Onderzoeksaanpak
Uitgangspunten
Wij stellen hoge eisen aan onze onderzoeksaanpak, zodat we ons onderzoek goed uitvoeren. Daarvoor hanteren we de volgende uitgangspunten:
- Wij zijn onafhankelijk en bepalen zelf onze onderzoeksaanpak.
- Wij volgen internationale standaarden om kwaliteit te garanderen.
- Wij analyseren risico’s.
- Wij maken waar mogelijk gebruik van controles van de Auditdienst Rijk (ADR).
- Wij hebben beoordelingskaders voor specifieke onderwerpen.
1 Onafhankelijk
De Algemene Rekenkamer is een zelfstandige organisatie. De Algemene Rekenkamer functioneert onafhankelijk van de ministeries, het kabinet en het parlement. Onze taken zijn vastgelegd in de Comptabiliteitswet 2016. Binnen die wettelijke taakstelling bepalen wij zelf wat wij onderzoeken en hoe wij onderzoeken.
Wij zijn bevoegd om bij alle onderdelen van het Rijk alle goederen, administraties, documenten en andere informatiedragers op onze eigen wijze te onderzoeken. Wij maken van die bevoegdheid gebruik voor zover wij dat nodig achten. Wij mogen ook zelf bepalen wie wij spreken voor een onderzoek. De ministers zijn verplicht om ons de inlichtingen te verstrekken die wij voor het uitvoeren van onze taken nodig vinden.
Ons kwaliteitssysteem vereist dat wij onafhankelijk, integer en deskundig zijn, gedegen onderzoek doen, onze oordelen goed onderbouwen met feiten en daarover helder rapporteren. Wij waarborgen de kwaliteit van onze onderzoeksrapporten op verschillende manieren, onder andere door interne kwaliteitstoetsen uit te voeren.
2 Internationale standaarden
Voor ons werk hanteren wij de internationale principes en standaarden voor rekenkamers (International Standards of Supreme Audit Institutions, ISSAI’s). Deze standaarden maken onderdeel uit van het INTOSAI Framework of Professional Pronouncements.
De ISSAI stellen gedetailleerde eisen aan de planning en uitvoering van een controle en aan de rapportage daarover. Voor financial audit sluiten deze standaarden geheel aan op de internationale controlestandaarden: de International Standards of Auditing (ISA), uitgegeven door het International Auditing and Assurance Standards Board (IAASB).
Deze internationale standaarden hebben we geïmplementeerd, rekening houdend met de specifieke Nederlandse context (zie: Implementatie internationale standaarden).
3 Risicoanalyse
Jaarlijks onderzoeken we alle bedragen die in de jaarrekeningen van de ministeries staan, maar wij kunnen niet alle bedragen tot in detail controleren. Daarom wegen wij af welke bedragen wij gedetailleerd onderzoeken. Hierbij spelen bijvoorbeeld financieel belang, maatschappelijke impact, tekortkomingen in de interne beheersing en bevindingen van voorgaande jaren mee. Voor die afweging gebruiken wij een risicoanalyse. Dat betekent dat we op basis van de kans dat een afwijking zich voordoet en de impact die een eventuele afwijking heeft bepalen waar wij onze onderzoekscapaciteit op inzetten.
Ook selecteren wij onderdelen van de bedrijfsvoering en het beleid om in detail te onderzoeken. Die selectie maken wij op basis van een risicoanalyse en periodiciteit. Wij kijken naar maatschappelijke impact en bevindingen uit onderzoeken van voorgaande jaren. Wij onderzoeken ook thema’s die bij alle ministeries aan de orde zijn, zoals integriteitsbeleid, algoritmes of IT-lifecyclemanagement; de rijksbrede onderwerpen.
4 Efficiënt beoordelen
De ADR is de interne auditor van het Rijk en controleert alle jaarverslagen van de ministeries, fondsen en overige begrotingshoofdstukken en geeft hierover afzonderlijke controleverklaringen af. Wij gaan doelmatig te werk en willen dubbele controlelasten voorkomen. Daarom maken wij voor ons onderzoek naar de financiële informatie (financial audit) zoveel mogelijk gebruik van de controlewerkzaamheden van de ADR. Wij stellen vast of de controlewerkzaamheden van de ADR goed zijn uitgevoerd en of de bevindingen hebben geleid tot de juiste oordelen. Daartoe reviewen wij de controle door de ADR en voeren wij aanvullende eigen werkzaamheden uit.
5 Beoordelingskaders
Voor een aantal specifieke onderwerpen hebben wij eigen beoordelingskaders ontwikkeld, waaraan wij in ons onderzoek toetsen. Bij Financieel beheer gaat het om de onderwerpen: interne beheersing, inkoopbeheer, personeelsbeheer en subsidiebeheer.
We hebben ook een beoordelingskader ontwikkeld voor Materieelbeheer.
Voor informatiebeheer hebben we beoordelingskaders ontwikkeld voor algoritmes en IT-lifecyclemanagement.
Implementatie van internationale standaarden
De ISSAI’s specifiek voor de financial audit, zijn geschreven als 1 ondeelbare verzameling standaarden (‘indivisible set of standards’, ISSAI 100.11) en moeten dus als een geheel geïmplementeerd worden. Maar de context verschilt per nationale rekenkamer. Rekenkamers moeten dus zelf nadenken over de juiste implementatie van de standaarden (ISSAI 100.2), rekening houdend met hun specifieke mandaten en nationale regelgeving.
Nationale context
Waar moet de Algemene Rekenkamer op letten? De volgende specifieke eigenschappen van het Nederlandse controlebestel zijn van belang:
- de financiële informatie in de jaarverslagen is zo ingericht dat het een verantwoording vormt over de vraag of ministers de financiële transacties en saldi hebben behandeld en beheerd in overeenstemming met de begroting en wettelijke bepalingen;
- de Algemene Rekenkamer als onafhankelijke externe auditor biedt de Staten-Generaal zekerheid over de betrouwbaarheid en rechtmatigheid van de financiële informatie waarmee de ministers zich verantwoorden over de begrotingsuitvoering;
- de onderzoeksopdracht voor de financial audit is in detail gespecificeerd in de nationale wetgeving op een wijze die aansluit bij het Nederlandse verantwoordingsstelsel;
- de Algemene Rekenkamer werkt intensief en meerjarig samen met een interne auditdienst, de Auditdienst Rijk (ADR). De ADR heeft bij wet een certificerende taak gekregen ten behoeve van de betrokken ministers die vrijwel geheel samenvalt met de certificerende taak van de Algemene Rekenkamer. Het gebruik maken van de werkzaamheden van de ADR is voor de Algemene Rekenkamer een belangrijke voorwaarde om haar eigen werkzaamheden goed uit te kunnen voeren. Belangrijkste verschil tussen ADR en de Algemene Rekenkamer is dat de ADR werkzaamheden uitvoert ten behoeve van de minister en de Algemene Rekenkamer ten behoeve van het parlement.
- de Algemene Rekenkamer hanteert als bestuurlijk uitgangspunt: de verantwoording en controle van de begrotingsuitvoering sluit aan bij het budgetrecht van de Staten-Generaal. Het laagste niveau waarop de Staten-Generaal autorisatie verleent, is op het niveau van begrotingsartikelen. Daarom werkt de Algemene Rekenkamer met toleranties op het niveau van begrotingsartikelen.
Specifieke nationale interpretatie
De Algemene Rekenkamer wil inhoudelijk voldoen aan alle vereisten uit het overzicht van de ‘Principles of Public-Sector Auditing’ (ISSAI 100.34). Gezien de genoemde eigenschappen van ons Nederlandse controlebestel hanteren wij op 4 terreinen een specifieke interpretatie van de standaarden:
1. Communicatie over opdracht en verantwoordelijkheden
De internationale standaard schrijft voor: de rekenkamer stuurt een opdrachtbevestiging in de vorm van een jaarlijkse brief aan de ministeries (ISSAI 2210). In Nederland ligt de opdracht en de context waarbinnen die moet geschieden vast in onze comptabele regelgeving. Daarom communiceren wij rechtstreeks met de ministeries: we sturen aankondigingsbrieven aan alle secretarissen-generaal. In de bijlage hierbij zitten het departementaal projectplan voor ons verantwoordingsonderzoek en een factsheet over de Algemene Rekenkamer. Via onze website communiceren we over onze verantwoordelijkheden en die van de ministeries bij ons onderzoek. We delen ook onze verwachtingen over de communicatie over mogelijke zwakheden in het beheer en/of mogelijke fraude.
Volgens de internationale standaard vraagt de rekenkamer zelf een bevestiging bij het jaarverslag (ISSAI 2580). In Nederland is dat niet nodig. We maken namelijk gebruik van de bevestiging die de secretarissen-generaal (SG’s) al voor de interne auditor (de Auditdienst Rijk) hebben opgesteld. Die bevestiging heeft de interne auditor nodig om medio maart controleverklaringen af te geven.
Daarnaast geldt in Nederland de vertrouwensregel: de minister informeert de Tweede Kamer over al hetgeen naar diens mening relevant zou kunnen zijn. Wij handelen naar de doelstelling van ISSAI 2580 en verlangen daarom van de ministers zij ons ook onverwijld informeren over alles wat relevant voor ons verantwoordingsonderzoek kan zijn. Dat is aanvullend op de reeds opgestelde bevestigingen.
2. Inzicht in processen, risico’s en de interne beheersing daarvan
Wij voeren op hoofdlijnen een risicoanalyse uit op de verantwoordingen die wij onderzoeken, overeenkomstig de bepalingen uit de ISSAI-2300 groep. Wij analyseren de risico’s bij alle relevante financiële informatie.
Waar mogelijk maken wij gebruik van de interne auditors als ‘third line of defense’, overeenkomstig de ISSAIs. Intensief gebruik van deze ‘derde lijn’ helpt ons in de eerste plaats een goed beeld te krijgen van de risico’s bij de financiële informatie. In de tweede plaats helpt gebruik van de interne auditors om inzicht te krijgen in de opzet en bestaan van de interne beheersingsmaatregelen die de ministeries hebben genomen voor de beheersing van deze risico’s. Met behulp van de inzichten die we opdoen en onze ervaringen bij controle in voorgaande jaren maken wij risicogerichte keuzes voor bepaalde processen en delen van de financiële informatie. Die gaan wij vervolgens diepgaander onderzoeken.
3. Inzicht in de werking van de interne beheersing en de kwaliteit van de financiële informatie
Hoe werkt de interne beheersing van een ministerie bij het realiseren van de doelstellingen? En wat is de kwaliteit van de financiële verantwoordingsinformatie? Bij deze onderzoeksvragen maken wij intensief gebruik van de Auditdienst Rijk (interne auditors). Zoals voorgeschreven in ISSAI 2610 toetsen wij via reviews en reperformances de kwaliteit van het auditwerk dat de interne auditors hebben uitgevoerd. Wel gaat het hierbij om een certificerende interne audit, waarover in ISSAI 2610 geen expliciete voorschriften staan.
Voor deze certificerende interne audit gelden dezelfde voorgeschreven kwaliteitswaarborgen als voor onze audit. Daarom besteden wij in onze risicogerichte aanpak jaarlijks aandacht aan de opzet én werking van die kwaliteitswaarborgen binnen de interne audit. Pas daarna selecteren wij reperformances en aanvullende eigen werkzaamheden. Hoe hoger de kwaliteit van de interne audit is, hoe minder aanvullende eigen werkzaamheden noodzakelijk zijn.
Dat betekent in de praktijk dat wij niet alle processen en delen van de financiële informatie jaarlijks even diepgaand controleren, zoals wij dat zouden doen bij niet-certificerende interne auditors. Ook voeren wij op alle geldstromen gemiddeld minder reperformances uit dan wij zouden doen bij niet-certificerende interne auditors. We voeren wel meer werkzaamheden uit op die processen en financiële informatie waar dat volgens onze risicogerichte aanpak juist nodig is. Op deze wijze bereiken wij binnen het huidige Nederlandse controlebestel een aanpak die effectief én doelmatig is.
4. Formulering oordelen
Wij rapporteren overeenkomstig de doelstellingen van ISSAIs 2700-2706, maar volgen niet de letterlijke tekst uit die standaarden, om de volgende 3 redenen:
- De formuleringen sluiten niet aan bij de criteria die de CW 2016 stelt aan onze onderzoekstaken en aan de bevindingen en conclusies die wij moeten rapporteren;
- Wij nemen onze oordelen op in onze rapporten. Op andere plaatsen in onze rapporten zorgen wij al voor aspecten als adressering, ‘key audit matters’, meldenswaardige aangelegenheden en toelichting van bevindingen. Met andere woorden: wij voldoen inhoudelijk (‘in substance’) aan de aspecten die de standaarden vragen, maar in onze eigen bewoordingen (‘form’);
- Passages over verantwoordelijkheden van management en van de controleur zijn al onderdeel van bestaande wet- en regelgeving.