Ziet u een fout in deze regeling? Meld het ons op regelgeving@overheid.nl!

Noord-Holland

Controlstatuut provincie Noord-Holland

Wetstechnische informatie

Gegevens van de regeling
Organisatie	Noord-Holland
Organisatietype	Provincie
Officiële naam regeling	Controlstatuut provincie Noord-Holland
Citeertitel	Controlstatuut provincie Noord-Holland
Vastgesteld door	gedeputeerde staten
Onderwerp	bestuur en recht
Eigen onderwerp

Opmerkingen met betrekking tot de regeling

Deze regeling treedt in werking met ingang van de dag na de datum van uitgifte van het provinciaal blad waarin het wordt geplaatst, met uitzondering van de artikelen 4.2, derde lid en 4.3, tweede lid, die in werking treden na de inwerkingtreding van artikel II, onderdeel G, aanhef en eerste lid van de Wet versterking decentrale rekenkamers.

Deze regeling vervangt het auditstatuut provincie Noord-Holland dat door Gedeputeerde Staten op 16 december 2014 is vastgesteld.

Wettelijke grondslag(en) of bevoegdheid waarop de regeling is gebaseerd

Financiële verordening provincie Noord-Holland

Overzicht van in de tekst verwerkte wijzigingen
Datum inwerkingtreding	Terugwerkende kracht tot en met	Datum uitwerkingtreding	Betreft	Datum ondertekening Bron bekendmaking	Kenmerk voorstel
20-05-2022			nieuwe regeling	10-05-2022 prb-2022-5849	1785768/1785769

Tekst van de regeling

Intitulé

Controlstatuut provincie Noord-Holland

Gedeputeerde Staten van Noord-Holland;

Overwegende dat de Financiële verordening provincie Noord-Holland per 1 januari 2022 is vervangen door een nieuwe Financiële verordening provincie Noord-Holland en de taken, bevoegdheden en verantwoordelijkheden van de concerncontroller nader dienen te worden uitgewerkt;

Gelet op artikel 6.5 van de Financiële verordening provincie Noord-Holland;

Besluiten vast te stellen:

Controlstatuut provincie Noord-Holland

Paragraaf 1. Algemeen

Artikel 1.1 Control

Control is de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden.

Artikel 1.2 Three lines

De provincie werkt voor de interne beheersing volgens het ‘’three lines’’ model:

1.
Het lijnmanagement is als eerste lijn zelf verantwoordelijk voor de interne beheersing.
2.
Controllers ondersteunen de eerste lijn bij de uitvoering en versterking van de interne beheersing. Controllers adviseren, coördineren en bewaken of het management die verantwoordelijkheid neemt. Controllers zijn onderdeel van de tweede lijn.
3.
De derde lijn (interne audit en de verbijzonderde interne controle) toetsen of de eerste en tweede lijn van interne beheersing goed functioneren.

Artikel 1.3 Zeven elementen van control

De provincie werkt voor het ontwikkelen, versterken en toetsen van de interne beheersing met zeven elementen van control. Deze elementen zijn:

1.
Doelstellingen zijn duidelijk en concreet, bekend in de organisatie en worden nagestreefd;
2.
Kaders en richtlijnen zijn actueel, bekend in de organisatie en worden gevolgd;
3.
Processen zijn goed ingericht, waar nodig vastgelegd en worden gevolgd;
4.
Informatievoorziening om te kunnen sturen en beheersen is op orde;
5.
Risicomanagement functioneert goed;
6.
Interne controle functioneert goed; en
7.
Houding en gedrag in de organisatie dragen bij aan goede beheersing.

Paragraaf 2. Concerncontroller

Artikel 2 Taken, bevoegdheden en verantwoordelijkheden concerncontroller

1.
De concerncontroller is de adviseur van de directie(s) en het bestuur met betrekking tot het rechtmatig, effectief en efficiënt behalen van de provinciale doelen en de verantwoording over de rechtmatige, effectieve en efficiënte inzet van middelen.
2.
De concerncontroller draagt zorg voor een raamwerk voor de effectieve en efficiënte sturing en beheersing van de organisatie en voor de verantwoording.
3.
Bij het gebruik van de in artikel 6.4, derde lid, van de Financiële verordening provincie Noord-Holland bepaalde bevoegdheid houden de concerncontroller en zijn medewerkers zich aan de kaders en richtlijnen die hiervoor bij de provincie zijn gegeven, tenzij de aard van het onderhanden werk zich daartegen verzet.
4.
De concerncontroller stelt elk jaar een jaarplan op.
5.
Gedeputeerde Staten stellen het in het vierde lid genoemde jaarplan vast.
6.
De concerncontroller blijft bevoegd om af te wijken van het in het vierde lid genoemde jaarplan indien actuele inzichten dit volgens de concerncontroller vereisen. Wanneer de concerncontroller gebruik maakt van deze bevoegdheid, stelt de concerncontroller Gedeputeerde Staten daarvan tijdig op de hoogte.
7.
De concerncontroller stelt jaarlijks een openbaar verslag op van zijn werkzaamheden en stuurt dit ter kennisname aan Gedeputeerde Staten.

Paragraaf 3. Business control

Artikel 3 Taken, bevoegdheden en verantwoordelijkheden controllers

1.
De controllers van de sector concerncontrol ondersteunen de concerncontroller onder zijn hiërarchische aansturing bij de taken genoemd in artikel 2.
2.
De concerncontroller wijst uit de sector concerncontrol aan elke directie een directiecontroller toe. De directiecontrollers maken deel uit van het managementteam van hun directie.
3.
De directeuren stellen met behulp van de directiecontrollers jaarlijks interne beheersplannen op voor hun directie die zijn ingericht volgens de zeven elementen van control genoemd in artikel 1.3.
4.
De directeuren voeren periodiek gesprekken met de sectormanagers binnen hun directie over de realisatie van hun doelstellingen en de uitvoering van het interne beheersplan. De directiecontroller ondersteunt de directeur bij deze gesprekken.
5.
De directeuren voeren periodiek gesprekken met de algemeen directeur over de realisatie van hun doelstellingen en de uitvoering van het interne beheersplan. De concerncontroller bereidt deze gesprekken voor en ondersteunt de algemeen directeur bij die gesprekken.

Paragraaf 4. Verbijzonderde interne controle

Artikel 4.1 Doel verbijzonderde interne controle

1.
De verbijzonderde interne controle heeft twee doelstellingen:
- a.
  het functioneel aansturen van de interne controle en de implementatie van herstelmaatregelen als bedoeld in artikel 4.5, eerste lid, van de Financiële verordening provincie Noord-Holland;
- b.
  het verschaffen van zekerheid aan Gedeputeerde Staten voor het getrouwe beeld van de jaarrekening en de rechtmatigheid van de baten en lasten en de balansmutaties.
2.
De verbijzonderde interne controle werkt als derde lijn zoals bedoeld in artikel 1.2, derde lid.

Artikel 4.2 Taken en verantwoordelijkheden coördinator verbijzonderde interne controle

1.
De coördinator verbijzonderde interne controle is verantwoordelijk voor de interne controle op de getrouwheid en rechtmatigheid van de baten en lasten en de balansmutaties van de provincie.
2.
De coördinator verbijzonderde interne controle stelt elk jaar een normenkader op voor de uitvoering van de financiële rechtmatigheidscontrole.
3.
Provinciale Staten stellen het normenkader genoemd in het tweede lid vast.
4.
De coördinator verbijzonderde interne controle stemt risico-inschattingen en controletoleranties af met de externe accountant.

Artikel 4.3 Jaarplan en verslag verbijzonderde interne controle

1.
De coördinator verbijzonderde interne controle stelt elk jaar een plan op met de aanpak voor de interne toetsing van de rechtmatigheid van het financiële beheer.
2.
Gedeputeerde Staten stellen het in het eerste lid bedoelde jaarplan vast.
3.
De coördinator verbijzonderde interne controle stelt tweemaal per jaar een verslag van de uitkomsten van de controles op. Dit verslag wordt in de directie besproken en ter kennisname aan Gedeputeerde Staten gestuurd.

Paragraaf 5. Interne audit

Artikel 5.1 Doel

1.
Interne audit heeft tot doel het doen van onderzoek ter verbetering van de rechtmatigheid, de effectiviteit en efficiency van de bedrijfsvoering zodat de provinciale doelen beter kunnen worden behaald.
2.
Interne audit werkt in beginsel als derde lijn, maar kan indien nodig ook als tweede of eerste lijn, zoals bedoeld in artikel 1.2, werken.

Artikel 5.2 Taken en verantwoordelijkheden

1.
Interne audit voert in opdracht allerlei verschillende typen onderzoek uit, waaronder audits. Een audit is een objectieve onderbouwde toetsing van de verschillen tussen een norm en de werkelijkheid.
2.
Het doel van een audit is om te beoordelen in hoeverre het onderzochte deel van de organisatie voldoet aan de normen, een conclusie te trekken over het functioneren van het onderzochte deel van de organisatie en voorstellen te doen voor verbetering.
3.
Interne audit voert op grond van artikel 6.3, vierde lid, onder b. juncto artikel 6.3, vijfde lid, van de Financiële verordening provincie Noord-Holland ook overige werkzaamheden uit. Deze werkzaamheden bestaan in elk geval uit het geven van advies, het overdragen van kennis, het faciliteren van workshops en ondersteuning bij het oplossen van problemen.
4.
De programmamanager interne audit coördineert voor de provincie de contacten met de Randstedelijke Rekenkamer.

Artikel 5.3 Jaarplan en jaarverslag onderzoeken interne audit met een ambtelijke opdrachtgever

1.
Interne audit stelt elk jaar in samenwerking met de directeuren en de concerncontroller een plan op voor onderzoeken in opdracht van de algemeen directeur, een directeur of de concerncontroller. Uitgangspunt voor de programmering van interne audit is onderzoek uit te voeren waarmee de hoogste risico’s voor de organisatie kunnen worden beheerst.
2.
De directie stelt het in het eerste lid genoemde jaarplan vast.
3.
Interne audit stelt elk jaar een verslag op over de realisatie van het jaarplan. Dit verslag wordt in de directie besproken.

Artikel 5.4 Opdrachtverlening en uitvoering

1.
Interne audit stelt voor de uitvoering van elk onderzoek een plan van aanpak op.
2.
Gedeputeerde Staten stellen het plan van aanpak voor een onderzoek op grond van artikel 217a van de Provinciewet vast.
3.
De ambtelijk opdrachtgever stelt het plan van aanpak vast voor een onderzoek in opdracht van de algemeen directeur, een directeur of de concerncontroller. Dit plan van aanpak wordt ter kennisname aan de directie gestuurd.
4.
Interne audit stelt de uitgewerkte opdracht voor het onderzoek bedoeld in het derde lid samen met de opdrachtgever op.
5.
De onderzoeksresultaten van de onderzoeken die interne audit uitvoert worden in de directie besproken.
6.
De concerncontroller of de programmamanager interne audit bespreken zo nodig eventuele verschillen van inzicht tussen interne audit en de opdrachtgever over de onderzoeksresultaten met de algemeen directeur of de bestuurlijke portefeuillehouder interne audit.

Artikel 5.5 Werkwijze van interne audit

1.
Een auditor voert het werk onafhankelijk en objectief uit. Een auditor mag geen opdracht uitvoeren waarvoor hij vanuit een andere rol of functie (mede) verantwoordelijk was.
2.
Interne audit zorgt voor een goede kwaliteit van onderzoeken.
3.
Het functioneren van interne audit wordt periodiek getoetst.

Paragraaf 6, slotartikelen/bepalingen

Artikel 6.1

Het auditstatuut provincie Noord-Holland dat door Gedeputeerde Staten op 16 december 2014 is vastgesteld, wordt ingetrokken.

Artikel 6.2 inwerkingtreding en publicatie

1.
Dit besluit wordt aangehaald als: Controlstatuut provincie Noord-Holland.
2.
Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van het provinciaal blad waarin het wordt geplaatst, met uitzondering van de artikelen 4.2, derde lid en 4.3, tweede lid, die in werking treden na de inwerkingtreding van artikel II, onderdeel G, aanhef en eerste lid van de Wet versterking decentrale rekenkamers.

Haarlem, 10 mei 2022

Gedeputeerde Staten van Noord-Holland

dhr. mr. A.Th.H. van Dijk, voorzitter

mw. mr. R.M. Bergkamp, provinciesecretaris

Toelichting

In artikel 6.5 van de Financiële verordening provincie Noord-Holland (verder: de Financiële verordening) is vastgelegd dat Gedeputeerde Staten een controlstatuut vaststellen waarin de taken, bevoegdheden en verantwoordelijkheden van de concerncontroller nader worden uitgewerkt. Gedeputeerde Staten geven met dit besluit uitvoering aan die opdracht.

In de nieuwe Financiële verordening zijn de artikelen die in de oude verordening over de informatievoorziening waren opgenomen geschrapt. Daarbij is toegelicht dat deze bepalingen in het onderhavige controlstatuut zouden worden opgenomen. De betreffende bepalingen zijn opgenomen in artikel 2, vierde t/m zevende lid en de artikelen 4.3 en 5.3.

Paragraaf 1. Algemeen

‘’Three lines’’ en zeven elementen van control

De provincie werkt voor de interne beheersing volgens het model van ‘’three lines’’, dat is uitgewerkt in artikel 1.2. De interne derdelijns toetsing wordt ook wel aangeduid als de interne auditfunctie. Binnen de provincie Noord-Holland zijn de medewerkers interne audit belast met operational- en IT-auditing. De medewerkers van de verbijzonderde interne controle zijn belast met financial auditing.

In deze paragraaf wordt ingegaan op wat control is en hoe de provincie het systeem van interne beheersing inricht. Dit gebeurt langs de lijn van zeven elementen van control. Vanuit zeven met elkaar samenhangende invalshoeken kijkt concerncontrol met het lijnmanagement naar de sturing en beheersing in hun organisatie(onderdeel). Het doel hiervan is de organisatie te helpen de afgesproken doelstellingen beheerst te realiseren en tegelijk de interne beheersing te versterken.

Uiteindelijk kan de interne beheersing met behulp van deze zeven elementen leiden tot een brede in control statement van de organisatie. De commissie Bedrijfsvoering, Auditing Decentrale Overheden (BADO) definieert een in control statement (ICS) in hun notitie ‘’De verbijzonderde interne controle bij decentrale overheden” van 14 februari 2019 als volgt: Een ICS is: ‘Een verklaring van het bestuur over de kwaliteit van de bedrijfsvoering, zoals de interne organisatie en automatisering, waarmee inzicht wordt verkregen in de mate waarin verschillende bedrijfsprocessen op orde zijn.’ De BADO geeft expliciet aan dat de ICS breder is dan de rechtmatigheidsverantwoording en verschillende elementen kan omvatten. De elementen die de BADO hierbij als voorbeeld geeft zijn vergelijkbaar met de elementen die de provincie hanteert.

Paragraaf 2. Concerncontroller

In paragraaf 2 worden de taken, bevoegdheden en verantwoordelijkheden van de concerncontroller nader uitgewerkt. In het derde lid van artikel 2 is een kader opgenomen voor het gebruikmaken van de bevoegdheden op grond van artikel 6.4, derde lid, van de Financiële verordening. In dat artikellid is geregeld dat de concerncontroller en zijn medewerkers bevoegd zijn om bij de provincie alles te onderzoeken en te doen wat de concerncontroller noodzakelijk acht om zijn taken te kunnen vervullen. Om dit te kunnen doen hebben zij ook ongehinderd toegang tot alle informatie en personen binnen de provincie. Deze door Provinciale Staten vastgestelde bevoegdheid is van een hogere orde dan de regels die door Gedeputeerde Staten of ambtelijk binnen de provincie hierover zijn gegeven, en kan daarop dus ook inbreuk maken. Gedeputeerde Staten geven in dit artikellid een kader voor het gebruik van deze bevoegdheid. De concerncontroller weegt steeds af of de inzet van de bevoegdheid proportioneel is, dat wil zeggen dat het doel het gebruik van de bevoegdheid rechtvaardigt. Ook houdt de concerncontroller zich aan de voorgeschreven procedures waarbij toestemming moet worden gevraagd of advies moet worden ingewonnen van bepaalde functionarissen, tenzij de aard van de onderhanden werkzaamheden zich hiertegen verzet.

Paragraaf 3. Businesscontrol

In paragraaf drie zijn de taken, bevoegdheden en verantwoordelijkheden van de controllers van de sector concerncontrol nader uitgewerkt.

De controllers van de sector concerncontrol bieden als volwaardig, onafhankelijk en tegenwicht-biedend gesprekspartner maximale toegevoegde waarde aan de lijnorganisatie zodat de provinciale doelen beheerst (rechtmatig, effectief en efficiënt) kunnen worden bereikt en de inzet van middelen rechtmatig, effectief en efficiënt kan worden verantwoord. De controlfunctie is verantwoordelijk voor opzet, bestaan en werking van het managementcontrolsysteem, het systeem waarmee de organisatie wordt beheerst en gestuurd.

De controllers van de sector concerncontrol adviseren aan directie en bestuur. Zij zijn de businesspartner van de (algemeen) directeur en de leidinggevenden van de directie waaraan zij als directiecontroller zijn toegewezen. Specifiek adviseren zij aan de directie en Gedeputeerde Staten over risicovolle voorgenomen besluiten (waaronder in elk geval alle besluiten met een mogelijk belang – direct of op termijn – van meer dan € 5 miljoen).

Naast de businesscontrollers bij de sector Concerncontrol werken er ook financial- en project-controllers bij de sector CZ/Financiën. Deze richten zich op financial control. Zij zorgen voor de kwaliteit van de financiële informatievoorziening. De verschillende controllers werken goed samen.

Paragraaf 4, Verbijzonderde interne controle

In paragraaf 4 zijn de taken, bevoegdheden en verantwoordelijkheden van de verbijzonderde interne controle van de sector concerncontrol nader uitgewerkt.

Artikel 4.5, eerste lid, van de Financiële verordening schrijft voor dat Gedeputeerde Staten ten behoeve van het getrouwe beeld van de jaarrekening en de rechtmatigheid van de baten en lasten en de balansmutaties, zorgen voor de interne toetsing van de getrouwheid van de informatieverstrekking en de rechtmatigheid van de beheershandelingen. Tevens schrijft dit artikellid voor dat Gedeputeerde Staten ervoor zorgen dat deze interne toetsing tenminste bestaat uit een planmatige periodieke controle en dat bij afwijkingen voor zover mogelijk maatregelen tot herstel worden genomen. Artikel 6.3, derde lid, onder b, van de Financiële verordening regelt dat deze interne controle door de coördinator verbijzonderde interne controle (VIC) wordt aangestuurd.

Op dit moment geeft de externe accountant het oordeel over de rechtmatigheid. De accountant steunt bij zijn oordeelsvorming op de werkzaamheden die door de medewerkers VIC worden uitgevoerd. Binnenkort (naar verwachting vanaf het boekjaar 2022) dienen Gedeputeerde Staten zelf een rechtmatigheidsverantwoording op te stellen die is opgenomen in de jaarrekening. De onafhankelijke VIC is nodig om aan Gedeputeerde Staten de informatie en zekerheid te verschaffen op grond waarvan zij zich over de rechtmatigheid kunnen verantwoorden. De doelstelling sluit aan bij wat de commissie BADO verstaat onder het begrip verbijzonderde interne controle: “De verbijzonderde interne controle van een decentrale overheid, is gericht op het verkrijgen van inzicht vanuit de eigen organisatie in tenminste de getrouwe en rechtmatige totstandkoming van de baten, lasten en balansmutaties, zoals deze in de jaarrekening tot uitdrukking komen. Hierbij wordt onder meer aandacht geschonken aan de opzet, het bestaan en de werking van relevante beheersmaatregelen, alsmede aan de risico’s die aanwezig zijn voor wat betreft de eerdergenoemde aspecten van getrouwheid en rechtmatigheid. De verbijzonderde interne controle is een aanvulling op de reguliere interne controle, in die zin dat:

•
Een objectief oordeel gegeven wordt over de opzet, het bestaan en de werking van de interne controles en beheersmaatregelen, die in de lijn uitgevoerd worden.
•
De focus ligt op de processen met de grootste (financiële en maatschappelijke) risico’s.”

Daarmee draagt de VIC bij aan het getrouw en rechtmatig handelen van de provincie en biedt zekerheid voor de rechtmatigheidsverantwoording van Gedeputeerde Staten.

Op 18 april 2018 heeft de directie besloten om de interne rechtmatigheidscontrole in te richten op basis van NV COS 610 op niveau 3. Deze standaard is vastgesteld door het bestuur van de Nederlandse beroepsorganisatie van accountants. In NV COS 610 zijn bepalingen opgenomen voor het geval de externe accountant voor zijn oordeel gebruik wenst te maken van de werkzaamheden van interne controle. Dit biedt aanknopingspunten voor de kwaliteitsborging van de (verbijzonderde) interne controle binnen de provincie. Hierbij gaat het om objectiviteit, deskundigheid en kwaliteit.

Er worden vier niveaus onderscheiden binnen NV COS 610. Niveau 3 wil zeggen dat de interne controle van een zodanig niveau is dat de externe accountant hierop kan steunen.

De VIC is binnen de sector concerncontrol geplaatst om onafhankelijk te kunnen werken. In de afgelopen jaren heeft de VIC in aanvang op een aantal processen zelf de interne controle uitgevoerd waarna een tweede VIC-medewerker de VIC uitvoerde. Vanaf 2020 is gestart met de overdracht van de gehele interne controle naar de 1e en 2e lijn van de organisatie. In 2021 is deze overdracht naar de verantwoordelijke sectoren gereed gekomen. Hiermee is de onafhankelijke positie van de VIC verbeterd. In de derde lijn controleert de VIC de uitgevoerde werkzaamheden van de tweede lijn. De derde lijn geeft een objectief oordeel over de opzet, het bestaan en de werking van de interne controles en beheersmaatregelen van de eerste en tweede lijn. De VIC voert thans alleen in uitzonderlijke gevallen in overleg met de verantwoordelijke sectoren nog zelf interne controles uit.

De accountant geeft in zijn managementletter over 2021 aan dat de tijdigheid van de VIC goed is en de kwaliteit van kwalitatief hoog niveau. De samenwerking met de lijnorganisatie leidt tot een grotere betrokkenheid bij de controles binnen de organisatie, aldus de accountant.

Het verslag van de uitkomsten van de controles door de VIC (financial audit) bevat bevindingen, conclusies en aanbevelingen. Per controleproces wordt per kwartaal of half jaar (afhankelijk van de periodiciteit van de procescontrole) een controlememorandum opgesteld dat aan de eerstelijns verantwoordelijke manager en de betrokken directiecontroller ter kennisname wordt verstrekt.

De uitkomsten van de VIC vormen de basis voor de rechtmatigheidsverantwoording. De verslaglegging vindt nu nog plaats in Excel. In 2022 wordt deze verslaglegging naar verwachting geprofessionaliseerd met behulp van specifiek daarvoor geschikte software.

Paragraaf 5, interne audit

In paragraaf 5, interne audit, zijn de taken, bevoegdheden en verantwoordelijkheden van het onderdeel interne audit van de sector concerncontrol nader uitgewerkt.

Derde lijn

Interne audit is in beginsel een derde lijn in het ‘’three lines’’ model. Vanuit dat perspectief onderzoekt interne audit of het systeem van beheersing in de eerste en tweede lijn goed functioneert. Interne audit geeft daarover een objectief en onafhankelijk oordeel met mogelijkheden tot verbetering. Indien er blinde vlekken zijn in de eerste of tweede lijn van beheersing kan interne audit ook zelf in de tweede lijn of in de eerste lijn controleren.

Paragraaf 5 vervangt het auditstatuut 2014

Paragraaf 5 is uitgebreider dan de andere paragrafen. Deze paragraaf vervangt namelijk het aparte auditstatuut uit 2014. Samen met de bepalingen over interne audit in de Financiële verordening kan deze regeling worden gezien als een intern auditcharter, één van de kwaliteitseisen voor de interne auditfunctie van het Instituut van internal auditors Nederland.

Taken en verantwoordelijkheden

In artikel 5.2, eerste lid, wordt een definitie gegeven van een audit. Bij een audit worden de verschillen tussen de norm en de werkelijkheid getoetst. De normen waaraan wordt getoetst zijn bij de provincie geldende normen. Indien er geen norm is om aan te toetsen wordt het toetsingskader met de opdrachtgever afgesproken.

In artikel 5.2, eerste lid, is verder aangegeven dat interne audit verschillende typen onderzoek uitvoert, waaronder klassieke audits. De klassieke audits onderscheiden zich in operational en IT audits. Een operational audit richt zich op de vraag in hoeverre de organisatie ‘’in control’’ is. Daarbij kijkt interne audit naar de kwaliteit van beheersmaatregelen van het management. Een IT-audit richt zich op de beheersing van de informatietechnologie en de informatiebeveiliging van de organisatie.

Andere typen onderzoek die interne audit uitvoert zijn bijvoorbeeld analyses, ontwerp- en adviesgericht onderzoek en inventariserend onderzoek. Het onderzoek dat interne auditafdelingen uitvoeren heeft zich ontwikkeld van strikt achteraf normerend naar meer vooraf en lerend. De focus van onderzoek door interne audit is gericht op de bedrijfsvoering van de provincie. De directie beleid van de provincie heeft ook een sector die onderzoek doet, de sector onderzoek en informatie. De sector onderzoek en informatie richt zich op het onderzoeken van de effectiviteit van beleid. De rol van interne audit is dan om (derde lijn) te beoordelen of de wijze waarop aan dat onderzoek invulling wordt gegeven voldoet aan de eisen die hieraan gesteld (mogen) worden.

Jaarplan

In artikel 5.3, eerste lid, staat dat uitgangspunt voor programmering is om onderzoek uit te voeren waarmee de hoogste risico’s voor de organisatie kunnen worden beheerst. Op 31 januari 2022 hebben Provinciale Staten de nieuwe kadernota Risicomanagement en weerstandsvermogen voor de provincie vastgesteld. Risico’s worden volgens de kadernota stelselmatig geïnventariseerd en gescoord naar gevolg- en kansklasse. Na implementatie wordt de keuze voor onderzoeken hier mede op gebaseerd.

Omdat onderzoeken niet vanzelfsprekend starten én afgerond worden in hetzelfde kalenderjaar maakt interne audit gebruik van een voortschrijdende meerjarenplanning, die minstens eenmaal per jaar wordt geactualiseerd.

In artikel 5.3, tweede lid, is vastgelegd dat de programmering voor onderzoeken in opdracht van een directeur of de concerncontroller op directieniveau wordt vastgesteld. Dit is van belang om concernbreed prioriteiten te kunnen stellen. De programmering van onderzoeken op grond van artikel 217a van de Provinciewet is in hoofdstuk 5 van de Financiële verordening geregeld.

Opdrachtverlening en uitvoering

In artikel 5.4, vierde lid, is opgenomen dat de uitwerking van een interne onderzoeksopdracht een gezamenlijke verantwoordelijkheid is van de ambtelijke opdrachtgever en opdrachtnemer. De opdrachtgever is verantwoordelijk voor het wat en waarom. De programmamanager interne audit is verantwoordelijk voor de kwaliteit van de uitvoering en bepaalt de wijze van uitvoering.

Werkwijze

De onverenigbaarheid van de functies van de concerncontroller en zijn medewerkers met enige andere functie binnen de provinciale organisatie is al geregeld in de Financiële verordening. In het eerste lid van artikel 5.5 wordt nog expliciet vastgelegd dat ook functies en rollen uit het verleden die inbreuk kunnen maken op de onafhankelijke beoordeling van de auditor onverenigbaar zijn met de uitvoering van een concreet onderzoek.

In artikel 5.5, tweede lid, staat dat interne audit zorgt voor een goede kwaliteit van onderzoeken. De programmamanager interne audit is verantwoordelijk voor de kwaliteit en toetst alle onderzoeksresultaten voordat deze worden vastgesteld. Ook worden alle onderzoeken door meer dan één auditor uitgevoerd. Bij werving en selectie van nieuwe auditoren wordt auditervaring en een specifieke auditopleiding geëist. De zittende auditoren die nog niet een specifieke opleiding hebben zullen deze gaan volgen.

Het derde lid van artikel 5.5 gaat over periodieke toetsing van de interne auditfunctie zelf. Interne audit laat zich eenmaal per vijf jaar extern evalueren. Daarnaast voert interne audit ook regelmatig een zelfevaluatie uit.

Paragraaf 6, slotbepalingen

Op 1 januari 2022 is de nieuwe Financiële verordening in werking getreden. In de oude Financiële verordening was geregeld dat Gedeputeerde Staten een auditstatuut vaststellen. Dit auditstatuut komt te vervallen en wordt, zoals aangegeven in de toelichting bij de nieuwe Financiële verordening, opgenomen in dit bredere controlstatuut.

Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van het provinciaal blad waarin het wordt geplaatst, met uitzondering van de artikelen 4.2, derde lid en 4.3, tweede lid. De inwerkingtreding van deze bepaling vindt plaats na inwerkingtreding van de rechtmatigheids-verantwoording door gedeputeerde staten. In verband met die verantwoording wordt het jaarplan van de VIC voortaan door Gedeputeerde Staten vastgesteld (thans door de directie) en het normenkader voor de uitvoering van de financiële rechtmatigheidscontrole wordt voortaan door Provinciale Staten vastgesteld (thans Gedeputeerde Staten). Het vaststellen van het normenkader door Provinciale Staten heeft de commissie BBV verplicht in de Kadernota rechtmatigheid 2022.¹

De commissie BBV heeft op grond van het Besluit begroting en verantwoording de taak om zorg te dragen voor een eenduidige uitvoering en toepassing van het BBV. – Het besluit begroting en verantwoording is de wettelijke regeling die de provincie verplicht om jaarlijks begrotings- en verantwoordingsstukken op te stellen.