Onderstaande tabel geeft een overzicht van nieuwe en eerder gerapporteerde controlebevindingen. Wij classificeren de bevindingen in laag, middel of hoog. Hieronder volgt een toelichting op de classificatie:
Hoog: Bevinding van groot belang voor de kwaliteit van de interne beheersing. Deze bevinding zou naar onze mening direct opgepakt moeten worden;
Midden: Bevinding van belang voor de kwaliteit van de interne beheersing. Deze bevinding verdient opvolging binnen afzienbare tijd;
Laag: Bevinding van belang voor de kwaliteit van de interne beheersing, maar met een beperkt effect door bijvoorbeeld mitigerende maatregelen. De opvolging is in onze ogen wenselijk.
De bevindingen zijn als volgt:
Nieuwe bevindingen 2020
Nummer Bevinding Belangrijk
01 Inkopen - Betaalbaar stellen van inkoopfacturen in AFAS vóór goedkeuring in Donau
Midden
02 Inkopen - Verwerking inkoopfacturen in de financiële administratie ná goedkeuring in Donau
Laag
03 Aanbestedingen - Ten onrechte niet-Europees aanbesteed in 2020 Hoog 04 Inspectie & Hygiëne - Interne controle op volledigheid inspecties kinderopvang
kan beter
Midden
05 Subsidieverstrekkingen - Geen aansluiting te verstrekken subsidies of te ontvangen afrekening met financiële administratie
Midden
06 IT-audit – Verbeteringen in logische toegangsbeveiliging noodzakelijk Hoog
1 2 3 4 5 6
Samen slimmer. Sterker samen.
Bladzijde 12 van 31
Nummer Bevinding Belangrijk
07 IT-audit – Fysieke toegangsbeveiliging moet op onderdelen worden verbeterd Hoog 08 IT-audit – Continuïteit/beschikbaarheid van de informatiesystemen behoeft
aandacht
Hoog
09 IT-audit – Beheer wijzigingen is niet toereikend Midden
Eerder gerapporteerde bevindingen door vorige accountant
Nummer Bevinding Belangrijk Advies uit Opvolging
01 Verbijzonderde interne controle - Het interne controleplan is nog niet geactualiseerd
Laag 2018 Nee
02 Memoriaalboekingen - Ontbreken controle op memoriaalboekingen
Midden 2018 Ja
03 Actualiseren frauderisicoanalyse Midden 2019 Nee
#01 Inkopen - Betaalbaar stellen van inkoopfacturen in AFAS vóór goedkeuring in Donau
Observatie Wij hebben vastgesteld dat inkoopfacturen die door meerdere personen moeten worden goedgekeurd al vóór goedkeuring in AFAS worden geboekt en betaalbaar worden gesteld. Als reden hiervoor wordt aangegeven dat de betaaltermijn al verstreken is alvorens alle
personen de factuur in Donau hebben geautoriseerd. In voorkomende gevallen worden in Donau interne deelfacturen aangemaakt die door de diverse betrokkenen moeten worden goedgekeurd.
Risico Het risico bestaat dat er facturen betaald worden die uiteindelijk niet (geheel) zijn goedgekeurd.
Aanbeveling Wij adviseren u in dergelijke gevallen de betaalbaarstelling van de inkoopfactuur te blokkeren totdat alle interne deelfacturen zijn goedgekeurd.
Reactie management Dit vindt voornamelijk plaats bij facturen die verdeeld moeten worden over verschillende budgetbeheerders. Dit kan zijn voor verzamelfacturen voor bijvoorbeeld telefonie maar ook voor onder meer UWV-kosten. Over het algemeen gaat het om lage bedragen en facturen waarvan de betaling niet ter discussie staat. Om ervoor te zorgen dat de crediteuren tijdig betalingen ontvangen worden deze facturen alvast betaald. De autorisatie, weliswaar achteraf, wordt nauwlettend door ons gemonitord.
Impact jaarrekening Wij vragen u na te gaan of er over 2020 sprake is van betaalde facturen die niet (geheel) zijn geautoriseerd.
1 2 3 4 5 6
Samen slimmer. Sterker samen.
Bladzijde 14 van 31
#02 Inkopen - Verwerking inkoopfacturen in de financiële administratie ná goedkeuring in Donau
Observatie De inkoopfacturen worden in Donau verwerkt waar ze door de daartoe bevoegde
medewerkers worden goedgekeurd. Na goedkeuring in Donau worden de inkoopfacturen in de financiële administratie verwerkt.
Risico Het risico bestaat dat bij het opstellen van de jaarrekening (en tussentijdse rapportages) de schuldenpositie niet volledig is opgenomen in die cijfers. Tevens bestaat het risico dat de compensabele BTW op deze inkoopfacturen niet in de juiste periode in de aangifte wordt verwerkt.
Aanbeveling Wij adviseren u de inkoopfacturen na verwerking in Donau direct in de financiële
administratie te verwerken. En, in navolging van onze aanbeveling onder #01, daarbij tevens te regelen dat de betaalbaarstelling in de financiële administratie eerst plaatsvindt nadat de inkoopfactuur in Donau is goedgekeurd.
Reactie management Het controleren of onze schuldpositie bij de jaarrekening wel volledig is, is onlosmakelijk onderdeel van ons afsluitproces. Hiervoor zijn aanvullende beheersmaatregelen door ons getroffen. Dit geldt ook voor de controle op de btw-aangifte.
Impact jaarrekening Wij vragen u na te gaan of de per balansdatum 2020 in Donau verwerkte en nog niet goedgekeurde facturen in het juiste boekjaar worden verantwoord.
#03 Aanbestedingen – Ten onrechte niet-Europees aanbesteed in 2020
Observatie Zowel in 2019 als in 2020 is bij de Regio Twente sprake onrechtmatigheden op gebied van Europese aanbestedingen. In zowel het accountantsverslag 2019 van de vorige accountant als in de interne management letter naar aanleiding van de verbijzonderde interne controle over de eerste helft van 2020 bent u geïnformeerd over de onrechtmatigheden. Bij een aantal vermeende onrechtmatigheden in 2020 is waarschijnlijk sprake van onvoorziene
omstandigheden als gevolg van een langere doorlooptijd van het verandertraject dan vooraf voorzien.
Risico De directe consequenties van het niet-rechtmatig aanbesteden worden over het algemeen als beperkt ingeschat. Vanuit de toezichthouder c.q. de provincie Overijssel zijn geen
maatregelen te verwachten, de kans dat een benadeelde leverancier een claim indient wordt ook klein verondersteld. Anderzijds wil een lokale overheid als de Regio Twente rechtmatig handelen jegens de samenleving. Zeker als de onrechtmatigheden zouden leiden tot een niet-goedkeurende controleverklaring van de accountant (2020) of een beperking in de
rechtmatigheidsverantwoording door het dagelijks bestuur (vanaf 2021), kunnen er bestuurlijk wel vervelende situaties ontstaan.
Aanbeveling Wij adviseren voor 2020 op korte termijn met nadere onderbouwingen te komen over of de hierboven bedoelde aanbestedingen al dan niet rechtmatig zijn. Betreffende aanbestedingen hebben wij op 20 januari met een afvaardiging van de ambtelijke organisatie besproken.
Om in de toekomst onrechtmatigheden in de aanbestedingen te voorkomen vragen wij uw aandacht voor het tijdig signaleren van aflopende contracten. Naar wij begrepen wordt het huidige pakket voor contractbeheer vervangen en wordt momenteel geïnventariseerd wat de best mogelijke oplossing voor de toekomst is. Tot slot geven wij in overweging om het aantal
1 2 3 4 5 6
Samen slimmer. Sterker samen.
Bladzijde 16 van 31
medewerkers dat decentraal kan inkopen te beperken om de aanbestedingsrisico te reduceren.
Reactie management Wij zullen op korte termijn de door u gevraagde nadere onderbouwingen aanleveren. In zowel 2019 als 2020 heeft onze organisatie incidenteel budget verkregen om dit proces te verbeteren. Hiermee zijn al de nodige procesverbeteringen aangebracht en mogelijke nieuwe onrechtmatigheden voorkomen. Structurele voortzetting hiervan is noodzakelijk en
onontkoombaar om de risico’s in dit proces te beheersen en om te voorkomen dat er geen goedkeurende controleverklaring wordt verstrekt. Voor de voortzetting komen wij met een voorstel voor ons algemeen bestuur.
Impact jaarrekening Wij adviseren voor 2020 op korte termijn met nadere onderbouwingen te komen over of de hierboven bedoelde aanbestedingen al dan niet rechtmatig zijn.
#04 Inspectie & Hygiëne - Interne controle op volledigheid inspecties kinderopvang kan beter
Observatie Tijdens onze werkzaamheden hebben wij vastgesteld dat er inzake de inspecties kinderopvang geen zichtbare aansluiting wordt gelegd tussen de aantallen die worden gepland (definitieve door gemeenten goedgekeurde planning), de aantallen die zijn uitgevoerd (volgens de vastlegging in GIR) en de uiteindelijk gefactureerde aantallen.
Risico Het risico bestaat dat niet alle uitgevoerde inspecties in rekening worden gebracht.
Aanbeveling Wij adviseren u periodiek een aansluiting te leggen tussen de aantallen gefactureerde inspecties, de uitgevoerde inspecties en de geplande inspecties, zowel in aantallen als in bedragen.
Reactie management De volledigheidscontrole over de door ons uitgevoerde inspecties is onderdeel van ons afsluitproces van de jaarrekening. Hiervoor zijn aanvullende beheersmaatregelen getroffen door ons.
Impact jaarrekening Wij vragen u deze aansluiting voor 2020 op totaalniveau te maken.
1 2 3 4 5 6
Samen slimmer. Sterker samen.
Bladzijde 18 van 31
#05 Subsidieverstrekkingen – Geen aansluiting te verstrekken subsidies of te ontvangen afrekening met financiële administratie
Observatie De subsidies uit hoofde van de Agenda voor Twente worden geregistreerd in een
mappenstructuur op de server. Met behulp van deze structuur wordt o.a. de volledigheid van de te verstrekken subsidies en/of de te ontvangen afrekeningen gewaarborgd. Een periodieke afstemming met de financiële administratie van de Regio Twente in Afas wordt echter niet gemaakt.
Risico Het risico bestaat dat door het ontbreken van deze afstemming de posities (te verstrekken subsidies en/of te ontvangen afrekeningen) niet juist in de financiële administratie worden verantwoord.
Aanbeveling Wij adviseren u om een totaaloverzicht van de voortgang van de projecten op te stellen waarbij ook de bedragen worden vermeld en deze periodiek aan te sluiten met in de financiële administratie verantwoorde bedragen.
Reactie management In 2019/2020 zijn wij gestart met het opzetten van een projectadministratie. In deze
administratie wordt een aansluiting vastgelegd tussen de verstrekte subsidies en de nog af te rekenen subsidies. In verband met de veranderopdracht waarbij het subsidieprogramma elders wordt georganiseerd is besloten de aansluiting tussen de verstrekte subsidies (verwerkt in het financieel systeem) vooralsnog periodiek extracomptabel te maken met de nog af te rekenen subsidies.
Impact jaarrekening Wij vragen u om per balans de genoemde aansluiting te maken, zodat de verplichtingen uit hoofde van de Agenda voor Twente juist en volledig in de jaarrekening worden vermeld.
#06 IT-audit – Verbeteringen in logische toegangsbeveiliging noodzakelijk
Observatie De basisonderdelen van logische toegangsbeveiliging zijn aanwezig, maar nog niet volledig.
Met name op gebied van autorisatiebeheer binnen applicaties is de beveiliging nog niet op een juiste wijze georganiseerd. Dit proces is nog sterk afhankelijk van het inzicht van de manager en beheerder. Daarnaast worden geen periodieke en aantoonbare controles op deze autorisaties uitgevoerd. Ondanks dat een Active Directory-account een voorwaarde is voor het verkrijgen van toegang tot applicaties, geldt dit nog niet overal. Het geplande RBAC- concept (Role Based Access Control) is nog niet doorgevoerd. Op basis van een controle in de applicatie DONAU is onder meer gebleken dat nog veel oude accounts actief zijn. Hier is nooit een controle op geweest c.q. heeft nog geen opschoning plaatsgevonden.
Ten aanzien van het beleid moet worden opgemerkt dat deze documenten nog niet allemaal een definitieve status hebben (of tijdig zijn geactualiseerd).
Het beleid en uitvoering omtrent beheeraccounts is niet duidelijk. Functioneel beheerders hebben relatief veel rechten binnen het eigen persoonlijk account. Door het ontbreken van periodieke controles is niet met zekerheid aan te tonen dat geen (on-)bewuste fouten in onder meer de financiële processen zijn ontstaan.
Risico Het risico bestaat dan ongeoorloofd toegang tot systemen en/of bestanden wordt verkregen.
Doordat er in verband met de coronaprojectorganisatie ongeveer 300 extra mensen bij de GGD werkzaam zijn, zijn de risico’s toegenomen.
Aanbeveling Regio Twente heeft in de beleidsnotitie ‘Beheer toegang en autorisatie informatiesystemen’
in het beginsel een aantal toepasbare beleidsuitgangspunten beschreven die mede kunnen resulteren in een effectief logisch toegangsbeveiliging. Geadviseerd wordt dan ook om
1 2 3 4 5 6
Samen slimmer. Sterker samen.
Bladzijde 20 van 31
betreffende uitgangspunten op korte termijn ook daadwerkelijk aantoonbaar binnen Regio Twente te implementeren.
Reactie management Wij hechten veel belang aan een goede interne beheersing van onze
automatiseringsomgeving. In 2020 zijn daarom ook weer belangrijke stappen gezet maar wij hebben nog aanvullende stappen te zetten om de beheersing verder te versterken. Wij gaan op korte termijn met de IT-auditor in gesprek om een plan van aanpak op te stellen voor verbeteringen zowel op de korte termijn als de middellange termijn.
Impact jaarrekening Geen.
#07 IT-audit – Fysieke toegangsbeveiliging moet op punten worden verbeterd
Observatie De fysieke beveiliging is op hoofdlijnen voldoende. Echter, met name op het gebied van calamiteiten en uitwijkmogelijkheid worden de nodige plannen /procedures gemist, waardoor deze niet zijn aan te tonen.
Risico Het risico bestaat dat bedrijfskritische processen niet in continuïteit beschikbaar zijn.
Aanbeveling Stel op basis van verschillende scenario’s een calamiteiten-/uitwijkplan op en test dit plan regelmatig op basis van realistische testscripts, zodat de werking van het plan kan worden aangetoond en verbeteringen kunnen worden aangebracht.
Reactie management Zie #06 Impact jaarrekening Geen
1 2 3 4 5 6
Samen slimmer. Sterker samen.
Bladzijde 22 van 31
#08 IT-audit – Continuïteit/beschikbaarheid van de informatiesystemen verdient aandacht
Observatie In de basis heeft de Regio Twente de nodige maatregelen genomen ten aanzien van het borgen van de beschikbaarheid van haar (bedrijfskritische) informatiesystemen. Echter, door het ontbreken van duidelijk beleid en vastgestelde procedures is niet met zekerheid vast te stellen of huidige maatregelen resulteren in het juiste benodigde effect. Voor wat betreft de Azure-omgeving wordt aantoonbaar een back-upproces uitgevoerd. Ten aanzien van de belangrijkste SaaS-applicaties is de wijze van back-up/restore niet eenduidig en ook niet altijd aantoonbaar vastgelegd in de aanwezige SLA’s. Uitgangspunt is dat de SaaS leverancier dit regelt, maar dit is niet zeker gesteld.
Risico Het risico bestaat dat bedrijfskritische informatiesystemen en daarin vastgelegde gegevens/informatie niet beschikbaar zijn.
Aanbeveling Geadviseerd wordt op het aspect continuïteit inclusief back-up/restore meer expliciet vast te leggen, waarbij niet alleen moet worden gekeken naar de Azure omgeving, maar ook
nadrukkelijk de continuïteit en back-up/restore van de (bedrijfskritische) applicaties (SaaS) in kaart moeten worden gebracht. Belangrijk is dat alle afspraken ook periodiek worden beoordeeld getest. Geadviseerd wordt om dit op basis van een uitgewerkt Business Impact Analyse (BIA) nader uit te werken. Dit maakt het proces herhaalbaar.
Reactie management Zie #06 Impact jaarrekening Geen
#09 IT-audit – Beheer wijzigingen is niet toereikend
Observatie Binnen Regio Twente is wijzigingsbeheer ten aanzien van ICT – en dan met name wijzigingen die betrekking hebben op Remote Desktop Services – beschreven en geformaliseerd. Echter, een duidelijk/aantoonbaar proces rondom wijzigingen, testen en acceptatie van
(bedrijfskritische) SaaS-oplossingen is niet aanwezig. Veranderingen en acceptatie van veranderingen vinden meestal plaats door functioneel beheer, zonder akkoord management.
Dit vindt niet planmatig plaats (niet aangetoond/duidelijke vastlegging niet aanwezig).
Risico Het risico bestaat dat wijzigingen in SaaS-applicaties leiden tot verstoringen in de processen bij Regio Twente.
Aanbeveling Stel een duidelijke strategie en werkwijze op ten aanzien van het omgaan met SaaS-oplossingen. Besteed daarbij voornamelijk aandacht aan het testen en accepteren van wijzigingen, zodat tijdig eventuele nieuwe risico’s en aanvullende maatregelen kunnen worden geïdentificeerd. Met name ten behoeve van het zeker stellen van aspecten als werking (functionaliteit), veiligheid en betrouwbaarheid. Zorg er tevens voor dat het management nadrukkelijk hierbij een rol heeft en behoudt. Functioneel beheer kan wijzigingen prima functioneel beoordelen, maar kan geen besluit nemen en goedkeuring hierover geven.
Reactie management Zie #06 Impact jaarrekening Geen
1 2 3 4 5 6
Samen slimmer. Sterker samen.
Bladzijde 24 van 31
#01 Verbijzonderde interne controle - Het interne controleplan is nog niet geactualiseerd (bevinding 2018/2019)
Observatie Tot op heden is het interne controleplan nog niet geactualiseerd. De meest recente versie dateert van 2016. Naar wij begrepen heeft nog geen actualisatie plaatsgevonden in verband met het verandertraject waar de Regio Twente op dit moment in zit. Na afronding van dit traject wordt het interne controleplan geactualiseerd zodat deze direct aansluit op de nieuwe organisatie.
Risico Het beschikken over een up-to-date IC-plan is temeer van belang omdat vanaf 2021 het dagelijks bestuur een rechtmatigheidsverantwoording moet afleggen. Door het ontbreken van een actueel interne controleplan bestaat de mogelijkheid dat het bestuur onvoldoende fundament heeft voor het adequaat afleggen van een verantwoording over de
rechtmatigheid van de baten en lasten en balansmutaties. Door uw controller is aangegeven dat er tot en met ultimo 2020 ten opzichte van 2016 geen grote wijzigingen in processen c.q.
activiteiten hebben plaatsgevonden. Uitzondering betreffen de coronakosten, hiervoor zijn in 2020 aanvullende interne controles uitgevoerd. Op basis van de door ons uitgevoerde
werkzaamheden kunnen wij die uitspraken van uw controller beamen.
Aanbeveling Onze aanbeveling is om het interne controleplan kort na de afronding van het verandertraject te actualiseren.
Reactie management Een actueel interne controleplan is benodigd temeer omdat vanaf 2021 de
rechtmatigheidscontrole verschuift van de accountant naar het dagelijks bestuur. Wij gaan het interne controleplan met prioriteit actualiseren in 2021.
Impact jaarrekening Geen.
#02 Memoriaalboekingen - Ontbreken controle op memoriaalboekingen (bevinding 2018/2019)
Observatie In de boardletter 2019 was vermeld dat er ten aanzien van memoriaalboekingen nog niet altijd volgens het vierogenprincipe werd gewerkt.
Risico Door het niet consequent toepassen van het vierogenprincipe bestaat het risico dat er onjuiste memoriaalboekingen in de administratie worden doorgevoerd.
Opvolging volgens interne management letter 2020
Uit de interne controle blijkt dat dit proces een verbetering laat zien ten opzichte van vorig jaar. Er zijn geen fouten geconstateerd in de gecontroleerde steekproefselectie. Uit de controle blijkt dat er één keer het vierogenprincipe niet is toegepast. Bij de controle is wel gebleken dat de boeking juist en rechtmatig is verwerkt.
Reactie Eshuis 2020 Op basis van de door ons uitgevoerde reperformances (d.i. het door ons opnieuw uitvoeren van een aantal door de Regio Twente uitgevoerde interne controles) komen wij tot dezelfde conclusie. Daarnaast hebben wij zelfstandig een uitgebreide beoordeling op de
memoriaalboekingen tot en met half september 2020 uitgevoerd. Ook daarbij zijn geen bijzonderheden geconstateerd.
Impact jaarrekening Wij vragen u de interne controles op de memoriaalboekingen uit te breiden tot geheel 2020.
Dit is conform de planning van het interne controleplan.
1 2 3 4 5 6
Samen slimmer. Sterker samen.
Bladzijde 26 van 31
#03 Actualiseren frauderisicoanalyse (bevinding 2019)
Observatie In de boardletter van 2019 is door de accountant geadviseerd om de frauderisicoanalyse op korte termijn te herijken en door het dagelijks bestuur te laten vaststellen.
Reactie management 2019
De frauderisicoanalyse is gebaseerd op onze meest significante processen. De afgelopen jaren hebben hierin geen majeure wijzigingen plaatsgevonden. Met het oog op onze organisatiewijziging vinden wij het meer passend om de frauderisicoanalyse te vernieuwen op het moment dat de nieuwe organisatie er staat.
Reactie Eshuis 2020 Overeenkomstig wat wij onder #01 Verbijzonderde interne controle hebben vermeld, geldt ook hier dat dat er tot en met ultimo 2020 ten opzichte van de 2016 geen grote wijzigingen in processen c.q. activiteiten hebben plaatsgevonden. Uitzondering betreffen de coronakosten, hiervoor zijn vanwege de inherente risico’s in 2019 aanvullende interne controles uitgevoerd.
Aanbeveling Onze aanbeveling is om de frauderisicoanalyse kort na de afronding van het verandertraject te actualiseren en door het dagelijks bestuur te laten vaststellen.
Impact jaarrekening Wij vragen u de interne controles op de coronakosten uit te breiden tot geheel 2020. Dit is conform de planning van de verbijzonderde interne controlefunctie.