Besluit van Gedeputeerde Staten van Utrecht van 1/11/2022, nr. UTSP-1817509148-03, tot vaststelling van een controllerstatuut

Geldend van 27-06-2023 t/m heden

Intitulé

Besluit van Gedeputeerde Staten van Utrecht van 1/11/2022, nr. UTSP-1817509148-03, tot vaststelling van een controllerstatuut

Gedeputeerde Staten van Utrecht:

Gelet op artikel 13a van het Organisatiebesluit provincie Utrecht 2022

Besluiten:

Artikel 1: Definitie van control of beheersing

Control betekent beheersing, waaronder controle. Beheersing richt zich op het zodanig treffen van beheersmaatregelen van het management, dat te verwachten mogelijke afwijkingen in voldoende mate worden voorkomen of ontdekt en tijdig gecorrigeerd. Beheersing laat zich indelen in de aspecten governance (sturing en verantwoording), risicomanagement (omgaan met onzekerheid) en compliance (naleving van wet- en regelgeving).

Artikel 2: Missie van concerncontrol

Concerncontrol ondersteunt als ‘kritische vriend’ het management en het bestuur van de organisatie. Dit betekent het management en bestuur helpen bij het behalen van de doelen, door bij te dragen aan de organisatieontwikkeling, het zicht op kansen en risico’s, en het inzicht in de randvoorwaarden en te acteren als problemen zich openbaren.

Artikel 3: Rol van concerncontrol

Concerncontrol helpt de directie bij het concreet formuleren van de beleidsuitgangspunten en sturingsfilosofie van de provincie. Concerncontrol vertaalt beide naar de uitgangspunten voor beheersing, ten behoeve van de processen op alle managementlagen in de managementcyclus.

Artikel 4: Beheersing van processen

De processen worden, met toepassing van risicoanalyses, beheerst op drie niveaus:

  • -

    de eerste lijn, waar beheersmaatregelen in het proces worden ingeregeld (al dan niet geautomatiseerd) en het management toeziet op naleving en effectiviteit;

  • -

    de tweede lijn, die het proces als geheel en de werking van de eerstelijns maatregelen monitort. Als de restrisico’s afwijken van wat wordt beoogd, stimuleert zij de eerste lijn tot aanpassingen;

  • -

    de derde lijn; die de samenwerking van de eerste en tweede lijn beoordeelt en helpt verbeteren, met onderzoeken in lijn met de doelstelling van de provincie.

Artikel 5: Compliance

Waar het niet naleven van wetten nooit is toegestaan, mag van regels worden afweken, mits gemotiveerd en geautoriseerd door het (voor die regels) bevoegde gezag.

Artikel 6: Ontwerp, Plan, Acteer en Leer

Concerncontrol ziet erop toe dat processen geëvalueerd worden en hiervan wordt geleerd, in lijn met ‘de uitgangspunten voor beheersing’. En dat er dus sprake is van een cyclische benadering: Ontwerp, Plan, Acteer en Leer (OPAL).

Artikel 7: Onafhankelijke rol van concerncontrol

Waar concerncontrol, ter bescherming van haar onafhankelijke positie, niet betrokken moet zijn bij het feitelijk uitvoeren, is het soms nodig om tijdelijk in te stappen. Namelijk om een nieuwe beheersmaatregel te ontwerpen en voor te leggen, en te helpen implementeren. Of, bij het uitblijven van eerste- of tweedelijns maatregelen, derdelijns medewerkers in te zetten om te voorkomen dat de organisatie te veel risico’s loopt. Dit betekent wel dat dit proces dan tijdelijk niet meer door concerncontrol geaudit kan worden en daarvoor een extern bureau moet worden ingeschakeld.

Artikel 8: Relatie concerncontrol met Provinciale Staten en het college

Concerncontrol adviseert de Financiële Audit Commissie (verder FAC), met inachtneming van de eigen rol van concerncontrol in de organisatie en de verantwoordelijkheid van het college van Gedeputeerde Staten voor het gevoerde bestuur.

Concerncontrol draagt bij aan transparante verantwoording en het voldoen aan actieve informatieplicht richting college en Provinciale Staten, en ziet erop toe dat het proces rond begroting en verantwoording richting algemeen directeur en richting college en Provinciale Staten effectief wordt vormgegeven en uitgevoerd.

Artikel 9: Verantwoordelijkheden en onzekerheden

Concerncontrol stelt vast dat verantwoordelijkheden kunnen worden gedragen door vast te stellen dat tijdig over informatie wordt beschikt op basis waarvan kan worden (bij)gestuurd. Waar dit ontbreekt wordt gecommuniceerd over hoe om te gaan met deze (nu bekende) onzekerheid.

Artikel 10: Beheersing en moed

Het vereist moed om collega’s waaronder hoger geplaatsten aan te spreken wanneer de transparantie over fouten en onzekerheden niet wordt ondersteund. Concerncontrol stelt vast dat de cultuur in termen van houding en gedrag dit aanspreken ondersteunt en hoger geplaatsten tegenspraak actief organiseren.

Ondertekening

Aldus vastgesteld in de vergadering van Gedeputeerde Staten van Utrecht van 1/11/2022.

Gedeputeerde Staten van Utrecht,

Voorzitter,

Secretaris

2 Algemene toelichting

In het organisatiebesluit van de provincie Utrecht zijn de organisatorische zaken geregeld. Onderdeel van het organisatiebesluit zijn de taken en bevoegdheden van de concerncontroller. In artikel 13a lid 7 is opgenomen dat “Gedeputeerde staten stellen op voorstel van de concerncontroller een controllerstatuut vast waarin de opzet, inrichting en werkwijze van de controlfunctie voor de gehele organisatie zijn uitgewerkt”.

De laatste keer dat het college een statuut heeft vastgesteld was op 26-8-2014 (nr. 80F80D7E). In het oude statuut waren benamingen van functies en organisatieonderdelen opgenomen die inmiddels niet meer bestaan. Maar de belangrijkste reden voor dit nieuwe statuut is de gewijzigde sturingsfilosofie.

Inzichten rond de (inrichting) van de controlfunctie hebben de afgelopen jaren een ontwikkeling doorgemaakt van meer ‘rules based’ (Angelsaksisch) naar meer ‘principle based’ (Rijnlands) control. Het Rijnlands gedachtengoed past beter bij de organisatieopdracht, de tijdgeest en hoe het management van de provincie Utrecht naar de organisatie kijkt. Zaken als verbinding, vertrouwen, vakmanschap en inspiratie (vanuit de bedoeling) vormen hierbij de basis. De daarbij passende sturing is geen sturing op basis van (een uitgebreide set van) regels, maar het hanteren van een aantal principes. Dit geldt dan ook voor control. Deze sturing sluit aan op de sturingsfilosofie zoals dat is opgenomen in het concernplan 2022-2025. Hierin wordt vanuit het vertrekpunt ‘vertrouwen’ een aantal kernwaarden gehanteerd zoals verbindend, vindingrijk, daadkrachtig en verantwoordelijk. Deze uitgangspunten zijn meegenomen in de algemene principes voor control, zoals die in dit controllerstatuut zijn opgenomen.

Vertrouwen bouw je op in vijf stappen: (Oscar van Voskuilen o.b.v. Stephen Covey)

Stap 1 – Kies er fundamenteel voor om in vertrouwen te (blijven) geloven

Stap 2 – Begin bij jezelf

Stap 3 – Maak je bedoelingen kenbaar en ga uit van het goede van de ander

Stap 4 – Doe wat je zegt dat je gaat doen

Stap 5 – Geef het goede voorbeeld door anderen je vertrouwen te schenken

Dit ‘slimme’ vertrouwen is gebaseerd op veel analyse en een geneigdheid tot vertrouwen. Volgens Covey kan er alleen slim vertrouwen zijn als de persoon zelf geneigd is om anderen te vertrouwen én deze persoon een analyse van de (control)situatie, geloofwaardigheid en risico’s heeft gemaakt. Zonder dat laatste is er sprake van blind vertrouwen.

Regels zijn in de meest concrete vorm direct sturend voor gedrag van mensen. Het gaat over moeten en mogen. Principes gaan over willen en over zijn. Ze worden primair gestuurd door waarden die je zelf of als organisatie nastreeft en zijn vooral richtinggevende uitgangspunten.

Voor de leesbaarheid en begrijpelijkheid van het controllerstatuut is ervoor gekozen om Nederlandse terminologie te hanteren, waarbij soms tussen haakjes de Engelse vakterm is toegevoegd.

Achtergrondinformatie:

Hoe bouw je in vijf stappen vertrouwen op: Oscar van Voskuilen / Stephen Covey op financieel-management.nl

Het grote Rijnland boekje, Jaap Peters & Mathieu Weggeman

Anders vasthouden, 9 sleutels voor het werken vanuit de bedoeling, Wouter Hart, m.m.v. Marius Buiting en Ruud Klarenbeek

Concernplan 2022-2025 “Richting, Sturing, Samenhang en Rust; in beweging naar de toekomst” op stateninformatie.provincie-utrecht.nl (PDF, 6429 kb)

Organisatiebesluit op officielebekendmakingen.nl

Managementsite rulebased versus principlebased op managementsite.nl

3 Artikelsgewijze toelichting

In dit deel van het controllerstatuut wordt per artikel een toelichting op de voorgestelde principes gegeven. Met verwijzing naar achtergrondinformatie die gebruikt zijn voor de principes.

Bij artikel 1: Definitie van control of beheersing:

In dit artikel wordt een definitie van control gegeven. Control is beheersing, en niet alleen controle. Een organisatie is ‘in control’ als alle processen in de organisatie voorzien zijn van passende en adequate beheersingsmaatregelen die ervoor zorgen dat een afwijking van het plan of het proces tijdig wordt ontdekt en wordt gecorrigeerd met in achtneming van de door het bestuur vastgestelde risicobereidheid (“risk appetite”).

Kernbegrippen van beheersing (control) zijn governance, risicomanagement en compliance.

Governance richt zich op het sturen van doelen en resultaten van de gehele organisatie en de verantwoording daarover. Het gaat om de interne beheersing van de organisatie waarbij vier elementen centraal staan namelijk sturing, beheersing (van de governance), verantwoording en toezicht. Instrumenten hiervoor zijn de planning & control (P&C) cyclus, waarmee Provinciale Staten haar controlerende taak kan vervullen, en de managementcyclus. In de managementcyclus worden afspraken tussen algemeen directeur en domeinmanagers gemaakt in managementcontracten, de voortgang gerapporteerd en besproken en, aan het eind van het jaar, verantwoording afgelegd.

De provincie voert integraal risicomanagement uit door risico gestuurd werken: het uitvoeren van zes algemeen toepasbare risicostappen samengevat in drie risicovragen in alle bestaande processen, activiteiten, diensten, opgaven, programma’s en projecten, waardoor integraal risicomanagement een minimum aan (extra) inspanning kost. Die drie vragen zijn ‘wat is het Doel’, ‘wat is daarbij Onzeker’, en ‘wat ga je er al dan niet aan Doen’.

Compliance gaat om het naleven van de externe en interne wet- en regelgeving, zowel de formele als informele interne regels. Uitgangspunt is dat alleen het college met toelichting mag afwijken van (hogere-) wetgeving, maar daarmee nog steeds in strijd handelt met de wet. Het orgaan dat interne regels vaststelt is bevoegd om toe te staan dat van de regel wordt afgeweken. We hanteren de stelregel ‘houd je aan de regels, of overtuig de bevoegde van de juistheid van de keuze om af te wijken’.

Beheersing wordt gerealiseerd door inzet van een bij de context en zelfs soms organisatieonderdeel passende mix van hard (instrumentele beheersingsinstrumenten) en soft controls. Soft controls zijn niet-tastbare gedrag beïnvloedende factoren in een organisatie die van belang zijn voor het realiseren van de organisatiedoelstellingen. Kapteyn gaat uit van acht soft controls: helderheid, voorbeeldgedrag, betrokkenheid, uitvoerbaarheid, transparantie, bespreekbaarheid, aanspreekbaarheid en handhaving. Voorbeelden van hard controls zijn systemen, functiescheiding, structuren, software, procedures en processen, protocollen, plannen en checklists.

Achtergrondinformatie:

NBA-handreiking soft control op nba.nl (PDF, 858 kb)

Hofmeier balans hard en soft controls op hofmeier.nl

Bij artikel 2: Missie van concerncontrol:

De missie van concerncontrol is om als een kritische vriend van management en bestuur te helpen bij het realiseren van maatschappelijke doelen binnen de gestelde kaders. Management en bestuur zijn verantwoordelijk voor het realiseren van doelen en het beheersen van de risico’s. Concerncontrol staat beiden bij met raad en daad. Dat betekent meedenken aan de voorkant bij het formuleren van doelen en beleidstheorieën waarmee de provincie publieke waarde wil realiseren. En het bedenken van bij de context passende en effectieve controls in het proces om afwijkingen tijdig te signaleren en rapporteren. Voorts ondersteunen bij het analyseren van de verschillen aan het eind van het boekjaar, zodat Gedeputeerde Staten zich verantwoorden.

Bij grote complexe vraagstukken, transities en wicked problems is een lerende, experimentele en doelzoekende aanpak passender. Dit heeft ook gevolgen voor de controls die meer continu wordt zodat beleid tijdig bijgesteld kan worden, bv lerend evalueren, reflexief monitoren.

Concerncontrol gedraagt zich richting het management als een ‘kritische vriend’ en zorgt voor een goede verstandhouding en werkrelatie met het management. Basis hiervoor is de gezamenlijke doelgerichtheid én onderling respect. Het is de verantwoordelijkheid van concerncontrol om, als er misstanden zijn of onverantwoorde risico’s worden genomen, het management daarop te wijzen en aan te dringen op correctie dan wel aan te dringen op het actief informeren van Provinciale Staten. Vanuit de vriendschap bestaat ook het vertrouwen om ‘kritiek’ te geven én te ontvangen, mits goed gebracht. Concerncontrol is als een vriend die vertrouwen schenkt en zichzelf ook een stuk blootgeeft (belang van reciprociteit of wederkerigheid?), maar anderzijds ook spiegels, kaders en ideeën aanreikt die aanzetten tot kritische reflectie en ontwikkeling.

Achtergrondinformatie:

Eenheidsplan concerncontrol 2022

Covey, S. M. R. (2008). The speed of trust. Simon & Schuster.

‘Kritische vriend’ uit: Fetterman, D., & Wandersman, A. (2005). Empowerment Evaluation. Principles in practice. New York/London: The Guilford Press.

Bijartikel 3: Rol van concerncontrol:

In artikel 13a lid zes van het Organisatiebesluit staan taken voor de concerncontroller opgesomd:

De concerncontroller is verantwoordelijk voor:

  • a.

    de control op de concernvoorwaarden met betrekking tot de middelenfuncties, en ook de concern brede kaders, de strategische koers van de organisatie en de concernopgaven;

  • b.

    de control op systeemniveau, waartoe behoren de concern brede Planning- en Control cyclus en sturingscycli binnen de expertiseteams en de opgaveteams;

  • c.

    het ontwikkelen en implementeren van kwaliteitsmanagement en risicomanagement op concernniveau.

Naast de P&C cyclus (ingericht om van Provinciale Staten de opdracht te krijgen om de begroting te realiseren, voortgang en afwijkingen van de begroting te melden en met de jaarrekening verantwoording aan Provinciale Staten af te leggen), hanteert de provincie intern de managementcyclus. Deze managementcyclus regelt het interne proces waarin het management van de domeinen, in aanloop naar een volgend jaar, afspraken maakt met de algemeen directeur over de plannen voor het komende jaar en dit markeert in het managementcontract. Gedurende het jaar zijn er gesprekken waarin het management van de domeinen over de voortgang rapporteert. En aan het einde van het jaar kijkt de algemeen directeur met het management van de domeinen terug op het afgelopen jaar en bespreekt welke doelen behaald zijn en welke doelen niet. Ook wordt besproken hoe de bedrijfsvoering binnen het domein functioneert en hoe domeinen bijdragen aan centraal gestelde doelen zoals bijvoorbeeld zaken als (terugdringing van-) ziekteverzuim, duurzaamheid, circulariteit en andere doelstellingen. De concerncontroller is verantwoordelijk voor de managementcyclus en bewaakt de kwaliteit van de cyclus.

Binnen de domeinen vindt op een lager niveau een vergelijkbare cyclus plaats, waar teams hun plannen presenteren aan de domeinmanager en verantwoording afleggen, en door de manager op hun plannen worden ‘gechallenged’.

Concerncontrol gebruikt voor de eigen activiteiten een, op basis van risicoanalyses geformuleerd, eenheidsplan dat door de algemeen directeur/provinciesecretaris vastgesteld wordt namens Gedeputeerde Staten. Onderdeel van het eenheidsplan is het onderzoeksplan met daarin de onderzoeken die worden gepland voor het komende jaar, waaronder het onderzoek naar de doelmatigheid en doeltreffendheid van het bestuur (Financiële Verordening artikel 26), dat jaarlijks aan de Financiële Audit Commissie (verder: FAC) wordt gezonden. Andere producten van concerncontrol zijn beleidskaders rond risicomanagement en misbruik & oneigenlijk gebruik en het VIC-plan.

Achtergrondinformatie:

Kader integraal risicomanagement op stateninformatie.provincie-utrecht.nl (PDF, 558 kb)

Financiële verordening op stateninformatie.provincie-utrecht.nl (PDF, 376 kb)

Bij artikel 4: Beheersing van processen:

De provincie Utrecht hanteert voor de inrichting van de controlfunctie het zogenaamde three lines model van de IIA. Daarin wordt onderscheid gemaakt tussen de eerste lijn rollen (onder verantwoordelijkheid van management) zoals:

  • Geeft leiding en sturing aan acties (inclusief risicomanagement) en de inzet van middelen om de doelstellingen van de organisatie te realiseren.

  • Blijft voortdurend in dialoog met het bestuursorgaan en rapporteert over: geplande, werkelijke en verwachte resultaten die gekoppeld zijn aan de doelstellingen van de organisatie; en risico.

  • Ontwikkelt en onderhoudt passende structuren en processen voor het beheer van activiteiten en risico (inclusief interne beheersing, project control en beleidscontrol).

  • Zorgt dat de verwachtingen op het gebied van wet- en regelgeving en ethiek worden ingelost.

In de eerste lijn is de verantwoordelijkheid voor de getrouwheid en rechtmatigheid van de transacties binnen de eigen processen belegd en de verantwoordelijkheid voor kwalitatieve analyse en toelichting op P&C producten.

De tweedelijns rollen zoals:

Voorziet in aanvullende expertise, ondersteuning, monitoring en een kritische blik met betrekking tot risicomanagement, waaronder:

  • De ontwikkeling, implementatie en voortdurende verbetering van risicomanagementpraktijken (inclusief interne beheersing) op het niveau van processen, systemen en entiteiten.

  • Het realiseren van doelstellingen voor risicomanagement, zoals: naleving van wet- en regelgeving, en aanvaardbaar ethisch gedrag; interne beheersing; beveiliging van informatie en technologie; duurzaamheid; en kwaliteitsborging.

  • Verstrekt analyses en rapporteert over de toereikendheid en effectiviteit van risicomanagement (inclusief interne beheersing en kwaliteit)

De tweede lijn is verantwoordelijk voor de ondersteuning van de domeinen en teams bij de optimalisering van de primaire processen en de uitvoering van de (verbijzonderde-) interne controle. Ook worden er door de tweede lijn een aantal primaire controles op de eerste lijn uitgevoerd. De uitwerking van de tweedelijnswerkzaamheden is vormgegeven in rolbeschrijvingen.

En de derdelijns rollen (internal audit) zoals:

  • Legt primair verantwoording af aan het bestuursorgaan en blijft onafhankelijk van de verantwoordelijkheden van het management.

  • Communiceert onafhankelijke en objectieve assurance en adviezen aan het management en het bestuursorgaan met betrekking tot de toereikendheid en effectiviteit van governance en risicomanagement (inclusief interne beheersing) om het realiseren van doelstellingen van de organisatie te ondersteunen en continue verbetering te bevorderen en te faciliteren.

  • Rapporteert aantasting van de onafhankelijkheid en objectiviteit aan het bestuursorgaan en voert waar nodig waarborgen in.

De derde lijn (concerncontrol) voert audits uit op de werking van de verbijzonderde interne controlewerkzaamheden en voert thema audits uit, zoals het periodiek onderzoek naar de doelmatigheid en doeltreffendheid van het bestuur in opdracht van Gedeputeerde Staten (artikel 217a Provinciewet/Financiële Verordening artikel 26). De uitwerking van de derdelijns-werkzaamheden is beschreven in kwaliteitsvoorschriften voor de auditors, mede rekening houdend met de beroepsvoorschriften. Binnen concerncontrol is ook onderdak voor de functionaris gegevensbescherming.

De beheersing van processen wordt ingeregeld op basis van risicoanalyse; in welke processen zitten de grootste (financiële-) risico’s? Risico’s van misbruik en oneigenlijk gebruik of fraude risico’s? Na identificatie van de aanwezige risico’s is het de vraag welke maatregelen kunnen worden getroffen om deze risico’s afdoende te mitigeren zodat het restrisico binnen de geconcretiseerde risicobereidheid blijft. De meest effectieve beheersmaatregelen zijn die maatregelen die in het proces zijn geïmplementeerd zoals geprogrammeerde controles, functiescheiding en andere interne beheersingsmaatregelen. Deze hard controls worden onder verantwoordelijkheid van de proceseigenaar (eerste lijn) ingericht en uitgevoerd. De eerste lijn heeft daarnaast de al eerdergenoemde soft controls in haar instrumentenkoffer (zie artikel 1).

In de tweede lijn zijn rollen belegd zoals financial- en business control, controle activiteiten rond aanbestedingen, kwaliteit, (verbijzonderde) interne controle, integriteit en andersoortige rollen. Zij voeren controleactiviteiten uit waarin ze informatie krijgen over de kwaliteit van de interne beheersing in de eerste lijn en de doelmatigheid van het proces en rapporteren en adviseren daarover. Dit zijn beheersmaatregelen die achteraf plaatsvinden. De transactie of handeling heeft dan al plaatsgevonden. Ook voor de beheersing van processen zoals rond ICT, juridische zaken, informatieveiligheid en privacy kan in de tweede lijn een rol worden belegd.

In de derde lijn kunnen op verzoek van Gedeputeerde Staten, de algemeen directeur of domeinmanagers audits en quick scans worden uitgevoerd met als doel om aspecten van processen door te lichten.

Het uitgangspunt is ‘push left’ waarbij het doel is om de interne beheersing in de eerste- en tweede lijn te optimaliseren. Vanuit het uitgangspunt dat fouten voorkomen beter is dan achteraf constateren.

In het kader van het three lines model kan als vierde lijn worden gezien: de organisaties die namens Provinciale Staten belast zijn met het toezicht op de provinciale organisatie namelijk, de externe accountant en de Randstedelijke Rekenkamer. Concerncontrol is verantwoordelijk voor de afstemming tussen de lijnen.

Achtergrondinformatie:

Three lines model IIA op iia.nl

Boardletter externe accountant: stateninformatiesysteem.provincie-utrecht.nl (PDF, 589 kb)

Financiële verordening: stateninformatiesysteem.provincie-utrecht.nl (PDF, 376 kb)

Bij artikel 5: Compliance:

Uitgangspunt is dat alleen het college mag afwijken van (hogere-) wetgeving, maar daarmee nog steeds in strijd handelt met de wet. Het orgaan dat interne regels vaststelt is bevoegd om toe te staan dat van de regel wordt afgeweken. We hanteren de stelregel ‘houd je aan de regels, of overtuig de bevoegde tot afwijkende besluitvorming’.

Er kunnen omstandigheden zijn waarbij er spanning is tussen doelmatigheid en rechtmatigheid. Het college kan als enige besluiten om een onrechtmatigheid, alles overwegende, toch te accepteren. Deze onrechtmatigheid wordt vervolgens in de rechtmatigheidsverantwoording opgenomen en aan Provinciale Staten gemeld. Met de accountant worden afspraken gemaakt over wanneer zij, buiten de normale contactmomenten, worden geïnformeerd.

Interne regels zijn veelal door het college of het concernmanagementteam vastgesteld. De hoofdregel daarbij is dat de regel moet worden nageleefd, en als daarvan wordt afgeweken dan is het orgaan dat de regel heeft vastgesteld bevoegd om toestemming te geven om, mits beargumenteerd, te mogen afwijken. Ook moet aantoonbaar zijn ‘geleerd’, zodat herhaling zal worden voorkomen.

Bij evaluaties van deze regels is het belangrijk om afwijkingen te betrekken. Zij kunnen indicaties geven dat de gestelde regel niet proportioneel is, of dat de organisatie onvoldoende beheersmaatregelen heeft getroffen om te voorkomen dat moest worden afgeweken. Uitgangspunt is dat regels worden nageleefd en afwijkingen moeten worden voorgelegd en toegelicht aan het bevoegde orgaan.

Bij artikel 6: Ontwerp, Plan, Acteer en Leer:

De term PDCA (Plan, Do, Check, Act) of Deming cirkel is een algemeen geaccepteerd kwaliteitsbegrip om prestaties van de organisatie te verbeteren. De nadruk ligt hier echter te weinig op het Leren van processen en activiteiten. De provincie Utrecht hanteert daarom OPAL, Ontwerpen, Plannen, Acteren en Leren. Door processen te evalueren is het mogelijk om met elkaar het gesprek over de rolverdeling, actoren en resultaten te voeren en met elkaar te leren hoe dit in een volgende gelegenheid beter (slimmer, sneller en effectiever) kan.

Rand voorwaardelijk hierbij is dat de verantwoordelijkheden en bevoegdheden voor een proces zijn toegewezen aan functionarissen. Daarbij is belangrijk dat het duidelijk is wie eindverantwoordelijk is (beslist), wie verantwoordelijk is voor de oplevering (uitvoerend), wie ondersteunend is (meedoet, schrijft of meeleest), wie adviserend is en wie geïnformeerd moet zijn. Deze, op RASCI gebaseerde roltoedeling voor processen, is de basis voor de beschrijving van processen en is een randvoorwaarde voor het effectief uitvoeren van processen en leren van processen.

Achtergrondinformatie:

PDCA: wikipedia.org

RASCI: wikipedia.org

Bij artikel 7: Onafhankelijke rol van concerncontrol:

Concerncontrol moet, om haar onafhankelijke rol goed te kunnen spelen, zoveel mogelijk onafhankelijk zijn van management en bestuur. Onafhankelijk in de plek waarop zij organisatorisch is opgehangen, op haar takenpakket en op haar houding en gedrag. Daarom is de algemeen directeur niet bevoegd om de concerncontroller te benoemen en ontslaan, maar het college van Gedeputeerde Staten (Organisatiebesluit artikel 15). En heeft de concerncontroller (en de onder hem/haar ressorterende medewerkers) toegang tot alle informatie in de organisatie, mits de toegang tot die informatie noodzakelijk is voor de uitoefening van de functie van concerncontroller en met inachtneming van de Algemene verordening gegevensbescherming (Organisatiebesluit artikel 13a lid 5).

Doordat concerncontrol buiten de domeinen van de provincie is geplaatst is zij niet verantwoordelijk voor het resultaat van de processen in die domeinen en kan zij onafhankelijk onderzoek doen naar doelmatigheid en effectiviteit van de processen. Ten aanzien van processen die doorontwikkeld gaan- of moeten worden, kan concerncontrol op verzoek van de algemeen directeur extra ondersteunen en actief een onderdeel van het proces zijn. Dit kan alleen tijdelijk het geval zijn en moet terughoudend worden gedaan. Daarmee is de onafhankelijkheid van concerncontrol ten aanzien van dat proces niet meer gewaarborgd en kan zij geen onafhankelijk oordeel vellen over het proces. Dit betekent dat een externe auditor dan moet worden ingehuurd om desgewenst een oordeel over het proces te vellen.

De concerncontroller heeft een eigen werkbudget waardoor hij in staat is externe adviezen in te winnen en, onder zijn aansturing en verantwoordelijkheid, onderzoek door derden te laten uitvoeren als dit naar de mening van de concerncontroller uit hoofde van zijn functie noodzakelijk is.

Bij artikel 8: Relatie concerncontrol met Provinciale Staten en het college:

In het reglement van orde van de financiële auditcommissie (FAC) is opgenomen dat de concerncontroller de commissie gevraagd en ongevraagd kan adviseren (artikel 4 reglement). Naar aanleiding van de evaluatie van de FAC (rapport Langelaar) is een werkgroep ingesteld om het functioneren van de FAC te bespreken. De werkgroep heeft geadviseerd om vaker gebruik te maken van het advies van de concerncontroller. Gezien zijn positie is het raadzaam gebruik te maken van de mogelijkheid tot een vertrouwelijk vooroverleg.

Ongeacht de onafhankelijke houding van de concerncontroller is de concerncontroller aangesteld door het college van Gedeputeerde Staten en moet hij verantwoording afleggen aan de algemeen directeur en het college. Ook is hij adviseur en daardoor betrokken bij de totstandkoming van stukken die uiteindelijk geagendeerd worden in de FAC.

De concerncontroller is ook verantwoordelijk voor het doen van onderzoeken en deze onderzoeken worden veelal ter kennisname naar de FAC gestuurd. In die gevallen kan de concerncontroller geen onafhankelijk advies aan de FAC geven, immers hij is verantwoordelijk voor het onderzoek. Dit geldt ook voor kaderstellende beleidsnota’s rond risicomanagement (Financiële verordening, artikel 17) en misbruik & oneigenlijk gebruik (Financiële verordening artikel 23) en het normenkader rechtmatigheid. (Controleverordening, artikel 4). Wel kan de concerncontroller, mits gevraagd door de FAC, een advies geven over aspecten van bepaalde nota’s die ter bespreking worden voorgelegd. Hij kan deze aspecten onderzoeken, wellicht bekijken hoe dit in andere provincies werkt of voor- en nadelen van de voorgelegde beslispunten meegeven. Daarnaast kan de concerncontroller bij de totstandkoming van deze nota’s aandringen op het opnemen van kanttekeningen in de statenvoorstellen of statenbrieven.

De provincie Utrecht wordt betaald met geld van de belastingbetaler. Daarmee heeft de provincie ook de plicht om de middelen doelmatig en doeltreffend in te zetten en daarmee publieke waarde te leveren. En zich te verantwoorden over welke doelen met de middelen zijn bereikt. Artikel 167 van de Provinciewet stelt hierover “Gedeputeerde Staten en elk van hun leden afzonderlijk zijn aan Provinciale Staten verantwoording schuldig over het door hen gevoerde bestuur”. Dus ook als de resultaten tegenvallen betekent dit in alle transparantie toelichten dat doelen niet zijn bereikt en wat ervan is geleerd. Ook staat in dit artikel: “Zij geven Provinciale Staten alle inlichtingen die Provinciale Staten voor de uitoefening van hun taak nodig hebben. Zij geven Provinciale Staten mondeling of schriftelijk de door een of meer leden gevraagde inlichtingen”. Concerncontrol kan het bestuur daarbij ondersteunen en heeft de taak om, ook als zaken niet welgevallig zijn, aan te dringen op het actief informeren van Provinciale Staten. Ook zijn er omstandigheden denkbaar waar externe toezichthouders, zoals de accountant, moeten worden geïnformeerd, bijvoorbeeld in gevallen waarbij het bestuur in strijd met wetgeving heeft gehandeld. De concerncontroller dringt er in voorkomende gevallen bij het college op aan om hiervan melding te maken en zal eventueel zelf melding maken van strijdigheid met wetgeving (NOCLAR). P&C cyclus en managementcyclus dienen efficiënt en effectief te worden vormgegeven en uitgevoerd. Concerncontrol is nauw betrokken bij beide cycli en ondersteunt de evaluaties die gedurende het jaar plaatsvinden met als doel om ervan te leren en het geleerde in de volgende cycli beter te doen.

Achtergrondinformatie:

Reglement van orde FAC: stateninformatie.provincie-utrecht.nl (PDF, 153 kb)

Evaluatie auditcommissie: stateninformatie.provincie-utrecht.nl (PDF, 160 kb)

NBA Noclar op nba.nlLink

Financiële verordening: stateninformatie.provincie-utrecht.nl (PDF, 376 kb)

Controleverordening: stateninformatie.provincie-utrecht.nl (PDF, 671 kb)

Bij artikel 9: Verantwoordelijkheden en onzekerheden:

Van medewerkers van de provincie Utrecht wordt verwacht dat ze hun verantwoordelijkheid nemen en aangeven wanneer hun bevoegdheden en de informatievoorziening niet bij die verantwoordelijkheden aansluit. Elke medewerker toont, zo hebben we in het concernplan afgesproken, eigenaarschap voor waar hij/zij mee bezig is, voelt zich stevig genoeg om kritiek te leveren en is in staat om de route tot escaleren te gebruiken. Toch zullen beslissingen altijd in een mate van onzekerheid moeten worden gemaakt. Concerncontrol wil bijdragen aan het inzichtelijk maken van die onzekerheden, zodat die kunnen worden verminderd of transparant worden gemaakt, zodat daar rekening mee kan worden gehouden.

Risicoleiderschap ontwikkelen betekent concreet alle managers en medewerkers in de organisatie in staat stellen om verantwoord, effectief en kosten-efficiënt om te gaan met de onzekerheden, risico’s en kansen. Die kunnen immers invloed hebben op de activiteiten en doelen waarvoor ze verantwoordelijk zijn.

Achtergrondinformatie:

Risicoleiderschap; doelgericht omgaan met onzekerheden. Martin van Staveren

Bij artikel 10: Beheersing en moed:

Zelfs bij organisaties die een adequate beheersing hebben, kunnen dingen niet goed gaan of blinde vlekken ontstaan. Het is daarom van groot belang dat er een cultuur in organisaties is waarin mensen elkaar durven aan te spreken. Dat de vakmensen in de organisatie de kwaliteit of competentie hebben van ‘moed’. Moed om een leidinggevende aan te spreken, moed om een risico in de relatie met de leidinggevende te nemen en te zeggen ‘ik ben het er niet mee eens’. En een risico te accepteren om gesanctioneerd te worden. Er zijn dappere mensen nodig die de risico’s durven nemen - en willen nemen omdat ze het de moeite waard vinden voor hogere idealen of principes te strijden. Leidinggevenden moeten leren om de mensen die met moed zeggen ‘ik zie het anders’ aan te horen en serieus te nemen. Zij maken onderdeel uit van de ‘checks and balances’ in de organisatie. ‘Evenwicht en tegenwicht, samenspraak en tegenspraak, macht en tegenmacht kunnen in een democratische rechtsorde niet zonder elkaar’ (Herman Tjeenk Willink).

Achtergrondinformatie:

Macht en moed: ubrijk.nl (PDF, 2713 kb)