Single Audit Compliance onder 2 CFR Part 200: Waarom $1 Miljoen aan Federale Fondsen een SEFA-audit Triggert

16 min leestijdMike ThriftMike Thrift
Single Audit Compliance onder 2 CFR Part 200: Waarom $1 Miljoen aan Federale Fondsen een SEFA-audit Triggert

Stel je voor dat je gemeentelijke gezondheidskliniek net een recordjaar achter de rug heeft. Een HRSA-subsidie uit het pandemietijdperk, een USDA-voedingsprogramma en een HUD Continuum of Care-toekenning zorgden ervoor dat je totale federale uitgaven voor het eerst de $1,2 miljoen overschreden. Je bestuur viert feest — en dan vermeldt je auditor, bijna terloops, dat de audit van volgend jaar drie keer zoveel gaat kosten, twee keer zo lang gaat duren en vereist dat je een document opstelt waar het grootste deel van je personeel nog nooit van heeft gehoord.

Welkom bij de Single Audit.

Voor de meeste organisaties is het overschrijden van de federale financieringsdrempel onzichtbaar totdat de audit voor de deur staat. Tegen die tijd is het te laat om je grootboekrekeningschema te herontwerpen, een Schedule of Expenditures of Federal Awards (SEFA) op te stellen of personeel te trainen in de tientallen nalevingsgebieden die een auditor gaat testen. Deze gids legt precies uit wat een Single Audit triggert, waar auditors naar kijken en hoe je de bevindingen kunt vermijden die de neiging hebben zich jaar na jaar te vermenigvuldigen.

Wat is de Single Audit Act en waarom bestaat deze?

De federale overheid verdeelt jaarlijks honderden miljarden dollars aan staats- en lokale overheden, tribale entiteiten, universiteiten en non-profits. Het meeste van dat geld vloeit de deur uit als subsidies en samenwerkingsovereenkomsten met voorwaarden: kostenprincipes, geschiktheidsregels, rapportagedeadlines en inkoopvereisten.

Vóór 1984 controleerde elke federale instantie haar eigen subsidies individueel. Een enkele universiteit kon in een jaar vijftien afzonderlijke keren worden gecontroleerd door vijftien verschillende instanties — elke audit keek naar een ander programma, en geen van hen keek naar de entiteit als geheel. De Single Audit Act consolideerde dat allemaal in één organisatiebrede audit die alle federale financiers tegelijk tevreden stelt.

Tegenwoordig staan de regels in Title 2 van de Code of Federal Regulations, Part 200 — ook wel de "Uniform Guidance" genoemd. Subpart F stelt de auditeisen vast, en het Office of Management and Budget (OMB) publiceert jaarlijks een Compliance Supplement dat auditors vertelt wat ze voor elk federaal programma moeten testen.

De drempel van $1 miljoen: Een belangrijke wijziging in 2024 die de meeste organisaties hebben gemist

De drempel die een Single Audit activeert, is onlangs gewijzigd. Decennialang was elke niet-federale entiteit die $750.000 of meer aan federale toekenningen uitgaf tijdens haar boekjaar, verplicht om een Single Audit te laten uitvoeren. Het OMB heeft die drempel verhoogd naar $1.000.000 voor audits die betrekking hebben op boekjaren die beginnen op of na 1 oktober 2024.

Als je boekjaar eindigt op 30 juni, valt je eerste audit onder de nieuwe drempel over het jaar dat eindigt op 30 juni 2026. Organisaties met een kalenderjaar bereikten dit een jaar eerder.

Een paar verduidelijkingen waar organisaties elk jaar over struikelen:

  • De drempel telt uitgaven, geen ontvangsten. Als je in maart een federale subsidie van $2 miljoen hebt ontvangen, maar aan het einde van je boekjaar slechts $400.000 hebt uitgegeven, heb je $400.000 aan federale uitgaven. De niet-uitgegeven $1,6 miljoen wordt overgedragen en telt mee wanneer je het uitgeeft.
  • Aggregeer over alle federale bronnen. Twee subsidies van $600.000 van twee verschillende instanties brengen je boven de drempel, ook al bereikt geen enkele toekenning op zich de $1 miljoen.
  • Doorstroomfondsen tellen mee. Geld dat je ontvangt van een staatsinstelling dat oorspronkelijk uit een federale bron kwam, telt voor jou als federale uitgaven. De staat is de doorstroomentiteit; jij bent de subontvanger.
  • Leenprogramma's zijn lastig. Federale gegarandeerde leningen en openstaande leningsaldi tellen vaak mee voor de drempel, en de regels variëren per programma.

Als je onder de $1 miljoen aan federale uitgaven zit, kun je nog steeds onderworpen zijn aan de reikwijdte van je auditor (een controle van de jaarrekening), een door de staat opgelegde audit of een contractspecifieke audit. Maar je bent niet onderworpen aan een Single Audit onder 2 CFR Part 200.

Single Audit vs. Programmaspecifieke Audit

Wanneer een organisatie federale fondsen uitgeeft onder slechts één programma, staat de Uniform Guidance een programmaspecifieke audit toe in plaats van een volledige Single Audit. De auditor onderzoekt dan alleen de naleving van dat ene programma en het bijbehorende overzicht van uitgaven, in plaats van de volledige jaarrekening van de entiteit en elk federaal programma.

De meeste organisaties komen hier niet voor in aanmerking. Zodra je subsidies hebt van twee of meer federale programma's — zelfs van dezelfde instantie — heb je een Single Audit nodig. De programmaspecifieke optie is vooral nuttig voor zeer kleine organisaties met één enkele subsidie.

De Schedule of Expenditures of Federal Awards (SEFA): De basis van de audit

Elke Single Audit begint met de SEFA. Dit is een overzicht, opgesteld door de gecontroleerde (niet de auditor), met elke federale toekenning waaronder de organisatie gedurende het boekjaar geld heeft uitgegeven. Auditors testen de SEFA tegen de onderliggende boekhouding en gebruiken deze om te bepalen welke programma's diepgaand moeten worden gecontroleerd.

Een volledige SEFA bevat:

  • Federale verstrekkende instantie — het departement of de onafhankelijke instantie die de fondsen oorspronkelijk heeft toegekend (HHS, USDA, HUD, DOJ, etc.).
  • Doorstroomentiteit — als u de fondsen hebt ontvangen via een staat, provincie of een andere non-profit, identificeer dan die tussenpersoon.
  • Assistance Listing Number (ALN) — de vijfcijferige identificatie die voorheen bekend stond als het CFDA-nummer, geschreven als XX.XXX, die het programma categoriseert (bijv. 14.218 voor CDBG).
  • Identificatienummer van de federale toekenning — het subsidie- of contractnummer.
  • Identificatienummer van de doorstroomentiteit — het nummer dat de doorstroomentiteit aan u heeft toegewezen.
  • Totale federale uitgaven — voor het boekjaar, per programma.
  • Bedragen doorgegeven aan subontvangers — als u fondsen hebt doorgegeven aan andere organisaties.
  • Toelichtingen op het overzicht — inclusief de grondslagen voor de verslaggeving, of u hebt gekozen voor het 10% de minimis indirecte kostenpercentage, en eventuele hulp in natura zoals voedselproducten of vaccins.

Twee SEFA-valstrikken veroorzaken meer bevindingen dan wat dan ook.

Ten eerste, het moment van verantwoording. De SEFA rapporteert federale uitgaven, niet de ontvangen federale inkomsten. Als je boekhouding inkomsten verantwoordt wanneer het geld binnenkomt, maar je kosten aan een federaal programma hebt toegerekend op basis van het toerekeningsstelsel, moet de SEFA overeenkomen met de kosten, niet met de kasontvangsten. Het aansluiten van de SEFA op het grootboek is onvermijdelijk.

Ten tweede, volledigheid. Federale fondsen komen soms vermomd binnen als doorstroomfondsen van de staat. Een subsidie van een staatsdepartement van onderwijs met het label "Title I" is federaal geld. Een betaling van een staatsinstelling voor Medicaid kan federale doorstroomdollars bevatten. Subontvangers die de federale oorsprong van een betaling niet herkennen, laten deze routinematig weg uit de SEFA, en vallen vervolgens door de mand wanneer de auditbevestiging van de doorstroomentiteit binnenkomt.

De auditor hoort je SEFA niet op te stellen. Ze kunnen deze beoordelen, correcties voorstellen en bevestigen dat deze aansluit op je boekhouding, maar de verantwoordelijkheid voor de nauwkeurigheid ligt bij het management. Als je auditor de SEFA vanaf nul opbouwt, is dat een probleem met de onafhankelijkheid dat de audit ongeldig kan maken.

Hoe auditors beslissen welke programma's ze controleren: De risicogebaseerde benadering

Een Single Audit test niet elk federaal programma tot in detail. Met tientallen federale subsidies zou dat onmogelijk duur zijn. In plaats daarvan gebruiken auditors een risicogebaseerde aanpak in vier stappen om "belangrijke programma's" te selecteren die volledig op naleving worden getest.

Stap 1: Identificeer Type A- en Type B-programma's

Programma's worden gesorteerd op grootte. Voor entiteiten met totale federale uitgaven onder de $34 miljoen zijn Type A-programma's die programma's met uitgaven boven het hoogste van $1.000.000 of 5% van de totale federale subsidies (de drempel loopt op voor grotere entiteiten). Alles wat kleiner is, is Type B.

Stap 2: Identificeer Type A-programma's met een laag risico

Een Type A-programma mag alleen als een programma met een laag risico worden beschouwd als aan beide volgende voorwaarden is voldaan:

  • Het werd gecontroleerd als een belangrijk programma in ten minste een van de twee meest recente auditperioden.
  • Bij de meest recente audit waren er geen materiële tekortkomingen in de interne beheersing, geen aangepaste oordelen over de naleving en geen voor het programma materiële betwiste kosten.

Type A-programma's met een laag risico kunnen dit jaar worden overgeslagen. Type A-programma's met een hoog risico moeten worden gecontroleerd als belangrijke programma's.

Stap 3: Identificeer Type B-programma's met een hoog risico

Voor kleinere Type B-programma's voert de auditor risicobeoordelingen uit en identificeert programma's met een verhoogd risico. De auditor moet een Type B-programma met een hoog risico als belangrijk programma controleren in een aantal dat ten minste gelijk is aan een kwart van de Type A-programma's met een laag risico.

Stap 4: Pas de dekkingsregel toe

Auditors moeten voldoende belangrijke programma's controleren zodat de belangrijke programma's gezamenlijk verantwoordelijk zijn voor ten minste:

  • 20% van de totale federale uitgaven voor auditees met een laag risico, of
  • 40% van de totale federale uitgaven voor alle anderen.

Als stappen 1-3 u niet naar het vereiste dekkingspercentage leiden, voegt de auditor extra programma's toe totdat dit wel het geval is.

Wat er nodig is om een auditee met een laag risico te worden

Het verschil tussen 20% en 40% is enorm. Een verdubbeling van de reikwijdte van de audit betekent een verdubbeling van uw auditkosten, de belasting van uw personeel tijdens het veldwerk en uw blootstelling aan bevindingen. Het verkrijgen van de status van auditee met een laag risico is de belangrijkste factor voor kostenbeheersing bij een Single Audit.

Om in aanmerking te komen, moet voor elk van de voorgaande twee auditperioden aan al het volgende zijn voldaan:

  1. Er is een Single Audit uitgevoerd (geen programmaspecifieke audit).
  2. Het rapportagepakket is op tijd ingediend bij het Federal Audit Clearinghouse (FAC).
  3. De auditor heeft een goedkeurende verklaring afgegeven over de jaarrekening.
  4. De auditor heeft een goedkeurende verklaring afgegeven over de SEFA.
  5. Er zijn geen materiële tekortkomingen volgens het Yellow Book gerapporteerd.
  6. Er is geen twijfel gerezen over de continuïteit (going-concern).
  7. Geen enkel Type A-programma had materiële tekortkomingen, aangepaste oordelen of materiële betwiste kosten.

Een enkele te late FAC-indiening of één materiële tekortkoming diskwalificeert u voor twee jaar. Daarom behandelen organisaties die klaar zijn voor een audit naleving als een continu proces, en niet als een jaarlijkse sprint.

De 12 nalevingsgebieden die auditors testen

Voor elk belangrijk programma testen auditors de naleving van maximaal 12 categorieën vereisten. De exacte mix hangt af van welke categorieën voor het programma zijn gemarkeerd in het OMB Compliance Supplement. De 12 zijn:

  1. Toegestane of niet-toegestane activiteiten — Heeft u de middelen gebruikt voor het geautoriseerde doel van het programma?
  2. Toegestane kosten / Kostengrondslagen — Waren de kosten redelijk, toewijsbaar en consistent met Subpart E van 2 CFR 200?
  3. Kasbeheer — Als u vooraf federaal geld heeft opgenomen, heeft u de tijd tussen opname en uitbetaling dan geminimaliseerd?
  4. Subsidiabiliteit — Voldeden de deelnemers, begunstigden of subontvangers aan de subsidiabiliteitsregels van het programma?
  5. Beheer van apparatuur en onroerend goed — Worden met federale middelen gefinancierde activa bijgehouden, verzekerd en gebruikt volgens de programmaregels?
  6. Matching, inspanningsniveau, oormerken — Heeft u de vereiste niet-federale matching bijgedragen en eventuele geoormerkte bestedingsvloeren gehaald?
  7. Prestatieperiode — Zijn de kosten gemaakt binnen de begin- en einddatum van de subsidie?
  8. Inkoop, schorsing en uitsluiting — Heeft u de federale inkoopnormen gevolgd en leveranciers gecontroleerd aan de hand van de SAM-uitsluitingslijst?
  9. Programma-inkomsten — Heeft u de inkomsten die door het programma zijn gegenereerd correct verantwoord en gebruikt?
  10. Rapportage — Zijn de financiële en prestatierapporten nauwkeurig en op tijd ingediend?
  11. Monitoring van subontvangers — Heeft u subontvangers onderworpen aan een risicobeoordeling, gemonitord en opgevolgd?
  12. Speciale testen en bepalingen — Programmaspecifieke vereisten die uniek zijn voor de subsidie.

Elke geteste vereiste omvat walkthroughs van uw interne beheersingsmaatregelen, steekproeven op transacties en verificatie of beleid bestaat en wordt nageleefd.

De meest voorkomende bevindingen bij een Single Audit

In de duizenden Single Audits die jaarlijks worden ingediend, komen steeds weer dezelfde bevindingen naar voren:

  • Inkoopschendingen. Een aankoop opsplitsen om onder een drempelwaarde voor aanbesteding te blijven, verzuimen om de rechtvaardiging voor een exclusieve leverancier (sole-source) te documenteren, of SAM.gov niet controleren voordat een contract met een leverancier wordt gesloten.
  • Tekortkomingen in de monitoring van subontvangers. Veel organisaties verlenen federale middelen door aan andere non-profits zonder risicobeoordelingen uit te voeren, zonder een Single Audit te eisen van subontvangers die boven de drempel zitten, of zonder bevindingen op te volgen.
  • Ontbrekende of zwakke documentatie. Tijd-en-inspanningscertificeringen voor personeel dat over verschillende financieringsbronnen is verdeeld, zijn een terugkerend probleem. Dat geldt ook voor ondertekende goedkeuringen van journaalposten die kosten tussen subsidies verschuiven.
  • Subsidiabiliteitsfouten. Foutieve inkomensberekening voor een huurder van een sociale woning; onjuiste verificatie van het staatsburgerschap voor een arbeidsprogramma; deelnamedossiers waarin de vereiste documentatie ontbreekt.
  • Te late of onnauwkeurige rapportage. Federal Financial Reports (SF-425) die na de vervaldatum zijn ingediend, of rapportages die niet aansluiten bij het grootboek.
  • Fouten in het kasbeheer. Federale middelen dagen of weken voor de uitbetaling opnemen, waardoor rente ontstaat die de organisatie had moeten afdragen.
  • Kostentoewijzingen met te grote kostenpools. Wanneer u kleine, niet-toegestane posten begraaft in een grote kostenpool, neemt de auditor een steekproef van één foutieve post en wordt de volledige pool in twijfel getrokken.

De meeste van deze tekortkomingen hebben een gezamenlijke oorzaak: federale middelen werden behandeld als elke andere inkomstenbron, zonder speciale tracking, zonder gescheiden rekeningen en zonder discipline in de documentatie. De kosten om dit tijdens de audit te herstellen zijn vele malen hoger dan de kosten om het vanaf de toekenning van de subsidie direct goed te doen.

Degelijke boekhouding is de basis

Achter elke vlekkeloze Single Audit schuilt een rekenschema dat federale middelen scheidt per toekenning, per financieringsbron en per toegestane kostencategorie. Wanneer een auditor vraagt om "alle uitgaven ten laste van Toekenning nr. 2024-XYZ tijdens de prestatieperiode", moet u die lijst binnen enkele minuten kunnen opvragen — met bewijsstukken gekoppeld aan elke regel.

De organisaties die de meeste moeite hebben, zijn degene die federale en niet-federale middelen vermengen in een enkele programmacode en vervolgens achteraf proberen subsidie-specifieke uitgaven te reconstrueren. Degene die er vlekkeloos doorheen komen, hebben vanaf de eerste dag tracking-discipline in hun boekhouding ingebouwd.

Rapportagepakket en indiening bij de Federal Audit Clearinghouse

Zodra het veldwerk is voltooid, stelt de auditor een rapportagepakket samen dat het volgende bevat:

  • Financiële overzichten en de verklaring van de auditor daarover.
  • De SEFA en de verklaring van de auditor daarover.
  • Een overzichtstabel van eerdere auditbevindingen.
  • Het Yellow Book-rapport over de interne beheersing van financiële verslaglegging en naleving.
  • Het Uniform Guidance-rapport over de naleving van de vereisten van belangrijke programma's.
  • Een overzicht van bevindingen en betwiste kosten.
  • Een door het management opgesteld plan van corrigerende maatregelen.

Het volledige pakket moet elektronisch worden ingediend bij de Federal Audit Clearinghouse (FAC), nu beheerd door GSA, uiterlijk op het eerste van de volgende tijdstippen:

  • 30 kalenderdagen nadat het rapport van de auditor is uitgebracht, of
  • 9 maanden na het einde van het gecontroleerde boekjaar.

Een organisatie met een kalenderjaar als boekjaar heeft tot 30 september van het volgende jaar. Een organisatie met een boekjaar dat eindigt op 30 juni heeft tot 31 maart. Federale toezichthoudende instanties kunnen uitstel verlenen, maar het missen van de deadline zonder uitstel is een reden om te worden aangemerkt als een 'high-risk auditee', wat leidt tot extra controles in toekomstige jaren en reputatieschade bij federale financiers.

Wat gebeurt er als bevindingen in het rapportagepakket terechtkomen

Elke auditbevinding vereist dat het management een plan van corrigerende maatregelen opstelt met een specifieke verantwoordelijke persoon, een implementatiedatum en een beschrijving van wat er is gewijzigd. Federale subsidieverstrekkende instanties beoordelen bevindingen en beslissen of ze:

  • De corrigerende maatregel accepteren en de bevinding sluiten.
  • Terugbetaling van betwiste kosten eisen — elke niet-toegestane kost van meer dan $ 25.000 moet worden gerapporteerd als een betwiste kost.
  • Speciale voorwaarden stellen aan toekomstige toekenningen (extra rapportage, financiering uitsluitend op basis van vergoeding, vereisten voor voorafgaande goedkeuring).
  • In ernstige gevallen de organisatie schorsen of uitsluiten van toekomstige federale financiering.

Bevindingen verdwijnen niet na één jaar. Ze verschijnen in de "overzichtstabel van eerdere auditbevindingen" van de volgende audit, en de auditor controleert of uw corrigerende maatregelen hebben gewerkt. Terugkerende bevindingen zijn rode vlaggen die vaak leiden tot speciale monitoring door instanties.

Praktische stappen om u voor te bereiden voordat u de drempel overschrijdt

Als u de drempel van $ 1 miljoen aan uitgaven nadert, is het tijd om u voor te bereiden voordat u deze overschrijdt, niet erna.

  1. Stel subsidie-specifieke boekhouding in. Gebruik klassentracering, projectcodes of boekhouding voor beperkte middelen, zodat elke federale dollar traceerbaar is van toekenning tot uitgave.
  2. Documenteer uw methodologie voor indirecte kosten. Onderhandel over een federaal goedgekeurd tarief voor indirecte kosten, kies voor het de-minimispercentage van 10%, of houd een duidelijk toewijzingsplan bij dat aansluit bij de werkelijke kosten.
  3. Stel schriftelijk beleid op. Inkoop, kasbeheer, belangenverstrengeling, toegestane kosten, monitoring van subontvangers, tracking van apparatuur, reizen — federale regelgeving verwacht schriftelijk beleid, niet alleen informele praktijken.
  4. Train programmamedewerkers. Federale naleving kan niet volledig bij de financiële afdeling liggen. Programmamanagers keuren uitgaven goed, houden toezicht op subontvangers en certificeren tijd en inspanning.
  5. Plan proefaudits. Veel accountantskantoren bieden beoordelingen van de nalevingsbereidheid aan vóór uw eerste Single Audit. De bevindingen zijn privé; de voorbereidingstijd is goud waard.
  6. Bevestig de kwalificaties van uw auditor. Single Audits moeten worden uitgevoerd door onafhankelijke auditors die gekwalificeerd zijn volgens de Government Auditing Standards (het "Yellow Book"). Niet elk accountantskantoor is gekwalificeerd.

Houd uw financiële administratie het hele jaar door audit-klaar

Of u nu een 501(c)(3) bent die de drempel voor de Single Audit nadert of een gemeentelijke overheid met decennia aan federale toekenningen in de boeken, de onderliggende discipline is hetzelfde: elke federale dollar heeft een duidelijk papieren spoor nodig van toekenning tot uitgave, van factuur tot grootboek, van journaalpost tot geautoriseerde goedkeurder. Beancount.io biedt plain-text accounting die dat spoor expliciet maakt — elke transactie is een tekstregel, elke wijziging is versiebeheerd en elk rapport kan worden gereproduceerd vanuit brongegevens. Voor organisaties die elke invoer moeten bewijzen aan een federale auditor, is die transparantie precies de eigenschap die de auditweek verandert van een noodsituatie in een routine. Ga gratis aan de slag en ontdek waarom financiële teams kiezen voor plain-text accounting wanneer nauwkeurigheid en verantwoording er toe doen.