Met rechtmatigheidsverantwoording komt er weer een stuk verantwoording bij voor de decentrale overheden. Over het boekjaar 2023 moet er verantwoording worden afgelegd of de organisatie zich aan de regels heeft gehouden. Helaas komt dit op een tijdstip dat er ook al ontzettend veel nieuwe wet- en regelgeving is bijgekomen. Denk aan de BIO, AVG en wellicht ook duurzaamheid.
Rechtmatigheidsverantwoording hoe pak je dat aan?
Regels en procedures die niet overeenstemmen met werkelijke risico’s leiden vaak tot onnodige hogere kosten en lasten, zonder echte voordelen op te leveren. Ook regels en procedures die de oorzaken van risico’s niet effectief aanpakken leveren geen resultaten op.
Hoe laat een organisatie zien dat zij zich aan de regels houden en de werkelijke risico’s goed beheersen? Het antwoord is: Door rechtmatigheidsverantwoording vooral risicogestuurd aan te pakken.
Risicomanagement
De ISO31000 geeft als definities voor risicomanagement en risico;
Risicomanagement
“De gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico’s.”
Risico
“Effect van onzekerheid op (het behalen van) doelstellingen.”
Als het op doelstelling aankomt willen overheidsorganisaties zich aan de wet houden en rechtmatig zijn. Helaas zijn er ook risico’s zoals bijvoorbeeld fraude, onbewust menselijk handelen, waardoor deze doelstelling wellicht niet gehaald wordt. Het liefst wil je al dit soort risico’s voorkomen, maar dat blijkt in de praktijk ondoenlijk. Daarom worden de risico’s ingeschat op kans en impact, zodat de belangrijkste risico’s ook goed beheerst kunnen worden.
De dynamiek zit in de beheersing en daarom moeten deze belangrijkste risico’s en bijbehorende key-controls wel gemonitord worden. Risico’s die – op dit moment – een kleine kans en/of impact hebben in de ogen van de organisatie, kunnen in beginsel losgelaten worden. Let op: deze risico’s moeten natuurlijk wel elk jaar opnieuw worden ingeschat.
Risicogestuurd werken
Je kunt risico’s inschatten op kans en impact, maar je kunt ook eerst processen scoren op kans en impact waardoor je extra aandacht kunt geven aan de meeste risicovolle processen. Vervolgens kun je per proces de belangrijkste risico’s en bijbehorende controls in beeld brengen. Op deze wijze laat je aantoonbaar zien hoe je prioriteiten stelt.Uitleg rechtmatigheid
Met rechtmatigheidsverantwoording legt het bestuur van een organisatie verantwoording af over de naleving van de regels rondom de financiële processen in de organisatie. Denk hierbij aan de naleving aan de voorwaarden voor Europese aanbestedingen of subsidies. Bij de processen spelen de volgende criteria een rol:
- Begrotingscriterium; de gerealiseerde baten en lasten zijn in overstemming met de door vastgestelde (programma) begroting inclusief begrotingswijzigingen.
- Voorwaardencriterium; voldoen we aan de voorwaarden uit interne en externe regelgeving bij bestedingen en inningen en hebben we voldoende beheersingsmaatregelen om dit te waarborgen.
- Misbruik en oneigenlijk gebruik (M&O)
Om te laten zien dat de wet- en regelgeving wordt nageleefd vinden er o.a. interne controles plaats als onderbouwing van de rechtmatigheidsverantwoording.
Drie problemen rondom wet- en regelgeving
Wet- en regelgeving is belangrijk om ons land goed te laten functioneren. Maar er zijn een aantal problemen; juridisering, perfectionisme en het niet aansluiten bij de daadwerkelijke risico’s.
Door de juridisering en globalisering is er een overvloed aan wetten en normen over organisaties uitgestrooid.
Probleem is dat veel wet- en regelgeving zeer perfectionistisch zijn, waardoor er zeer veel nieuwe beheersmaatregelen moeten worden geïmplementeerd. Dit zorgt voor extra tijd en geld wat niet aan de primaire taken kan worden besteed. Belangrijk is daarom goed te kijken naar de oorsprong van de wet- en regelgeving; welk probleem of risico’s wil de organisatie daadwerkelijk oplossen? En spelen deze risico’s ook vandaag de dag bij jou organisatie? Een bron van informatie om achter de echte kern te komen is de Memorie van Toelichting. Regelgeving die niet nuttig of effectief is verminderd het vertrouwen en draagvlak in de organisatie.
Verreweg de meeste voorstellen (meer dan 90%) komen van de overheid. Het kan een tijd duren voordat een nieuwe wet wordt aangenomen. Er zijn veel mensen die erover beslissen. Als een minister een bepaald onderwerp wil regelen, geeft hij de ambtenaren op zijn departement opdracht om een wetsvoorstel te maken. Bedenk bijvoorbeeld dat het traject rondom rechtmatigheidsverantwoording reeds in mei 2014 begon. De VNG-commissie lanceerde deze aanpassing onder leiding van Staf Depla in haar rapport Vernieuwing van de begroting en verantwoording van gemeenten. Helaas werd de wet keer op keer uitgesteld. Veel wetgeving is daardoor al verouderd voordat zij wordt ingevoerd.
Rechtmatig handelen doe je door in lijn te handelen met het doel en strekking van de wetgever. Deze oorspronkelijke bedoelingen kun je achterhalen in de Memorie van Toelichting van de wet.
Oplossing: Risk based
De op regels gebaseerde aanpak vereist naleving van regels, ongeacht de relevantie van het onderliggende risico.
Een risk based aanpak zorgt ervoor dat je organisatie de focus legt op de risico’s en controls die in deze tijd relevant zijn.
Natuurlijk is de basishouding om je aan de regels te houden. Maar niet 100%. En dit kan ook, omdat niet alle wet- en regelgeving zwart-wit is.
Door eerst een risicoanalyse te doen op het risicogebied kun je de belangrijkste risico’s vaststellen die de continuïteit van jouw organisatie in gevaar kunnen brengen. Van deze risico’s moet je de belangrijkste controls (key controls) bepalen. Risico’s met minder impact je minder aandacht geven. Wel kun je die blijven monitoren. Het risk based prioriteren helpt bij de toewijzing van bronnen en dit kan meer winst, minder kosten en minder personeel opleveren.
Ander voordeel is dat het regel- en risicobewustzijn wordt vergroot. We zijn ons meer bewust van welke risico’s de wet- en regelgeving wil beheersen. Ook van het gewenste gedrag wat getoond moet worden. Dit is vooral interessant als verschillende wetten elkaar tegenspreken en we dus onderbouwd moeten kiezen hoe we hiermee omgaan.
Risk based komt soms complexer over dan een eenvoudige, op regels gebaseerde aanpak. De betrokken medewerkers moeten de inschatting van de risico’s durven te maken. Ook moeten zij een overzicht hebben van de interne en externe context van de organisatie. Maar deze horde is écht de moeite waard om te nemen!
