De planningsfase van de verbijzonderde interne controle vormt de fundering voor een succesvolle uitvoering van de audits. Deze fase zorgt ervoor dat alle betrokken processen nauwgezet worden onderzocht en beoordeeld, zodat eventuele risico’s tijdig kunnen worden geïdentificeerd en beheerst. In dit artikel bespreken we de vier cruciale stappen in de planningsfase: het bepalen van de scoping, het uitvoeren van een procesanalyse, het uitvoeren van een risicoanalyse, en het bepalen van het normen- en toetsingskader. In het Auditplan komen deze elementen terug.
1. Bepaal de scoping
De eerste stap in de planningsfase is het bepalen van de scoping. Wat ga je betrekken in de VIC? En is dat ook wat in de financiële verordening als opdracht staat? Sommige gemeenten beperken zich tot enkel rechtmatigheid, terwijl andere gemeenten ook (onderdelen van) getrouwheid in de controles betrekken. Ook kan doelmatigheid en doeltreffendheid onderdeel zijn van de opdracht. Is dit nog niet scherp? Ga dan in gesprek met directie en bestuur om de kader van de VIC helder te krijgen.
Daarna gaan we bepalen welke processen en financiële stromen onderzocht moeten worden. Deze kun je in eerste instantie identificeren vanuit de begroting, jaarrekening vorig jaar en/of de financiële administratie/IV3-matrix. Het is essentieel om een duidelijke afbakening te maken van de gebieden die binnen de scope van de audit vallen. Dit kan bijvoorbeeld op basis van financiële omvang, of vanuit risicogevoeligheid en complexiteit van processen.
Tijdens deze stap worden de volgende vragen beantwoord:
- Op welke aspecten richten we de interne controles?
- Welke processen vallen onder de scope van de audit?
- Wat zijn de belangrijkste financiële stromen (baten, lasten, balansmutaties- en posten) die moeten worden onderzocht?
- Welke tijdsperiode wordt in de audit meegenomen?
Een goed gedefinieerde scope zorgt ervoor dat de audit gefocust blijft en dat er geen belangrijke gebieden worden overgeslagen.
2. Voer een procesanalyse uit
De tweede stap in de planningsfase is het uitvoeren van een procesanalyse. Hierbij worden de opzet en het bestaan van processen en systemen beoordeeld. Het doel van deze stap is om inzicht te krijgen in hoe processen zijn ingericht en in de basis zorgen voor een goede interne beheersing.
Tijdens de procesanalyse worden de volgende activiteiten uitgevoerd:
- Het in kaart brengen van de huidige processen en systemen.
- Het inventariseren van beheersingsmaatregelen, zowel handmatige handelingen als IT-controls.
- Het identificeren van eventuele knelpunten of inefficiënties, zoals ontbrekende procesbeschrijvingen of ontoereikende functiescheiding.
Een gedetailleerde procesanalyse helpt bij het begrijpen van de operationele aspecten van de organisatie en vormt de basis voor de te plannen procesgerichte controles. De procesanalyse geeft dus inzicht, (nog) geen zekerheid.
3. Voer een risicoanalyse uit
De derde stap is het uitvoeren van een risicoanalyse. Hierbij worden de belangrijkste procesrisico’s geïdentificeerd en gewogen ten opzichte van elkaar. De risicoanalyse bestaat uit het bepalen van zowel de kans als de impact van de risico’s.
De volgende vragen staan centraal in deze stap:
- Wat zijn de belangrijkste risico’s binnen de processen en systemen die zijn geanalyseerd?
- Hoe groot is de kans dat deze risico’s zich voordoen?
- Wat is de impact als deze risico’s zich voordoen, zowel financieel als imago, politiek, etc.?
- Welke beheersingsmaatregelen zijn er momenteel aanwezig of zouden moeten worden geïmplementeerd?
Risico’s worden vaak gewogen door het berekenen van de impact vermenigvuldigd met de kans (Impact x Kans). Op basis van deze weging kunnen prioriteiten worden gesteld en kunnen beheersmaatregelen worden aanbevolen om de geïdentificeerde risico’s te mitigeren. Je kunt deze weging visueel weergeven in een matrix. Het gaat er vooral om dat je focus aanbrengt in de controle, op aspecten waar het mis kan gaan. Tip: betrek gelijk het element fraude in deze risicoanalyse, daarmee creëer je een eerste basis voor de frauderisicoanalyse.
4. Bepaal het normen- en toetsingskader
De laatste stap in de planningsfase is het bepalen van het normen- en toetsingskader voor de rechtmatigheid. Dit kader omvat de wet- en regelgeving, alsook de interne beleid en procedures waaraan de organisatie moet voldoen. Door het opstellen van een duidelijk toetsingskader, weet de auditor welke punten tijdens de controle beoordeeld moeten worden.
In deze stap worden de volgende activiteiten uitgevoerd:
- Het identificeren van relevante wet- en regelgeving.
- Het vaststellen van interne beleidslijnen en procedures die van toepassing zijn.
- Het formuleren van toetspunten die tijdens de audit beoordeeld zullen worden, en de vertaling daarvan naar checklists of controleapplicaties.
Een goed gedefinieerd normen- en toetsingskader zorgt ervoor dat de audit gestructureerd en objectief kan worden uitgevoerd, en dat de resultaten betrouwbaar en bruikbaar zijn voor de op te stellen rechtmatigheidsverantwoording.
Conclusie: Een goed begin is meer dan het halve werk
De planningsfase van een interne controle is een cruciale stap die de basis legt voor een succesvolle audit. Door het nauwkeurig bepalen van de scoping, het uitvoeren van een gedetailleerde procesanalyse, het grondig uitvoeren van een risicoanalyse, en het zorgvuldig bepalen van het normen- en toetsingskader, kan een organisatie ervoor zorgen dat alle relevante aspecten van de controle worden gedekt. Dit leidt niet alleen tot een effectievere en efficiëntere audit, maar helpt ook bij het tijdig identificeren van potentiële risico’s, die daarmee vroeg in het controleproces kunnen worden gerapporteerd aan de proceseigenaar.