Aanleiding

De maatschappij en politiek verwachten in toenemende mate transparantie en verantwoording van publieke organisaties, zoals de Belastingdienst. Daarnaast hebben bij de Belastingdienst (onvoorziene) incidenten en ineffectieve processen in het verleden hebben gezorgd voor een negatief imago en minder handelingsvrijheid door verscherpt toezicht.

Dit zijn twee belangrijke redenen waarom de Belastingdienst aan de Tweede Kamer heeft gemeld om tot een onderbouwd In Control Statement (ICS) te komen, gebaseerd op een Internal Control Framework (ICF). Andere belangrijke redenen om als organisatie, zoals Belastingdienst, in control te komen, zijn:

  • Aantoonbare controle over de processen en hierdoor ook over de organisatie
  • Behalen van de doelstellingen
  • Betrouwbare informatie om te sturen
  • Het juiste antwoord op vragen van regulators, compliance en Eerste en Tweede Kamer
  • Waarde halen uit risk management om de bedrijfsvoering te verbeteren
  • Uniforme processen met juiste afbakening van rollen en verantwoordelijkheden
  • Mogelijkheid om met procesverbetering aan de slag te gaan
  • Voldoen aan wet- en regelgeving

 

Om dit te bereiken is de Belastingdienst onder andere een traject, ICS AO/IC (In Control Statement Administratieve Organisatie/Interne controle) gestart om stapsgewijs te komen tot een In Control Statement.

 

Hoe doet de Belastingdienst dat?

 

Stap 1. Beschrijven van de procesplaat
Samen met de stakeholders van verschillende kantoren wordt het werkproces in kaart gebracht. Hierin zie je duidelijk de triggers van het proces, de flow van het proces, de overdrachtsmomenten en de eindpunten.

Stap 2. Beschrijven van de processtappen
In de processtappen van de procesplaat worden de 7 w’s vastgelegd om zo duidelijk te maken wat de taken en verantwoordelijkheden zijn, en waar vier/zes ogen controles worden uitgevoerd.

  • wie (welke rol voert het uit)
  • wat (wat doet deze rol in deze stap)
  • waarom (wat is de doelstelling van de stap)
  • wanneer (op welke moment)
  • waarmee (wat is de input)
  • waarheen (wat is de output)
  • welke applicaties worden er gebruikt

Stap 3. Vastleggen van risico’s en beheersmaatregelen
De risico’s en de beheersmaatregelen in het proces worden in beeld gebracht, geanalyseerd en vastgelegd in een risicoregister. De methode die de Belastingdienst hiervoor gebruikt, is het houden van CRSA (Control Risk Self Assessments).

In deze sessies worden gebeurtenissen (risico’s) geformuleerd die de doelstelling van het proces in gevaar kunnen brengen. Hiervoor wordt het volgende vastgelegd:

  • de doelstelling van het proces
  • risico oorzaak (doordat er.. )
  • risico gebeurtenis (bestaat de kans dat.. )
  • risico gevolg (… waardoor …)

Vervolgens wordt/worden:

  • de gebeurtenis gewogen. Hiervoor wordt de kans dat een gebeurtenis zich voordoet, vastgesteld en de impact (financieel, qua reputatie, op productie, etc.) die dit heeft.
  • responsstrategie bepaald; accepteren, reduceren, overdragen of elimineren.
  • de bestaande beheersingsmaatregelen in beeld gebracht.
  • vastgesteld in hoeverre het risico wordt beheerst door de huidige beheersingsmaatregelen (goed, voldoende, onvoldoende, zwak) en of er restrisico’s zijn.

Stap 4. Wet- en regelgeving

Voor het beoordelen van het proces op het gebied van wet- en regelgeving met betrekking tot de privacy wetgeving (AVG), informatiebeveiliging (BIO) en Business continuity management BCM worden specialisten uitgenodigd. De specialisten controleren of het proces ingericht is vanuit de eisen van wet- en regelgeving.

Stap 5. Goedkeuren en overdragen aan beheer organisatie

Uiteindelijk worden de processen geaccordeerd door verschillende mensen van verschillende niveaus, waarna het wordt overgedragen aan de proceseigenaar en de beheerorganisatie.

De beheerorganisatie onderhoudt de processen en de risico’s, om zo niet alleen in control te komen, maar ook in control te blijven. De proceseigenaar gaat aan de slag met de openstaande risico’s en met procesverbetering.

Uiteindelijk verkleint een gestructureerde aanpak naar een betere beheersing de kans op verdere (onvoorziene) incidenten, vergroot het maatschappelijk vertrouwen, meer zekerheid dat doelstellingen worden bereikt, risico’s worden beheerst en verantwoording kan worden afgelegd.

 

Mocht je naar aanleiding van dit artikel nog vragen hebben, of ben jij benieuwd hoe wij jouw organisatie kunnen helpen om in control te komen? Neem dan contact met ons op.

  • Neem contact op

  • Lianne van der Poel
  • Consultant
  • Contact