Regeling tot vaststelling van het Controle en verantwoordingsprotocol 2023 Centraal Orgaan opvang asielzoekers

Type ZBO-regeling

Publication 2024-02-20

State In force

Source BWB

Dit protocol is bestemd voor het COA en haar accountant en betreft een instructie voor de jaarverantwoording van het COA en de door de accountant te verrichten werkzaamheden ten aanzien van de subsidieverantwoording van het COA.

Inleiding

Voortvloeiend uit artikel 16 van de Wet Centraal Orgaan opvang asielzoekers (1994) (verder: Wet COA) verstrekt het Ministerie van Justitie en Veiligheid (verder: JenV) per boekjaar subsidie aan het COA. Het COA is een zelfstandig publiekrechtelijk bestuursorgaan dat rechtspersoonlijkheid bezit. COA valt daardoor onder de Kaderwet zbo’s. JenV verstrekt deze subsidie aan het COA voor de uitvoering van de activiteiten welke zijn toebedeeld aan het COA, zijnde:

JenV kan het COA-taken als hierboven bedoeld opdragen met betrekking tot andere categorieën vreemdelingen.

Het COA dient zich over de besteding van deze middelen te verantwoorden door middel van een jaarverantwoording, bestaande uit een jaarverslag (bestuursverslag), een jaarrekening met specifiek benoemde bijlagen, de rechtmatigheidsverantwoording, overige gegevens en overige bijlagen. Het COA en JenV hebben beide belang bij een goede opzet en uitvoering van de accountantscontrole bij het COA. De uitkomst van deze controle vormt immers de basis voor de (definitieve) vaststelling van de subsidieverlening aan de instelling. Dit controle- en verantwoordingsprotocol geeft een beschrijving van de in dit kader door de accountant te verrichten werkzaamheden.

Hoofdstuk 1 geeft een opgave van de uitgangspunten die ten aanzien van de werkzaamheden van toepassing zijn, waaronder de doelstelling. Hoofdstuk 2 richt zich op de vereisten aan de jaarverantwoording van het COA, inclusief de vereisten voor de rechtmatigheidsverantwoording. Hoofstuk 3 richt zich op de door de accountant te hanteren aanpak. Ten slotte wordt in hoofdstuk 4 een weergave gegeven van de op te leveren accountantsproducten. Bijgevoegd hierbij is in bijlage 2: model rechtmatigheidsverantwoording.

Datum 30 november 2023

1. Uitgangspunten

Colofon

1.1. Doelstelling en inkadering protocol

Dit controle- en verantwoordingsprotocol heeft als doelstelling het geven van aanwijzingen omtrent de reikwijdte, de betrouwbaarheid en de materialiteit van de door de accountant van het COA te verrichten werkzaamheden in het kader van de jaarverantwoording van het COA en de jaarlijkse subsidie aan het COA.

JenV kan het COA-taken als hierboven bedoeld opdragen met betrekking tot andere categorieën vreemdelingen.

1.2. Belangrijke definities en begrippen

1.3. Procedures en termijnen

De ingangsdatum van het nieuwe controle- en verantwoordingsprotocol is 1 januari 2023.

2. Verantwoordingsprotocol COA

In dit hoofdstuk worden de uitgangspunten ten aanzien van de door de accountant te verrichten werkzaamheden behandeld. Het betreft een beschrijving van de doelstelling van het protocol, de ten aanzien van het protocol relevante definities en begrippen en van de gehanteerde procedures en de daarbij van toepassing zijnde termijnen.

2.1. Jaarverantwoording

Het controle- en verantwoordingsprotocol geeft aan welke accountantsproducten (rapportages) moeten worden geleverd. In het geval van het COA worden drie type producten (rapportages) gevraagd, welke aan zowel het COA als (via het COA) aan JenV worden verstrekt:

2.2. Rechtmatigheidsverantwoording

De jaarrekening bevat tevens een rechtmatigheidsverantwoording waarin het COA verantwoording aflegt over de financiële rechtmatigheid van de in de jaarrekening opgenomen baten, lasten en balansmutaties. Hierbij legt COA verantwoording af over het besteden van bijdragen in overeenstemming met de begroting, de wet- en regelgeving en andere afspraken zoals vermeld bij het financiële rechtmatigheidskader opgenomen in paragraaf 3.1 van dit controle- en verantwoordingsprotocol. De rechtmatigheidsverantwoording wordt opgesteld conform model zoals opgenomen in bijlage 2 bij dit controle- en verantwoordingsprotocol.

2.3. Rapportagetolerantie rechtmatigheidsverantwoording

Voor de rapportering van individuele posten in de rechtmatigheidsverantwoording wordt een tolerantie van 1% van de baten gehanteerd. Concreet betekent dit dat alle rechtmatigheidsfouten en onduidelijkheden (gecategoriseerd) in de rechtmatigheidsverantwoording opgenomen moeten worden indien deze per regeling de rapportage tolerantie te boven gaan. Voor het getrouwe beeld dient ook een kwalitatieve evaluatie op cumulatief niveau plaats te vinden.

3. Onderzoeksaanpak accountant

Dit hoofdstuk beschrijft te hanteren onderzoeksaanpak voor de accountantscontrole. Er wordt gestart met een opsomming van de van toepassing zijnde wet- en regelgeving. Daarna volgt een beschrijving van de reikwijdte per type werkzaamheden. Het hoofdstuk wordt afgesloten met bepalingen omtrent de betrouwbaarheid en materialiteit.

3.1. Relevante wet- en regelgeving

Voor de werkzaamheden van de accountant is de volgende wet- en regelgeving relevant:

Het COA stelt overeenkomstig artikel 18 van de Kaderwet zelfstandig bestuursorganen jaarlijks voor 15 maart een jaarverantwoording op. De jaarverantwoording beschrijft de taakuitoefening en het gevoerde beleid en bestaat uit het jaarverslag (bestuursverslag), en de jaarrekening met specifiek benoemde bijlagen, de rechtmatigheidsverantwoording, de overige gegevens en overige bijlagen.

De jaarrekening, waarin rekening en verantwoording wordt afgelegd van het financieel beheer en van de geleverde prestaties over het verstreken boekjaar, wordt ingericht zoveel mogelijk met overeenkomstige toepassing van titel 9 van Boek 2 van het Burgerlijk Wetboek. Het volledige verslaggevingskader is opgenomen in paragraaf 3.1 van dit controle- en verantwoordingsprotocol.

3.2. Reikwijdte onderzoek

De controle dient te worden uitgevoerd door een accountant als bedoeld in artikel 393, eerste lid van boek 2 van het Burgerlijk Wetboek. De controle voldoet aan de controlestandaarden, zoals de Nadere voorschriften Controle- en overige standaarden (NV COS), die door de Nederlandse Beroepsorganisatie van Accountants (NBA) zijn vastgesteld.

Artikel 19 lid 1 van de Wet COA stelt het volgende:

Met het onderzoek moet de accountant een oordeel geven aan de subsidieverstrekker dat:

Voor de werkzaamheden van de accountant is de volgende wet- en regelgeving relevant:

Verslaggevingskader:

Kader financiële rechtmatigheid6Met betrekking tot de te toetsen onderdelen van de wet- en regelgeving (kader financiële rechtmatigheid) dient hiervan door de instelling een nadere uitwerking te worden opgesteld, bestaande uit een overzicht van die bepalingen uit het normenkader die financiële rechtmatigheidsaspecten inhouden.:

3.3. Werkzaamheden met betrekking tot het jaarverslag

Controle van de jaarrekening en subsidieverantwoording

3.4. Accountantsverslag

De grondslag voor de controle is opgenomen in de Wet COA:

Artikel 19 lid 1 van de Wet COA stelt het volgende:

Art. 4.76 lid 5 Awb stelt verder dat het financiële verslag dient aan te sluiten op de begroting waarvoor subsidie is verleend en behelst een vergelijking met de gerealiseerde inkomsten en uitgaven van het jaar, voorafgaand aan het boekjaar.

Met het onderzoek moet de accountant een oordeel geven aan de subsidieverstrekker dat:

Als basis geldt het Nederlands recht, waaronder ook de Nederlandse controlestandaarden, het Controle- en verantwoordingsprotocol COA en het Controleprotocol WNT 20XX.

In de specifieke wet- en regelgeving zijn ten behoeve van de controle op de subsidieverantwoording en jaarrekening van het COA relevante bepalingen opgenomen. De onderstaande (attentie)punten worden onder de aandacht gebracht:

3.5. Rapport van feitelijke bevindingen

Naast de controle van de jaarrekening en de daarin opgenomen subsidieverantwoording wordt aan de accountant gevraagd om specifiek overeengekomen werkzaamheden te verrichten en daarover de rapporteren in overeenstemming met de NBA Standaard 4400N. De werkzaamheden zijn afgestemd met de subsidieverstrekker en betreffen geen controle- of beoordelingsopdracht of enige andere assurance-opdracht uitgevoerd in overeenstemming met Nederlandse controle- en overige standaarden. In het rapport van feitelijke bevindingen wordt door de accountant gerapporteerd over de onderzoeksbevindingen zonder dat de accountant hierover een oordeel uitspreekt. De beoordeling van de onderzoeksbevindingen wordt overgelaten aan de gebruiker (lees: subsidieverstrekker) van het rapport. De specifiek overeengekomen werkzaamheden hebben betrekking op het treffen van waarborgen met betrekking tot privacywetgeving.

Dit betreft de volgende werkzaamheden:

Werkzaamheden: De accountant stelt door middel van inzage in het register van verwerkingsactiviteiten vast of het COA een register van verwerkingsactiviteiten heeft.

Binnen het accountantsverslag staat de vraag centraal of het financieel beheer van het COA heeft voldaan aan de eisen van getrouwheid en rechtmatigheid. Hierin wordt het volgende opgenomen:

Een overzicht van fouten en onzekerheden (gecorrigeerd en niet gecorrigeerd) in de jaarrekening, waaronder de rechtmatigheidsverantwoording en de specifiek benoemde bijlagen bij de jaarrekening, die gelet op rapporteringstolerantie (zoals opgenomen in paragraaf 2.3 moeten worden gerapporteerd, voorzien van een inhoudelijke toelichting.

Een overzicht van de bevindingen inzake administratieve organisatie en interne beheersing (w.o. de beheersing van interne projecten, de toepassing van het kostprijsmodel, het verschuivingsgevaar met betrekking tot kosten van verschillende subsidiecategorieën en de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking), voor zover geconstateerd bij de jaarrekeningcontrole.

De belangrijkste aandachtspunten van de controle: de aangelegenheden die, in de professionele oordeelsvorming van de accountant, het meest significant waren bij de controle van de financiële overzichten van de huidige verslagperiode.

Eventuele bevindingen in het kader van de onder 3.2 van dit protocol genoemde werkzaamheden inzake het jaarverslag (bestuursverslag).

De toepassing van artikel 4:71 van de Algemene wet bestuursrecht, artikel 18:1 van de Wet COA, de Kaderwet ZBO’s artikel 32 en van artikel 4:3 sub b en c van de Regeling voor het bestuur van het COA (activiteiten waarvoor het COA toestemming dient te vragen aan de subsidieversterker).

Werkzaamheden: De accountant stelt door middel van inzage in de risicobeheermatrix met betrekking tot AVG vast of het COA beschikt over een risicobeheermatrix met betrekking tot de AVG.

Werkzaamheden: De accountant stelt op basis van de uitkomstenrapportage vast of het COA in 20XX een penetratietest (‘pentest’) heeft uitgevoerd of heeft laten uitvoeren inzake de eventuele kwetsbaarheid van de website en achterliggende systemen. Als er in 20XX geen pentest is uitgevoerd wordt de datum van de laatst uitgevoerde pentest gerapporteerd.

Vanuit de subsidiegever is het van belang om inzicht te hebben in het voldoen door het COA aan de Algemene Verordening Gegevensbescherming (AVG). Daarom wordt aan de accountant gevraagd specifieke werkzaamheden te doen gericht op de onderstaande vragen. Per onderstaand(e) onderwerp (in casu register, analyse, assessment, procedure, ontwerp, functionaris, matrix, beheersmaatregelen, test) wordt gevraagd een beknopte beschrijving van de inhoud van dat onderwerp te geven. Indien de vraag ontkennend wordt beantwoord wordt gevraagd de reden aan te geven waarom dit niet van toepassing is. Indien een alternatieve oplossing wordt gebruikt, wordt gevraagd de inhoud hiervan beknopt te beschrijven.

3.6. Betrouwbaarheid en materialiteit

Werkzaamheden: De accountant verkrijgt door middel van een interview inlichtingen bij de projectleider AVG en overige relevante functionarissen en stelt op basis van inzicht in ondersteunde documentatie vast dat het COA heeft geanalyseerd of er sprake is van een hoger risico met betrekking tot gegevensverwerkingsactiviteiten.

Werkzaamheden: De accountant verkrijgt door middel van een interview inlichtingen bij de projectleider AVG en/of overige relevante functionarissen en stelt op basis van inzicht in drie willekeurige voorbeelden (één nieuwe project, één beleidsvoornemens en één implementatie van nieuwe wet- en regelgeving) vast of het COA een Privacy Impact Assessment (PIA) uitvoert bij nieuwe projecten, beleidsvoornemens en implementatie van nieuwe wet- en regelgeving. Daarnaast stelt de accountant, op basis van dit voorbeeld, vast of naar aanleiding van de uitkomsten van de PIA beheersmaatregelen nodig zijn en indien dat zo is, of die maatregel getroffen is om persoonsgegevens beschermen en het recht van een individu om zijn/haar gegevens niet te delen met anderen te waarborgen (privacy-maatregelen).

Werkzaamheden: De accountant verkrijgt door middel van een interview inlichtingen bij de projectleider AVG en/of overige relevante functionarissen en stelt op basis van inzicht in drie willekeurige voorbeelden (één nieuw project, één beleidsvoornemens en één implementatie van nieuwe wet- en regelgeving) vast of het COA een Data Protection Impact Assessment (DPIA) voor gegevensbescherming heeft uitgevoerd met betrekking tot activiteiten met een hoger risico. Daarnaast stelt de accountant, op basis van dit voorbeeld, vast of naar aanleiding van de uitkomsten van de DPIA er door het COA ontwerp-hiaten of andere vervolgacties (als gevolg van deze beoordeling) zijn aangepast, geïmplementeerd of gepland.

De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.