Over risico gestuurde interne controle in het sociale domein

Mark van de Weijer
Hoe draagt interne controle bij aan het efficiënt en effectief realiseren van gemeentelijke doelstellingen in het sociaal domein? En hoe past interne controle binnen het systeem van risicomanagement? Door vanuit de gestelde doelen, de daarmee gepaard gaande risico’s en de organisatorische maatregelen invulling te geven aan de interne controle. Zo betoogde Roel Korsmit van Adlasz tijdens de lunchworkshop die hij gaf op het RiskCongres PublicValues in Den Haag. Hieronder leest u een korte samenvatting van zijn presentatie.
Gemeenten hebben in het sociaal domein te maken met honderden partijen en een steeds verder toenemende hoeveelheid regelgeving die door de decentralisatie op hun bordje komt. Denk daarbij bijvoorbeeld aan alle gevolgen die de Wmo heeft op een gemeente. Hoe zorg je dan dat je als gemeente de gestelde doelen efficiënt en effectief realiseert?
De kern van dit vraagstuk is dat de rijksoverheid met het wettelijk kader een gedragsverandering wil realiseren die past bij de ontwikkeling van claimcultuur naar participatiemaatschappij. Aan het lokale bestuur de opdracht om de nieuwe wetten efficiënt en effectief – dat betekent dus met minder budget – op een rechtmatige manier uit te voeren. Adlasz krijgt vervolgens regelmatig de vraag om de interne controle hierop uit te voeren. Het is echter niet altijd duidelijk met welk doel die vraag wordt gesteld: bijvoorbeeld als input voor de accountantscontrole of ten behoeve van de governance?
In dergelijke gevallen stelt Adlasz voor de controle op een gestructureerde manier aan te pakken in de volgende vijf stappen:

We gaan kort op deze stappen in en sluiten af met een antwoord op de vraag over het doel van de interne controle. De tool ‘Beheersing beheerst’ kan dit proces optimaal ondersteunen. We geven daarom ter afsluiting een korte blik op het dashboard van deze tool.
Stap 1: Doel
De ervaring van Roel is dat het lokaal bestuur niet altijd scherp voor ogen heeft welke doelstellingen zij wil bereiken. Er is hiervan geen concreet, eenduidig beeld binnen de organisatie. Roel is ervan overtuigd – door ervaring wijs geworden – dat je niet kan meten of je de regelgeving op een rechtmatige manier uitvoert, wanneer je jouw doelstellingen niet scherp voor ogen hebt. Zijn advies is dan ook om ze concreet te maken en ervoor te zorgen dat iedereen ze kent.
Stap 2: Risico
Verder leert de ervaring dat de organisatie vaak geen zicht heeft op de strategische risico’s en zich vooral richt op de operationele problemen. Daardoor is er geen directe link tussen doelstellingen en maatregelen. Dit los je op met een systeem van risicomanagement dat is gericht op deze strategische doelstellingen. Hierbij maak je een inschatting van de omvang en de impact van risico’s. Vervolgens bepaal je passende maatregelen per risico, bijvoorbeeld een organisatorische maatregel, verzekeren, verhogen van het weerstandsvermogen, geen actie maar wel in de gaten houden of sturen op soft controls.
Stap 3: Organisatie
De volgende stap is om de organisatie in te richten op basis van de voorgaande stappen. Strategie en beleid, HRM, ICT, de primaire processen en planning & control moeten alle de realisatie van de doelstellingen ondersteunen.
Stap 4: Controle
Nu pas komen we toe aan de stap van de controle. Roel onderscheidt vier dimensies:
1. De controlepiramide
2. Van interne controle naar interne beheersing
3. De governance
4. De relatie met de accountant
Een korte toelichting.
De controlepiramide
Hier gaat het erom hoe de controle is georganiseerd en wie wat doet:
• Operationele controle en kwaliteitscontrole – deze zijn de verantwoordelijkheid van het lijnmanagement;
• Interne controle – deze moet onafhankelijk van het lijnmanagement plaatsvinden, bijvoorbeeld door concern-control;
• Externe controle – deze voert de externe accountant uit.
Van interne controle naar interne beheersing
Hier is het van belang dat een vliegwiel in gang wordt gezet vanuit de controle op de financiële processen door de accountant richting de integrale bedrijfsvoering. Daardoor ontstaat beheersing door bestuur en management. Zie de afbeelding hieronder.

De governance
Hierbij gaat het om de cyclus van kaders stellen – besturen en beheersen – verantwoording afleggen en toezicht houden. De stappen die daarbij horen zijn respectievelijk planvorming, uitvoering, verantwoording en actie op basis van de bevindingen.
De relatie met de accountant
Een organisatie maakt hierbij de afweging hoeveel zij zelf intern wil oppakken en hoeveel zij wil uitbesteden aan de externe accountant. Het schema hieronder geeft de keuzes weer.

Stap 5: Evaluatie
De laatste stap in het proces is de evaluatie van alle maatregelen. De bijdrage van interne controle in het proces zoals Roel dat heeft geschetst, is dat er antwoorden komen op de volgende vragen:
• Zijn de doelen bereikt?
• Zijn de risico’s in beeld?
• Is de organisatie op orde?
Hiermee is interne controle dienstbaar aan zowel de planning & control cyclus als aan de externe accountantscontrole.
Conclusie
Wanneer een interne controle alleen bedoeld is ter ondersteuning van de accountantscontrole, dan haalt de organisatie niet het optimale uit deze activiteit. Door de vijf hierboven geschetste stappen uit te voeren, wordt interne controle een ‘tool of management’, gericht op het realiseren van de organisatiedoelstellingen.
‘Beheersing beheerst’ : Ter ondersteuning van het interne-controleproces heeft Adlasz samen met Checkpoint IC de tool ‘Beheersing beheerst’ ontwikkeld. Deze tool neemt de organisatie stap voor stap mee door dit proces. Het maakt inzichtelijk waar de organisatie staat in de formulering en realisatie van de doelstellingen en in de controle op de maatregelen waarmee zij haar doelstellingen wil bereiken. Hieronder ziet u drie screenshots van het dashboard dat dit overzicht geeft.