Bijlage-Rapportage-interim-bevindingen-2021.pdf PDF, 2.23 mb

Rapportage interim bevindingen

Controle 2021

Gemeente Groningen

PricewaterhouseCoopers Accountants N.V.

2 november 2021

Inleiding

Onze kernboodschappen Controlekader

Vooruitkijkend Appendix

• Bron:Ruimtevoorjou.Groningen.nl

Gemeente Groningen

Aan het college van burgemeester en wethouders Postbus 30026

9700 RM GRONINGEN

2 november 2021

Referentie:

Geachte leden van het college,

PricewaterhouseCoopers Accountants N.V., Leonard Springerlaan 35, 9727 KB Groningen, Postbus 8060, 9702 KB Groningen T: 088 792 00 50, F: 088 792 94 24, www.pwc.nl

‘PwC’ is the brand under which PricewaterhouseCoopers Accountants N.V. (Chamber of Commerce 34180285), PricewaterhouseCoopers Belastingadviseurs N.V. (Chamber of Commerce 34180284), PricewaterhouseCoopers Advisory N.V. (Chamber of Commerce 34180287), PricewaterhouseCoopers Compliance Services B.V. (Chamber of Commerce 51414406), PricewaterhouseCoopers Pensions, Actuarial & Insurance Services B.V. (Chamber of Commerce 54226368), PricewaterhouseCoopers B.V. (Chamber of Commerce 34180289) and other companies operate and provide services. These services are governed by General Terms and Conditions (‘algemene voorwaarden’), which include provisions regarding our liability. Purchases by these companies are governed by General Terms and Conditions of Purchase (‘algemene inkoopvoorwaarden’). At www.pwc.nl more detailed information on these companies is available, including these General Terms and Conditions and the General Terms and Conditions of Purchase, which have also been filed at the Amsterdam Chamber of Commerce.

Graag presenteren we u hierbij onze tussentijdse bevindingen die voortkomen uit de controle van de jaarrekening van Gemeente Groningen over het

boekjaar dat eindigt op 31 december 2021. We hebben onze werkzaamheden uitgevoerd in overeenstemming met ons controleplan 2021 en de startnotitie 2021. Onze zienswijzen en bevindingen zijn openlijk en constructief besproken met de ambtelijke organisatie en de portefeuillehouder financiën.

Onze tussentijdse bevindingen zijn gebaseerd op onze werkzaamheden tot en met 15 oktober 2021. Indien er na deze datum nieuwe bevindingen zijn met betrekking tot de interne beheersing zullen wij dit met u delen in ons accountantsverslag.

Het rapport bestaat uit drie delen. Deel 1 geeft onze visie op uw interne beheersing en onze bevindingen. Deel 2 beschrijft de ontwikkelingen voor uw gemeente en uw status van voorbereiding op deze ontwikkelingen.

Deel 3 blikt vooruit op de jaareindecontrole en behandelt de meest relevante aandachtsgebieden.

De inhoud van dit verslag hebben wij ook besproken in het auditcommittee, tijdens de vergadering van 17 november 2021. Mocht u nog vragen hebben, aarzelt u dan niet om contact met ons op te nemen. Wij zijn uiteraard graag bereid om de inhoud van deze rapportage nader toe te lichten.

Hoogachtend,

PricewaterhouseCoopers Accountants N.V.

S.J. Dul MSc RA senior director

Inleiding

Onze kernboodschappen Controlekader

Vooruitkijkend

Appendix

01

In dit hoofdstuk staan wij stil bij onze kernboodschappen van de controle.

Onze kernboodschappen

Inleiding

Onze kernboodschappen Controlekader

Vooruitkijkend

Appendix

Onze kernboodschappen (1/2)

1. Interne beheersing op grote geldstromen op orde

De interne beheersing

is voor de omvangrijke geldstromen in de

jaarrekening (zoals grondexploitaties, salarissen) in de basis op orde. Voor deze jaarrekeningposten bestaat een goede mix tussen beheersmaatregelen in het primaire proces (1e lijn) en controles achteraf (vanuit de 2e en 3e lijn).

2. Met advies om uitgevoerde controles meer zichtbaar te documenteren De afgelopen jaren is hard gewerkt aan het doorvoeren van

verbetermaatregelen in de primaire processen. Dit leidt op onderdelen ook daadwerkelijk tot resultaten en meer grip op processen. Dit zien wij als een goede ontwikkeling. Desondanks zien wij nog wel aandachtspunten in verschillende primaire processen. Dit met name vanuit het perspectief of controles zichtbaar worden uitgevoerd en (systematisch) worden

afgedwongen. Daarnaast kunnen bepaalde aandachtspunten alleen structureel worden opgevolgd door het doorvoeren van wijzigingen in de onderliggende IT-systemen. Voorbeelden hiervan hebben we in deze rapportage opgenomen (b.v. omgevingsvergunningen).

3. Actieve opvolging bevindingen (inclusief maken van bewuste keuzes), samenwerking verschillende lijnen kan worden verbeterd

Groningen werkt actief aan het doorvoeren van verbetermaatregelen in de primaire processen (1

lijn). Hierbij worden op onderdelen ook bewuste keuzes gemaakt om bijv. bepaalde aspecten achteraf te laten toetsen door de 2

of 3

lijn (inclusief vaststelling door de concerndirectie). Wij zien dat de samenwerking tussen de verschillende lijnen en het op elkaar aansluiten van de uitgevoerde werkzaamheden verder kan worden verbeterd. Daarbij adviseren wij ook meer controles in het primaire proces aan te brengen in plaats van achteraf toetsen. Dit zorgt in veel gevallen voor meer zekerheid (door controles vooraf) en het efficiënt en effectief inzetten van de 2

en 3

lijn.

4. De 2e lijn ontwikkelt zich verder, eerste stappen in verdere innovatie We zien dat de 2e lijn (control en shared service center) zich verder

ontwikkelt. De onderlinge rollen en verantwoordelijkheden zijn duidelijk en er wordt actief aan verdere ontwikkeling gewerkt. O.a. businesscontrollers pakken steeds meer een adviesrol. Daarnaast krijgt de vereenvoudiging van de administratie aandacht en is ook gestart met verdere innovatie van processen (o.a. bouwen van robots voor standaard verwerkingen). Wij bevelen aan om een visie op te stellen van “Financiën van de toekomst”

(bijv. met horizon 2025), om nog gerichter te kunnen werken aan en te investeren in de gewenste en vastgestelde ambities.

5. Team Auditing kwetsbaar door personele wisselingen, belangrijk om nieuwe visie richting de toekomst te bepalen

De afgelopen jaren is geïnvesteerd in het bouwen van een nieuw team

(o.a. met trainingen, het aantrekken van nieuwe medewerkers).

Door personele wisselingen zien we dat Team Auditing in 2021 kwetsbaar is.

Mede hierdoor zullen wij, in afstemming met u, op onderdelen aanvullende werkzaamheden uitvoeren. Auditing heeft inmiddels diverse acties

ondernomen (o.a. inhuur van medewerkers) om de kwetsbaarheid op korte termijn zoveel mogelijk te beperken. Voor de komende jaren adviseren wij om een nieuwe visie voor Team Auditing op te stellen, waarin het

ambitieniveau en de rol/toegevoegde waarde worden bepaald (inclusief bijv.

de wens om meer datagedreven controles uit te voeren). Momenteel wordt het merendeel van de werkzaamheden in het kader van de

jaarrekeningcontrole uitgevoerd. De toegevoegde waarde voor de bredere organisatie kan (met bewuste keuzes) verder worden vergroot, bijvoorbeeld door werkzaamheden op het gebied van fraude uit te voeren, specifieke risico’s te onderzoeken en tussentijds te rapporteren en adviezen te geven aan de organisatie.

Onze kernboodschappen Controlekader

Vooruitkijkend

Appendix

Onze kernboodschappen (2/2)

6. Samenwerking met Fujitsu blijft moeizaam verlopen

De samenwerking met Fujitsu blijft moeizaam en hierdoor is de migratie van systemen verder vertraagd. Dit zorgt voor risico’s t.a.v. IT continuïteit, kwaliteit van dienstverlening en informatiebeveiliging (o.a. cyber risico’s).

Door de gemeente is hierop actie ondernomen, o.a. door een extern onderzoek uit te laten voeren (in afrondende fase) en testen uit te laten voeren. Het is positief (maar ook noodzakelijk) dat de gemeente deze acties onderneemt. Opvolging van de bevindingen is, gezien het belang van de IT-omgeving voor de gemeentelijke dienstverlening, essentieel.

7. Komende jaren worden diverse applicaties vervangen. Hierbij is aandacht voor goede overgang van belang

De komende jaren zullen een aantal grote wijzigingen plaatsvinden in het

van de gemeente Groningen (o.a. vervangen van de Suite oplossingen in het sociaal domein). Voor de interne beheersing en de betrouwbaarheid van data is een gecontroleerde overgang van belang.

Aandachtspunt hierbij is het adequaat documenteren van de verrichte testwerkzaamheden en uitgevoerde controles. De organisatie heeft ons aangegeven hier voldoende aandacht aan te zullen besteden.

8. Rechtmatigheidsverantwoording uitgesteld naar 2022, Groningen gaat wel voor uitvoeren pilot op het gebied van aanbestedingen Doordat landelijke besluitvorming nog niet heeft plaatsgevonden is de

over 2021 uitgesteld naar 2022 (formele besluitvorming hierover nog wel openstaand). Groningen is wel druk in voorbereiding. Zo wordt o.a. het normenkader geactualiseerd, wordt gewerkt aan bewustwording bij de directies en worden de

beheersmaatregelen bij verschillende processen in kaart gebracht.

Daarbij wordt in 2021 gewerkt met een pilot op het gebied van

aanbestedingen. Wij adviseren om de uitkomsten in het jaarverslag 2021 te

presenteren (paragraaf bedrijfsvoering), inclusief de belangrijkste

aandachts- en verbeterpunten.

9. Covid-19 heeft ook gevolgen voor de jaarrekening 2021

De jaarverslaggeving 2021 wordt ook beïnvloed door Covid-19 effecten.

Het is belangrijk dat door de organisatie een adequate analyse wordt opgesteld van de mogelijke effecten voor o.a. waarderingen, verkregen gelden van het Rijk en vaststellingen van subsidies (ook in het sociaal domein. Belangrijk aandachtspunt is de verantwoording van de Tozo- regeling (via SiSa). Belangrijk aandachtspunt daarbij is de opvolging en afwikkeling van de signalen van het landelijk Inlichtingenbureau (in het kader van misbruik & oneigenlijk gebruik). Wij hebben begrepen dat alle signalen van het Inlichtingenbureau worden opgevolgd en zullen dit de komende periode vaststellen.

10. Het is belangrijk om een interne frauderisicoanalyse op te stellen

krijgt de komende jaren meer aandacht. Landelijk zien we veel voorbeelden van gevallen waar fraude optreedt (ook bij gemeenten).

Daarbij wordt nu landelijk geconsulteerd over een uitbreiding van de rapportageplicht over het thema fraude door de accountant in de controleverklaring. Het is belangrijk dat Groningen zelf een adequate frauderisicoanalyse opstelt, waarbij risico’s worden geïdentificeerd, en gekeken wordt naar getroffen beheersmaatregelen. Op basis hiervan kunnen verdere maatregelen worden getroffen en gericht interne controles worden uitgevoerd.

Inleiding

Onze kernboodschappen Controlekader

Vooruitkijkend

Appendix

In het tweede hoofdstuk gaan wij in op onze waarnemingen bij uw interne

beheersing. Wij geven onze visie langs de drie verdedigingslinies en geven u daarbij concrete aanbevelingen. Ook geven wij een uiteenzetting van uw IT- omgeving en de aanwezigheid van frauderisico’s

Onze visie op uw interne

controlekader 02

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Verantwoordelijkheden voor de interne beheersing

In dit hoofdstuk evalueren we uw interne beheersing en delen we onze aanbevelingen en de impact van onze bevindingen op ons controleplan met u.

Uw interne beheersing is in de basis op orde

Het college is verantwoordelijk voor het inrichten van een interne controleomgeving die het mogelijk maakt een jaarrekening op te stellen, die geen afwijkingen van materieel belang bevat door fraude of fouten. Ook is het college in brede zin verantwoordelijk voor het behalen van de organisatiedoelstellingen en het treffen van waarborgen die geconstateerde risico’s voldoende terugdringen.

Het rapport van de commissie die is ingesteld om na te denken over de toekomst van de accountancy, Commissie Toekomst Accountancysector, bevestigt dat de kwaliteit van het werk van de accountant in belangrijke mate wordt beïnvloed door de kwaliteit van het rapportageproces bij de opdrachtgever. Dit vereist een intensievere betrokkenheid van het college en de raad, ook ten aanzien van niet-financiële informatie.

Het college stelt ten minste een keer per jaar de raad op de hoogte van de hoofdlijnen van het

strategische beleid, de algemene en financiële risico's en het beheersings- en controlesysteem van de gemeente. De gemeente maakt gebruik van een auditcommittee. Zij voert de volgende taken uit:

• het bewaken van het verslaggevingsproces en het doen van voorstellen om de integriteit van het proces te waarborgen;

• het bewaken van de effectiviteit van het interne beheersingssysteem, een mogelijk aanwezig interne controlesysteem en het systeem voor het melden van risico's voor wat betreft de financiële

verslaggeving van de gemeente.

Op de volgende slides wordt onze visie op uw interne beheersing nader toegelicht.

Wij vragen uw aandacht voor de door PwC opgenomen podcast die in gaat op het belang van interne beheersing en dit vanuit verschillende perspectieven in de praktijk belicht.

Inleiding

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Onze visie op uw interne beheersing (1/4)

Gemeente Groningen heeft de visie op control langs de lijnen van het ‘3 lijnen’

model

ingericht. Op deze en de volgende pagina’s zullen wij onze algemene observaties delen en vervolgens per verdedigingslinie onze waarnemingen nader toelichten.

Onze algemene observaties

Tijdens de afgelopen interimcontrole en de voorgaande jaarrekeningcontroles hebben wij verschillende tekortkomingen in de interne beheersing

geconstateerd en in onze rapportages met u gedeeld. Wij constateren dat de organisatie actief aan de slag is gegaan met de implementatie van de visie op control en het opvolgen van de geconstateerde tekortkomingen in de interne beheersing. Hierbij worden ook de individuele directies betrokken om tot gerichte structurele verbeteringen te komen. Tegelijkertijd verdient de wijze waarop de tekortkomingen in de 1

lijn worden opgevolgd, de aandacht, zoals:

• De maatregelen/processtappen die worden geïmplementeerd voor het opvolgen van geconstateerde tekortkomingen mitigeren niet altijd het volledige (controle)risico. Wij zien dat in het primaire proces (1

lijn) acties zijn genomen om de geconstateerde tekortkomingen op te volgen,

bijvoorbeeld een (aanvullende) controle op de ingevoerde tarieven en de bouwkostentoets bij omgevingsvergunningen en een controle op de verkoopprijzen bij het grondbedrijf. Deze aanvullende controle op de tarieven voor de omgevingsvergunningen wordt niet door het systeem afgedwongen, waardoor het risico bestaat dat niet alle tariefswijzigingen met een vier-ogen-principe worden gecontroleerd. Dit wordt mede veroorzaakt door de IT-omgeving (zie het 3

punt). Hierdoor wordt niet het volledige (controle)risico afgedekt. De aanvullende controle op de tarieven van het grondbedrijf (en de overige collegiale toets) worden niet zichtbaar vastgelegd.

Hierdoor kan achteraf niet worden vastgesteld dat deze controles gedurende het gehele jaar én voor alle verkooptarieven hebben plaatsgevonden.

• De samenwerking tussen de verschillende afdelingen (1

, 2

en 3

lijn) rondom het opvolgen van de geconstateerde tekortkomingen kan worden verbeterd. Het kwaliteitsteam in het shared service center (2e lijn) heeft in samenwerking met het primaire proces (de 1

lijn) bijvoorbeeld een analyse van de status van de tekortkomingen in de primaire processen gemaakt.

Naar wij hebben begrepen is dit ook gedeeld met Team Auditing, maar zien we in de werkzaamheden van Auditing niet altijd terug dat bepaalde keuzes ook hebben geleid tot een aanpassing van de controleaanpak en niet altijd de betreffende punten meegenomen zijn in de procesbesprekingen. Wij adviseren om hiervoor te investeren in een gezamenlijke aanpak met periodieke overleggen tussen de betrokken medewerkers vanuit de verschillende afdelingen om ervoor te zorgen dat de informatiedeling wordt verbeterd en hierop kan worden ingespeeld qua werkzaamheden.

• Bij het opvolgen van geconstateerde tekortkomingen wordt onvoldoende gekeken naar de rol en invloed van de IT-omgeving op bevindingen.

Hierdoor worden tekortkomingen, rekening houdende met het bijbehorende risicoprofiel, niet efficiënt opgevolgd. Een aantal van de geconstateerde tekortkomingen kunnen in feite alleen (efficiënt) in het primaire proces worden opgevolgd door aanpassingen in de IT-omgeving (al dan niet in het opvolgen van de tekortkomingen rondom de ITGC’s). Voorbeelden hiervan zijn de tekortkomingen in de processen omgevingsvergunningen en stadsbeheer, zoals genoemd in de bijlage.

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Onze visie op uw interne beheersing (2/4)

• In april 2021 is door het shared service center (2

lijn) een memo opgesteld met daarin een aantal afwegingen ten aanzien van de interne beheersing.

Zo worden een aantal ontwikkelingen geschetst in de primaire processen, maar wordt ook ingegaan op onderdelen waar bewust de keuze wordt gemaakt om achteraf controles uit te voeren. Het proces rondom Inkomende subsidies is hier een voorbeeld van. Het memo is in de concerndirectie besproken en de keuzes zijn hierbij goedgekeurd. Naar onze mening een positieve ontwikkeling dat op deze manier meer bewuste afwegingen worden gemaakt over processen. Wel zien we in het totaalbeeld dat veel maatregelen nu getroffen worden in de 2

of 3

lijn. In de basis zijn dit controles achteraf en is het beter om maatregelen in het primaire proces te treffen.

Centraal meer bewuste keuzes maken over wijze van opvolging bevindingen

Door per tekortkoming in de interne beheersing de juiste afstemming te zoeken tussen 3 lijnen in de organisatie kunnen voor alle tekortkomingen keuzes worden gemaakt (waarbij gekeken wordt naar IT-omgeving, risicoprofiel, omvang). Hierbij kan ook meer expliciet bijvoorbeeld worden besloten dat bepaalde investeringen in de IT-omgeving niet opwegen tegen de beperkte risico’s. Deze keuzes worden nu naar wij hebben begrepen al impliciet gemaakt.

In de praktijk kunnen interne beheersmaatregelen in drie verschillende typen worden verdeeld, namelijk:

• Preventieve interne beheersmaatregelen (het voorkomen);

• Detectieve interne beheersmaatregelen (het ontdekken); en

• Reactieve interne beheersmaatregelen (het reageren).

Deze typen beheersmaatregelen hebben een relatie met de verschillende verdedigingslinies van het ‘3-lijnen’-model. Over het algemeen worden de preventieve beheersmaatregelen door de eerste/tweede lijn uitgevoerd, de detectieve beheersmaatregelen door de tweede/derde lijn en de reactieve beheersmaatregelen door de derde lijn en/of de externe accountant.

Om tot een meer gecoördineerde opvolging van bevindingen in de organisatie te komen en daarbij ook de samenwerking tussen 1

, 2

en 3

lijn in dit proces te verbeteren hebben wij een aantal adviezen:

• Breng periodiek vertegenwoordigers van de verschillende lijnen bij elkaar voor overleg.

• Zorg hierbij voor een lijst met processen en bevindingen per proces.

• Bepaal gezamenlijk per proces welk type maatregelen getroffen moeten worden, mede afhankelijk van risicoprofiel, risicobereidheid, omvang proces, politieke gevoeligheid.

• Beoordeel hierbij in hoeverre het noodzakelijk is om IT-maatregelen te treffen om te komen tot een structurele oplossing (inclusief baten en lasten afweging).

• Laat de concerndirectie een onderbouwd besluit nemen over de gemaakte keuzes, o.a. afwegingen rondom investeren in IT dan wel

reparatiewerkzaamheden achteraf.

• Pas op basis van de gemaakte keuzes ook de werkzaamheden in de 2

en 3

lijn aan, zodat hier meer gericht controles kunnen worden uitgevoerd.

Inleiding

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Onze visie op uw interne beheersing (3/4)

Hiernaast staat een overzicht met daarin per jaarrekeningpost een inzicht in de kwaliteit van de interne beheersing per lijn alsmede het volwassenheidsniveau van de IT-omgeving. Hierbij hanteren wij de definities van het ‘3 lijnen’-model.

In het overzicht hanteren wij de volgende legenda (let op: dit betreft een andere legenda dan de legenda op de slide over de 1

 De beheersmaatregelen zijn in opzet en bestaan niet toereikend. Dit betekent dat de (interne) controles niet zichtbaar worden vastgelegd, achteraf kunnen worden vastgesteld en/of (automatisch) in het proces worden afgedwongen.

 De beheersmaatregelen zijn in opzet en bestaan toereikend, maar niet alle controledoelstellingen ten grondslag aan de getrouwheid en rechtmatigheid worden voldoende afgedekt.

 Er wordt een toereikende (interne) controle (door Team Auditing) uitgevoerd, waarbij alle controledoelstellingen ten grondslag aan de getrouwheid en rechtmatigheid voldoende worden afgedekt.

Bij het beoordelen van de status van de processen in de 1

is onderscheid gemaakt tussen de aanwezigheid van interne beheersingsmaatregelen in opzet (dit is ‘’) en het bestaan van deze interne beheersmaatregelen (dit is ‘ ‘). In de praktijk concluderen wij dat gemeente Groningen in opzet adequate beheersmaatregelen heeft die het overgrote deel van de controlerisico’s mitigeren. Echter door het ontbreken van zichtbare vastleggingen, het feit dat de controles niet (systematisch) worden afgedwongen en achteraf (zeer) beperkt kunnen worden getoetst, kunnen wij het bestaan van deze interne beheersmaatregelen niet (altijd) vaststellen. Hierdoor zijn deze

beheersmaatregelen in het kader van de jaarrekeningcontrole in opzet en bestaan niet (volledig) toereikend. Onze conclusie is dan ook dat de interne beheersing in de eerste lijn meer aandacht verdient. In het overzicht hiernaast is interne beheersing toereikend op het moment dat de opzet en het bestaan door ons is vastgesteld. Dit resulteert in een ‘’ of ‘’. Indien alleen de opzet kan worden vastgesteld, leidt dit in een ‘ ‘ in het overzicht.

Proces 1e lijn 2e lijn 3e lijn Totaal IT

Financiële administratie (vooral memoriaalboekingen)

    

Inkopen en betalingen     

Salarissen (incl. WNT)     

Jeugd en WMO     

Sociale uitkeringen     

Verstrekte subsidies     

Huuropbrengsten (*)   ()  ()  () 

Omgevingsvergunningen (*)   ()  ()  () 

Stadsbeheer (*)   ()  ()  () 

Inkomende subsidies     

Gemeentelijke belastingen -    

Overige opbrengsten (*)   ()  ()  () 

(EU) Aanbestedingen     

Treasury (incl. derivaten)     

Fiscaliteiten (Btw, Vpb)     

Grondexploitaties     

Materiële vaste activa (*)   ()  ()  () 

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

* Voor het boekjaar 2021 verricht Team Auditing geen interne controles op deze processen, maar heeft hiervoor een aanvullende opdracht aan PwC verstrekt. De beoordeling tussen de

“haakjes” betreft de kwaliteit van de interne controles zonder aanvullende werkzaamheden aan PwC.

Onze visie op uw interne beheersing (4/4)

Inleiding

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Een aantal processen hebben wij nader toegelicht:

• Inkopen en betalingen: hier wordt een toereikende (interne) controle uitgevoerd door team Auditing (en daarmee detectief). Het is naar onze mening belangrijk om te komen tot meer preventieve controles. Hiertoe is het belangrijk dat Groningen investeert in het opvolgen van de

tekortkomingen in het primaire proces en de IT-omgeving (o.a.

afgedwongen functiescheiding bij muteren van crediteurenstamgegevens).

Bij het uitvoeren van betalingen en autorisatie facturen zijn wel functiescheidingen doorgevoerd.

• Bij een aantal opbrengststromen (o.a. huuropbrengsten,

omgevingsvergunningen en stadsbeheer) constateren wij dat de interne controles in alle lijnen niet toereikend zijn en dat de IT-volwassenheid kan worden verbeterd. Door Team Auditing (3e lijn) worden normaliter

periodieke controles op deze opbrengststromen uitgevoerd, maar hiervan hebben wij tijdens voorgaande jaarrekeningcontrole geconcludeerd dat het controleprogramma niet alle controlerisico’s volledig afdekt. Voor het jaar

worden de controles op deze opbrengstromen niet door Team Auditing (3e lijn) uitgevoerd, maar zal het Kwaliteitsteam

Accountantscontrole (2

lijn) de voorbereidende (controle)werkzaamheden uitvoeren. Hierdoor loopt gemeente Groningen naar verwachting geen aanvullende risico’s op materiële bevindingen in de jaarrekeningcontrole als gevolg van het ontbreken van de volledige controle in de 3

lijn.

• Salarissen: in het primaire proces (1

bestaan in opzet adequate beheersmaatregelen om (een deel van) de controlerisico’s af te dekken.

Voor salarismutaties die buiten het reguliere proces worden verwerkt (niet

via YouForce), geldt dat geen traceerbare systeemtechnische

functiescheiding wordt afgedwongen. Op dit moment is de omvang (in € en in aantallen) van de mutaties buiten het reguliere proces niet inzichtelijk (wij hebben begrepen circa 1-5%, maar kunnen dit niet met documenten valideren). Oftewel, de interne beheersing in de 1e lijn is voor verbetering vatbaar. Door het shared service center (2e lijn) worden maandelijks controles op de salariskosten uitgevoerd o.a. het maken van een aansluiting tussen de financiële administratie en de salarisadministratie.

Deze controles mitigeren een deel van het controlerisico. Door Team Auditing (3e lijn) worden periodiek interne controles op de salarismutaties uitgevoerd. Hierdoor worden andere controlerisico’s gemitigeerd. De controles in de 2e en 3e lijn mitigeren tezamen de volledige controlerisico’s ten aanzien van de getrouwheid en rechtmatigheid van de salariskosten in de jaarrekening. Op het moment dat in het primaire proces de controles meer vastgelegd gaan worden, zal dit een efficiënter en effectiever

controleproces opleveren omdat er minder ‘reparatiewerk’ in de opvolgende lijnen verricht hoeft te worden.

• Bij treasury en fiscaliteiten heeft Groningen een adequate interne beheersing in het primaire proces (1

lijn) en daardoor logischerwijs nauwelijks (zichtbare) controles in de 2

en 3

lijn.

Wij gaan hierover graag met u in gesprek!

Onze controlefilosofie

Onze controleaanpak is naast het controleren van de jaarrekening gericht op het verbeteren van uw bedrijfsvoering inclusief digitalisering hiervan. In onze controle hanteren wij daarvoor het ‘3 lijnen’ model. Dit model geeft handvatten om te beoordelen waar in de interne beheersing risico’s worden ondervangen:

• In de eerste lijn: in het primaire proces, onder verantwoordelijkheid van de proceseigenaar.

• In de tweede lijn: in de ondersteunende processen zoals financiën en control, waar checks and balances ingericht zijn om fouten te signaleren.

• In de derde lijn: in uw verbijzonderde interne controle achteraf.

Het push-left principe is er op gericht de interne beheersing in de 1e en 2e lijn te optimaliseren. Dit vanuit het uitgangspunt dat fouten voorkomen beter is dan achteraf constateren. Indien er tekortkomingen zijn in de interne beheersing in de 1e en 2e lijn, dan zullen wij deze daarom rapporteren als bevinding, ook als deze in de 3e lijn met verbijzonderde interne controle ondervangen wordt.

Wij rapporteren via het push-left principe

• Primair verantwoordelijk voor getrouwheid en rechtmatigheid transacties binnen eigen processen

• Verantwoordelijk voor kwalitatieve analyse en toelichting P&C producten

• Ondersteunt de afdelingen bij de optimalisering van de primaire processen.

• De administratie voert bij de verwerking een aantal primaire controles uit op de 1e lijn.

• Adviseert (met Team Auditing) preventieve interne controlemaatregelen in het primaire proces

• Geeft feedback om leesbaarheid/

informatiewaarde P&C documenten te verhogen

• Adviseert preventieve interne

controlemaatregelen in het ondersteunende proces en de IT

• Geeft adviezen om effectiviteit control- werkzaamheden te vergroten

• Team Auditing voert interne controles uit op de getrouwheid en rechtmatigheid van de financieel kritische processen.

• Adviseert over verbetering in de 1e en 2e lijn

• Adviseert/klankbord om te komen tot een effectieve en efficiënte controleaanpak

• Maakt waar mogelijk gebruik van de werkzaamheden van Team Auditing Lijnmanagement

Afdelingen

Ondersteuning SSC/Control

Verbijzonderde Interne controle Team Auditing

1 ^{e lijn} 2 ^{e lijn} 3 ^{e lijn}

g e m e e n te P w C

Onze boodschappen Controlekader Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

In het kader van onze controle starten wij met een beoordeling van de opzet van de processen (dus de wijze waarop het proces is op papier wordt ingericht).

Daarna kijken wij of de ingerichte beheersmaatregelen in de praktijk ook bestaan.

Belangrijk hierbij is bijv. dat controles ook zichtbaar zijn vastgelegd. Hiernaast hebben wij weergegeven wat onze beoordeling per proces is (1

lijn). Hierbij gaan we in op zowel de opzet en het bestaan van de procedure in de 1

lijn. Zo kunnen er in een proces controles worden uitgevoerd (opzet is goed), maar worden de controles niet zichtbaar vastgelegd (bestaan niet vast te stellen). In de tabel wordt een vergelijking tussen het boekjaar 2020 en 2021 gemaakt. Uit de vergelijking blijkt dat de status over het algemeen ten opzichte van het voorgaande jaar niet is gewijzigd en op onderdelen is verbeterd. Daarbij is het bestaan van de processen een belangrijk aandachtspunt (zichtbare controles). Deze conclusie komt overeen met onze algemene observaties rondom de interne beheersing van gemeente Groningen. Hieronder staat een ontwikkeling die wij graag nader willen toelichten:

Inkoop- en betaalproces

De interne beheersing rondom het inkoop- en betaalproces is verbeterd. Wij constateren dat met name in het betaalproces (salarissen, inkoop Dafinci) de controles consequent worden uitgevoerd en zichtbaar worden vastgelegd. Dit betekent dat in de jaarrekeningcontrole (deels) op de interne beheersing kan worden gesteund. Wij zullen meer systeemgerichte in plaats van

gegevensgerichte controlewerkzaamheden uitvoeren.

Detailbevindingen

In de bijlage staan de details van de geconstateerde tekortkomingen in de interne beheersing.

Legenda

 In opzet ontoereikend

 In opzet toereikend, maar het bestaan van één of meerdere beheersmaatregelen kan in de praktijk niet worden vastgesteld.

 Proces is adequaat opgezet en beheersmaatregelen bestaan

Beoordeling opzet proces in de 1 ^e lijn

Grondexploitatie   

Materiële vaste activa   

Huuropbrengsten   

Omgevingsvergunningen   

Stadsbeheer   

Inkomende subsidies   

Gemeentelijke belastingen   

Proces ^{2020 2021 t.o.v.}

2020

Financiële administratie   

Inkopen en betalingen   

Aanbestedingen   

Salarissen incl. Iederz   

IT   

WNT   

Treasury (incl. derivaten)   

Fiscaliteiten (Btw, Vpb)   

Overige opbrengsten   

Jeugd   

Wmo   

Participatie   

Verstrekte subsidies   

SOCIAALFYSIEKBEDRIJFSVOERING

Inleiding

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Onze visie op de tweede lijn

Onze observaties bij de tweede lijn

De afgelopen periode heeft gemeente Groningen geïnvesteerd in kennis en capaciteit in de tweede lijn, zoals versterking in het team P&C en beleid. Binnen het grondbedrijf worden door de tweede lijn kritische vragen over tussentijdse rapportages en raadsdocumenten gesteld en bij het sociaal domein zien we dat de business controllers adviezen geven en acties formuleren om de processen beter in de grip te krijgen, zoals de (financiële) verwerking van de wijzigingen door het decentraliseren van beschermd wonen. Het zichtbaar vastleggen van uitgevoerde controles blijft hierbij wel een aandachtspunt. Daarbij zien we dat bij de tweede lijn in het shared service center brede aandacht bestaat voor thema’s zoals “the future of finance”. Hiertoe zijn twee werkgroepen gevormd, namelijk de werkgroep “het vereenvoudigen van de administratie” en een werkgroep “Het Innovatielab”.

Het vereenvoudigen van de administratie

Gemeente Groningen heeft voor het vereenvoudigen van de administratie een plan van aanpak opgesteld. Mede door de werkdruk als gevolg van Covid-19, beperkte interne capaciteit en daarmee een andere focus, heeft dit plan het afgelopen jaar minder aandacht dan gewenst gekregen. Afgelopen periode zijn bewuste keuzes gemaakt, zoals het vrijmaken van medewerkers en het benoemen van een aantal belangrijke thema’s die als eerste aandacht zullen krijgen bijvoorbeeld de personeelsbegroting, de kostenverdeling en “het proces van inkoop tot factuur”. Naast deze grotere thema’s zijn er ook kleine projecten waarmee medewerkers bijdragen aan het verbeteren en vereenvoudigen van de administratie. Het betrekken van een breed scala aan medewerkers vinden wij zeer positief. Dit vergroot de draagkracht!

‘Het Innovatielab’

De andere werkgroep, “Het Innovatielab” houdt zich bezig met het digitaliseren van processtappen in de administratie, zoals het inzetten van een robot voor het verwerken van energienota’s.

Het is positief dat gemeente Groningen deze stappen heeft gezet. Tegelijkertijd constateren wij dat deze projecten op sommige momenten minder aandacht kregen dan gewenst, bijvoorbeeld door de waan van de dag en/of overige prioriteiten of personele wisselingen.

Wij adviseren gemeente Groningen om de doelstellingen vanuit het plan van aanpak om te zetten in tussentijdse doelstellingen en een haalbaar tijdspad. Dit om ervoor te zorgen dat tussentijds de effecten van de werkgroepen ook zichtbaar worden. Tegelijkertijd is het hierbij belangrijk om voldoende aandacht te blijven hebben voor de balans tussen het opstellen van een plan/tijdspad en anderzijds juist het in de praktijk realiseren van resultaten.

Tot slot is het belangrijk om een visie op te stellen rondom de toekomstige inrichting van Financiën (bijv. met een horizon naar 2025). Met een duidelijke visie en ambitieniveau kunnen de komende jaren gericht verdere investeringen worden gedaan. Dit maakt het ook makkelijker om te beoordelen of er

voldoende voortgang is om de ambities te bereiken en eventueel hierop bij te sturen.

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Onze visie op de derde lijn

Ontwikkelingen in de derde lijn

De afgelopen jaren is zichtbaar in Team Auditing geïnvesteerd. De

werkzaamheden van Team Auditing vervullen een belangrijke rol in de tijdige en kwalitatieve oplevering van de controledocumentatie, waardoor de jaarrekeningcontrole soepeler verloopt en er minder verrassingen en (materiële) controlebevindingen worden geconstateerd.

Door ontwikkelingen rondom Team Auditing, zoals de positionering in de organisatie (verschuiving naar concern control) en personele wijzigingen en capaciteitsbeperkingen (o.a. in de aansturing van de afdeling), constateren wij dat Team Auditing op een kruispunt is aangekomen. Een natuurlijk moment om na te denken over de doelstellingen en ambities van Team Auditing. Wat wil gemeente Groningen met Team Auditing de komende jaren bereiken? Wij adviseren een uitwerking van de visie voor Team Auditing te maken en hierbij aandacht te besteden aan de volgende punten:

• De huidige insteek van de werkzaamheden van Team Auditing is

hoofdzakelijk gericht op het uitvoeren van (interne) controles ten behoeve van de jaarrekeningcontrole en de externe accountant. Het is belangrijk om een stap te maken naar het uitvoeren van controles voor (de verbetering van) de interne organisatie en bijvoorbeeld ook doelmatigheid hierbij te betrekken.

• Door personele ontwikkelingen is de capaciteit en daarmee de planning van de uitvoering in de knel gekomen. Het is belangrijk om duidelijke keuzes te maken over de aard en omvang van (interne) controles die worden

uitgevoerd. Voor de kwetsbaarheid op de korte termijn hebt u diverse acties ondernomen, zoals het maken van de keuze om bepaalde controles niet uit te voeren en hiervoor extra werkzaamheden door ons te laten uitvoeren, het werven van nieuwe (vaste) medewerkers en het inhuren van medewerkers.

• De personele wisselingen hebben ook gevolgen voor het kennis- en ervaringsniveau binnen de afdeling. Wij adviseren te investeren in een trainings-en opleidingsprogramma gericht op kwaliteit en (digitale)

ontwikkelingen, zoals data-analyse, IT-Audit en ‘process-mining’. Hierdoor wordt de kwaliteit van de controles verbeterd, maar kunt u mogelijk ook de toegevoegde waarde van de afdeling vergroten en efficiency realiseren.

• Wij adviseren in de uit te werken visie voor de komende jaren ook aandacht te besteden aan de balans tussen enerzijds het invullen van de natuurlijke adviesfunctie richting de eerste en tweede lijn en anderzijds het invullen van de controlerende/toetsende rol. Nu zien we af en toe dat team Auditing zowel een belangrijke rol heeft in de nadere uitwerking in de eerste en tweede lijn en daarnaast ook nog een toetsende rol vervult. In het kader van het kritisch in kunnen vullen van de toetsende rol is deze vermenging niet gewenst.

Inleiding

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

IT omgeving in beweging

Relevante IT-ontwikkelingen zijn met ons gedeeld

In de zomer hebben wij inzicht gekregen in de relevante IT-ontwikkelingen en de opzet en deels het bestaan getoetst van de IT General Controls (ITGC’s) voor Dafinci, Suite4 Jeugdzorg, Suite4 Werk & Inkomen, Beaufort en Youforce.

Ook hebben wij de status van de in 2020 gerapporteerde ITGC-bevindingen geactualiseerd. Op basis van onze werkzaamheden concluderen wij dat we op onderdelen een systeemgerichte controle kunnen uitvoeren op Dafinci, voor de overige systemen zullen wij een gegevensgerichte controleaanpak hanteren. In onze werkzaamheden hebben we expliciet aandacht besteed aan de

samenwerking met Fujitsu en de geplande vervanging van de Suites.

Migraties Fujitsu nog onderhanden, mogelijke impact audit 2021 In het accountantsverslag van juni 2021 hebben we beschreven dat de samenwerking met Fujitsu moeizaam blijft en de migratie van de systemen verder is vertraagd. Hiermee zijn de zorgen ten aanzien van IT continuïteit, kwaliteit van dienstverlening en informatiebeveiliging toegenomen. De gemeente heeft KPMG gevraagd om een beoordeling uit te voeren op de IT infrastructuur en de beheerprocessen, dit bevindt zich nu in een afrondende fase. Aanvullend is Fox-IT ingehuurd om penetratietesten uit te voeren. De migratie van systemen naar Fujitsu is nog onderhanden. Afhankelijk van de timing van de migraties zullen we hier in het kader van de jaarrekeningcontrole 2021 werkzaamheden op moeten verrichten om zekerheid te verkrijgen over de betrouwbaarheid van de datamigraties voor de systemen in scope van de controle.

Diverse systemen worden komende jaren vervangen

De komende jaren zullen een aantal grote wijzigingen plaatsvinden in het applicatielandschap van de gemeente Groningen. Een belangrijk ontwikkeling is hierbij de vervanging van de Suite oplossingen in het sociaal domein door de SaaS-oplossing van Blinqt. In dit kader hebben we gesproken met onder andere de projectleider. Wij hebben daarbij begrepen dat er sprake is van een gefaseerde overgang waarbij de verwachting is dat eind Q1 2022 de eerste fase live zal gaan (Jeugdzorg en WMO) en eind 2022/ begin 2023 de tweede fase (Werk en Inkomen). In dit kader hebben wij ook gesproken over het belang van een gecontroleerde overgang vanuit een interne beheersing perspectief.

Aspecten die hierbij van belang zijn:

• Een betrouwbare en aantoonbare dataconversie waarbij juistheid/volledigheid is geborgd.

• Inrichting van de applicaties die bijdraagt aan het versterken van uw interne beheersing (onder andere geautomatiseerde controlemaatregelen en functiescheidingen).

• Voldoende aandacht voor het verkrijgen van inzicht en zekerheid over de beheersmaatregelen zoals die bij de leverancier zijn belegd, bijvoorbeeld middels het periodiek toetsen van een derdenverklaring (zoals een ISAE 3402 type II verklaring).

Naast de vervanging van de Suite oplossingen zijn nog andere vervangingen gepland, zoals de vervanging van eSuite medio 2023 voor het zaakgericht werken en het systeem bij Burgerzaken. We hebben daarnaast begrepen dat dit jaar wordt gekeken naar de eventuele vervanging (in de komende jaren) van het financieel systeem en het HR systeem.

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

ITGC’s in lijn met vorig jaar, bevindingen worden opgepakt

Inleiding

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

De resultaten van onze werkzaamheden op de ITGC’s zijn opgenomen in de tabel hiernaast. Zoals zichtbaar gemaakt in de tabel, zien we dat gelijk aan vorig jaar bevindingen zijn geconstateerd die impact hebben op onze

controleaanpak. Ten opzichte van vorig jaar is het wijzingenbeheerproces op onderdelen verbeterd voor Dafinci. We hebben begrepen dat een proces is opgesteld voor configuratie-wijzigingen voor Dafinci en dat de gemeente bezig is deze te formaliseren. Centrale registratie vindt nu nog niet plaats.

De gemeente is bezig met de inrichting van een uniforme vastlegging van de configuratiewijzigingen in ServiceNow. We hebben begrepen dat Team Auditing in het najaar 2021 onderzoek gaat doen naar de voortgang.

De overige bevindingen liggen in lijn met vorig jaar. Voor een gedetailleerde toelichting van de observaties en bevindingen, inclusief risico’s en

aanbevelingen, verwijzen we naar de bijlage met detailbevindingen.

Voor de controleaanpak 2021 betekent dit dat deze in lijn ligt met vorig jaar en we een voornamelijk gegevensgerichte controle uitvoeren. We adviseren u voldoende aandacht te geven voor het verhogen van de volwassenheid van uw IT-beheerprocessen.

Algemene IT-beheersingsmaatregelen

Wijzigingen- beheer

Logische toegangs- beveiliging

Continuïteit van gegevens- verwerking

Applicatie

Dafinci (Financiën)

2020   

2021   

Suite4 (Jeugdzorg en

Werk &

Inkomen) Sociaal Domein

2020   ^

2021   

Beaufort (Personeel en

salaris)

2020   

2021   

Youforce (HR mutaties)

2020   

2021   

 Bevinding (audit impact), geen voortgang

Bevinding (audit impact), opvolging onderhanden

Geen bevinding opgemerkt

ITGC’s nog niet volledig beoordeeld (door ontbreken derdenverklaring, wordt achteraf over het jaar verstrekt.)

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Aandacht en prioriteit benodigd voor cybersecurity

Als onderdeel van de jaarrekeningcontrole van de gemeente hebben we op basis van interview met uw CISO en de beoordeelde documentatie inzicht gekregen in de wijze waarop de gemeente Groningen cyberrisico’s

adresseert. Daarbij hebben we specifiek gekeken naar de cyberrisico’s zoals opgenomen in het figuur hiernaast.

Op basis van onze werkzaamheden hebben wij onder andere geconstateerd dat:

• eind 2020 een externe penetratietest heeft plaatsgevonden; hier kwamen geen significante bijzonderheden uit naar voren.

• diverse tooling aanwezig is om kwetsbaarheden in het netwerk op te sporen (firewalls,

kwetsbaarhedenscanner, etc.). Echter blijkt uit het ‘Security Services Report’ van de maand mei 2021 dat er diverse systemen niet compliant zijn (achterlopen in patches) en ook blijkt dat niet het volledige netwerk wordt gescand door de kwetsbaarhedenscanner (bijna 1/3 werd niet gescand in mei 2021, in oktober is dat nog 15%).

• in de omgeving van de gemeente veel verouderde systemen aanwezig zijn welke kwetsbaar zijn doordat ze niet langer worden ondersteund. Uit onze analyse van uw Windows AD omgeving blijkt dat 1719 oude systemen (Windows 7 en Windows 2008) aanwezig zijn waarop in 2021 is ingelogd.

• het huidige informatiebeveiligingsbeleid nog is gebaseerd op de structuur van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Vanaf 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht geworden. Conform de BIO wordt het beleid minimaal eens in de 3 jaar geactualiseerd, de gemeente voert dit uit voor april 2022.

Bij de gemeente is een belangrijke rol voor Fujitsu weggelegd in het beheersen van cyber risico’s. Gegeven de toenemende cyber risico's in de sector, de hierboven weergegeven constateringen en ook de eerder beschreven moeizame samenwerking met Fujitsu, bevelen wij u aan om extra aandacht te besteden en voldoende prioriteit te geven aan cybersecurity. Hoewel de directe risico’s op de financiële processen en onze controle beperkt lijken te zijn, gegeven diverse interne controles, een ISAE3402 type II en een voornamelijk gegevensgerichte aanpak, kan een onvoldoende beveiligde IT omgeving grote gevolgen hebben voor de continuïteit van de dienstverlening van de gemeente zoals ook is gebleken bij bijvoorbeeld de hack bij gemeente Hof van Twente. Het bewustzijn van medewerkers speelt hierin ook een belangrijke rol. Wij adviseren u met urgentie deze uitdagingen aan te gaan en voldoende mitigerende maatregelen te nemen.

Op basis van onze gesprekken met verschillende medewerkers van de gemeente begrijpen we dat, ten tijde van de controlewerkzaamheden, in 2021 geen significante cyberincidenten en datalekken hebben plaatsgevonden.

Leverancier gegevens

Patch management

Backup and recovery

Directe betalingen

Intrusie preventie / detectie en monitoring

Cyber Security

Figuur: Cyber Security risico’s

Fraude, omkoping en corruptie en het niet naleven van wet- en regelgeving

Een integrale frauderisicoanalyse dient te worden opgemaakt om het beheersingsproces van frauderisico's en risico's van het niet naleven van wet- en regelgeving en (mogelijke) fraude-indicaties te verbeteren

Met betrekking tot de identificatie van de significante frauderisico's constateerden we geen andere risicofactoren dan in ons controleplan opgenomen. Onze observaties worden verder beoordeeld op de volgende pagina's.

Als onderdeel van onze controlewerkzaamheden hebben wij de interne beheersing rond het voorkomen en identificeren van fraude beoordeeld. Aangezien het voorkomen en opsporen van fraude de primaire verantwoordelijkheid is van het college en de raad, verwachten we dat er een zeker minimaal niveau van interne controle is, rekening houdend met de omvang en complexiteit van de gemeente en haar activiteiten.

Wij merken op dat de evaluatie en beheersing van frauderisico’s bij de gemeente Groningen is opgenomen in separate processen en uitgevoerde interne controles. Wij bevelen echter aan een integrale frauderisicoanalyse te implementeren en op basis hiervan gericht beheersmaatregelen te treffen c.q. interne controles uit te voeren. In ons controleplan hebben wij onze gezamenlijke

geen aanwijzingen van fraude onder onze aandacht gekomen.

Als onderdeel van onze tussentijdse controle hebben wij vastgesteld of beheersmaatregelen zijn getroffen om deze frauderisico’s te ondervangen. Daarnaast hebben wij de opzet van de interne beheersing van uw belangrijkste financiële processen beoordeeld. Hieruit blijken geen

aanvullende frauderisico’s ten opzichte van onze controleplan.

Inleiding

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Fraude, omkoping en

corruptie en het niet naleven van wet- en regelgeving

Uw organisatie en interne controle-omgeving heeft geen significante

tekortkomingen betrekking tot fraude en het niet naleven van wet- en regelgeving Wij hebben geen bevindingen ten aanzien van de interne beheersing met betrekking tot fraude en het niet naleven van wet- en regelgeving geconstateerd (die naar verwachting kunnen leiden tot een materiële fraude in de jaarrekening). Wel zien wij op individuele processen punten waar wel voldoende aandacht voor de mogelijke frauderisico’s moet bestaan.

Belangrijk om te weten

De primaire verantwoordelijkheid voor het voorkomen en detecteren van fraude en niet- naleving van wet- en regelgeving ligt bij zowel de raad (als toezichthoudend orgaan) als het college (als bestuurlijk orgaan). In dit interview bespreken we verantwoordelijkheden van toezichthouders en bestuurders met twee ervaren commissarissen. Hoewel hier over het bedrijfsleven gesproken wordt, is dit wel degelijk ook relevant voor gemeenten.

Verantwoordelijkheden van de accountant

Als uw accountant is het onze verantwoordelijkheid om onze controle te plannen en uit te voeren om een ​​redelijke mate van zekerheid te verkrijgen dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten, ongeacht of deze zijn veroorzaakt door fraude of fouten, rekening houdend met het toepasselijke wet- en regelgevingskader.

Vanwege de inherente beperkingen van een controle is er een onvermijdbaar risico dat bepaalde afwijkingen van materieel belang in de financiële overzichten niet worden ontdekt.

Voor het volledige interview, klik hier

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Onze observaties ten aanzien van het frauderisico- beheersingsproces

U kunt uw volwassenheid van het frauderisicobeheersingsproces verbeteren

Op basis van onze bevindingen over de interne beheersing, zijn wij van mening dat de algehele interne controleomgeving overwegend informeel is.

Wij adviseren een integrale frauderisicoanalyse op te stellen en hierbij de afzonderlijke procescontroles in te betrekken.

Aankomende wijzigingen in de controleverklaring van accountants ten aanzien van fraude en continuiteit

Achtergrond

In september heeft de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) een consultatiedocument uitgebracht met voorgestelde wijzigingen in de door accountants vanaf het boekjaar 2022 te verstrekken controleverklaringen bij jaarrekeningen. Het betreft zowel wettelijke als vrijwillige controleopdrachten. De wijzigingen zien toe op de door de NBA, in afstemming met de door de minister van Financiën aangestelde kwartiermakers, verplichte uitgebreide rapportage door accountants over de uitgevoerde werkzaamheden ten aanzien van fraude en continuïteit. Tevens heeft de NBA aangekondigd dat bij Organisaties van Openbaar Belang (OOB’s) reeds in de controleverklaring bij de jaarrekening over het boekjaar 2021 moet worden gerapporteerd over fraude.

Bij andere organisaties wordt een pilot uitgevoerd met betrekking tot de uitgebreide controleverklaring ten aanzien van fraude en continuïteit. Deze wijzigingen zullen derhalve ook van invloed zijn op de controleverklaring die wij vanaf 2022 bij de jaarrekening van gemeente Groningen verstrekken en het is van belang dat wij hiervoor gezamenlijk de voorbereidingen treffen.

Fraude zal meer aandacht krijgen

Ten aanzien van fraude zullen wij op basis van de aangepaste standaard gaan rapporteren over de risico-inschatting, verrichte werkzaamheden en materiële bevindingen ten aanzien van fraude. Ten behoeve daarvan zullen we het fraudepreventieprogramma van gemeente Groningen onderzoeken, waaronder:

• de implementatie van een gedragscode met ethische gedragsregels voor het creëren van een cultuur van eerlijkheid;

• de door het college c.q. management uitgevoerde frauderisicoanalyse;

• de maatregelen van interne beheersing die getroffen zijn om specifieke frauderisico’s te mitigeren;

• de wijze waarop het college c.q. management opvolging geeft aan meldingen van klokkenluiders of andere signalen van fraude;

• het opstellen van een redresplan en uitvoeren en monitoren van de acties.

Wij adviseren u te beoordelen wat de kwaliteit is van uw

fraudepreventieprogramma en indien nodig tijdig maatregelen te treffen om de kwaliteit van dit programma te verbeteren aangezien de kwaliteit van dit programma mede bepalend is voor de bevindingen die wij in de

controleverklaring zullen (moeten) rapporteren. Wij adviseren u tevens om hierover zelf in uw paragraaf bedrijfsvoering te rapporteren zodat wij hier in onze controleverklaring naar kunnen verwijzen en de door u gerapporteerde

informatie kunnen bevestigen.

Inleiding

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Impact van onze tussentijdse werkzaamheden op onze

controleaanpak

De impact van de tussentijdse werkzaamheden op ons controleplan

In ons controleplan hebben we de belangrijkste risico’s geïdentificeerd. Op basis van deze risico’s hebben we de verhoogde risico’s voor wat betreft uw financiële verslaglegging gepresenteerd. De geplande controleaanpak is op basis van deze risico’s vastgesteld. We hebben onze risicoanalyse en controleaanpak geactualiseerd op basis van de interim-

controlewerkzaamheden die specifiek voor deze risico’s zijn uitgevoerd, waaronder de impact van de uitkomsten van de door ons tot op heden verrichte werkzaamheden. We concluderen dat er geen wijzigingen zijn.

Onze kernboodschappen Controlekader

Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend

Appendix

Vooruitkijkend

In deze sectie kijken we vooruit op naar de jaarrekeningcontrole en reflecteren we op onderwerpen die relevant kunnen zijn op uw gemeente of de jaarrekening.

03

Inleiding

Onze kernboodschappen Controlekader

Vooruitkijkend

Rechtmatigheidsverantwoording Impact van Covid-19

Het sociaal domein

Het fysieke domein

Aanbestedingen

Overige ontwikkelingen

Het controleproces

Appendix

Vooruitkijkend

Samen met u werken aan een efficiënte eindejaarscontrole

In deze sectie kijken we vooruit naar de eindejaarscontrole van uw jaarrekening 2021, naar verslaggevingsonderwerpen en hoe we met u samenwerken om het controleproces zo soepel mogelijk te laten verlopen.

In het controleplan 2021 hebben wij een tijdlijn met de belangrijkste mijlpalen van de jaarrekeningcontrole met u gedeeld. De afgelopen periode hebben geen ontwikkelingen plaatsgevonden die invloed op deze tijdlijn hebben gehad. Op het moment dat dergelijke ontwikkelingen plaatsvinden, informeren wij u hierover tijdig.

Onze kernboodschappen Controlekader

Vooruitkijkend

Rechtmatigheidsverantwoording Impact van Covid-19

Het sociaal domein

Het fysieke domein

Aanbestedingen

Overige ontwikkelingen

Het controleproces

Appendix

Rechtmatigheidsverantwoording heeft uw aandacht

Inrichting rechtmatigheidsverantwoording is onderhanden

Groningen is bezig met de inrichting van de rechtmatigheidsverantwoording.

Wij hebben gedurende onze tussentijdse controle aandacht besteed aan de voorbereidingen. In de afgelopen maanden is er samen met de projectgroep rechtmatigheidsverantwoording gesproken met de concerndirectie en de afzonderlijke directies over de gevolgen van de rechtmatigheidsverantwoording voor de gemeente en de directies. Voor de directies Stadsontwikkeling en DMO heeft dit geleid tot een (concept) plan van aanpak waarbij kritieke processen (inkopen en aanbestedingen, subsidies, grondexploitaties en sociaal domein) zijn geïdentificeerd en maatregelen worden getroffen om de rechtmatigheid aan te tonen. Vervolgens heeft de gemeente op basis van de definitieve cijfers 2020 een scoping opgesteld waarbij de belangrijkste stromen en processen per directie in kaart worden gebracht. Hierbij wordt nauwgezet beoordeeld welke beheersmaatregelen op centraal- en welke op directieniveau worden opgepakt.

Het normenkader dient concrete invulling te krijgen

De gemeente is op dit moment het normen- en toetsingskader inclusief de identificatie van relevante beheersmaatregelen concreet aan het invullen.

Hierbij dient uw organisatie nauwgezet te toetsen dat hierin alle verplichte regelgeving is opgenomen. Het gaat in dit kader over Europese regelgeving, wettelijke bepalingen en eigen regelgeving (zoals verordeningen vastgesteld door de raad), voor zover het financiële beheersmaatregelen tot gevolg heeft.

De begroting, raadsbesluiten over investeringsvoorstellen en beleidsnota’s die bepalingen bevatten over deze financiële beheersmaatregelen zijn een

verplicht onderdeel van het normenkader. Wij vragen nadrukkelijk uw aandacht voor het in kaart brengen van de wet –en regelgeving die in het normen- en toetsingskader opgenomen moet worden. Daarbij is het essentieel om dit normenkader duidelijk te vertalen naar interne (controle) werkzaamheden om aan te tonen dat de betreffende financiële geldstromen rechtmatig zijn.

Naar verwachting zal op korte termijn ook een voorstel ter vaststelling van de verantwoordingsgrenzen aan de Raad worden voorgelegd. Het is belangrijk dat deze grens uiteindelijk in de financiële verordening wordt vastgelegd.

Voor 2021 heeft u besloten een pilot uit te voeren op de naleving van de aanbestedingsrichtlijnen. In het kader van het proefdraaien voor de

rechtmatigheidsverantwoording vinden wij dit een belangrijk proces. De spend- analyse aanbestedingen wordt ook met de directies doorgenomen om

doelgerichte controles uit te voeren.

In het kader van het kunnen afgeven van een rechtmatigheidsverantwoording over boekjaar 2022, doen wij u dan ook de volgende aanbevelingen:

• Aan het eind van dit jaar moet het totale plan van aanpak inclusief

bijbehorend werkprogramma 2022 afgerond zijn (dit ook om tijdig te kunnen starten in het boekjaar);

• Operationaliseer het normen-en toetsingskader, maak deze concreet en zorg dat deze door de raad wordt vastgesteld;

• Leg in de paragraaf Bedrijfsvoering in uw jaarrekening 2021 verantwoording af over de inhoud en de stand van zaken met betrekking tot de

rechtmatigheidsverantwoording, alsmede de geconstateerde bevindingen inzake aanbestedingen.

Wij adviseren ook de raad actief en frequent te informeren over de stand van zaken rondom de implementatie van de rechtmatigheidsverantwoording.

Zie ook de blog van onze sectorvoorzitter Martine Koedijk over de rol van de raad bij de rechtmatigheidsverantwoording.

Inleiding

Onze kernboodschappen Controlekader

Vooruitkijkend

Rechtmatigheidsverantwoording Impact van Covid-19

Het sociaal domein

Het fysieke domein

Aanbestedingen

Overige ontwikkelingen

Het controleproces

Appendix

De wijzigingen in de kadernota rechtmatigheid

Kadernota rechtmatigheid 2022

In augustus 2021 is de kadernota rechtmatigheid 2022 verschenen. De commissie BBV geeft in deze nota haar visie over de invulling van het begrip rechtmatigheid in de rechtmatigheidsverantwoording van de decentrale overheden. De kadernota bevat stellige uitspraken en aanbevelingen die relevant zijn voor uw gemeente. Daarnaast is er een hoofdstuk opgenomen (hoofdstuk 2) voor de raadsleden waarin op hoofdlijnen uitleg wordt gegeven over het begrip rechtmatigheid en de rollen die de verschillende partijen hebben rondom de toepassing van rechtmatigheid. Wij bevelen u aan om kennis te nemen van dit hoofdstuk. Vanuit de kadernota komen de volgende stellige uitspraken en aanbevelingen naar voren:

Stellige uitspraken:

• Verantwoordingsgrens met raad bepalen en vastleggen in de financiële verordening

• Normenkader vast te stellen door de raad

• In de bedrijfsvoeringsparagraaf geeft het college een toelichting op alle afwijkingen (boven de rapporteringsgrens)

• Ontbrekende afrekeningen van subsidies leiden niet tot een onrechtmatigheid

• Regels voor begrotingsonrechtmatigheid vastleggen in de financiële verordening

Aanbevelingen:

• Afspraken over verschuivingen tussen jaarschijven vastleggen in de financiële verordening

Kadernota rechtmatigheid 2021

Als addendum op de kadernota rechtmatigheid 2018 is de kadernota

uitgebracht. Dit kadernota bevat ook stellige

uitspraken en aanbevelingen die relevant zijn voor uw gemeente voor het begrotingsjaar 2021:

Stellige uitspraken:

• Niet financiële onrechtmatigheden in verband met het niet naleven van bepalingen uit de Wet Fido en bijbehorende regelingen dienen te worden opgenomen en toegelicht te worden in de paragraaf bedrijfsvoering (bijv. kasgeldlimiet).

Aanbevelingen:

• Geconstateerde fraude door eigen medewerkers dienen te worden toegelicht in de paragraaf bedrijfsvoering

• Afspraken tussen college en raad over verschuivingen van uitgaven tussen jaarschijven in een meerjarig investeringsbudget dienen vast te worden gelegd in de financiële verordening. Zolang aannemelijk is dat het totaal van de uitgaven binnen een investeringsbudget blijven, levert de overschrijding van een jaarschijf tenzij anders besloten door de raad geen onrechtmatigheid op. Dit wordt wel toegelicht in de jaarrekening.

• Het advies is om kaders op te nemen in de financiële verordening indien specifieke budgetten bij onderuitputting op jaareinde in

bestemmingsreserves worden opgenomen. In de nota zijn een aantal opties voor de verwerking hiervan opgenomen.

Onze kernboodschappen Controlekader

Vooruitkijkend

Rechtmatigheidsverantwoording Impact van Covid-19

Het sociaal domein

Het fysieke domein

Aanbestedingen

Overige ontwikkelingen

Het controleproces

Appendix

Impact van Covid-19

Impact COVID-19 voor de jaarrekening(controle) 2021

Afgelopen jaar is vanuit de sectorgroep binnen PwC een ‘praatplaat’ en een ‘actieplan’ ontwikkeld om u en uw gemeente te ondersteunen in het gesprek over de impact van Covid-19 op de financiële positie en de getrouwheid en rechtmatigheid van transacties van gemeenten en provincies. Wat we hebben gezien is dat gemeenten over

wendbaarheid beschikten. In korte tijd zijn diverse acties ondernomen om de burger goed van dienst te zijn en waarbij ook ‘getrouwheid’ en ‘rechtmatigheid’ zoveel mogelijk in acht werd genomen. De aandachtspunten die we voorgaand jaar met elkaar hebben geïdentificeerd gelden nog steeds.

Ter voorbereiding van de jaarrekeningcontrole 2021 hebben wij een actualisatie voor de impact van Covid-19 op jaarrekeningen van gemeenten uitgevoerd. Wij constateren hierbij een aantal ontwikkelingen en/of aandachtspunten rondom de Tozo-uitkeringen, namelijk de volgende:

• Het vaststellen van de identiteit van burgers bij Tozo aanvragen (Tozo 4 en Tozo 5) zonder een ID-kaart of paspoort in te zien leidt tot een onrechtmatigheid;

• In het beleid ter voorkoming van misbruik en oneigenlijk gebruik (M&O) moeten gemeenten voldoende aandacht hebben voor de opvolging van de signalen van het Inlichtingenbureau. Wij adviseren gemeenten om een plan van aanpak op te stellen voor het opvolgen van de signalen van het Inlichtingenbureau. Hierbij is het belangrijk dat de gemeente op basis van een risicoanalyse (vooraf) bepaalt welke signalen nader worden onderzocht.

• Ten aanzien van de signalen van het Inlichtingenbureau is het belangrijk dat achteraf middels interne controles wordt vastgesteld dat de signalen overeenkomstig het plan van aanpak (incl. de risicoanalyse) zijn opgevolgd.

In het kader van de verstrekte subsidies is het overeenkomstig het voorgaande jaar een belangrijk aandachtspunt dat op een juiste wijze inzichtelijk wordt gemaakt (op basis van de hardheidsclausule) waarom bepaalde keuzes

gemaakt worden en waarom bepaalde subsidies wel of niet anders worden vastgesteld dan initieel verleend. Het is belangrijk dat deze keuzes ten tijde van de jaarrekeningcontrole aan de hand van controledocumentatie kunnen worden gevalideerd. Dit ten behoeve van het vaststellen van de getrouwheid en rechtmatigheid van de bestedingen in de jaarrekening 2021.

In het verslag staat een separaat hoofdstuk met de ontwikkelingen en aandachtspunten in het sociaal domein. Hier wordt de impact van Covid-19 op het sociaal domein nader uitgewerkt.

Inleiding

Onze kernboodschappen Controlekader

Vooruitkijkend

Rechtmatigheidsverantwoording Impact van Covid-19

Het sociaal domein

Het fysieke domein

Aanbestedingen

Overige ontwikkelingen

Het controleproces

Appendix