gelegenheid van dit congres heeft het ministerie van

Financiën een brochure uitgebracht waarin ingegaan wordt op wat vertrouwen is en hoe het werkt. Ook wordt aandacht be- steed aan waarom vertrouwen belangrijk is, maar toch zo moeilijk van de grond komt.

De brochure wordt afgesloten met een aantal kritische succesfactoren die zoveel mogelijk aanwezig zouden moeten zijn wan- neer men het evenwicht tussen regels en controle én vertrouwen meer in de richting van vertrouwen zou willen verschuiven.

Hierbij gaat het zowel om 'harde' succes- factoren (zoals duidelijke basis afspraken,

controle mag en sancties als sluitstuk) als 'zachte' succesfactoren (zoals positief beeld/gevoel over en weer, open communi- catie en inbreuken met elkaar bespreken).

Als antwoord op de vraag in de titel van de brochure wordt gesteld dat wanneer er zo- wel aandacht is voor de harde als de zachte factoren, vertrouwen en in control zijn heel goed samen kunnen gaan!

De brochure "Vertrouwen geven en in control zijn. Gaat dat samen?" is op te vragen bij het ministerie van Financiën (r.o.vos@minfin.nl). « DOOR PIEt GoEyENbIEr

4

Het Rochdale-onderzoek

Medio februari is de RAD benaderd door de ambtelijke top van VROM met het verzoek een vertrouwelijk onderzoek uit te voeren naar Rochdale met als centrale onderzoeksvraag: heeft VROM goed geacteerd vanuit haar taken en verantwoordelijkheden met betrekking tot Rochdale? Marijke van Houwelingen en ik zijn toen gestart met een verkenning naar de onderzoeks- mogelijkheden.

Rochdale is een grote woningcorporatie in Amsterdam. In de tweede helft van 2008 werd bekend dat Rochdale en met name een voormalige bestuur- der van Rochdale op een aantal punten mogelijk niet correct c.q. niet recht- matig heeft gehandeld.

Op een avond werd ik gebeld door Peter Bartholomeus of ik de volgende dag samen met hem bij minister van der Laan kon komen om het onderzoeksvoor- stel te bespreken. De minister bleek zeer goed op de hoogte te zijn van het Rochdale dossier. Hij wilde meer focus en een redelijke doorlooptijd. Besloten is om het onderzoek in het bijzonder te richten op salarissen en pensioenvoor- zieningen, deelnemingen, nevenactiviteiten en activiteiten in het buitenland.

Belangrijke delen van het onderzoek waren de vigerende wet- en regelgeving, de informatiestromen en de wijze waarop de verschillende toezichtsactoren hebben gehandeld.

Rochdale kreeg veel aandacht van de media en was onderwerp tijdens diverse algemeen overleggen (AO's) in de Tweede Kamer. Tijdens één van die AO’s over het toezicht op de woningcorporaties hoorden wij de minister de toezegging doen dat het auditrapport ook verstrekt zou worden aan de Tweede Kamer.

De rapportage hebben wij in een gesprek met de minister afgestemd. Hij was zeer tevreden en heeft aangegeven opvolging te geven aan alle aanbevelingen.

Ook de Tweede Kamercommissie was tevreden. De ene dag was het RAD- rapport nog vertrouwelijk, de volgende dag kan iedereen het downloaden van het Internet.

Kortom: het was een enerverende opdracht die wij niet snel zullen vergeten. «

Audit betaalgedrag

Op verzoek van de ICBR voerde het IODAD in de zomermaanden een onderzoek uit naar het betaalgedrag bij de departementen. een hele kluif in een korte periode. Met succes: conform plan lag op 1 september het rapport bij de ICBR, en er is van verschillende kanten positief op gereageerd.

Uitkomst: gemiddeld is rijksbreed 75% van de facturen op tijd betaald. Binnen het Rijk gaan nu diverse mensen aan de slag om dat percentage op te krikken.

een sfeerimpressie bij SZW

Net terug van vakantie. Audit betaalgedrag!

Oké, eerst de opdracht kritisch doornemen.

Het overleg met directie FeZ is al gepland. FeZ wil ook inzicht in het betaalgedrag per DG/di- rectie, kan dat? Ja. Meteen overleg met directie Bedrijfsvoering, checklist maken, TeamMate in- richten. Bedrijfsvoering is snel: ze lichten factu- ren, verzamelen informatie en doen een eerste beoordeling. Wij controleren alle posten van de steekproef. De resultaten worden bespro- ken met de directie: “77% tijdig” wijkt weinig af van de interne SZW-cijfers. Geen 100%, maar wel tevredenheid met de uitkomst. De rapportage gaat efficiënt volgens het aangele- verde model. Nieuwsgierig: waar staan we in vergelijking met andere ministeries? Volgens het totaalrapport exact in het midden!

Wat waren de succesfactoren van de audit be- taalgedrag? Ten eerste: zorgvuldige communicatie vooraf met alle betrokkenen over de aanleiding en de doelstelling. De directies FeZ en bedrijfs- voering leverden volop medewerking. een inter- departementale voorbereidingsgroep vanuit de auditdiensten zorgde voor breed draagvlak onder alle auditdiensten. Het door die groep vastgestelde rapporteringsmodel zorgde voor een efficiënt ver- loop van het rapporteringsproces. Petje af voor al diegenen bij de auditdiensten en de FeZ’en die heb- ben bijgedragen aan het resultaat! «

DOOR PIEt vaN LEErDam & aam vaN DEN boS

MAGAZIEN 6 MAGAZIEN 5

Gemeenten hebben te maken met rijksbelastingen (b.v. loonheffing en omzetbelasting). Zij hebben zich bij hun aangifte te houden aan de fiscale regelgeving. De relatie tussen gemeenten en de Belastingdienst was tot voor kort traditioneel: die van controleur en gecontroleerde. Sinds enige tijd is sprake van een kentering. Beide partijen willen in de toekomst een relatie die is gebaseerd op wederzijds vertrouwen.

DOOR WIm KErS & raymoND DamoISEaux

Een nieuwe vorm van toezicht door de Belastingdienst

In het verleden stelde de Belastingdienst door boekenonderzoek achteraf vast of de fiscale regelgeving was gerespecteerd. De onderzoeken vonden vaak pas na jaren plaats. De controles leid- den soms tot correcties, die op hun beurt soms weer aanleiding gaven tot naheffingsaanslagen met rente en boetes. Soms volgde ook nog een gang naar de belastingrechter.

Sinds 2005 heeft de Belastingdienst een nieuwe toezichtstrategie ontwikkeld. Als invulling van het rijksbeleid zoals verwoord in de "kaderstellende visie op toezicht 2005" die op 12 oktober 2005 door de minister van BZK namens het kabinet aan de Kamer is aangeboden. In de nieuwe strategie, die bekend staat als “horizontaal toezicht”, stelt de Belastingdienst een goede samenwerkingsrelatie met belastingplichtigen, die aantoonbaar hun zaakjes op orde hebben, centraal. De Belastingdienst wil aan- giften van goedwillende bæelastingplichtigen snel en op basis van vertrouwen afhandelen. De Belastingdienst krijgt dan capaciteit vrij die ingezet kan worden om minder goedwillende belasting- plichtigen strenger aan te pakken.

De Belastingdienst heeft als eerste de beursgenoteerde onder- nemingen uitgenodigd voor het nieuwe toezichtregime. Deze ondernemingen beschikken doorgaans onder meer over een interne auditdienst en een goed functionerend fiscaal risicobe- heersings- en controlesysteem. Daarom kunnen zij op basis van verdiend vertrouwen rekenen op een doelmatige afhandeling van hun aangiften en van fiscale vraagstukken.

Recent heeft de gemeente Utrecht als eerste grote gemeente gekozen voor het nieuwe toezicht. De gemeente Den Haag wil in december 2009 volgen.

ZIeN(*) is benieuwd wat het veranderende toezicht door de Belastingdienst betekent voor de praktijk van de auditor van de

gemeente. Daarom spraken wij met René Vierbergen en Henk van der Heijden, respectievelijk directeur en plaatsvervangend directeur van de accountantsdienst van de gemeente Den Haag.

Convenant

Belastingdienst en gemeente committeren zich aan de beginselen van horizontaal toezicht door het sluiten van een convenant. Zij spreken af samen te werken op basis van wederzijds vertrouwen, begrip en transparantie.

Het convenant tussen Belastingdienst en gemeente zou je kunnen zien als een “oppervlakkig document met veel mooie woorden en open deuren, goed voor een fotootje” grapt René Vierbergen.

Maar het convenant is vooral een uiting van de ‘tone at the top’.

René verwacht dat het convenant wordt ondertekend door de bestuurlijke top van Den Haag en van de Belastingdienst. Zij laten hiermee zien dat het hoogste niveau van zowel de gemeente als de Belastingdienst zich achter de in het convenant verwoorde beginselen stelt. "en nu moet het nog verder in de haarvaten van beide organisaties en tussen de oren van alle betrokken mede- werkers komen" zegt René. Daar ziet hij de grootste uitdaging.

Tax Control Framework

Het nieuwe toezicht betekent een verschuiving. Het betekent meer afstemming en informatie-uitwisseling vooraf over fiscale vraagstukken, bevindingen en ontwikkelingen. Het betekent ook minder administratief belastende controles en correcties met boetes achteraf. Van de gemeente wordt pro-actief gedrag ver- wacht. De Belastingdienst doet een beroep op de maatschappelijke verantwoordelijkheid van de gemeente en schenkt de gemeente

De bouw van het Haagse stadhuis kost honderd miljoen gulden. De gemeente is geen ondernemer en daarom verplicht om 17,5 % btw op de aanneemsom te betalen, dus ƒ 17,5 miljoen gulden. De gemeente richt een stichting op, die met een lening tegen lage rente van de gemeente tien jaar lang het economische eigendom van het pand krijgt tegen betaling van honderd miljoen en de 17,5 % btw.

De stichting verhuurt het pand vervolgens weer aan de gemeente tegen ƒ 8 miljoen per jaar (8 % van de netto-bouwsom). De gemeente krijgt nu de ƒ 17,5 miljoen aan btw terug. De stichting, wel onderne- mer, mag de btw in een keer aftrekken voor de belasting. Op de huur drukt wel btw, maar dit komt in tien jaar uit op slechts tien keer ƒ 1,4 miljoen. Daardoor is niet alleen de uiteindelijke btw-rekening miljoe- nen lager, maar de betaling wordt ook veel langer uitgesteld.

(bron: de Volkskrant, 22 maart 1995)

COVERSTORYARTIKEL COVERSTORYARTIKEL

zijn vertrouwen wanneer de gemeente kan aantonen dat het zijn fiscale processen doorlopend én aantoonbaar op orde heeft. De gemeente dient dan over een goed functionerend fiscaal risicobe- heersings- en controlesysteem te beschikken. Dit wordt in de lite- ratuur aangeduid als het Tax Control Framework (TCF).

Henk van der Heijden geeft aan dat de gemeente niet slecht scoort op fiscaal gebied, maar nog verder moet werken om een sluitend TCF te realiseren. Fiscaliteit moet nadrukkelijker een deel van het dagelijks werk worden op alle gemeentelijke niveaus.

Zo kunnen voorstellen voor grote projecten systematisch van een financiële paragraaf worden voorzien waarin ook wordt inge- gaan op de fiscale consequenties. De praktijk wijst uit dat het voordelen oplevert als dit een automatisme wordt bij alle rele- vante processen en projecten. De gemeente gaat op dit punt nu nog te fragmentarisch te werk.

Verder biedt het voordelen als de gemeente meer over- en inzicht krijgt op het aangiftegedrag van de gemeentelijke dien- sten en bedrijven en op de belangrijkste fiscale vraagstukken. De diensten en bedrijven zijn nu vrij in het al of niet inschakelen van de intern aanwezige fiscale expertise bij het opstellen van hun

een gemeente heeft een voorbeeldfunctie. Als zij wil dat burgers de gemeentelijke regels naleven, dan hoort de gemeente ook zelf de regels na te leven, niet alleen naar de letter maar vooral ook naar de geest. Dergelijke constructies zijn gelukkig al lang niet meer van deze tijd. Het gemeentebestuur is er alles aan gelegen dergelijke incidenten te voorkomen. Horizontaal toezicht draagt hieraan bij.

De rol van de accountantsdienst

René Vierbergen wijst op een interessante paradox over het onderwerp vertrouwen. “Niemand wordt zo gewantrouwd als de accountant. Sinds affaires als enron en WorldCom is het maatschappelijke vertrouwen in het beroep afgenomen. Hierop is gereageerd met meer regels en meer verticaal toezicht. Ook accountants onderling lijken elkaar niet te vertrouwen, getuige de vele verplichte reviews. en of al die extra regels een probleem oplossen? Het is dan heel verrassend dat de Belastingdienst in dit klimaat pleit voor meer samenwerking op basis van meer gefun- deerd vertrouwen en minder controle. Dat lost tenminste wel wat op!"

René is van mening dat met de invoering van horizontaal toe- zicht de toegevoegde waarde van de accountantsdienst voor het gemeentebestuur en voor de diensten verder toeneemt. De accountantsdienst helpt de gemeentelijke diensten en bedrijven hun TCF op orde te krijgen en helpt het gemeentebestuur om zicht te houden op alle relevante fiscale vraagstukken en ontwik- kelingen. Hij verwacht per saldo voordelen - ook financiële – en verrassingen achteraf worden hiermee zoveel mogelijk voorko- men.

Met een adequaat TCF is de naleving van de fiscale wet- en regel- geving beter gewaarborgd. Het TCF wordt een regulier en expli- ciet onderdeel van de jaarrekeningcontrole. Het extra werk zal naar verwachting niet leiden tot een structurele uitbreiding van de personeelsformatie. Wel zal er meer moeten worden geïnves- teerd in fiscale kennis.

De Belastingdienst hanteert een kleinere tolerantie bij de fis- cale aangifte van de gemeente dan de accountantsdienst bij de controle van de jaarrekening. De accountantsdienst gaat nu niet strenger controleren. Wel gaat de accountantsdienst na of het fiscaal risicobeheersings- en controlesysteem van ieder organisa- tieonderdeel van de gemeente goed gericht is op het ontdekken van fouten en onzekerheden op het niveau van de tolerantie van de Belastingdienst.

Kritieke succesfactoren

Onze gesprekspartners vinden “het uitspreken van het voornemen tot samenwerking op basis van vertrouwen al een succes op zich- zelf”. De vergroting van de fiscale bewustwording bij gemeentelijke diensten en bedrijven is een belangrijk winstpunt. Het convenant geeft hiervoor een belangrijke stimulans.

Gemeente en Belastingdienst zullen ook in de toekomst nog wel eens van mening verschillen. Vierbergen en Van der Heijden ver- wachten dat eventuele verschillen zakelijk, open en met respect voor elkaars standpunten kunnen worden besproken. Het hori- zontaal toezicht is dan een succes. De Belastingdienst heeft het oude repressieve gedrag losgelaten. De gemeente geeft pro-actief en transparant inzicht in alle actuele relevante fiscale vraagstukken.

Dan is echt sprake van wederzijds vertrouwen! «

aangifte of bij fiscale vraagstukken. Zonder overzicht loopt de gemeente risico's. een dienst of bedrijf maakt bijvoorbeeld een keuze die voor het eigen organisatieonderdeel gunstig is, maar voor de gemeente als geheel nadelig. Of twee gemeentelijke dien- sten of bedrijven in een gelijke situatie maken een verschillende keuze. Of een organisatieonderdeel ziet een volkomen normaal belastingvoordeel over het hoofd.

Den Haag wil het TCF stapsgewijs realiseren. eerst wordt een foto gemaakt van de huidige situatie bij diensten en bedrijven. Zo nodig worden de processen op orde gebracht. Daarna wordt de fiscale informatievoorziening verder gestructureerd.

Het imago van de gemeente

In de vorige eeuw heeft de gemeente Den Haag met het oog op fiscale voordelen de zogeheten stadhuisconstructie (zie kader) toe- gepast. Toenmalig staatssecretaris Vermeend van Financiën vond deze ten principale onjuist. Hij bestreed de constructie met succes.

Dit heeft Den Haag negatieve publiciteit bezorgd.

Henk van der Heijden (l) • René Vierbergen (r)

Bram de Klerck (lb) • Hans van der Vlist (lo) • Paul Vlaar (rb) • Lex de Lange (ro)

MAGAZIEN 10 MAGAZIEN 9

Scholte trapt af: “Wat bepaalt nu of het management vertrou- wen heeft in de auditor? In auditcommittees gaat het vaak over de auditdienst. ‘Zijn de audits uitgevoerd die ze zouden uitvoeren, en welke rechtmatigheidsproblemen hebben ze gevonden?’ Zou het auditcommittee zich niet bezig moeten houden met de grote risico’s, en de auditor daarvoor moeten inschakelen? Hoe zit het met de spanningen tussen de spelers: manager, controller, auditor?

Is er vertrouwen in de auditor?”

Van der Vlist schetst dat rechtmatigheid als thema binnen het audit- committee van Justitie niet meer speelt. De aandacht is verscho- ven naar de IT-risico’s. “Maar ik herken wel dat de concernleiding zich in het auditcommittee meer zou moeten richten op de grote thema’s. Als DG ben ik verantwoordelijk voor vier beleidsdirecties en ‘eigenaar’ van zeven uitvoeringsorganisaties. De vraag voor het managementteam is met welke grote dingen je aan de gang gaat.

Het is in de rapportagecyclus zoeken naar eenvoudige rapportage- vormen waarin je het alleen over de uitzonderingen en opmerke- lijke zaken hebt. Als manager zet ik daarvoor ook de controlafde- ling in. Mijn aanpak is gebaseerd op vertrouwen, netwerken en transparantie. Daarbinnen is ook plek voor de auditdienst.”

Vlaar stelt dat er door de auditdiensten te veel wordt vastgehouden aan de controlefunctie. “Ik zie voor de auditor een signalerende rol.

Iemand die vanuit het kraaiennest kijkt naar ‘rimpelingen aan de horizon’ en de organisatie hiervoor vroegtijdig waarschuwt. Het zou de rol van de auditor kunnen zijn om met mensen in de orga- nisatie over die rimpelingen te praten en de consequenties voor de organisatie met elkaar te bediscussiëren.”

De Klerck betwijfelt of het de auditor is die de rimpelingen zou

moeten zien: “Het is eerder de controller, en toch vooral ook de manager die de signalen moet herkennen. De auditor kan juist van- uit zijn onafhankelijke positie adviseren over hoe de zaken kunnen verbeteren.”

“Vanuit zijn onafhankelijke positie kijkt de auditor naar de risico’s”, stelt De Lange. “Managers zijn soms geneigd risico’s te lang binnen hun eigen organisatie te houden. Ik vind dat de auditdienst bij zijn omgevingsanalyse gebruik moet kunnen maken van een departe- mentsbrede risicoanalyse. Mijn auditdienst stimuleert het opstel- len hiervan binnen OCW.”

“Als je ervan uit gaat dat managers de neiging hebben om risico’s niet te melden, dan duidt dat op wantrouwen” legt Van der Vlist aan De Lange voor. De Lange stelt dat de departementsleiding een totaalbeeld van risico’s moet hebben. “Het is belangrijk dat dit zicht er is. In IODAD-verband is men zelfs bezig om een rijks- brede risicoanalyse op te zetten.”

Vertrouwen door interactie

Van der Vlist schakelt de auditor in op die risicogebieden die hij niet goed kan overzien: “Als manager heb je ook beperkingen en de controlafdeling kan niet alles zien. Daarvoor heb je soms verdieping nodig. Als ik die behoefte heb, dan bespreek ik dat met de dienst en zo krijg ik zicht op de processen. Ik vind het belangrijk om samen met de proceseigenaar tot een opdrachtformulering voor een audit te komen. Hij moet het ook als zijn audit zien, waar hij wat aan heeft. Hiervoor is vertrouwen nodig.”

Lex de Lange (directeur auditdienst OCW), Bram de Klerck (directeur FEZ Justitie), Paul Vlaar (Associate Professor, VU Amsterdam, Faculty of Economics and Business Management) en Hans van der Vlist (Directeur Generaal Rechtspleging en Rechts- handhaving Justitie) spraken onder leiding van Paul Scholte (directeur auditdienst V&W) over de rol van vertrouwen bij het werk van de auditor.

DOOR aDa DE vEttE & rENé WIttE

De adviseur van de strateeg:

een... kwestie van vertrouwen

COVERSTORYARTIKEL COVERSTORYARTIKEL

COVERSTORYARTIKEL

Volgens De Klerck is het ook een kwestie van vertrouwen ver- dienen. “Wanneer Van der Vlist ‘rimpelingen’ ziet, ga ik ervan uit dat hij deze met mij deelt. Dit betekent een bepaalde mate van volwassenheid in de relatie.”

Vlaar stelt dat een puur controlerende opstelling van de auditor of controller ongewenste effecten heeft. “In dat geval kunnen risico’s op het conto van de auditor of controller komen, omdat deze ze niet tijdig heeft gesignaleerd. Uiteindelijk is de manager toch verantwoordelijk. Die moet zich niet kunnen verschuilen achter controles en risicoanalyses. Dit roept de vraag op of we niet naar een algemener instrumentarium toe moeten om normbesef en verantwoordelijkheidsgevoel te bevorderen. De auditor zou zich kunnen afvragen hoe een organisatie er over 10 of 20 jaar uitziet, en of de rol die hij of zij zich aanmeet daarbij past”.

De persoon van de auditor

Auditen is mensenwerk. De persoon van de auditor is dan ook van belang voor het vertrouwen dat een opdrachtgever heeft in een audit.

De Klerck daarover: “Als ik voor een audit de voorkeur heb voor een bepaalde auditor, omdat ik daar goede ervaringen mee heb, dan zeg ik dat gewoon tegen de directeur van de auditdienst. Als hij dan met andere mensen komt, dan heb ik er vertrouwen in dat dat de goede mensen voor deze klus zijn”:

De Lange vindt het belangrijk dat er een klik is tussen de auditor en de auditee. “Dat gaat verder dan vaktechnische en inhoudelijke ken- nis. Ook de persoonlijke relatie die de auditor heeft met de klant is voor mij belangrijk. Dat is de basis voor vertrouwen.

Ik kijk naar de zwaarte van de klus. Kan de betrokken auditor dat aan, en is er voldoende basis om de dialoog goed tot stand te bren- gen? Daarvoor is een goede communicatiestructuur tussen mana- gers en auditors essentieel. een audit is tenslotte gericht op verbe- tering van het functioneren van de organisatie. Daarvoor moet er vertrouwen zijn in de auditor. Als directeur van een auditdienst heb je de taak de goede match tussen klant en auditor te maken”.

Gemeenschappelijk belang

Vertrouwen is groter wanneer er sprake is van een gemeenschap- pelijk belang. Vlaar: “Auditors zouden altijd het gemeenschappelijk belang van een audit moeten benadrukken. Als de auditee geen belang heeft bij het onderzoek, dan krijg je beperkte, gekleurde en minder relevante informatie. De bereidheid om mee te werken zal minder groot zijn. Daarom zou je voordat je een onderzoek start na moeten gaan wat de gemeenschappelijke en wat de afzon- derlijke belangen zijn.”

Van der Vlist reageert daarop. “Je moet dat uitspreken. Ook de opdrachtgever heeft daarin een rol. Als je niet transparant bent over jouw belang, en dat tegenover de onderzochte manager niet uitspreekt, dan heeft de audit daar last van”.

Van der Vlist vraagt zich wel af hoe de auditor hier tegenover staat. “Ik kan me voorstellen dat je als auditor door de top wordt

ingezet om bepaalde punten te kunnen maken. er is een gevoel dat er ergens iets niet goed zit, en de auditor moet aantonen dat dat zo is. Je krijgt dan een onderzoek dat gebaseerd is op wantrouwen.”

De Lange is daar duidelijk over: “Als een audit moet plaatsvinden op basis van wantrouwen, dan is dat niet goed voor de rol van de auditor. Je verliest al het vertrouwen van de organisatie als je om die reden een audit voor een SG of DG gaat uitvoeren. Als er iets mis is in het vertrouwen tussen de departementale top en een manager, dan moeten ze daar in een goed gesprek uitkomen. Audit is dan niet het instrument dat daarbij past.”

De Klerck vindt wel dat dat soms bij de rol van de auditor past. “Als ik als concerncontroller het gevoel heb dat er ergens iets niet goed zit, dan geef ik de auditdienst opdracht om daar onderzoek naar te doen. Ik ben het er mee eens dat je daarbij transparant moet zijn.

De opdrachtgever moet zijn twijfels uitspreken tegen de auditee.

Daarmee krijgt de auditor de ruimte om zijn werk te doen.”

De toon van de boodschap

De manier waarop de auditor zijn boodschap brengt blijkt ook bij te dragen aan het vertrouwen dat men heeft in zijn werk.

De tafel is het erover eens dat auditors hun oordelen en aan- bevelingen wel wat steviger kunnen verwoorden.

De Lange: “Auditors kunnen af en toe wel erg voorzichtig zijn.

Soms moeten conclusies scherper worden neergezet om het beoogde effect te bereiken en de departementsleiding in bewe- ging te krijgen. Als je al kritiek hebt op auditors dan is het wel dat ze bijzonder hechten aan professionele maatstaven. Het vergt denk ik een cultuuromslag om enerzijds die professionele stan- daarden aan te houden en aan de andere kant het organisatiebe- lang voorop te stellen.

Aan het einde van het ronde tafelgesprek kunnen we conclude- ren dat het vertrouwen in de auditor aanwezig is. Maar op welke manier kan de auditor dit vertrouwen nog vergroten?

De Lange vindt het belangrijk dat auditors de politiek-bestuurlijke context kennen waarin de auditee zich bevindt. “Ze moeten een duidelijk beeld hebben van wat er leeft, om het vertrouwen nog verder uit te bouwen”.

De Klerck vindt dat auditors hun onzekerheid meer moeten laten zien. “Auditors zijn ook mensen, en kunnen niet altijd alles weten.

Ze mogen dat best wat meer laten zien.”

Van der Vlist verwacht dat de auditor een scherpe sparringpartner is met gevoel voor de politieke omgeving. “Hij moet scherp zijn in de advisering om interventies uit te lokken. Daarnaast moet hij in zijn formuleringen rekening houden met de politieke arena waarin we ons bevinden”.

Vlaar. “Zolang je de dialoog aangaat en laat zien waar je voor staat, weet de ander wat hij aan je heeft. Maar heel duidelijk zijn over je positie kan ook nadelen hebben. Het kan de indruk wekken dat je inflexibel bent en niet mee wilt bewegen. De boodschap is daarom denk ik dat je altijd de dialoog opzoekt en daarin het gezamenlijke belang voorop stelt. Laten we met elkaar spelen, en niet tegen elkaar”. «

Voor accountants in zowel de private als publieke sector wordt steunen op een administratieve organisatie in een sterk geautomatiseerde

omgeving (haast) onvermijdelijk. Technische ontwikkelingen vliegen haast uit de bocht en het is ook aan accountants om op deze rijdende trein te springen.

Stilstand

is achteruitgang...

DOOR roy JaNSEN

Hans Verkruijsse MAGAZIEN 14 MAGAZIEN 13

2 mei 2008: NIVRA-voorzitter Jan Helderman was van mening dat teveel de nadruk is gelegd op de kostenvoordelen van XBRL. Daarentegen is te weinig aandacht geweest voor de kwaliteit van de informatie.

18 augustus 2008: Doos met bonnetjes kan weg. Accountants moeten erg wennen, maar uitwisseling van uniforme, elektronische informatiebe- standen is onontkoombaar.

Verkruijsse geeft aan dat de ontwikkelingen van XBRL mondiaal doorzetten en verwacht dan ook dat deze als hefboom zullen wer- ken op de controleaanpak anno 2009. Vraagstukken uit figuur 4 legt Verkruijsse regelmatig aan accountants voor tijdens lezingen en symposia.

Vragen voor assurance

Wat is het object van onderzoek voor de controle?

Wat voor controleaanpak volgen we?

Wat voor niveau van assurance kunnen we geven?

Wat soort verklaring kunnen we uitvoeren?

så*AARREKENINGåVERSUSåBEDRIJFSINFORMATIE

så3YSTEMENåVERSUSåGEGEVENS

så3YSTEEMGERICHTåVERSUSåGEGEVENSGERICHT

så6OLKOMENåCONTROLEåVERSUSåVOLLEDIGEåCONTROLE

så2EASONABLEåVERSUSåLIMITED

så#ONTINUßM

så4RADITIONELEåACCOUNTANTSVERKLARING

så2ELIABLEåBYåDEFAULT

Figuur 4: Gevolgen XBRL voor assurance

De uitdagingen voor de accountant liggen volgens Verkruijsse bij de introductie van XBRL in de beoordeling van de dialoog met de stakeholders (object van onderzoek), analyse van de mogelijke ver- wachtingen (niveau van assurance), risicoanalyse insteken vanuit IT, controle richten op metadata, materialiteit toerekenen op meta- data (controleaanpak) en de afgifte van een continue accountants- verklaring (soort verklaring).

Om deze uitdagingen te lijf te gaan, dienen de volgende concep- ten ingebed te worden in het control framework van organisaties:

• Continuous Monitoring;

• Continuous Auditing;

• Continuous Assurance.

Uiteindelijk wordt hiermee een nieuw concept geboren, namelijk

‘Assurance by Default’. Hier geeft de accountant een verklaring af die geldt totdat deze wordt ingetrokken. Naast deze wijziging in de verstrekking van assurance, ziet Verkruijsse het werkpakket

verbreden met Advisory opdrachten, zoals het bouwen van XBRL taxonomieën, aanpassen van AO/IC en ondersteuning bij de ont- wikkeling en implementatie van continuous monitoring.

Naast deze verbreding van het werkpakket zullen tevens andere technieken worden ingezet om controles te kunnen verrichten in organisaties van de nabije toekomst (neurale technieken en patroonherkenning, procesgerichte controle op metadata niveau en RFID-toepassingen in administraties).

Al met al ziet Verkruijsse een nieuw soort accountant ontstaan die voor wat betreft IT van de hoed en de rand weet. We heten de I-accountant van harte welkom. «

ZIeN(*) heeft hierover een interview met Prof. Dr. Hans Ver- kruijsse Re RA die sinds 1 september als hoogleraar ‘Accounting Information Systems’ werkzaam is aan de Universiteit van Tilburg en hier onderzoek doet naar nieuwe vormen van elektronische gegevensuitwisseling voor de inrichting van de administratieve organisatie.

Na een toelichting op het thema van deze ZIeN(*)-editie rea- geert Verkruijsse met een verwijzing naar het jaarverslag van ABN AMRO in 2007. Met name het aantal pagina’s en het gewicht van het rapport zijn voor hem maatstaven voor de technologische wind- stilte in het verslaggevingsvak. Het bevatte ongeveer 290 pagina’s en woog een luttele 1466 gram. Wie leest een jaarverslag van derge- lijke omvang? Volgens Verkruijsse wordt een dergelijk verslag, naast door de auteur, slechts door een handjevol mensen gelezen.

Verkruijsse geeft aan dat financiële rapportages nauwelijks gericht zijn op een specifieke doelgroep en dat hierbij dus ook geen onderscheid wordt gemaakt naar de informatiebehoefte van ver- schillende doelgroepen. Hij wijst tevens op de wijze waarop rap- portages tot stand komen en refereert zelfs aan een ‘spreadsheet hel’. Volgens Verkruijsse zijn minder dan 10% van de gebruikte spreadsheets getest zijn en deze nu juist de centrale bron vormen voor de rapportages die organisaties genereren.

Consolidated spreadsheets for management

Management reporting ERP

Finance

Een spreadsheet hel

NO CONTROL Multiple departmental spreadsheets

NO CONTROL

NO CONTROL

NO CONTROL NO CONTROL

Subsidia

One US company has 2000 data elements using 6500 spreadsheets

(not a typo)

Figuur 1: In control met spreadsheets?

Verkruijsse zet accountants het liefst aan tot een verandering die voor velen een paradigmashift in zal houden. Figuur 2 is een weer- gave van trends in het rapportageproces die in verschillende secto- ren reeds is ingezet, maar een echte omarming van de techniek laat nog steeds op zich wachten.

Verkruijsse verwijst bij de technische ontwikkelingen nadrukkelijk op de toepassing van XBRL (eXtensible Business Reporting Langu- age). XBRL is een op XML gebaseerde, royaltyvrije, open standaard ontwikkeld door XBRL International, een non-profit consortium

van meer dan 300 organisaties. XBRL is de wereldstandaard voor digitaal rapporteren en maakt de publicatie, uitwisseling en ver- werking van bedrijfsrapportages binnen de dynamische en interac- tieve wereld van het internet mogelijk. Daarnaast biedt XBRL een algemeen platform voor het afwikkelen van kritieke rapportage- processen en verbetert de kwaliteit en efficiency van rapportages zowel tussen als binnen organisaties.

Trends in rapporteren

Het huidige systeem Het toekomstige systeem så!LLEENåOPåPAPIER

så3TANDAARDåINFORMATIE så6EELHEIDåAANå åååACCOUNTINGåREPORTING så*AARLIJKS

så!LLEENåFINANCIEEL

så-EERDEREåKANALENåEN åååMEDIAåZOALSåå0$&å7EBSITEå ååå(4-, å8-,8"2, så)NFORMATIEåOPåMAAT så3TANDAARDISATIEå)&2353ååååå ååå'!!0å)&23 3-%S så0ERIODIEK så-EERåBUSINESSå

Figuur 2: IT speelt een grotere rol in het rapportageproces

Voordelen die XBRL met zich meebrengt:

• Lagere kosten voor het rapporteren en analyseren van (financiële) gegevens;

• Versnelling in beschikbaarstelling en verwerking van gegevens;

• Betere kwaliteit van informatie door eenduidigheid en transparantie;

• Eenvoudig hergebruik en analyse van de inhoud van rapportages.

Structuur XBRL

XBRL-Specification XBRL-Taxonomy

XBRL-Instance Style Sheet

Technische standaard

XBRL-gegevens, niet voor de mens leesbaar Templates

Woordenboek

Figuur 3: Opbouw XBRL

Verkruijsse wijst tijdens het interview op diverse publicaties in de nieuwsrubriek van www.accountant.nl uit 2008 waarin wordt gewezen op de invloed die het gebruik van XBRL heeft op de con- troleaanpak van de accountant.

Met het uniform subsidiekader wordt verlaging van de administratieve lasten en een eenvoudiger financieel beheer beoogd. Het gaat uit van proportionaliteit, (meer) vertrouwen en eigen verantwoordelijk- heid van de subsidieontvanger. Het subsidiekader kent drie standaard uitvoerings- en verantwoordingsarrangementen, afhankelijk van de hoogte van het subsidiebedrag:

• tot € 25.000: direct vaststellen of desgevraagd verantwoording over de prestatie;

• vanaf € 25.000 tot € 125.000: verantwoording over de prestatie;

• vanaf € 125.000: verantwoording over kosten en prestaties.

Het subsidiekader voorziet verder in uniformering en vereenvou- diging van begrippen en verplichtingen in het subsidieproces, zoals termijnen, automatische bevoorschotting en minder tussenrappor- tages. Ten slotte is voorzien in een gedegen aanpak om misbruik en oneigenlijk gebruik (M&O) te voorkomen. Het doel is te komen tot een rijksbreed M&O-beleid dat de volgende aspecten omvat:

a. risicoanalyse bij de totstandkoming van elke subsidieregeling. Op basis hiervan dienen adequate maatregelen te worden genomen en kunnen de gemaakte keuzes worden verantwoord;

b. het departementaal registreren van misbruik en fraude bij subsi- dies. Hierdoor wordt beter inzicht verkregen in de mate waarin misbruik bij subsidies voorkomt;

c. het consequent gebruikmaken van de beschikbare sanctiemoge- lijkheden: preventief weigeren, terugvorderen en aangifte bij het openbaar ministerie;

d. evaluatie van subsidieregelingen.

Dit beleid is vastgelegd in Aanwijzingen voor de Rijksdienst en wordt uitgewerkt in een rijksbrede leidraad. Deze leidraad wordt gelijktij- dig met de Aanwijzingen gepubliceerd. Het subsidiekader zal in 2012 worden geëvalueerd.

COVERSTORYARTIKEL

DOOR WES GaLEKoP

COVERSTORYARTIKEL

ZIEN(*) sprak over het subsidiekader met Hans Timmers (RAD, cluster VWS 2), Rodney Betorina (ministerie van Financiën, directie Begrotingszaken) en Kees Berbee (AD-OCW, vaktechniek) over de nieuwe structuur, de invloed op de werkzaam-

heden van de auditor en het (verwachte) effect op de uitvoeringskosten.

HET UNIfORM

'controle is goed, vertrouwen is beter',

maar wel:

verantwoord vertrouwen!

subsidie kader:

Welke gevolgen heeft het nieuwe kader op de werkzaamheden van de auditor?

Hans: de accountant belast met de controle van het jaarverslag van het ministerie zal vaststellen of het toezicht door de directie (inclu- sief risicoanalyse) voldoende is om daarop te kunnen steunen voor zijn rechtmatigheidsoordeel. Dat betekent eigenlijk dat de accoun- tant een vertaling maakt van dit deel van het financieel beheer naar zekerheid over de gelden op artikelniveau. Deze vertaling is een kwalitatief afwegingsproces. Als de auditdienst van mening is dat het subsidiebeheer niet toereikend is zal dat primair voor de gecontroleerde aanleiding moeten zijn tot extra werkzaamheden (bijvoorbeeld steekproeven).

Rodney: de auditor kan met zijn brede kennis een belangrijke adviesrol vervullen voor de beleidsdirectie bij het uitvoeren van de risicoanalyse en ten aanzien van de invulling van het M&O- beleid en de controleerbaarheid van regelingen. Het is beter pro- blemen vooraf te signaleren en te voorkomen, dan achteraf als auditor te roepen dat het fout is. Hier ligt dus een mooie kans voor de auditor.

Kees: er dreigt hier wel collisiegevaar. De auditor zal gebruik maken van de risicoanalyse maar is straks ook vaak medeopsteller/

facilitator ervan. Dit moet eigenlijk de beleidsdirectie doen. Daar-

naast wordt de auditor inderdaad ook gevraagd om te adviseren bij aanpassing van regelingen en bij verhoogd M&O kijkt de AD naar de toereikendheid van het beleid.

Dekt het kader misbruik voldoende af?

Rodney: ja, de beheersingsmaatregelen verschuiven naar de voor- kant waar per nieuwe regeling en subsidieaanvraag een risicoana- lyse plaatsvindt. In het kader is echter ook bij de vervolgstappen van uitvoering tot en met periodieke evaluatie van een regeling serieuze aandacht en instrumenten om misbruik af te dekken. een regeling kan, naar aanleiding van risicoanalyse, overigens wel van zwaarder naar lichter arrangement overgaan; niet van lichter naar een zwaarder arrangement. en de verplichte registratie van M&O van subsidies zal mede als input kunnen dienen voor toekomstige aanvragen.

Het schema hierboven illustreert dat in elke fase van het subsi- dieproces op basis van risicoanalyse voldoende aandacht wordt besteed aan het tegengaan van misbruik.

Kees: minder verantwoording en controle kan natuurlijk wel leiden tot andere “clientèle”! Met name kleinere instellingen lieten in het verleden meer fraudegevallen zien.

Hans: maar voor elke aanvragende instelling waar nog geen gege- vens van bekend zijn zal normaal gesproken een intakeprocedure uitgevoerd worden. Belangrijk is ook dat de verantwoordingsfocus bij kleine subsidies zal liggen op het leveren van de prestatie of dienst in plaats van op de (werkelijke) kosten. Dit is een prikkel om de subsidie efficiënt te besteden; geen uitnodiging tot misbruik!

Het kan incidenteel wel voorkomen dat de werkelijke kosten uit- eindelijk lager zijn dan het subsidiebedrag maar dit hoeft dan niet te leiden tot terugvordering.

Rodney: het is ook niet de bedoeling dat te ruim gesubsidieerd gaat worden zodat er (grote) overschotten bij de subsidieontvan- ger ontstaan. Onderdeel van het kader is juist dat er een kritische beoordeling vooraf op de begroting plaatsvindt voordat de subsi- die wordt verleend. Onderdeel van die beoordeling kan ook zijn of wel tot 100 % van de ingediende begroting gesubsidieerd moet worden. De subsidieverstrekker heeft dit zelf in de hand. Ook kan dit mogelijk worden tegen gegaan door gebruik te maken van standaardtarieven.

Kees: daarnaast komt er voor de ontvanger een actieve meldings- plicht bij niet nakoming van de voorwaarden, bijvoorbeeld omdat de activiteiten waarvoor de subsidie is verleend niet zullen worden verricht. Afhankelijk van de oorzaken kunnen er dan met het depar- tement nieuwe afspraken worden gemaakt. Indien er niet gemeld wordt, kan dit verstrekkende gevolgen hebben voor de ontvanger.

Rodney is bij de samenstelling van de nieuwe leidraad (M&O) betrokken en geeft de huidige status weer. Het kader is goedge- keurd door de Ministerraad en aangeboden aan de Tweede Kamer (april 2009) en bindend voor nieuwe regelingen vanaf 1-1-2010.

Twee jaar later moeten alle bestaande regelingen (rijksbreed circa 400) zijn aangepast. We liggen op dit moment op koers. De lei- draad M&O en het sanctiebeleid zijn nog onder handen, maar bijna gereed.

Kees is lid van de zojuist gestarte OCW-werkgroep “Deelpro- ject Misbruik en Oneigenlijk gebruik/risico”. Hij geeft aan dat er grote behoefte is aan een eenvoudiger uitvoering en financieel beheer van rijkssubsidies. In dit kader kan bij een nieuwe regeling besloten worden of geld in de vorm van een subsidie of anders- zins (opdracht of lumpsum) beschikbaar wordt gesteld. Bij OCW wordt het merendeel van de uitgaven overigens geregeld via een lumpsumbijdrage.

Hans is als lid van het expertisecentrum subsidies bij VWS betrok- ken geweest bij de totstandkoming van het kader. De invulling van de arrangementen diende zorgvuldig te gebeuren en heeft daarom de nodige tijd gekost. Het eerste arrangement kent bijvoorbeeld twee varianten. In variant 1a wordt de subsidie direct vastgesteld en vindt er geen verantwoording achteraf plaats. Bij variant 1b

wordt de subsidie verleend en na verloop van tijd ambtshalve, zonder aanvraag tot subsidievaststelling van de subsidieontvanger, door de subsidieverstrekker vastgesteld. Zolang de termijn voor de ambtshalve vaststelling nog niet is verstreken, houdt de subsi- dieverstrekker de mogelijkheid om steekproefsgewijs te controle- ren door bijvoorbeeld verantwoording te vragen over de aan de subsidie verbonden verplichtingen en om - indien niet of niet geheel aan de voorwaarden zijn voldaan - terug te vorderen.

Rodney: het niet meer verantwoorden over de kosten bij de twee lichtste arrangementen, maar over de vraag of de afgesproken prestatie is verricht vraagt een omslag in het denken, kijken en behandelen van subsidies. er is sprake van “verantwoord vertrou- wen”. Als er geen vertrouwen in de aanvraag is dan wordt ook geen subsidie verstrekt (preventief weigeren). Wel gemotiveerd natuurlijk, want het moet ook juridisch houdbaar zijn.

Is dit niet in strijd met de gewenste uniformiteit?

Nu gaan departementen (op onderdelen) toch weer zelf (nader) beleid ontwikkelen!

Kees: er komt een interdepartementale implementatiewerkgroep die de uniformiteit van de uitwerking bewaakt. er wordt in dit kader ook gewerkt aan uniforme modelbepalingen e.d.

Volgens onderzoek zouden de uitvoeringslasten circa 20% en de administratieve lasten ongeveer 30% lager worden! Is dat niet te optimistisch?

Rodney: onderzoek heeft uitgewezen dat de besparing in de uit- voeringslasten ongeveer € 18 mln (23 % van de uitvoeringslasten) zal bedragen en op de administratieve lasten is bijna € 58 mln (30%) te besparen. Dit zijn natuurlijk enorme bedragen en per- centages. Uiteraard zal de besparing bij het ene departement en uitvoerder groter zijn dan bij anderen. De kosten gaan in eerste instantie voor de baat uit omdat bestaande regelingen moeten worden aangepast, per nieuwe regeling dient een risicoanalyse te worden opgesteld.

Hans: het realiseren van besparingen in administratieve en uitvoe- ringslasten is naar mijn mening voor een belangrijk deel afhankelijk van de sturingsvisie van de beleidsdirectie en een daarbij passende slimme bekostigingswijze. Grote, uitvoeringstechnisch lastige rege- lingen worden hopelijk eenvoudiger gemaakt binnen de mogelijk- heden die het kader daarvoor biedt. en hier zal meer dan tot nu toe het geval was aandacht voor zijn!

Kees: ook de controlekosten (per post) zullen dalen als de regeling eenvoudiger is.

Het subsidiekader zal zich nog moeten bewijzen, maar de “winst”

zal in beginsel toch zijn: uniformiteit, eenvoud en lagere controle- en uitvoeringslasten. Zeker geen blind vertrouwen! «

MAGAZIEN 18 MAGAZIEN 17

Risicoanalyse Subsidieaanvraag (2)

Toetsing van aanvraag. Op basis van risicoanalyse ventueel: nadere controle;

intensivering van de verantwoording/

controle; of preventief weigeren;

Uitvoering (3)

Meer vertrouwen en eigen verantwoorde- lijkheid zoals de meldplicht voor de subsidieontvanger. Communicatie over tegengaan misbruik in beschikkingen;

(steekproefsgewijze) Verantwoording (4)

De subsidieverstrekker controleert altijd of de (steekproefsgewijze) verantwoording voldoet aan de voorwaarden die hieraan zijn gesteld;

Periodieke evaluatie (8) Evaluatie met specifieke aandacht voor misbruik en oneigenlijk gebruik.

Levert input voor bijstellen subsidieregeling en/of proces;

Regeling (1)

Bij opstellen van de regeling risico’s identificeren en/of voorkomen. O.b.v. latere controles, registratie, evaluatie regeling zonnodig bijstellen;

Sancties (6)

Bij misbruik (w.o. niet nakomen van meldingsplicht) consequent:

de subsidie lager of niet uitkeren;

terugvorderen van de subsidie incl.

wettelijke rente; en aangifte bij OM bij fraude;

Risicogeorienteerde controle (5)

Op basis van risicoanalyse eventueel:

aanvullende administratieve of fysieke controles. Verslaglegging over resultaten;

Registratie misbruik (7)

Registreren van aanvrager/ misbruik en reeds getroffen sancties t.b.v. risicoanalyse bij:

een subsidieregeling; de (steekproefs-gewijze) verantwoording; de steekproefsgewijze controles;

een individuele subsidietoekenning (preventieve weigering). Biedt op departementaal niveau inzicht in de aard en omvang van misbruik;

Hans Timmers

Kees Berbee Rodney Betorina

THEOFFICE

Hans Sleebos Hans Sleebos is senior beleidsmedewerker bij de Directie Bevei-

liging Burgerluchtvaart van de Nationaal Coördinator Terroris- mebestrijding (NCTb). Naast zijn taken als beleidsmedewerker voert Hans sinds 9 jaar inspecties en audits uit naar de beveiliging op nationale en internationale vliegvelden. Hans doet deze werk- zaamheden voor drie internationale organisaties: de europese Unie (eU), de european Civil Aviation Conference (eCAC) en de International Civil Aviation Organization (ICAO). Voor deze onderzoeken bezocht Hans vliegvelden in engeland, Frankrijk, de VS, Indonesië, Thailand, Bulgarije, Armenië, Moldavië en Kazach- stan. Hans: “In onze onderzoeken kijken we naar controlemaatre- gelen voor onder meer medewerkers, passagiers, bagage, vracht en voertuigen. Met deze maatregelen moet een luchthaven pro- beren te voorkomen dat verboden voorwerpen (zoals een bom) zich in het vliegtuig of op het vliegveld bevinden. Hoewel we er aan de ene kant op vertrouwen dat vliegvelden deze maatregelen goed uitvoeren, vinden we aan de andere kant dat we dit wel moeten controleren…“

Internationale richtlijnen

Als normen hanteren de inspecteurs internationaal afgevaardigde richtlijnen. “Sinds 11 september 2001 kent de eU aangescherpte regelgeving op het gebied van de beveiliging van de burgerlucht- vaart. Deze eU-richtlijnen zijn juridisch bindend. De eCAC- en ICAO-richtlijnen hebben de vorm van aanbevelingen”, vertelt Hans. Op basis van deze internationale richtlijnen hebben de drie organisaties hun eigen inspectiehandboeken met internationaal afgestemde checklisten. Hans is gecertificeerd inspecteur voor alle drie de organisaties. Hans: “om gecertificeerd te worden, moet je een opleidingstraject volgen. Het traject voor de eCAC duurde 10 dagen en was best pittig. Het slagingspercentage van deze opleiding was voor het eerste examen slechts 30%.”

Mystery guest

Tijdens een inspectie maakt Hans gebruik van verschillende onderzoeksmethodes. De inspecteurs bestuderen documenten, interviewen betrokken beambten, doen observaties en voeren

tests uit als mystery guest. “Tijdens de inspectie testen wij de beambten door ons voor te doen als passagier of medewer- ker. We kijken dan of onze bagage of toegangspas goed wordt gecontroleerd. Deze testen doen we altijd aan het begin van een inspectie. een vliegveld is namelijk net een klein dorp, na een dag of twee is bij het personeel wel duidelijk dat wij van de Inspectie zijn. Dan gaan wij verder met interviews”, legt Hans uit.

een inspectie duurt 1 tot 2 weken. Voorafgaand aan de inspectie wordt een pre audit questionnaire ingevuld door het te bezoeken land en worden documenten opgevraagd.

Sancties

Op basis van de onderzoeksresultaten worden de rapportages geschreven. Dit kunnen behoorlijke boekwerken zijn. Hans ver- telt dat zijn laatste rapportage voor een eCAC-inspectie wel 120 pagina’s telde. De eU kan naar aanleiding van haar onderzoeken sancties uitvaardigen. Dit varieert van het geven van waarschu- wingen tot, als ultieme sanctie, het sluiten van vliegvelden. Dit laatste heeft Hans nog nooit meegemaakt.

Kazachstaanse staatstelevisie

Gedurende de inspecties is het hard werken voor Hans en ziet hij voornamelijk alleen de vliegvelden van de landen die hij bezoekt.

Toch probeert hij bij ieder bezoek een halve dag te vrij te maken om iets van het land te zien. Hans denkt met plezier terug aan Kazachstan. Hij heeft daar zelfs zijn televisiedebuut gemaakt.

Hans: “in Kazachstan is ieder bezoek van buitenlanders heel belangrijk, zo ook onze inspectie. Ik werd daarom als project- leider geïnterviewd voor de staatstelevisie. Ik vertelde daar hoe mooi ik het land vond en hoe vriendelijk de mensen waren toen ik abrupt werd onderbroken door de interviewer. Ze wilden eigen- lijk alleen weten wat het oordeel van de inspectie was. Omdat we daar nog mee bezig waren, kon ik daar niets over loslaten. Ik vertelde de reporter wel dat ik was gekomen met een Kazach- staanse vliegmaatschappij en dat ik daarmee ook weer zou ver- trekken. Dat dit niets met het onderzoek te maken had, heb ik hem maar niet verteld.“ «

DOOR rooS KaLKEr

Trust but verify …

Inspecties naar de beveiliging op luchthavens

THEOFFICE

Karsten Klein (l) • Wim Kers (r)

ARTIKEL ARTIKEL

MAGAZIEN 21

Vertrouwelijk omgaan met informatie is inherent aan het auditvak.

De vertrouwelijkheidseisen die gesteld worden, zijn terug te vinden in de gedrag- en beroepsregels van NIVRA, NOReA en IIA/VRO. In deze regels is vastgelegd hoe de auditor zich tijdens en na de uitvoe- ring van zijn onderzoek dient te gedragen.

Uitgangspunt van de WOB is openbaarheid van overheidsinforma- tie. Het recht van de burger op informatie over het handelen van de overheid is verankerd in de Grondwet en wordt in de WOB nader uitgewerkt.

Met het principe van openbaarheid als uitgangspunt, kent de WOB een aantal uitzonderingssituaties. Deze uitzonderingsgronden zijn te verdelen in absolute en relatieve uitzonderingsgronden.

Bij een absolute uitzonderingsgrond mag de informatie niet ver- strekt worden, wanneer dit de eenheid van de Kroon kan schaden of wanneer de staatsveiligheid in het geding is. Bij een relatieve uit- zonderingsgrond vindt een belangenafweging plaats tussen het alge- meen belang van openbaarheid en het specifieke belang dat bij de uitzonderingsgrond is verwoord. In deze gevallen moet gemotiveerd

worden aangegeven waarom vertrouwelijkheid tijdens en/of na het onderzoek gewenst is. Naast deze uitzonderingsgronden is in de WOB een beperking opgenomen voor het verstrekken van informa- tie uit documenten die bedoeld zijn voor intern beraad. Persoonlijke beleidsopvattingen die in deze documenten zijn opgenomen, hoeven niet openbaar gemaakt te worden.

er is een onderscheid tussen de uitzonderingsgronden tijdens een onderzoek en na afloop van een onderzoek.

Tijdens een onderzoek kan een reden tot weigering tot openbaarma- king bestaan doordat de zorgvuldige uitvoering van auditwerkzaam- heden erdoor gehinderd kan worden. Zo dient voor een zorgvuldige rapportageprocedure eerst hoor- en wederhoor te hebben plaats- gevonden. Ook ligt het voor de hand dat het conceptrapport in ieder geval vertrouwelijk blijft tot de opdrachtgever erover beschikt en zich er een mening over heeft kunnen vormen.

Tijdens de uitvoering van het onderzoek kan aannemelijk gemaakt worden dat auditwerkzaamheden niet goed uitgevoerd kunnen wor-

Het werk van de overheidsauditors speelt zich veelal binnen de departementen af.

Verantwoordingen, doorlichtingen en audits worden met het management besproken en afgestemd. In vergelijking met de werkzaamheden van de Algemene Rekenkamer krijgen interne audits uiteraard minder journalistieke aandacht.

Toch komt het voor dat er ineens veel interesse voor een onderwerp ontstaat en dat journalisten met een beroep op de Wet openbaarheid bestuur (WOB) een verzoek tot openbaarmaking van auditrapporten indienen. Een dergelijk verzoek zet een juridische machine in werking die in veel gevallen leidt tot het openbaar worden van onderzoeksresultaten. Wat is de rol van de auditor in een dergelijke situatie en waar moet hij/zij rekening mee houden?

EEN JOURNALIST AAN DE LIJN!

den wanneer deze niet in vertrouwelijkheid kunnen plaatsvinden.

Auditors spelen een rol bij het goed kunnen functioneren van een bestuursorgaan en de werkzaamheden die hieraan bijdragen, moe- ten zorgvuldig kunnen gebeuren. een onzorgvuldige werkwijze als gevolg van een verzoek tot openbaarmaking maakt hier inbreuk op.

Na afloop van een onderzoek zal een auditrapport op verzoek vrij- wel altijd openbaar gemaakt moeten worden. Uitzonderingsgronden na afloop zouden kunnen liggen in het feit dat er in het auditrapport persoonlijke beleidsopvattingen staan of dat het document strikt bedoeld is voor intern beraad. Nog onduidelijk is of, wanneer het definitieve auditrapport al verschenen is, voor de deelproducten en onderliggende documenten hierop nog steeds een beroep kan wor- den gedaan. Hierover verschillen de deskundigen van mening.

De WOB biedt dus mogelijkheden om de uitoefening van het audit- vak te beschermen. De WOB biedt voldoende aanknopingspun- ten voor de auditor om vertrouwelijkheid richting de auditee en opdrachtgever te garanderen en ook de methode van onderzoek te

beschermen. Of dit wenselijk is, moet per geval beoordeeld worden in samenspraak tussen opdrachtgever en auditor.

De opdrachtgever is het eerste aanspreekpunt bij een verzoek tot openbaarmaking. De auditdienst heeft echter wel een belang bij het al dan niet openbaarmaken van een onderzoek, omdat de auditfunc- tie en de uitoefening hiervan bescherming verdienen en in het geding kunnen komen. een nauwe afstemming tussen auditor, opdrachtge- ver en auditee is dan van belang.

Wanneer een uitzonderingsgrond van toepassing is, kan het be- stuursorgaan zich daarop beroepen en een verzoek tot openbaar- making van auditdocumenten (deels) weigeren om zo het belang van de organisatie en de uitoefening van de werkzaamheden niet te schaden.

In het geval een journalist in de zoektocht naar een auditrapport rechtstreeks contact opneemt met de auditdienst is het verstandig contact op te nemen met de directie voorlichting. Deze is op de hoogte van de te volgen stappen in de WOB-procedure. «

MAGAZIEN 22 DOOR KarStEN KLEIN & WIm KErS

HELP ,

Ender: Kijken we naar ons onderzoek, dan zie je de overheid op dit vlak ook in beweging komen. Zo wordt er gekeken naar het terugdringen van datacenters (rekencentra). Men denkt richting een gezamenlijk datacenter voor heel het Rijk. Zo’n datacenter zou dan volgens de laatste normen kunnen worden ingericht.

In het bedrijfsleven zie je verder dat de grote accountantskantoren op kleine schaal bezig zijn met dienstverlening rond MVO-, energie- en duurzaamheidsvraagstukken.

Wat gaan jullie doen met de resultaten van jullie onderzoek?

Hoe breng je het in de praktijk?

Marnix: Aangezien technologie snel verandert dient dit raamwerk actueel te worden gehouden. Kennisontwikkeling op het terrein van groene ICT blijft daarom van belang.

Ender: een logische vervolgstap voor ons onderzoek is dat op basis van het ontwikkelde raamwerk klassen worden aangebracht voor labeling, vergelijkbaar met die van auto’s. De vraag is vervol- gens wie de certificering afgeeft.

Als we kijken naar de praktijk binnen het Rijk dan zie je dat er nu al veel behoefte is aan advies en onderzoeken op gebied van de duurzaamheidsdoelstellingen. Hier kunnen, nee moeten we als auditdienst op inspelen! «

Ender Atalay (l) • Marnix Eedens (r) DEAUDITORVANDETOEKOMsT DEAUDITORVANDETOEKOMsT

Wat voorafging

De opwarming van de aarde staat de laatste jaren volop in de belangstelling. Bekende persoonlijkheden als Bill Clinton en Al Gore werpen zich op om de klimaatverandering onder de aandacht te brengen en overheden en het bedrijfsleven te bewegen hier hun verantwoordelijkheid in te nemen. Ook de film “The Age of Stu- pid”, die binnenkort in première zal gaan, besteedt aandacht aan de klimaatverandering. De film zal een doomscenario schetsen hoe in het jaar 2055 onze planeet volledig onleefbaar zal zijn.

Tegen de achtergrond van deze wereldproblematiek waren ender Atalay en Marnix eedens bezig met hun IT-audit studie. Toen midden 2008 het punt aangebroken was om te gaan afstuderen was na een brainstorm met hun leidinggevende het onderwerp snel gevonden.

Want ook de IT-sector moet haar verantwoordelijkheid nemen en wat is nu mooier om hier als auditor aan bij te dragen?

ender en Marnix: We waren beiden enthousiast over de mogelijk- heden van groene ICT. Als je de sector bekijkt, dan is veel hardware geconcentreerd in datacenters. Hier hebben bedrijven hun servers en apparatuur draaien die er o.a. voor zorgen dat jij en ik het inter- net op kunnen. Je kunt je voorstellen dat het energieverbruik van die datacenters enorm is. Zo blijkt uit een onderzoek dat Niels Sijpheer in 2008 uitvoerde dat het energieverbruik van datacenters en ICT in onze kantoren in Nederland over dat jaar goed was voor het stroomverbruik van 875.000 huishoudens. De keuze voor ons onderzoek was dan ook snel gemaakt!

Marnix: Iedereen is zich bewust dat het probleem van de klimaat- verandering er is en dat we daarom zuiniger met de aarde moeten omgaan, waaronder onze energie schoner maken en ons energie-

Hoe groen zijn datacenters? Welke elementen spelen hierbij een rol? En hoe kom je tot een raamwerk waarmee je de mate van groenheid van een datacenter kunt auditen? Ender Atalay en Marnix Eedens, IT-auditors bij de Rijksauditdienst, weten hier alles van. Zij deden hier in het kader van hun postgraduate IT-audit opleiding onderzoek naar. ZIEN(*) sprak met hen over de resultaten van het onderzoek en de link tussen theorie en praktijk.

DOOR SaNDEr vaN DEr KraaN

Marnix: Het raamwerk bestaat uit elementen die de mate van groenheid van een datacenter bepalen. Daarbij hebben we een aan- tal categorieën onderscheiden.

De eerste categorie zijn de niet IT-gerelateerde elementen. Hieron- der vallen beleidsmatige elementen, afspraken en monitoring t.a.v.

energie-efficiënte en de locatie en het ontwerp van het gebouw. De tweede categorie zijn de IT-gerelateerde elementen. Hieronder val- len koeling en klimaat, voeding (UPS) en hard- en software. Om een paar elementen eruit te pakken. Zo kun je bij locatie en ontwerp van het gebouw denken aan het gebruik van energiezuinige lampen (bijvoorbeeld LeD) en kun je bij koeling denken aan het gebruik van natuurlijke hulpbronnen zoals een waterstroom in de buurt die het koelsysteem van het gebouw koelt.

Ender: In Nederland is de temperatuur van de buitenlucht bij- voorbeeld zeer geschikt om een gebouw koeler te maken. Gedu- rende 90% van het jaar is de lucht koel genoeg om voor dit doel te gebruiken.

Marnix: Daarna werd het tijd voor praktijkonderzoek. Dit heb- ben we gedaan door het raamwerk aan enkele grote spelers op de datacentermarkt voor te leggen.

Ender: Naast een toets op het raamwerk stelden we daarbij ook de vraag welke elementen uit het raamwerk zij zouden toepas- sen. Hieruit bleek dat het van belang is om per bedrijf te kijken welke elementen je uit het raamwerk kunt toepassen. Ieder bedrijf is namelijk verschillend. Uiteraard moet je dan beargumenteren waarom je een maatregel niet toepast.

Marnix: Als je die keuzes maakt met het doel om energie te besparen, dan zijn uiteraard de continuïteit en de beschikbaar- heid van je dienstenverlening ook van belang. Denk bijvoorbeeld aan mogelijke risico’s bij virtualisatie als oplossing om het aantal servers terug te dringen.

Ender: Ook de veiligheid van gegevens mag niet uit het oog wor- den verloren. Kortom, kwaliteit en efficiëntie van de dienstverle- ning mogen niet uit het oog verloren worden. Hier is nog heel wat te winnen voor de auditor.

Hoe ziet de markt voor dit soort onderzoeken eruit? Zijn jullie de enigen die zich hierin hebben verdiept?

Marnix: Als je naar de overheid kijkt dan zie je dat in het kader van CO2-reductie en energiebesparing steeds meer vraag komt naar ondersteunende dienstverlening. De overheid wil hierbij een voor- beeldpositie spelen. Dit blijkt uit de Kabinetsbrede Aanpak Duur- zame Ontwikkeling (KADO) die door de minister van VROM en de minister van Ontwikkelingssamenwerking (OS) aan de Tweede Kamer is gestuurd. In deze zogenaamde KADO-brief geeft het Kabinet Balkenende IV invulling aan de paragraaf 'Duurzaam moet je doen' uit het beleidsprogramma 2008 -2011. Wij voeren momenteel een pilot audit uit om te kijken in hoeverre het Ministerie van Finan- ciën op koers ligt met de KADO-doelstellingen. een van die doelen is jaarlijks een energiebesparing te behalen van 2% ten opzichte van het voorgaande jaar, met als einddoel 25% reductie in 2020.

toekomst

De AuDitor vAn De

verbruik terugdringen. Vanuit overheden zie je al diverse initiatie- ven op het gebied van energiebesparende maatregelen, zoals het doorvoeren en het invoeren van energieklassen voor diverse pro- ducten. Denk daarbij aan het energielabel voor woningen en auto’s, maar ook huishoudelijke producten zoals wasmachines en vaatwas- sers. Hoewel enkele datacenters zich voorzichtig bezighouden met groen worden, zie je nog geen labeling die aangeeft of en zo ja hoe groen zo’n datacenter dan is.

Ender: De auditor kan daarbij een rol spelen door het datacenter aan de hand van een raamwerk te onderzoeken. Naar de elementen die samen dit raamwerk moeten vormen hebben wij onderzoek gedaan. De volgende stap is het aanbrengen van de labeling. Naar dat laatste moeten wij nog onderzoek doen.

Hoe hebben jullie het onderzoek opgezet?

Marnix: De centrale vraag in ons onderzoek is welke elemen- ten het raamwerk dient te bevatten om te kunnen onderzoeken of een datacenter groen is. Om onze onderzoeksvraag te beant- woorden zijn we als eerste de theorie in gedoken en hebben we bestaande richtlijnen op gebied van energiebesparing binnen de ICT bekeken. Denk daarbij bijvoorbeeld aan het energie Star label voor monitoren.

Ender: en niet te vergeten de ‘Code of Conduct on Data Cen- tres Energy Efficiency’, welke op initiatief van de Europese Unie is opgesteld. Deze code is op dit moment de meest gangbare richtlijn. Belangrijke stakeholders binnen de ICT-branche hebben meegewerkt om tot die uiteindelijke code te komen. Aan de hand van literatuurstudie hebben we eerst een theoretisch raamwerk opgesteld.