Managementletter WL
19 januari 2021
Voorstel aan commissie Waterkeringen
& Bestuur en Organisatie
datum WBO 10 februari 2021
openbaar Ja
agendapunt 2.3
steller/cluster Philip Daelmans / Programmering, Planning & Financiën
portefeuille(s) Remy Sleijpen
bijlage(n) 1 (niet openbaar)
zaaknr. 2020-Z6706
documentnr. 2021-D5858
Onderwerp
Managementletter 2020 van BDO Audit & Assurance BV
Voorstel
De managementletter 2020 van BDO Audit & Assurance BV voor kennisgeving aannemen.
Toelichting
Met ingang van de controle van het dienstjaar 2020 heeft het waterschap een nieuwe accountant, te weten BDO Audit & Assurance BV. Een nieuwe accountant heeft een verfrissende blik op zaken waardoor de organisatie weer wordt ‘opgeschud’. Anderzijds vraagt een nieuwe accountant ook extra inspanningen van de organisatie. De accountant start namelijk van ‘scratch’ met het opbouwen van een dossier en dient zich te verdiepen in de bedrijfsprocessen van het waterschap. Het gegeven dat momenteel alles digitaal verloopt, maakt dit proces nog bewerkelijker.
Vooruitlopend op de jaarrekeningcontrole (eind maart) vindt jaarlijks in november de
interimcontrole door de accountant plaats. De interimcontrole voor de jaarrekening 2020 is dan ook de eerste controle die door BDO Audit & Assurance BV is uitgevoerd.
De interimcontrole richt zich op de beoordeling van de kwaliteit van de beheersingsmaatregelen die van belang zijn voor het waarborgen van de getrouwheid en rechtmatigheid van de posten in de jaarrekening.
Managementletter 2020
Naar aanleiding van de interimcontrole 2020 heeft BDO Audit & Assurance BV de ‘managementletter 2020’
uitgebracht. Dit rapport treft u hierbij aan.
In de voorliggende rapportage richt de accountant zich met name op de mogelijke verbeterpunten in de bedrijfsvoering en de processen die zijn onderzocht in het kader van de controle van de
jaarrekening. De accountant benadrukt dat de managementletter van nature kritisch van aard is en
tot doel heeft een bijdrage te leveren aan de interne beheersing en het zelfcontrolerend vermogen van de organisatie.
De bevindingen van de interimcontrole worden in het dashboard (pagina 5 van de rapportage) overzichtelijk weergegeven en in de diverse hoofdstukken van de managementletter verder uitgewerkt. In het verdere verloop van deze rapportage wordt nader ingegaan op de belangrijkste bevindingen van de managementletter zoals verwoord in het dashboard.
Het dashboard is opgebouwd uit zes onderdelen, te weten:
1. Actualiteiten – Wet- en regelgeving 2. Actualiteiten – Corona
3. Ons beeld van de interne beheersing 4. Bevindingen significante processen 5. Beheersing IT
6. Vooruitblik jaarrekening 2020
Ad 1. Actualiteiten – Wet- en regelgeving
Hier wordt stil gestaan bij de rechtmatigheidsverantwoording van de decentrale overheden.
Gelet op het besluitvormingsproces en de implementatieperiode die met de rechtmatigheids- verantwoording is gemoeid, is de verwachting dat invoering voor de waterschappen pas
1-1-2025 aan de orde is. Bij de invoering hiervan zal het dagelijks bestuur via een rapportage een rechtmatigheidsverantwoording dienen af te geven.
Reactie WL
Als de exacte invoeringsdatum van de rechtsmatigheidsverantwoording duidelijk is zal hier adequaat op worden ingespeeld. Vooruitlopend daarop leggen we contact met gemeenten waarvoor de rechtmatigheidsverantwoording al vanaf 2021 van kracht is, om te leren van hun ervaringen.
Ad 2. Actualiteiten – corona
De accountant vraagt aandacht voor de effecten van corona op de interne beheersing en de eventuele consequenties voor de jaarrekening 2020.
Reactie WL
De impact van de coronamaatregelen op de bedrijfsvoering, doelrealisatie en financiële situatie wordt 6-wekelijks gemonitord. Er is in 2020 een financiële risicoanalyse opgesteld aan de hand van enkele scenario’s. Deze scenario’s zijn gedeeld met het algemeen bestuur en zijn meegenomen bij de besluitvorming inzake risicomanagement en weerstandvermogen. Eventuele consequenties zullen worden meegenomen in de jaarrekening 2020.
Ad 3. Ons beeld van de interne organisatie
De controleaanpak van de accountant is naast het controleren van de jaarrekening gericht op het verbeteren van de bedrijfsvoering waarbij door de accountant het ‘Three Lines’ model wordt gehanteerd. Dit model geeft handvatten om de interne beheerrisico’s te ondervangen.
1e Line: Lijnmanagement is verantwoordelijk voor haar eigen (operationele) processen.
2e Line: Ondersteunt, adviseert, coördineert en bewaakt of het management zijn
verantwoordelijkheden neemt. De planning & control cyclus en het risicomanagement zijn daarbij belangrijke zaken.
3e Line: Controleert of de 1e Line haar taken goed uitvoert en beoordeelt of het samenspel tussen de 1e en 2e Line soepel functioneert. Deze lijn is niet verantwoordelijk voor het nemen van beslissingen (1e Line) en evenmin voor het ontwerpen en implementeren van de systemen voor de beheersing van bedrijfsprocessen (2e Line). Een onderdeel hiervan is de
Verbijzonderde Interne Controle (VIC).
De accountant geeft aan dat verbijzonderde interne controles in de regel worden uitgevoerd door een interne controlefunctie. Gebleken is dat hier bij WL nog geen sprake van is en de 3e Line van het
‘Three Lines’ model ontbreekt. De aanbeveling wordt gedaan om hier invulling aan te geven.
Reactie WL
De verbijzonderde interne controle bij het waterschap is beperkt en wordt momenteel uitgevoerd door een aantal medewerkers binnen de cluster PPF die dit ‘erbij’ doen. Het is wenselijk om - ook mede gezien de ophanden zijnde rechtmatigheidsverantwoording - een plan van aanpak op te stellen hoe op een robuuste wijze invulling te geven aan de interne controlefunctie. Dit plan van aanpak is in voorbereiding en zal in het tweede kwartaal van 2021 aan het bestuur worden voorgelegd.
Ad 4. Bevindingen significante processen
De constatering wordt gedaan dat het management voor de belangrijkste processen nog niet zichtbaar in kaart heeft ‘wie’, ‘wat’ doen en wat daarbij de onderliggende redenering, timing,
gebruikte informatie en resultaten zijn. Verzocht wordt om voorafgaand aan de jaarrekeningcontrole (eind maart 2021) procesanalyses op te stellen voor het inkoop-en betalingsproces,
personeelsproces, proces planning- en control cyclus, proces aanbestedingen, proces projectbeheersing en het proces opbrengsten waterschapsbelasting.
Voor het onderdeel frauderisicoanalyse verzoekt de accountant, ondanks dat tijdens de interim- controle geen aanwijzingen zijn dat sprake is van fraude, om gelet op het belang van een
frauderisicoanalyse een dergelijke analyse (wegens het ontbreken hiervan) op te stellen voorafgaand aan de jaarrekeningcontrole.
Tot slot wordt door de accountant nog opgemerkt dat uit de gegevensgerichte werkzaamheden (t/m augustus 2020) geen bijzonderheden naar voren zijn gekomen die materieel belang zijn voor de jaarrekeningcontrole 2020.
Reactie WL
De opzet van de procesanalyses van de aangehaalde werkprocessen wordt opgepakt waarbij het voornemen is om dit afhankelijk van de beschikbare tijd en capaciteit waar mogelijk voorafgaand aan de jaarrekeningcontrole (eind maart 2021) te realiseren. De door BDO genoemde processen zijn namelijk geen onderdeel van de eerder in Eenvoud en Focus gedefinieerde procesbeschrijvingen, die onder kwaliteitsmanagement worden ontwikkeld. Dit betekent dan ook dat de aangehaalde
procesanalyses aanvullend zijn.
BDO heeft voor een aantal procesanalyses templates aangeleverd wat het uitwerken van de analyse bespoedigt. Voor de procesanalyses waarbij het, gelet op het tijds- en capaciteitsaspect, niet mogelijk is om dit voor de jaarrekeningcontrole af te ronden, zal dit voor de start van de interimcontrole 2021 (eind november 2021) worden gerealiseerd.
Voor wat betreft de frauderisicoanalyse: ook het waterschap onderkent het belang van een frauderisicoanalyse en zal dit in 2021 oppakken. Bij de opzet van een dergelijke analyse gaat zorgvuldigheid voor snelheid, wat kan betekenen dat deze analyse nog niet voorafgaand aan de jaarrekeningcontrole beschikbaar is.
Ad 5. Beheersing IT
De IT-auditwerkzaamheden zijn geïntegreerd in de controleaanpak van de jaarrekening waarbij de accountant zich met name richt op de logische toegangsbeveiliging, change management en continuïteit.
• Logische toegangsbeveiliging handelt over rechten, autorisatie en wachtwoordvereisten.
• Change management handelt over de vastlegging van wijzigingen in systemen.
• Continuïteit informatietechnologie handelt over uitwijkvoorzieningen en de borging van de continuïteit van de gegevensverwerking bij eventuele serveruitval.
De accountant geeft aan dat nog niet volledig kan worden gesteund op de applicaties Coda
(financieel systeem) en TIM (tijdschrijfsysteem) gelet op aandachtspunten die gerelateerd zijn aan de logische toegangsbeveiliging en vraagt hier aandacht aan te blijven schenken.
De detailbevindingen zijn opgenomen in bijlage A van de voorliggende management letter (paragraaf 5.2 blz. 27-30).
Reactie WL
De IT-aangelegenheden hebben de aandacht van informatievoorziening.
Concreet worden de volgende verbeteringen opgepakt in eerste helft 2021:
• Er komt een procedure autorisatiebeheer en wijzigingsbeheer voor belangrijke informatie- systemen waaronder de applicaties Tim en Coda.
• Op de belangrijke informatiesystemen zoals de applicatie Tim en Coda worden periodieke controles uitgevoerd op de juistheid van ingerichte autorisaties.
• Wachtwoorden Coda gaan voldoen aan de BIO of er wordt een single-sign-on gerealiseerd met het Windows account (die voldoen aan de BIO).
• Er wordt binnen het waterschap een nieuwe afweging gemaakt of gebruikers uit de lijnorganisatie mogen beschikken over hoge rechten binnen applicaties (waaronder Coda).
• Jaarlijks wordt bij dienstverlener Openline vanuit het contract m.b.t. datacenter de Assurance verklaring *ISAE3402 type II opgevraagd. Met deze Assurance-verklaring wordt verantwoording afgelegd over de effectiviteit van de genomen beheersmaatregelen rondom IT general controls inzake continuïteit.
Ad 6. Vooruitblik jaarrekening 2020
In de vooruitblik op de jaarrekening 2020 wordt aangeven welke onderwerpen aandacht krijgen in het traject van de jaarrekening zoals o.s. balansdossier, spendanalyse EU-aanbestedingen en WNT- verantwoording.
Reactie WL
De door BDO aangegeven onderwerpen zijn jaarlijks terugkomende onderwerpen die al regulier door de organisatie als onderdeel van de jaarrekening worden opgesteld en zijn derhalve al in het
reguliere proces geborgd.
Resumé
Op basis van de bevindingen in de voorliggende rapportage kan worden geconcludeerd
dat er altijd verbeterpunten zijn. Uit de interimcontrole zijn echter geen bijzonderheden naar voren gekomen die van materieel belang zijn voor de jaarrekeningcontrole. We zien een goedkeurende verklaring voor de jaarrekening 2020 voor zowel het onderdeel getrouwheid als rechtmatigheid dan ook met vertrouwen tegemoet.
Financiële consequenties
Voor een goede borging van de verbijzonderde interne controle (3e Line van het ‘Three Lines’ model) passend bij de (financiële) omvang van het waterschap is aanvullende capaciteit nodig. De omvang van deze capaciteit en de financiële dekking hiervan worden opgenomen in het plan van aanpak om te komen tot een robuuste invulling van de interne controlefunctie. Dit plan van aanpak is in voorbereiding en zal in het 2e kwartaal van 2021 aan het bestuur worden voorgelegd.
Het dagelijks bestuur,
de secretaris-directeur, de dijkgraaf,
ir. E.J.M. Keulers MMO drs. ing. P.F.C.W. van der Broeck