M E M O. : College & Audit Comité. : Reactie op Managementletter 2020 BakerTilly

(1)

M E M O

Gemeente Gennep

Ellen Hoffmannplein 1, Postbus 9003, 6590 HD Gennep

T (0485) 49 41 41 • E gemeente@gennep.nl • www.gennep.nl 1 van 13

Inleiding

Op 15-1-2021 heeft de gemeente Gennep de concept managementletter 2020 van haar huisaccountant BakerTilly ontvangen. In deze managementletter worden de aanbevelingen naar aanleiding van de interim controle en de bijbehorende IT audit, welke eind 2020 is uitgevoerd, beschreven. De ambtelijke reactie op dit stuk wordt na vaststelling in het MT met accountant BakerTilly besproken en ter informatie aan het college en het audit comité voorgelegd. Met name de actiepunten richting de jaarrekeningcontrole vragen de komende weken organisatie breed de nodige aandacht.

Samenvattend

De beschreven aandachtspunten voor de jaarrekeningcontrole nemen we over, we zorgen dat deze punten voorbereid zijn voor aanvang van de jaarrekeningcontrole. Om dit mogelijk te maken is vanuit de organisatie op onderdelen nog een behoorlijke inspanning nodig. Met name de voorbereiding van de controle op Tozo en de extra controlewerkzaamheden met betrekking tot de doorverwijzingen bij de Jeugd/WMO behoeven nog de aandacht. Ook de onderbouwing van de voorziening groot onderhoud en de onderbouwing van de vordering op het afvalfonds zijn belangrijke aandachtspunten. Voor de opvolging van deze punten zijn reeds acties uitgezet.

De bevindingen ten aanzien van de IT worden grotendeels opgevolgd in de actualisatie van het handboek informatieveiligheid, wat een onderdeel is van het verbeterplan informatieveiligheid 2020-2021. Dit zal in 2021 plaats vinden. Het gaat hier met name om het actualiseren van procedures met betrekking tot het

wijzigingsbeheer, toegangsbeveiliging en continuïteitsmaatregelen. Daarnaast dient de autorisatiematrix bijgewerkt te worden. Naast het beschrijven en uitwerken van de diverse procedures in dit handboek is het zaak om daarna ook te gaan werken conform deze procedures en de uitgevoerde controles zichtbaar vast te leggen.

Dit vergt een extra inspanning van de organisatie. De aandacht voor IT procedures en controles is de afgelopen jaren gemeente breed toegenomen, door de invoering van de BIO (Baseline Informatiebeveiliging), wettelijke audits en het rekenkamer onderzoek.

Met betrekking tot de detailbevindingen uit voorgaande jaren zijn diverse verbeteracties doorgevoerd, zoals het aanscherpen van de logische toegangsbeveiliging en het wachtwoordbeleid, alsmede ook het inrichten van het 4 ogen principe bij wijziging crediteurenstamgegevens in GWS, hierdoor zijn de risico’s afgenomen. Op

onderdelen dient nog verdere aanscherping plaats te vinden, zoals een verbetering van de vastlegging van prestatieleveringen, het structureel invullen van de inkoopstartnotitie bij aanbestedingen en de zichtbare vastlegging van de controle op subsidieverantwoordingen. Voor twee bevindingen accepteren we de restrisico’s en is de werkwijze een bewuste keuze. Dit geldt voor de wijziging van crediteurenstamgegevens in K2F (welke in onze ogen voldoende wordt afgedekt door de ingestelde applicatie control) en het niet standaard afdwingen van de fase toetsing in GWS.

Aan :

College & Audit Comité

Van :

MT

CC :

Datum :

januari 2021

Onderwerp : Reactie op Managementletter 2020 BakerTilly

(2)

2 van 13

Ten aanzien van de nieuwe detail bevindingen verdient de onderbouwing van de prijscomponent bij inkoop de aandacht. Hiervoor (gecombineerd met het onderdeel prestatielevering) gaan we in 2021 een drempelbedrag instellen, om de administratieve last in relatie tot de omvang van de inkoopfactuur werkbaar te houden. Ook het tijdig uitvoeren van heronderzoeken binnen de participatiewet is een aandachtspunt waar aan gewerkt wordt.

Opbouw ML

De managementletter is opgebouwd uit drie onderdelen. Te weten aandachtspunten voor de

jaarrekeningcontrole 2020, de bevindingen ten aanzien van IT en de detailbevindingen. Per onderdeel geven we een reactie.

Aandachtspunten jaarrekeningcontrole 2020

COVID-19 (2.1)

In de jaarrekening 2020 gaan we een paragraaf COVID toevoegen. In deze paragraaf vatten we zowel

beleidsmatig als financieel de impact van COVID op onze gemeentelijke organisatie samen. Tevens gaan we hier een doorkijk geven naar de verwachtte impact van COVID in het boekjaar2021. Deze informatie wordt

opgehaald bij de budgethouders.

Tozo (2.2)

Voor de jaarrekeningcontrole leveren we lijstwerk op per Tozo regeling, met hier in de omvang (in aantallen en Euro’s) per regeling. Op Tozo 1 hebben reeds interne controle werkzaamheden plaatsgevonden. Voor Tozo 2 en 3 wordt dit nog uitgevoerd, waarbij we ook de controle op de signaallijsten gaan meenemen. In de Sisa bijlage bij de jaarrekening gaan we de uitvoering van de Tozo regeling verantwoorden.

Recht op zorg (2.3)

We hebben acties uitgezet om lijstwerk op te leveren waaruit per client de doorverwijzer inzichtelijk wordt gemaakt, alsmede de bijbehorende gedeclareerde zorgkosten. Op basis hier van bepalen we de impact en gaan we steekproefsgewijs (in overleg met BakerTilly) doorverwijzingen bij zorgaanbieders opvragen.

Rechtmatigheidsverantwoording (2.4)

We volgen de ontwikkelingen op dit gebied en zijn in afwachting van de definitieve wetgeving. We trekken op met de regiogemeenten. We hebben in het najaar van 2020 het audit comité geïnformeerd. Zodra de wetgeving definitief is gaan we verdere besluitvormende acties ondernemen, zoals het aan passen van gemeentelijke verordeningen en het controleprotocol. Hiermee samen gaan we de nota misbruik en oneigenlijk gebruik en de frauderisico analyse ook actualiseren.

Aanbestedingsrechtmatigheid (2.5)

Conform voorgaand jaar gaan wij voor de jaarrekeningcontrole een spendanalyse op de inkopen aanleveren op basis van het format van BakerTilly. Hierbij vormt de onderbouwing van de inhuur van diensten/extern

personeel het belangrijkste aandachtspunt.

Voorziening sociale debiteuren (2.6)

Wij gaan de voorgestelde acties overnemen. Dit wil zeggen dat we voorafgaand aan de jaarrekeningcontrole de

berekeningswijze van de voorziening aan passen en meer op detail niveau de vorderingen gaan beoordelen.

(3)

3 van 13

Waardering grondexploitaties (2.7)

De voorgestelde actiepunten worden door ons overgenomen. Voor het plan Genneperhuisweg is door de ontwikkelaar een bouwplan ingediend dat binnenkort aan de raad wordt gepresenteerd. Niet bekend is het bod dat de ontwikkelaar gaat doen voor het perceel. Hiermee blijft een schattingsonzekerheid bestaan. Voor het plan Hogeweg is, na vele jaren, weer belangstelling voor de kavels. Hiermee wordt de prognose van de opbrengst realistischer. Voor de jaarrekeningcontrole worden de doorrekeningen opgeleverd.

Waardering vorderingen (2.8)

Specifiek gaat dit over de vorderingen van de Brem, Heikant en het afvalfonds. Voor De Brem constateerde BT in het accountantsverslag dat er geen twijfels zijn over de inbaarheid wat ook niet aan de orde is. Voor de vordering inzake de Heikant bestaat nog steeds geen duidelijkheid. Wij zijn hier afhankelijk van de

onderhandelingen tussen Dichterbij en Parkvisie die nog geen overeenstemming hebben. Bij het afvalfonds zijn achterstanden in de afrekeningen van de vergoedingen die wij krijgen voor het aangeleverde PMD. Voor 2020 hebben we nog geen kwartaal voorschotten ontvangen. We hebben wel inzage in de aangeleverde

hoeveelheden waardoor we zelf een berekening gaan maken van de te verwachten vergoeding.

Voorziening groot onderhoud (2.9)

Wij gaan de voorziening in relatie tot de onderhoudsplannen en de begrote dotaties nogmaals beoordelen, en voor de jaarrekeningcontrole voorzien van een onderbouwing. Lastig is het onderhoud aan de

binnensportaccommodaties. Door het proces van de aanbesteding “Pica Mare” en de overname per 1 januari 2021 door Yask is in zowel 2019 en 2020 het onderhoud beperkt gebleven tot het hoogst noodzakelijke. Voor 2021 is vanuit een 0-meting een geactualiseerd onderhoudsplan opgesteld door Facilicom, waardoor we een aansluiting moeten maken tussen het oude en het nieuwe plan. Het niet uitgevoerde onderhoud zal zowel qua planning als financieel zichtbaar gemaakt moeten worden.

Voorzieningen planmatig onderhoud wegen (2.10)

Wij gaan de gevraagde analyse opstellen waarbij we bij gecombineerde projecten een splitsing maken tussen onderhoud en investering. Voordeel is dat we, in tegenstelling tot 2019, in 2020 geen dotatie vanuit de voorziening gedaan hebben aan civiele projecten. Daarmee zijn alle werkzaamheden aan te merken als

onderhoud en niet als investering. Wij maken tevens een aansluiting tussen de uitgevoerde werkzaamheden en de planning op basis van de laatste weginspectie.

Splitsing materiele vaste activa (2.11)

Voor de jaarrekening 2020 gaan wij de post MVA met een maatschappelijk nut afzonderlijk opnemen waarmee we voldoen aan het BBV.

Timing besluiten Raad (2.12)

Als onderdeel van de begrotingsrechtmatigheid controleren we dat de mutaties in de bestemmingsreserve

voorzien zijn van een in 2020 genomen raadsbesluit.

(4)

4 van 13

Bevindingen IT-beheersing

Eind 2020 heeft de IT audit van BakerTilly plaatsgevonden. Tijdens deze audit is de IT infrastructuur van de gemeente getoetst. Ook is een aantal cruciale applicaties welke van invloed zijn op de financiële en

administratieve organisatie (zoals Suite/GWS en Key2financien) beoordeeld op aspecten zoals functiescheiding en wachtwoordbeleid.

De bevindingen zijn samen te vatten in een aantal kopjes/thema’s, welke ook terug komen in de Managementletter. Hieronder volgt onze reactie per thema, waarbij alleen gereageerd wordt op de verbetermaatregelen.

Beleid en plannen

Op het gebied van verantwoordelijkheden en functiescheiding vinden er reeds jaarlijks evaluatiegesprekken plaats met softwareleveranciers. Dit kan mogelijk verder uitgebreid worden. In het verbeterplan

informatieveiligheid 2020-2021 is de afspraak gemaakt dat met leveranciers overeenkomsten worden gesloten die ervoor zorgen dat de dienstverlening in overeenstemming is met de BIO en het gemeentelijke

informatiebeleid en wettelijke bepalingen. Tevens worden SLA´s opgesteld. De functie autorisatiematrix gaan we actualiseren.

Uitvoering

Ten aanzien van de beheersing van incidenten. Er is hiervoor een procedure uit 2017. Deze wordt in 2021 geactualiseerd, als onderdeel van het verbeterplan 2020-2021. De werkafspraak is dat incidenten worden gemeld via Top-desk. Analyse van de meldingen en het bijsturen zal explicieter opgenomen worden in de nieuwe procedure. Waarbij we het gebruik van Top-Desk verder dienen te stimuleren.

De procedures met betrekking tot de uitvoering van beheersingsmaatregelen worden of geactualiseerd (wijzigingsbeheer), of nieuw opgesteld (uitgifte gebruikersnamen). Dit wordt meegenomen bij de actualisatie van het handboek informatieveiligheidsbeleid als onderdeel van het verbeterplan. Nadat de procedures in het handboek zijn beschreven en geactualiseerd dient de organisatie te gaan werken conform deze procedures en dienen de opgenomen controles zichtbaar vastgelegd te worden.

In het verbeterplan wordt ook een interne controleplan m.b.t. IT opgesteld. De controle op actieve gebruikers, wachtwoordbeleid en toekenning van rechten in de systemen wordt hier in opgenomen.

Continuïteitsmaatregelen

Tot en met 2018 is er jaarlijks een uitwijktest gedaan, welke goed zijn vastgelegd. In 2019 kon deze niet

doorgaan in verband met werkdrukte als gevolg van de verbouwing en in 2020 is de uitwijktest niet doorgegaan

in verband met COVID. In 2021 gaat dit weer opgepakt worden. In het verbeterplan informatieveiligheid wordt

het bedrijfscontinuïteitsplan en de uitwijkprocedure beschreven.

(5)

5 van 13

Toegangsbeveiliging

Met betrekking tot het beheersen van mutaties is er een procedure “autorisatie en toegang” aanwezig voor het toekennen van rechten binnen applicaties, deze procedure (uit 2017) wordt geactualiseerd in het verbeterplan 2020/2021. Wijzigingen op rechten en rollen worden vastgelegd in Top-Desk, dit kan nog verder verbeterd worden.

De functie autorisatiematrix wordt geactualiseerd. De afgelopen jaren is het aantal niet persoonsgebonden accounts verder teruggedrongen en is een strengere wachtwoordpolicy doorgevoerd. Hier blijven we scherp op.

De risico’s ten aanzien van functiescheiding in Suite en Key2Financien hebben we inzichtelijk en zijn in onze ogen voldoende afgedekt, zie ook de reactie op detailbevindingen.

Wijzigingsbeheer

De procedures en vastlegging ten aanzien van het wijzigingsbeheer bij de implementatie van software

wijzigingen zijn voor verbetering vatbaar. Het gaat hierbij om het maken en vastleggen van risico inschattingen, het opstellen van testplannen, het documenteren van testbevindingen en een goede afstemming met de eindgebruikers. Deze acties worden tevens meegenomen in het Handboek informatieveiligheid wat onderdeel is van het verbeterplan informatieveiligheid.

De actualisatie en beschrijving van nieuwe procedures in het handboek is een eerste stap. Nadat de procedures

op orde zijn is het ook zaak om te gaan werken conform deze procedures, dit vergt een extra inspanning van de

organisatie.

(6)

6 van 13

Detailbevindingen

In de managementletter komen negen bevindingen aan de orde. Dit betreffen twee nieuwe bevindingen uit 2020 en er zijn zeven bevindingen uit eerdere jaren. Op deze zeven bevindingen zijn in het verleden acties ondernomen. Na kennisname van de concept ML zijn een aantal lopende verbeteracties nog extra aangescherpt. Op onderdelen is een verdere doorontwikkeling nodig.

Hieronder volgt een inhoudelijke reactie op de bevindingen. De nummering van de bevindingen correspondeert met de nummers uit de managementletter. Per bevinding wordt eerst de bevinding, het risico, follow up 2020, de aanbeveling en de te ondernemen actie voor de jaarrekeningcontrole uit de managementletter geciteerd, vervolgens is de ambtelijke reactie beschreven.

1. Er is niet altijd brondocumentatie, zoals offertes of contracten, aanwezig ten aanzien van de prijs.

Bevinding 2020

Als onderdeel van onze systeemgerichte werkzaamheden stellen wij vast of de accordering van de prestaties waarvoor facturen worden ontvangen zijn onderbouwd met documenten (zoals contracten, urenbrieven en pakbonnen). Wij constateren dat de gemeente niet in alle gevallen (20% van de door ons onderzochte facturen) een onderbouwing kan aanleveren van het prijselement van inkoopfacturen. Hierdoor is voor ons niet voldoende zichtbaar dat accordering van inkoopfacturen heeft plaatsgevonden op basis van onderbouwende documenten.

In het kader van de rechtmatigheidsverantwoording die vanaf boekjaar 2021 verplicht is, wordt de interne beheersing op dit soort onderdelen steeds relevanter.

Risico

Het risico is dat lasten worden verantwoord waarvoor geen of onvoldoende onderbouwing van het prijselement aanwezig is. Hierdoor kunnen gefactureerde prijzen niet overeenkomen met gemaakte afspraken of contracten.

Aanbeveling

Wij raden u aan om:

• Contracten/offertes waaruit de prijsafspraak blijkt op te vragen en te bewaren.

• Te overwegen een bandbreedte (in euro’s of een percentage) waar binnen afwijkingen worden toegestaan bij de inkoopfactuurcontrole te formaliseren.

Ten aanzien van bovenstaande kunt u overwegen een minimumbedrag te bepalen waarbij u vindt dat deze documentatie aanwezig dient te zijn.

Gevolgen jaarrekeningcontrole

Als gevolg van deze bevinding kunnen wij voor het prijselement niet steunen op de accordering van inkoopfacturen na controle van de prijs met onderbouwende documenten. Wij dienen aanvullende

gegevensgerichte werkzaamheden uit te voeren om vast te stellen dat prijs van inkoopfacturen aansluit met onderbouwende documenten. Deze steekproef zullen we in overleg met u uitzetten.

Ambtelijke reactie

De geconstateerde bevindingen hebben betrekking op een viertal facturen van geringe omvang. Van 1 factuur vinden wij de dat er voldoende onderbouwing is aangeleverd, van 2 facturen (<€200) gaat het deels om mondelinge afspraken, en bij 1 factuur zijn wij, gezien de complexiteit van de opbouw van de factuur het eens met de bevinding. Het is de vraag in hoeverre de administratieve lasten m.b.t. het vastleggen van prijzen en afspraken in verhouding staat tot de omvang van deze facturen. De werkbaarheid voor het verstrekken van dergelijke kleine opdrachten komt hierbij ook in het geding. De aanbeveling om een

bandbreedte/drempelbedrag in te stellen gaan wij dan ook overnemen voor 2021. De aanvullende steekproef voor 2020 gaan we in overleg met BT uitvoeren.

(7)

7 van 13 2. Er zijn in een aantal gevallen geen recente heronderzoeken voor de participatiewet uitgevoerd.

Bevinding 2020

Door het ontbreken van zichtbare controle op de uitvoering van de participatiewet, voeren wij gegevensgerichte werkzaamheden uit, teneinde te controleren dat de uitkeringen nauwkeurig en terecht zijn betaald. Hierbij stellen we onder andere vast of de client in 2020 nog terecht een uitkering heeft ontvangen. Het beleid van de gemeente is dat iedere client de afgelopen twee jaar een heronderzoek zou moeten hebben gehad. In relatief veel gevallen (35% van de door ons onderzochte gevallen) constateren we dat er geen recente heronderzoeken beschikbaar zijn. In de gevallen waarin geen recent heronderzoek beschikbaar was tijdens onze controle, heeft de gemeente alsnog middels informatie uit Suwinet aangetoond dat de client in 2019 terecht een uitkering heeft ontvangen.

Risico

Het risico is dat ten onrechte uitkeringen worden betaald.

Aanbeveling

Wij adviseren u conform uw eigen interne beleid heronderzoeken uit te voeren en te documenteren. Dit zodat zichtbaar is dat uitkeringen terecht worden uitbetaald.

Voor de gevallen waar geen recent heronderzoek beschikbaar is achten wij het belang dat het blijvende recht op uitkering toereikend wordt aangetoond.

Deze bevinding komt tot stand als gevolg van gegevensgerichte werkzaamheden die we uitvoeren.

Wij zijn het eens dat we periodiek moeten toetsen of cliënten nog steeds recht hebben op een uitkering. Hier geven we uitvoering aan doordat cliënten 2 keer per jaar een halfjaarrof (rechtmatigheidsonderzoeksformulier) ontvangen, dit is ook een vorm van heronderzoek. Als hier bijzonderheden op staan wordt er een uitgebreider heronderzoek gestart. Dit gebeurt ook als er signalen zijn vanuit het IB, vanuit de mutatieformulieren of indien er meldingen zijn. De afgelopen 2 jaar zijn wij bezig geweest om bij een groot deel van de cliënten opnieuw een heronderzoek op te starten. Dit is nog niet voor alle cliënten gelukt. Het heeft onze aandacht om kritischer te zijn op de termijnen waarop heronderzoeken worden gepland. Voor gevallen waarin een recent heronderzoek ontbreekt onderbouwen we de terechte toekenning met Suwinet gegevens.

3. Geen vierogen principe op wijzigen crediteurenstamgegevens in Suites voor het Sociaal Domein Bevinding voorgaande jaren

Voor Suites voor het Sociaal Domein hebben we beoordeeld of het vierogen principe op de wijziging op crediteurenstamgegevens systeemtechnisch wordt afgedwongen.

Wij hebben vernomen dat gedurende het jaar de controle op de mutatie crediteurenstamgegevens

systeemtechnisch is ingeregeld. Echter, in 2019 blijken wijzigingen te hebben plaatsgevonden, waardoor dit punt blijft openstaan.

Bevinding 2020

Wij hebben bij de balanscontrole van boekjaar 2019 vastgesteld dat het vierogen principe op de wijzigingen crediteurenstamgegevens voor het Sociaal Domein systeemtechnisch is afgedwongen. Hiermee is dit punt afgerond.

Risico

Onrechtmatig gebruik van rechten binnen Suites voor het Sociaal Domein.

Aanbeveling

Dit punt is opgevolgd.

Gevolgen jaarrekeningcontrole Dit punt is opgevolgd.

Punt is opgevolgd, geen reactie benodigd.

(8)

8 van 13 4. Archivering prestatielevering

Bevinding voorgaand jaar

Als onderdeel van onze systeemgerichte werkzaamheden, stellen wij vast of de accordering van de prestaties waarvoor facturen worden ontvangen zijn onderbouwd met documenten (zoals contracten, urenbrieven en pakbonnen). Wij constateren dat de gemeente niet in alle gevallen consistent omgaat met de archivering van de prestatieverklaring. In het kader van de rechtmatigheidsverantwoording die vanaf boekjaar 2021 verplicht is, wordt de interne beheersing op dit soort onderdelen steeds relevanter. Wij hebben uiteindelijk voldoende informatie ontvangen waaruit blijkt dat de prestatie geleverd is.

Bevinding 2020

U geeft aan kennis te hebben genomen van de BADO-notitie ‘vastlegging en onderbouwing prestatielevering bij inkopen door decentrale overheidsorganisaties’en op basis hiervan binnen de organisatie bewustzijn hebt gecreëerd van het belang van het vastleggen van prestatieleveringen. Wij hebben tevens vernomen dat u onderzoekt of in Key2Financiën mogelijkheden zijn om de documentatie omtrent de prestatielevering vast te leggen. Wij hebben uiteindelijk voldoende informatie ontvangen waaruit blijkt dat de prestatie geleverd is. Er is echter geen procesmatige borging vooraf.

Risico

Er is een risico dat achteraf niet aangetoond kan worden dat de prestatie geleverd is.

Aanbeveling

Wij adviseren u om een procedure op te stellen omtrent het vaststellen en documenteren van

prestatieverklaringen. De prestatieverklaringen zouden een onderdeel moeten vormen van de procedure tot het autoriseren van de inkoopfacturen. Daarbij adviseren wij u vast te leggen op basis van welk onderliggend brondocument akkoord wordt gegeven voor de gefactureerde prestatie. Hierdoor is het voor de interne

organisatie en voor ons achteraf mogelijk vast te stellen of accordering voor gefactureerde prestatie terecht heeft plaatsgevonden. Indien mogelijk adviseren we u dit binnen het financiële pakket (Key2Financiën) te borgen.

Deze constatering leidt niet tot extra werkzaamheden voor de jaarrekeningcontrole.

Key2Financien biedt mogelijkheden tot het vastleggen van aanvullende documenten. Of deze optie ook geschikt en werkbaar is voor het vastleggen van de prestatieleveringen gaan we nog verder in detail

onderzoeken. Voor 2021 gaan we evenals voor de prijscomponent (actie 1) een drempelbedrag instellen voor het vastleggen van de prestatieleveringen, zodat de administratieve lastendruk in relatie staat tot de omvang van de inkoopfactuur.

(9)

9 van 13 5. Controle op juistheid van aanbestedingen vindt achteraf plaats

Bevinding voorgaande jaren

Wij hebben vernomen dat de controle op juistheid van aanbestedingen achteraf plaatsvindt. Voorheen verliepen alle aanbestedingen via het consultancy team. Dit is echter vanaf 2018 niet meer het geval. Dit is een bewuste keuze. Standaard dient wel een inkoopstartnotitie ingevuld te worden voor alle aanbestedingen vanaf € 25.000 (diensten) en € 50.000 (leveringen), echter hier vindt geen zichtbare controle meer op plaats. Eenmaal per jaar wordt een spendanalyse uitgevoerd om vast te stellen dat alle aanbestedingen zijn verlopen volgens Europese aanbestedingsrichtlijnen.

Bevinding 2020

Voor de start van aanbestedingen wordt geadviseerd om vanaf een bepaald bedrag een inkoopstartnotitie te vullen. Dit is slechts een procesafspraak die niet gemonitord wordt. Wij begrijpen dat niet in alle gevallen dit startdocument wordt gevuld. Wel begrijpen wij dat u bezig bent met het creëren van bewustwording binnen uw organisatie van het belang van de naleving van aanbestedingsregels. In dit kader is het van belang tevens te benadrukken de procesafspraak na te leven, dit zodat er ook borging aan de voorkant van het proces plaatsvindt.

Risico

Het niet (tijdig) signaleren van het niet naleven van Europese aanbestedingsrichtlijnen.

Aanbeveling

In het kader van beheersing van dit proces is het van belang eerder een controle uit te kunnen voeren. In dit kader is alleen de gemaakte procesafspraak niet voldoende, aangezien blijkt dat de inkoopstartnotitie niet in alle gevallen gevuld wordt.

In het kader van de jaarrekeningcontrole wensen wij een spendanalyse te ontvangen, zodat wij kunnen toetsen of aanbestedingen zijn verlopen volgens Europese aanbestedingsrichtlijnen. Hiervoor is reeds vorig jaar een format aangeleverd.

Projectleiders worden gewezen op het gebruik van de inkoop startnotitie, binnen de organisatie mag hiervoor nog meer aandacht komen. De inkoopadviseur is bij alle grote aanbestedingen betrokken, waardoor het risico op het niet Europees aanbesteden gering is. Conform voorgaand jaar gaan wij een spendanalyse uitvoeren, hiervoor gebruiken wij het format van BT.

(10)

10 van 13 6. Niet voor elke verstrekte subsidie wordt de besteding in detail gecontroleerd

Wij hebben vernomen dat niet voor elke verstrekte subsidie in detail de besteding wordt gecontroleerd voordat deze wordt vastgesteld. Het risico is gelegen in subsidies tussen de € 2.500 en € 25.000, omdat daarboven een controleverklaring is vereist. Voor de subsidies onder dit bedrag vindt in feite geen ‘standaardcontrole’ plaats op de rechtmatige besteding van de bestede gelden. Afhankelijk van de soort subsidie vindt er wel een bepaalde controle plaats (zoals bijvoorbeeld op ledenaantallen), echter deze is niet duidelijk zichtbaar voor ons. Verder is er geen checklist aanwezig om een gestructureerd proces in te regelen. Er wordt nu bijvoorbeeld geen controle uitgevoerd dat voldaan is aan de gestelde termijnen uit de subsidieverordening. Er wordt in dit soort gevallen ook geen uitzonderingsbesluit genomen.

Bevinding 2020

U heeft aangegeven dat eind 2020 een overzicht gereed zou zijn waarin per subsidie tussen € 2.500 en € 25.000 is aangegeven welke controle is uitgevoerd en door wie. Hiermee lijkt actie ondernomen te zijn ten aanzien van deze bevinding. Omdat dit overzicht nog niet gereed is, hebben wij hiervan nog geen kennis kunnen nemen.

Risico

Het risico bestaat dat verstrekte subsidies niet worden besteed aan de activiteiten waarvoor ze bedoeld zijn.

Aanbeveling

Wij bevelen aan om dit overzicht af te maken voor de start van de controle en dit actief te implementeren in uw proces.

Zodra het ‘controle-overzicht’ beschikbaar is zullen we kennis hiervan nemen om na te gaan of dit het risico voldoende afdekt en welke gevolgen dit heeft voor onze toekomstige controleaanpak. Evenals vorig jaar voeren wij gegevensgerichte werkzaamheden uit om vast te stellen dat subsidies juist zijn verleend c.q. toegekend en uitgekeerd.

Voor 2021 ligt er een voorstel om de verantwoording van de subsidies en de controle hier op in Djuma (zaaksysteem) beter en zichtbaarder digitaal vast te leggen. Voor 2020 werken we met een tussenoplossing in Excel waarin per subsidie is aangegeven of de verantwoording toereikend is ingediend en is gecontroleerd.

(11)

11 van 13 7. Logische toegangsbeveiliging behoeft verbetering

Bevinding voorgaand jaar

•Wij hebben geconstateerd dat nog niet alle accounts op het netwerk, waaronder accounts van raadsleden én accounts in Suites onder het wachtwoordbeleid vallen.

•Accounts met beheerrechten zijn herleidbaar, op enkele accounts van leveranciers na. Dit punt is voldoende opgevolgd.

•Niet alle accounts zijn herleidbaar naar een persoon. Dit betreft vijf accounts, waarvan bij vier het wachtwoord niet verloopt.

Bevinding 2020

•Op het netwerk zijn nog enkele accounts van leveranciers waarvan het wachtwoord niet verloopt. Voor Suites zijn zes accounts, waaronder accounts van beheerders, waarvan de wachtwoordduur langer is dan de in de applicatie ingestelde wachtwoordduur.

•Voor beheertaken op netwerkniveau wordt behalve door leveranciers geen gebruik gemaakt van accounts die niet herleidbaar zijn naar een natuurlijk persoon.

•Er zijn nog enkele niet persoonsgebonden accounts, maar dit aantal is heel beperkt.

Voor meer informatie verwijzen wij u naar hoofdstuk 3 Bevindingen IT-beheersing Risico

Mogelijk misbruik user-en beheeraccounts.

Aanbeveling

Wij bevelen aan om een sterke wachtwoordpolicy in te voeren voor alle accounts waarvoor dit mogelijk is (eindgebruikers en automatiseringspersoneel). Wij bevelen aan om periodiek te controleren of uitgegeven users en rechten in lijn zijn de autorisatiematrix en op basis van de uitkomsten bij te sturen.

Controle op de verrichte werkzaamheden met niet persoonsgebonden accounts en accounts waarvan het wachtwoord niet verloopt middels data-analyse. Wij zullen kennisnemen van deze analyse en beoordelen welke aanvullende werkzaamheden in onze controle moet worden uitgevoerd om dit risico te ondervangen.

Mede naar aanleiding van de bevindingen uit voorgaande jaren is het wachtwoordbeleid aangescherpt en zijn nagenoeg alle niet persoonlijke accountants opgeheven. Op enkele uitzonderingen (leveranciers en

applicatiebeheerders) na. De applicatie- en systeembeheerder blijven periodiek de accounts analyseren en gaan waar mogelijk de autorisaties en wachtwoordpolicy strakker instellen.

(12)

12 van 13 8. Autorisaties Key 2 Financiën ten aanzien van crediteurenstamgegevens zijn te ruim ingeregeld

Wij hebben vastgesteld dat er geen vierogen principe op het wijzigen van crediteurenstamgegevens is ingericht in Key2Financiën. Tien accounts mogen crediteurenstamgegevens wijzigen. Van deze tien accounts zijn er acht rechtstreeks herleidbaar naar een natuurlijk persoon. In de praktijk wijzigt normaliter één persoon de

crediteurenstamgegevens, dit betekent dat de bevoegdheden van de overige accounts ingeperkt kunnen worden.

Bevinding 2020

Wij hebben vastgesteld dat er geen vierogen principe op het wijzigen van crediteurenstamgegevens is ingericht in Key2Financiën. Wij hebben in opzet en bestaan vastgesteld dat bij een betaling aan een gewijzigd crediteur bankrekeningnummer of bij een betaling aan een nieuwe crediteur in Key2Financiën altijd afgedwongen wordt dat deze facturen gecontroleerd worden door een tweede medewerker. Gezien het feit dat wij de generieke IT- controls ten aanzien van het wijzigingsbeheer niet in werking hebben kunnen vaststellen, kunnen wij in het kader van de accountantscontrole geen gebruik maken van deze application control. Elf accounts mogen

crediteurenstamgegevens wijzigen. Van deze elf accounts zijn er negen rechtstreeks herleidbaar naar een natuurlijk persoon. In de praktijk wijzigt normaliter één persoon de crediteurenstamgegevens, dit betekent dat de bevoegdheden van de overige accounts ingeperkt kunnen worden.

Risico

Onrechtmatig gebruik van rechten waardoor onrechtmatig middelen kunnen worden onttrokken.

Aanbeveling

Ga na of de bevoegdheden tot het wijzigen van crediteurenstamgegevens wel bij deze elf accounts moeten liggen of dat deze bevoegdheden deels ingeperkt kunnen worden.

Dit leidt tot aanvullende gegevensgerichte werkzaamheden. Middels een steekproef zullen wij controleren of bankrekeningnummers juist en terecht zijn gewijzigd. Deze werkzaamheden hebben wij reeds voor het eerste deel van het jaar uitgevoerd.

Wij vinden dat de door ons ingestelde application control voldoende controle afdwingt op wijzingen in crediteuren gegevens (bankreknummers, nieuwe crediteuren etc.). Dit zal de werkwijze blijven. Inmiddels zijn de autorisaties op het wijzigen van de crediteurenstamgegevens van de applicatiebeheerders aangepast, waardoor alleen een aantal collega’s van financiën en de leveranciersaccount nog de mogelijkheid hebben om mutaties door te voeren.

(13)

13 van 13 9. Ontbreken functiescheiding binnen Suites voor het Sociaal Domein

In 2019 hebben wij vernomen dat u stappen heeft gezet in de procesafspraken en inrichting van de applicatie. Het is echter nog steeds mogelijk de stap toetsing te omzeilen. Dit betekent dat er niet standaard sprake is van een vierogen principe op het toekennen van beschikkingen.

Hoewel in 2019 het aantal personen dat toegang heeft tot de administratie van de gemeente Gennep is

verminderd, hebben we ook in 2019 geconstateerd dat meer personen dan noodzakelijk toegang hebben tot deze administratie.

Bevinding 2020

Conform 2019 is het nog steeds mogelijk de stap toetsing te omzeilen. Dit betekent dat er niet standaard sprake is van een vierogen principe op het toekennen van beschikkingen. Wij hebben vernomen dat uw

applicatiebeheerder bezig is met het bouwen van een rapport om periodiek de werkprocessen/toekenningen te controleren op mogelijk eenzijdig handelen. Hoewel in 2020 het aantal personen dat toegang heeft tot de

administratie van de gemeente Gennep is verminderd, hebben tevens andere personen in 2020 toegang gekregen tot deze administratie, waardoor er ook nu meer personen dan noodzakelijk deze toegang hebben. Deze zeven accounts bestaan uit drie niet-persoonsgebonden accounts, twee beheerders en twee medewerkers van de gemeente Bergen.

Risico

Onrechtmatig gebruik van rechten binnen Suites voor het Sociaal Domein.

Aanbeveling

Conform uw voorstel adviseren wij om door middel van de gegevensanalyse te gaan controleren of er mogelijk sprake is geweest van eenzijdig handelen. Wij bevelen aan om periodiek te controleren of uitgegeven users en rechten in lijn zijn met de autorisatiematrix en op basis van de uitkomsten bij te sturen. Tevens bevelen wij aan beheeraccounts uit te geven per administratie.

Aangezien er technisch gezien geen sprake hoeft te zijn van een vierogen principe, hanteren wij een volledig gegevensgerichte controleaanpak ten aanzien van het sociaal domein. Wij hebben de controle voor een deel van het jaar reeds uitgevoerd. Het resterende deel controleren wij tijdens de balanscontrole. Zodra uw

gegevensanalyse beschikbaar is zullen we kennis hiervan nemen om na te gaan of dit het risico voldoende afdekt en welke gevolgen dit heeft voor onze toekomstige controleaanpak.

Ten aanzien van de functiescheiding is het uitgangspunt dat alle zaken (pw/jw/wmo) door de juridisch kwaliteitsmedeweker getoetst worden. Bij afwezigheid van deze medewerker of bij eenvoudige zaken kan het voorkomen dat er zaken in Suite collegiaal getoetst worden omdat de doorlooptijd anders te lang wordt of dat het gezien de aard van het besluit niet nodig is om te toetsen. In beide gevallen dient de zaak handmatig aan de collega in Suite toebedeeld te worden. Voor de werkbaarheid in Suite is het daardoor nodig dat de fase toetsing “omzeild” kan worden. Deze werkwijze blijven we vooralsnog hanteren. Er wordt nog gewerkt aan periodieke rapportages om te controleren of er sprake is geweest van eenzijdig handelen. We zijn het eens met de gegevensgerichte controleaanpak voor de jaarrekeningcontrole en geven hier ook uitvoering aan. Tevens worden de autorisaties van de accounts periodiek beoordeeld en waar mogelijk aangescherpt. In 2021 staat de ontvlechting van de gezamenlijke Suite database met de gemeente Bergen gepland. Dit zorgt ook voor een afname van het aantal accounts.