De nieuwe wet
Het had wat voeten in aarde, maar op 1 januari 2023 werd de Wet versterking Decentrale Rekenkamers van kracht. Dat betekent dat colleges van burgemeester en wethouders van gemeenten, colleges van gedeputeerde staten van provincies en dagelijkse besturen van gemeenschappelijke regelingen zelfstandig verantwoording afleggen over de naleving van geldende wet- en regelgeving bij de totstandkoming van de baten en lasten en balansmutaties in de jaarrekening. Op deze manier wordt er toegewerkt naar meer transparantie tussen colleges en gemeenteraad, waarbij de laatstgenoemde beter zicht krijgen op verbetermaatregelen.
Meer bewust van eigen handelen
Omdat deze decentrale overheden meer verantwoordelijkheid krijgen, zal rechtmatigheid ook meer onderdeel gaan uitmaken van het politieke debat. En dat is een interessante ontwikkeling, want hierdoor zal er meer besef en bewustzijn komen binnen deze organisaties of de uitgegeven euro’s daadwerkelijk rechtmatig besteed zijn. Bijvoorbeeld bij het verstrekken van subsidies of bij productinkoop waar aanbestedingsregels op van toepassing zijn. Een groter bewustzijn van het eigen handelen past ook in de trend die we zien binnen compliance en riskmanagement, waarbij sommige organisaties ervoor kiezen om taken en verantwoordelijkheden ook decentraal in de organisatie te beleggen.
Hoofdbrekens
De accountant heeft nog altijd een belangrijke rol in het geheel. Deze moet namelijk nog steeds een getrouwheidsoordeel afgeven bij de jaarrekening. Dat maakt dat veel organisaties met hun accountant om tafel gaan om af te stemmen of zij op de juiste manier toetsen op rechtmatigheid. Is het systeem voldoende goed ingericht om tot een verklaring te komen? Hoe borgen we dat? Hoe komen we tot een betrouwbaar resultaat? Biedt het systeem voldoende grondslag? Daar breken veel organisaties zich momenteel het hoofd over.
De risico’s van offline
Dat geldt in het bijzonder voor organisaties die ‘offline’ hun controles uitvoeren, via Excel-bestanden, e-mail en SharePoint. Waar deze tools vroeger van grote waarde waren, blijkt het nu vaak lastig om de veelal versnipperde informatie binnen een organisatie bij elkaar te krijgen. Met diverse andere mogelijkheden die er vandaag de dag beschikbaar zijn, blijken deze offline tools niet meer van deze tijd. Het maakt het zelf afgeven van een rechtmatigheidsverantwoording zelfs complex en kostbaar. De rapportages zullen namelijk ook nog handmatig worden gemaakt. Een arbeidsintensieve bezigheid, waarbij er niet bepaald real-time inzicht wordt geleverd. Daarnaast is er het risico dat werknemers ergens anders kunnen gaan werken en hun waardevolle kennis meenemen. Het aantal gemeenten dat via Excel werkt en worstelt met deze risico’s is groot. Daaronder bevinden zich ook steden in de top 15 van de grootste gemeenten van Nederland.
De kracht van GRC-software
De zorgen over het al dan niet kunnen afgeven van een feitelijk juiste rechtmatigheidsverantwoording, maken dat veel decentrale overheden op dit moment overwegen om over te stappen op GRC (governance, risk en compliance) software. GRC-software maakt het makkelijker om aan te tonen dat het controlesysteem binnen de organisatie werkt – en dat draagt bij aan de rechtmatigheidsverantwoording. De software ondervangt ook de hierboven genoemde risico’s (versnipperde informatie, uitdaging van decentraal werken, arbeidsintensief, duur en kwetsbaar). Dat gebeurt op de volgende manieren:
- Het proces is ingericht en controles worden automatisch ingepland, zonder dat het management daar achteraan hoeft te gaan. Dit bevordert het decentraal werken.
- Het werkproces wordt ingericht met een betrouwbare audittrail. Zo kun je documenten uploaden waarmee je de rechtmatigheid van een beslissing aantoont. En: je kunt niet je eigen werk controleren.
- De software produceert automatisch rapportages die aansluiten bij nieuwe wetgeving.
Het behoeft weinig toelichting dat de tijdwinst en de zekerheid van goede controles hiermee enorm toenemen – en dat met minder resources. GRC-software doet overigens veel meer dan alleen controle op de rechtmatigheidsverantwoording. Het tilt het risicomanagement van een organisatie in de breedte naar een hoger niveau. GRC-software waarborgt wet- en regelgeving, normenkaders en bijbehorende risico’s én maakt deze bestuurbaar. Als organisatie kun je daarmee altijd aantonen aan welke regels, wetten en normenkaders je voldoet. Ook als het bijvoorbeeld gaat om informatiebeveiliging. Je maakt ook inzichtelijk waar je niet aan voldoet. Op deze manier laat je zien dat je acties onderneemt in het verbeteren van de organisatie.
Risico’s minimaliseren
Traditioneel gezien worden controleactiviteiten binnen organisaties vaak gegevensgericht uitgevoerd. Dit betekent dat de auditors zich voornamelijk richten op het controleren van individuele gegevens en documenten, zonder naar de context en het grotere geheel van het proces te kijken.
Door de komst van GRC-software kunnen organisaties zich steeds meer richten op procesgerichte controle. De software biedt namelijk de mogelijkheid om het gehele proces in kaart te brengen, waarbij de focus ligt op het identificeren van risico’s en het waarborgen van compliance in elke fase van het proces. Door deze procesgerichte benadering worden zwakke punten en mogelijke risico’s sneller geïdentificeerd en kan er proactief worden gehandeld om deze risico’s te minimaliseren. Audit- en controleactiviteiten worden efficiënter en effectiever, waardoor organisaties sneller en beter kunnen inspelen op veranderende risico’s en regelgeving.
Essentieel instrument
In een tijd waarin compliance en risicobeheer steeds belangrijk worden, kan GRC-software een essentieel instrument zijn voor organisaties die hun rechtmatigheidsverantwoording willen waarborgen. Door het centraliseren van informatie, het standaardiseren van processen en het verbeteren van de samenwerking tussen verschillende afdelingen komt versnipperde informatie bij elkaar, waardoor real-time inzichten ontstaan om de juiste beslissingen te nemen op basis van feiten en data.
