Rapportage interim bevindingen
Controle 2021
Gemeente Groningen
PricewaterhouseCoopers Accountants N.V.
2 november 2021
Inleiding
Onze kernboodschappen Controlekader
Vooruitkijkend Appendix
• Bron:Ruimtevoorjou.Groningen.nl
Gemeente Groningen
Aan het college van burgemeester en wethouders Postbus 30026
9700 RM GRONINGEN
2 november 2021
Referentie:
Geachte leden van het college,
PricewaterhouseCoopers Accountants N.V., Leonard Springerlaan 35, 9727 KB Groningen, Postbus 8060, 9702 KB Groningen T: 088 792 00 50, F: 088 792 94 24, www.pwc.nl
‘PwC’ is the brand under which PricewaterhouseCoopers Accountants N.V. (Chamber of Commerce 34180285), PricewaterhouseCoopers Belastingadviseurs N.V. (Chamber of Commerce 34180284), PricewaterhouseCoopers Advisory N.V. (Chamber of Commerce 34180287), PricewaterhouseCoopers Compliance Services B.V. (Chamber of Commerce 51414406), PricewaterhouseCoopers Pensions, Actuarial & Insurance Services B.V. (Chamber of Commerce 54226368), PricewaterhouseCoopers B.V. (Chamber of Commerce 34180289) and other companies operate and provide services. These services are governed by General Terms and Conditions (‘algemene voorwaarden’), which include provisions regarding our liability. Purchases by these companies are governed by General Terms and Conditions of Purchase (‘algemene inkoopvoorwaarden’). At www.pwc.nl more detailed information on these companies is available, including these General Terms and Conditions and the General Terms and Conditions of Purchase, which have also been filed at the Amsterdam Chamber of Commerce.
Graag presenteren we u hierbij onze tussentijdse bevindingen die voortkomen uit de controle van de jaarrekening van Gemeente Groningen over het
boekjaar dat eindigt op 31 december 2021. We hebben onze werkzaamheden uitgevoerd in overeenstemming met ons controleplan 2021 en de startnotitie 2021. Onze zienswijzen en bevindingen zijn openlijk en constructief besproken met de ambtelijke organisatie en de portefeuillehouder financiën.
Onze tussentijdse bevindingen zijn gebaseerd op onze werkzaamheden tot en met 15 oktober 2021. Indien er na deze datum nieuwe bevindingen zijn met betrekking tot de interne beheersing zullen wij dit met u delen in ons accountantsverslag.
Het rapport bestaat uit drie delen. Deel 1 geeft onze visie op uw interne beheersing en onze bevindingen. Deel 2 beschrijft de ontwikkelingen voor uw gemeente en uw status van voorbereiding op deze ontwikkelingen.
Deel 3 blikt vooruit op de jaareindecontrole en behandelt de meest relevante aandachtsgebieden.
De inhoud van dit verslag hebben wij ook besproken in het auditcommittee, tijdens de vergadering van 17 november 2021. Mocht u nog vragen hebben, aarzelt u dan niet om contact met ons op te nemen. Wij zijn uiteraard graag bereid om de inhoud van deze rapportage nader toe te lichten.
Hoogachtend,
PricewaterhouseCoopers Accountants N.V.
S.J. Dul MSc RA senior director
Inleiding
Onze kernboodschappen Controlekader
Vooruitkijkend
Appendix
01
In dit hoofdstuk staan wij stil bij onze kernboodschappen van de controle.
Onze kernboodschappen
Inleiding
Onze kernboodschappen Controlekader
Vooruitkijkend
Appendix
Onze kernboodschappen (1/2)
1. Interne beheersing op grote geldstromen op orde
De interne beheersing
is voor de omvangrijke geldstromen in de
jaarrekening (zoals grondexploitaties, salarissen) in de basis op orde. Voor deze jaarrekeningposten bestaat een goede mix tussen beheersmaatregelen in het primaire proces (1e lijn) en controles achteraf (vanuit de 2e en 3e lijn).
2. Met advies om uitgevoerde controles meer zichtbaar te documenteren De afgelopen jaren is hard gewerkt aan het doorvoeren van
verbetermaatregelen in de primaire processen. Dit leidt op onderdelen ook daadwerkelijk tot resultaten en meer grip op processen. Dit zien wij als een goede ontwikkeling. Desondanks zien wij nog wel aandachtspunten in verschillende primaire processen. Dit met name vanuit het perspectief of controles zichtbaar worden uitgevoerd en (systematisch) worden
afgedwongen. Daarnaast kunnen bepaalde aandachtspunten alleen structureel worden opgevolgd door het doorvoeren van wijzigingen in de onderliggende IT-systemen. Voorbeelden hiervan hebben we in deze rapportage opgenomen (b.v. omgevingsvergunningen).
3. Actieve opvolging bevindingen (inclusief maken van bewuste keuzes), samenwerking verschillende lijnen kan worden verbeterd
Groningen werkt actief aan het doorvoeren van verbetermaatregelen in de primaire processen (1
elijn). Hierbij worden op onderdelen ook bewuste keuzes gemaakt om bijv. bepaalde aspecten achteraf te laten toetsen door de 2
eof 3
elijn (inclusief vaststelling door de concerndirectie). Wij zien dat de samenwerking tussen de verschillende lijnen en het op elkaar aansluiten van de uitgevoerde werkzaamheden verder kan worden verbeterd. Daarbij adviseren wij ook meer controles in het primaire proces aan te brengen in plaats van achteraf toetsen. Dit zorgt in veel gevallen voor meer zekerheid (door controles vooraf) en het efficiënt en effectief inzetten van de 2
een 3
elijn.
4. De 2e lijn ontwikkelt zich verder, eerste stappen in verdere innovatie We zien dat de 2e lijn (control en shared service center) zich verder
ontwikkelt. De onderlinge rollen en verantwoordelijkheden zijn duidelijk en er wordt actief aan verdere ontwikkeling gewerkt. O.a. businesscontrollers pakken steeds meer een adviesrol. Daarnaast krijgt de vereenvoudiging van de administratie aandacht en is ook gestart met verdere innovatie van processen (o.a. bouwen van robots voor standaard verwerkingen). Wij bevelen aan om een visie op te stellen van “Financiën van de toekomst”
(bijv. met horizon 2025), om nog gerichter te kunnen werken aan en te investeren in de gewenste en vastgestelde ambities.
5. Team Auditing kwetsbaar door personele wisselingen, belangrijk om nieuwe visie richting de toekomst te bepalen
De afgelopen jaren is geïnvesteerd in het bouwen van een nieuw team
Auditing(o.a. met trainingen, het aantrekken van nieuwe medewerkers).
Door personele wisselingen zien we dat Team Auditing in 2021 kwetsbaar is.
Mede hierdoor zullen wij, in afstemming met u, op onderdelen aanvullende werkzaamheden uitvoeren. Auditing heeft inmiddels diverse acties
ondernomen (o.a. inhuur van medewerkers) om de kwetsbaarheid op korte termijn zoveel mogelijk te beperken. Voor de komende jaren adviseren wij om een nieuwe visie voor Team Auditing op te stellen, waarin het
ambitieniveau en de rol/toegevoegde waarde worden bepaald (inclusief bijv.
de wens om meer datagedreven controles uit te voeren). Momenteel wordt het merendeel van de werkzaamheden in het kader van de
jaarrekeningcontrole uitgevoerd. De toegevoegde waarde voor de bredere organisatie kan (met bewuste keuzes) verder worden vergroot, bijvoorbeeld door werkzaamheden op het gebied van fraude uit te voeren, specifieke risico’s te onderzoeken en tussentijds te rapporteren en adviezen te geven aan de organisatie.
Onze kernboodschappen Controlekader
Vooruitkijkend
Appendix
Onze kernboodschappen (2/2)
6. Samenwerking met Fujitsu blijft moeizaam verlopen
De samenwerking met Fujitsu blijft moeizaam en hierdoor is de migratie van systemen verder vertraagd. Dit zorgt voor risico’s t.a.v. IT continuïteit, kwaliteit van dienstverlening en informatiebeveiliging (o.a. cyber risico’s).
Door de gemeente is hierop actie ondernomen, o.a. door een extern onderzoek uit te laten voeren (in afrondende fase) en testen uit te laten voeren. Het is positief (maar ook noodzakelijk) dat de gemeente deze acties onderneemt. Opvolging van de bevindingen is, gezien het belang van de IT-omgeving voor de gemeentelijke dienstverlening, essentieel.
7. Komende jaren worden diverse applicaties vervangen. Hierbij is aandacht voor goede overgang van belang
De komende jaren zullen een aantal grote wijzigingen plaatsvinden in het
applicatielandschapvan de gemeente Groningen (o.a. vervangen van de Suite oplossingen in het sociaal domein). Voor de interne beheersing en de betrouwbaarheid van data is een gecontroleerde overgang van belang.
Aandachtspunt hierbij is het adequaat documenteren van de verrichte testwerkzaamheden en uitgevoerde controles. De organisatie heeft ons aangegeven hier voldoende aandacht aan te zullen besteden.
8. Rechtmatigheidsverantwoording uitgesteld naar 2022, Groningen gaat wel voor uitvoeren pilot op het gebied van aanbestedingen Doordat landelijke besluitvorming nog niet heeft plaatsgevonden is de
rechtmatigheidsverantwoordingover 2021 uitgesteld naar 2022 (formele besluitvorming hierover nog wel openstaand). Groningen is wel druk in voorbereiding. Zo wordt o.a. het normenkader geactualiseerd, wordt gewerkt aan bewustwording bij de directies en worden de
beheersmaatregelen bij verschillende processen in kaart gebracht.
Daarbij wordt in 2021 gewerkt met een pilot op het gebied van
aanbestedingen. Wij adviseren om de uitkomsten in het jaarverslag 2021 te
presenteren (paragraaf bedrijfsvoering), inclusief de belangrijkste
aandachts- en verbeterpunten.
9. Covid-19 heeft ook gevolgen voor de jaarrekening 2021
De jaarverslaggeving 2021 wordt ook beïnvloed door Covid-19 effecten.
Het is belangrijk dat door de organisatie een adequate analyse wordt opgesteld van de mogelijke effecten voor o.a. waarderingen, verkregen gelden van het Rijk en vaststellingen van subsidies (ook in het sociaal domein. Belangrijk aandachtspunt is de verantwoording van de Tozo- regeling (via SiSa). Belangrijk aandachtspunt daarbij is de opvolging en afwikkeling van de signalen van het landelijk Inlichtingenbureau (in het kader van misbruik & oneigenlijk gebruik). Wij hebben begrepen dat alle signalen van het Inlichtingenbureau worden opgevolgd en zullen dit de komende periode vaststellen.
10. Het is belangrijk om een interne frauderisicoanalyse op te stellen
Fraudekrijgt de komende jaren meer aandacht. Landelijk zien we veel voorbeelden van gevallen waar fraude optreedt (ook bij gemeenten).
Daarbij wordt nu landelijk geconsulteerd over een uitbreiding van de rapportageplicht over het thema fraude door de accountant in de controleverklaring. Het is belangrijk dat Groningen zelf een adequate frauderisicoanalyse opstelt, waarbij risico’s worden geïdentificeerd, en gekeken wordt naar getroffen beheersmaatregelen. Op basis hiervan kunnen verdere maatregelen worden getroffen en gericht interne controles worden uitgevoerd.
Inleiding
Onze kernboodschappen Controlekader
Vooruitkijkend
Appendix
In het tweede hoofdstuk gaan wij in op onze waarnemingen bij uw interne
beheersing. Wij geven onze visie langs de drie verdedigingslinies en geven u daarbij concrete aanbevelingen. Ook geven wij een uiteenzetting van uw IT- omgeving en de aanwezigheid van frauderisico’s
Onze visie op uw interne
controlekader 02
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
Verantwoordelijkheden voor de interne beheersing
In dit hoofdstuk evalueren we uw interne beheersing en delen we onze aanbevelingen en de impact van onze bevindingen op ons controleplan met u.
Uw interne beheersing is in de basis op orde
Het college is verantwoordelijk voor het inrichten van een interne controleomgeving die het mogelijk maakt een jaarrekening op te stellen, die geen afwijkingen van materieel belang bevat door fraude of fouten. Ook is het college in brede zin verantwoordelijk voor het behalen van de organisatiedoelstellingen en het treffen van waarborgen die geconstateerde risico’s voldoende terugdringen.
Het rapport van de commissie die is ingesteld om na te denken over de toekomst van de accountancy, Commissie Toekomst Accountancysector, bevestigt dat de kwaliteit van het werk van de accountant in belangrijke mate wordt beïnvloed door de kwaliteit van het rapportageproces bij de opdrachtgever. Dit vereist een intensievere betrokkenheid van het college en de raad, ook ten aanzien van niet-financiële informatie.
Het college stelt ten minste een keer per jaar de raad op de hoogte van de hoofdlijnen van het
strategische beleid, de algemene en financiële risico's en het beheersings- en controlesysteem van de gemeente. De gemeente maakt gebruik van een auditcommittee. Zij voert de volgende taken uit:
• het bewaken van het verslaggevingsproces en het doen van voorstellen om de integriteit van het proces te waarborgen;
• het bewaken van de effectiviteit van het interne beheersingssysteem, een mogelijk aanwezig interne controlesysteem en het systeem voor het melden van risico's voor wat betreft de financiële
verslaggeving van de gemeente.
Op de volgende slides wordt onze visie op uw interne beheersing nader toegelicht.
Wij vragen uw aandacht voor de door PwC opgenomen podcast die in gaat op het belang van interne beheersing en dit vanuit verschillende perspectieven in de praktijk belicht.
Inleiding
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
Onze visie op uw interne beheersing (1/4)
Gemeente Groningen heeft de visie op control langs de lijnen van het ‘3 lijnen’
model
ingericht. Op deze en de volgende pagina’s zullen wij onze algemene observaties delen en vervolgens per verdedigingslinie onze waarnemingen nader toelichten.
Onze algemene observaties
Tijdens de afgelopen interimcontrole en de voorgaande jaarrekeningcontroles hebben wij verschillende tekortkomingen in de interne beheersing
geconstateerd en in onze rapportages met u gedeeld. Wij constateren dat de organisatie actief aan de slag is gegaan met de implementatie van de visie op control en het opvolgen van de geconstateerde tekortkomingen in de interne beheersing. Hierbij worden ook de individuele directies betrokken om tot gerichte structurele verbeteringen te komen. Tegelijkertijd verdient de wijze waarop de tekortkomingen in de 1
elijn worden opgevolgd, de aandacht, zoals:
• De maatregelen/processtappen die worden geïmplementeerd voor het opvolgen van geconstateerde tekortkomingen mitigeren niet altijd het volledige (controle)risico. Wij zien dat in het primaire proces (1
elijn) acties zijn genomen om de geconstateerde tekortkomingen op te volgen,
bijvoorbeeld een (aanvullende) controle op de ingevoerde tarieven en de bouwkostentoets bij omgevingsvergunningen en een controle op de verkoopprijzen bij het grondbedrijf. Deze aanvullende controle op de tarieven voor de omgevingsvergunningen wordt niet door het systeem afgedwongen, waardoor het risico bestaat dat niet alle tariefswijzigingen met een vier-ogen-principe worden gecontroleerd. Dit wordt mede veroorzaakt door de IT-omgeving (zie het 3
epunt). Hierdoor wordt niet het volledige (controle)risico afgedekt. De aanvullende controle op de tarieven van het grondbedrijf (en de overige collegiale toets) worden niet zichtbaar vastgelegd.
Hierdoor kan achteraf niet worden vastgesteld dat deze controles gedurende het gehele jaar én voor alle verkooptarieven hebben plaatsgevonden.
• De samenwerking tussen de verschillende afdelingen (1
e, 2
een 3
elijn) rondom het opvolgen van de geconstateerde tekortkomingen kan worden verbeterd. Het kwaliteitsteam in het shared service center (2e lijn) heeft in samenwerking met het primaire proces (de 1
elijn) bijvoorbeeld een analyse van de status van de tekortkomingen in de primaire processen gemaakt.
Naar wij hebben begrepen is dit ook gedeeld met Team Auditing, maar zien we in de werkzaamheden van Auditing niet altijd terug dat bepaalde keuzes ook hebben geleid tot een aanpassing van de controleaanpak en niet altijd de betreffende punten meegenomen zijn in de procesbesprekingen. Wij adviseren om hiervoor te investeren in een gezamenlijke aanpak met periodieke overleggen tussen de betrokken medewerkers vanuit de verschillende afdelingen om ervoor te zorgen dat de informatiedeling wordt verbeterd en hierop kan worden ingespeeld qua werkzaamheden.
• Bij het opvolgen van geconstateerde tekortkomingen wordt onvoldoende gekeken naar de rol en invloed van de IT-omgeving op bevindingen.
Hierdoor worden tekortkomingen, rekening houdende met het bijbehorende risicoprofiel, niet efficiënt opgevolgd. Een aantal van de geconstateerde tekortkomingen kunnen in feite alleen (efficiënt) in het primaire proces worden opgevolgd door aanpassingen in de IT-omgeving (al dan niet in het opvolgen van de tekortkomingen rondom de ITGC’s). Voorbeelden hiervan zijn de tekortkomingen in de processen omgevingsvergunningen en stadsbeheer, zoals genoemd in de bijlage.
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
Onze visie op uw interne beheersing (2/4)
• In april 2021 is door het shared service center (2
elijn) een memo opgesteld met daarin een aantal afwegingen ten aanzien van de interne beheersing.
Zo worden een aantal ontwikkelingen geschetst in de primaire processen, maar wordt ook ingegaan op onderdelen waar bewust de keuze wordt gemaakt om achteraf controles uit te voeren. Het proces rondom Inkomende subsidies is hier een voorbeeld van. Het memo is in de concerndirectie besproken en de keuzes zijn hierbij goedgekeurd. Naar onze mening een positieve ontwikkeling dat op deze manier meer bewuste afwegingen worden gemaakt over processen. Wel zien we in het totaalbeeld dat veel maatregelen nu getroffen worden in de 2
eof 3
elijn. In de basis zijn dit controles achteraf en is het beter om maatregelen in het primaire proces te treffen.
Centraal meer bewuste keuzes maken over wijze van opvolging bevindingen
Door per tekortkoming in de interne beheersing de juiste afstemming te zoeken tussen 3 lijnen in de organisatie kunnen voor alle tekortkomingen keuzes worden gemaakt (waarbij gekeken wordt naar IT-omgeving, risicoprofiel, omvang). Hierbij kan ook meer expliciet bijvoorbeeld worden besloten dat bepaalde investeringen in de IT-omgeving niet opwegen tegen de beperkte risico’s. Deze keuzes worden nu naar wij hebben begrepen al impliciet gemaakt.
In de praktijk kunnen interne beheersmaatregelen in drie verschillende typen worden verdeeld, namelijk:
• Preventieve interne beheersmaatregelen (het voorkomen);
• Detectieve interne beheersmaatregelen (het ontdekken); en
• Reactieve interne beheersmaatregelen (het reageren).
Deze typen beheersmaatregelen hebben een relatie met de verschillende verdedigingslinies van het ‘3-lijnen’-model. Over het algemeen worden de preventieve beheersmaatregelen door de eerste/tweede lijn uitgevoerd, de detectieve beheersmaatregelen door de tweede/derde lijn en de reactieve beheersmaatregelen door de derde lijn en/of de externe accountant.
Om tot een meer gecoördineerde opvolging van bevindingen in de organisatie te komen en daarbij ook de samenwerking tussen 1
e, 2
een 3
elijn in dit proces te verbeteren hebben wij een aantal adviezen:
• Breng periodiek vertegenwoordigers van de verschillende lijnen bij elkaar voor overleg.
• Zorg hierbij voor een lijst met processen en bevindingen per proces.
• Bepaal gezamenlijk per proces welk type maatregelen getroffen moeten worden, mede afhankelijk van risicoprofiel, risicobereidheid, omvang proces, politieke gevoeligheid.
• Beoordeel hierbij in hoeverre het noodzakelijk is om IT-maatregelen te treffen om te komen tot een structurele oplossing (inclusief baten en lasten afweging).
• Laat de concerndirectie een onderbouwd besluit nemen over de gemaakte keuzes, o.a. afwegingen rondom investeren in IT dan wel
reparatiewerkzaamheden achteraf.
• Pas op basis van de gemaakte keuzes ook de werkzaamheden in de 2
een 3
elijn aan, zodat hier meer gericht controles kunnen worden uitgevoerd.
Inleiding
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
Onze visie op uw interne beheersing (3/4)
Hiernaast staat een overzicht met daarin per jaarrekeningpost een inzicht in de kwaliteit van de interne beheersing per lijn alsmede het volwassenheidsniveau van de IT-omgeving. Hierbij hanteren wij de definities van het ‘3 lijnen’-model.
In het overzicht hanteren wij de volgende legenda (let op: dit betreft een andere legenda dan de legenda op de slide over de 1
elijn): De beheersmaatregelen zijn in opzet en bestaan niet toereikend. Dit betekent dat de (interne) controles niet zichtbaar worden vastgelegd, achteraf kunnen worden vastgesteld en/of (automatisch) in het proces worden afgedwongen.
De beheersmaatregelen zijn in opzet en bestaan toereikend, maar niet alle controledoelstellingen ten grondslag aan de getrouwheid en rechtmatigheid worden voldoende afgedekt.
Er wordt een toereikende (interne) controle (door Team Auditing) uitgevoerd, waarbij alle controledoelstellingen ten grondslag aan de getrouwheid en rechtmatigheid voldoende worden afgedekt.
Bij het beoordelen van de status van de processen in de 1
elijnis onderscheid gemaakt tussen de aanwezigheid van interne beheersingsmaatregelen in opzet (dit is ‘’) en het bestaan van deze interne beheersmaatregelen (dit is ‘ ‘). In de praktijk concluderen wij dat gemeente Groningen in opzet adequate beheersmaatregelen heeft die het overgrote deel van de controlerisico’s mitigeren. Echter door het ontbreken van zichtbare vastleggingen, het feit dat de controles niet (systematisch) worden afgedwongen en achteraf (zeer) beperkt kunnen worden getoetst, kunnen wij het bestaan van deze interne beheersmaatregelen niet (altijd) vaststellen. Hierdoor zijn deze
beheersmaatregelen in het kader van de jaarrekeningcontrole in opzet en bestaan niet (volledig) toereikend. Onze conclusie is dan ook dat de interne beheersing in de eerste lijn meer aandacht verdient. In het overzicht hiernaast is interne beheersing toereikend op het moment dat de opzet en het bestaan door ons is vastgesteld. Dit resulteert in een ‘’ of ‘’. Indien alleen de opzet kan worden vastgesteld, leidt dit in een ‘ ‘ in het overzicht.
Proces 1e lijn 2e lijn 3e lijn Totaal IT
Financiële administratie (vooral memoriaalboekingen)
Inkopen en betalingen
Salarissen (incl. WNT)
Jeugd en WMO
Sociale uitkeringen
Verstrekte subsidies
Huuropbrengsten (*) () () ()
Omgevingsvergunningen (*) () () ()
Stadsbeheer (*) () () ()
Inkomende subsidies
Gemeentelijke belastingen -
Overige opbrengsten (*) () () ()
(EU) Aanbestedingen
Treasury (incl. derivaten)
Fiscaliteiten (Btw, Vpb)
Grondexploitaties
Materiële vaste activa (*) () () ()
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
* Voor het boekjaar 2021 verricht Team Auditing geen interne controles op deze processen, maar heeft hiervoor een aanvullende opdracht aan PwC verstrekt. De beoordeling tussen de
“haakjes” betreft de kwaliteit van de interne controles zonder aanvullende werkzaamheden aan PwC.
Onze visie op uw interne beheersing (4/4)
Inleiding
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
Een aantal processen hebben wij nader toegelicht:
• Inkopen en betalingen: hier wordt een toereikende (interne) controle uitgevoerd door team Auditing (en daarmee detectief). Het is naar onze mening belangrijk om te komen tot meer preventieve controles. Hiertoe is het belangrijk dat Groningen investeert in het opvolgen van de
tekortkomingen in het primaire proces en de IT-omgeving (o.a.
afgedwongen functiescheiding bij muteren van crediteurenstamgegevens).
Bij het uitvoeren van betalingen en autorisatie facturen zijn wel functiescheidingen doorgevoerd.
• Bij een aantal opbrengststromen (o.a. huuropbrengsten,
omgevingsvergunningen en stadsbeheer) constateren wij dat de interne controles in alle lijnen niet toereikend zijn en dat de IT-volwassenheid kan worden verbeterd. Door Team Auditing (3e lijn) worden normaliter
periodieke controles op deze opbrengststromen uitgevoerd, maar hiervan hebben wij tijdens voorgaande jaarrekeningcontrole geconcludeerd dat het controleprogramma niet alle controlerisico’s volledig afdekt. Voor het jaar
2021worden de controles op deze opbrengstromen niet door Team Auditing (3e lijn) uitgevoerd, maar zal het Kwaliteitsteam
Accountantscontrole (2
elijn) de voorbereidende (controle)werkzaamheden uitvoeren. Hierdoor loopt gemeente Groningen naar verwachting geen aanvullende risico’s op materiële bevindingen in de jaarrekeningcontrole als gevolg van het ontbreken van de volledige controle in de 3
elijn.
• Salarissen: in het primaire proces (1
elijn)bestaan in opzet adequate beheersmaatregelen om (een deel van) de controlerisico’s af te dekken.
Voor salarismutaties die buiten het reguliere proces worden verwerkt (niet
via YouForce), geldt dat geen traceerbare systeemtechnische
functiescheiding wordt afgedwongen. Op dit moment is de omvang (in € en in aantallen) van de mutaties buiten het reguliere proces niet inzichtelijk (wij hebben begrepen circa 1-5%, maar kunnen dit niet met documenten valideren). Oftewel, de interne beheersing in de 1e lijn is voor verbetering vatbaar. Door het shared service center (2e lijn) worden maandelijks controles op de salariskosten uitgevoerd o.a. het maken van een aansluiting tussen de financiële administratie en de salarisadministratie.
Deze controles mitigeren een deel van het controlerisico. Door Team Auditing (3e lijn) worden periodiek interne controles op de salarismutaties uitgevoerd. Hierdoor worden andere controlerisico’s gemitigeerd. De controles in de 2e en 3e lijn mitigeren tezamen de volledige controlerisico’s ten aanzien van de getrouwheid en rechtmatigheid van de salariskosten in de jaarrekening. Op het moment dat in het primaire proces de controles meer vastgelegd gaan worden, zal dit een efficiënter en effectiever
controleproces opleveren omdat er minder ‘reparatiewerk’ in de opvolgende lijnen verricht hoeft te worden.
• Bij treasury en fiscaliteiten heeft Groningen een adequate interne beheersing in het primaire proces (1
elijn) en daardoor logischerwijs nauwelijks (zichtbare) controles in de 2
een 3
elijn.
Wij gaan hierover graag met u in gesprek!
Onze controlefilosofie
Onze controleaanpak is naast het controleren van de jaarrekening gericht op het verbeteren van uw bedrijfsvoering inclusief digitalisering hiervan. In onze controle hanteren wij daarvoor het ‘3 lijnen’ model. Dit model geeft handvatten om te beoordelen waar in de interne beheersing risico’s worden ondervangen:
• In de eerste lijn: in het primaire proces, onder verantwoordelijkheid van de proceseigenaar.
• In de tweede lijn: in de ondersteunende processen zoals financiën en control, waar checks and balances ingericht zijn om fouten te signaleren.
• In de derde lijn: in uw verbijzonderde interne controle achteraf.
Het push-left principe is er op gericht de interne beheersing in de 1e en 2e lijn te optimaliseren. Dit vanuit het uitgangspunt dat fouten voorkomen beter is dan achteraf constateren. Indien er tekortkomingen zijn in de interne beheersing in de 1e en 2e lijn, dan zullen wij deze daarom rapporteren als bevinding, ook als deze in de 3e lijn met verbijzonderde interne controle ondervangen wordt.
Wij rapporteren via het push-left principe
• Primair verantwoordelijk voor getrouwheid en rechtmatigheid transacties binnen eigen processen
• Verantwoordelijk voor kwalitatieve analyse en toelichting P&C producten
• Ondersteunt de afdelingen bij de optimalisering van de primaire processen.
• De administratie voert bij de verwerking een aantal primaire controles uit op de 1e lijn.
• Adviseert (met Team Auditing) preventieve interne controlemaatregelen in het primaire proces
• Geeft feedback om leesbaarheid/
informatiewaarde P&C documenten te verhogen
• Adviseert preventieve interne
controlemaatregelen in het ondersteunende proces en de IT
• Geeft adviezen om effectiviteit control- werkzaamheden te vergroten
• Team Auditing voert interne controles uit op de getrouwheid en rechtmatigheid van de financieel kritische processen.
• Adviseert over verbetering in de 1e en 2e lijn
• Adviseert/klankbord om te komen tot een effectieve en efficiënte controleaanpak
• Maakt waar mogelijk gebruik van de werkzaamheden van Team Auditing Lijnmanagement
Afdelingen
Ondersteuning SSC/Control
Verbijzonderde Interne controle Team Auditing
1 e lijn 2 e lijn 3 e lijn
g e m e e n te P w C
Onze boodschappen Controlekader Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
In het kader van onze controle starten wij met een beoordeling van de opzet van de processen (dus de wijze waarop het proces is op papier wordt ingericht).
Daarna kijken wij of de ingerichte beheersmaatregelen in de praktijk ook bestaan.
Belangrijk hierbij is bijv. dat controles ook zichtbaar zijn vastgelegd. Hiernaast hebben wij weergegeven wat onze beoordeling per proces is (1
elijn). Hierbij gaan we in op zowel de opzet en het bestaan van de procedure in de 1
elijn. Zo kunnen er in een proces controles worden uitgevoerd (opzet is goed), maar worden de controles niet zichtbaar vastgelegd (bestaan niet vast te stellen). In de tabel wordt een vergelijking tussen het boekjaar 2020 en 2021 gemaakt. Uit de vergelijking blijkt dat de status over het algemeen ten opzichte van het voorgaande jaar niet is gewijzigd en op onderdelen is verbeterd. Daarbij is het bestaan van de processen een belangrijk aandachtspunt (zichtbare controles). Deze conclusie komt overeen met onze algemene observaties rondom de interne beheersing van gemeente Groningen. Hieronder staat een ontwikkeling die wij graag nader willen toelichten:
Inkoop- en betaalproces
De interne beheersing rondom het inkoop- en betaalproces is verbeterd. Wij constateren dat met name in het betaalproces (salarissen, inkoop Dafinci) de controles consequent worden uitgevoerd en zichtbaar worden vastgelegd. Dit betekent dat in de jaarrekeningcontrole (deels) op de interne beheersing kan worden gesteund. Wij zullen meer systeemgerichte in plaats van
gegevensgerichte controlewerkzaamheden uitvoeren.
Detailbevindingen
In de bijlage staan de details van de geconstateerde tekortkomingen in de interne beheersing.
Legenda
In opzet ontoereikend
In opzet toereikend, maar het bestaan van één of meerdere beheersmaatregelen kan in de praktijk niet worden vastgesteld.
Proces is adequaat opgezet en beheersmaatregelen bestaan
Beoordeling opzet proces in de 1 e lijn
Grondexploitatie
Materiële vaste activa
Huuropbrengsten
Omgevingsvergunningen
Stadsbeheer
Inkomende subsidies
Gemeentelijke belastingen
Proces 2020 2021 t.o.v.
2020
Financiële administratie
Inkopen en betalingen
Aanbestedingen
Salarissen incl. Iederz
IT
WNT
Treasury (incl. derivaten)
Fiscaliteiten (Btw, Vpb)
Overige opbrengsten
Jeugd
Wmo
Participatie
Verstrekte subsidies
SOCIAALFYSIEKBEDRIJFSVOERING
Inleiding
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
Onze visie op de tweede lijn
Onze observaties bij de tweede lijn
De afgelopen periode heeft gemeente Groningen geïnvesteerd in kennis en capaciteit in de tweede lijn, zoals versterking in het team P&C en beleid. Binnen het grondbedrijf worden door de tweede lijn kritische vragen over tussentijdse rapportages en raadsdocumenten gesteld en bij het sociaal domein zien we dat de business controllers adviezen geven en acties formuleren om de processen beter in de grip te krijgen, zoals de (financiële) verwerking van de wijzigingen door het decentraliseren van beschermd wonen. Het zichtbaar vastleggen van uitgevoerde controles blijft hierbij wel een aandachtspunt. Daarbij zien we dat bij de tweede lijn in het shared service center brede aandacht bestaat voor thema’s zoals “the future of finance”. Hiertoe zijn twee werkgroepen gevormd, namelijk de werkgroep “het vereenvoudigen van de administratie” en een werkgroep “Het Innovatielab”.
Het vereenvoudigen van de administratie
Gemeente Groningen heeft voor het vereenvoudigen van de administratie een plan van aanpak opgesteld. Mede door de werkdruk als gevolg van Covid-19, beperkte interne capaciteit en daarmee een andere focus, heeft dit plan het afgelopen jaar minder aandacht dan gewenst gekregen. Afgelopen periode zijn bewuste keuzes gemaakt, zoals het vrijmaken van medewerkers en het benoemen van een aantal belangrijke thema’s die als eerste aandacht zullen krijgen bijvoorbeeld de personeelsbegroting, de kostenverdeling en “het proces van inkoop tot factuur”. Naast deze grotere thema’s zijn er ook kleine projecten waarmee medewerkers bijdragen aan het verbeteren en vereenvoudigen van de administratie. Het betrekken van een breed scala aan medewerkers vinden wij zeer positief. Dit vergroot de draagkracht!
‘Het Innovatielab’
De andere werkgroep, “Het Innovatielab” houdt zich bezig met het digitaliseren van processtappen in de administratie, zoals het inzetten van een robot voor het verwerken van energienota’s.
Het is positief dat gemeente Groningen deze stappen heeft gezet. Tegelijkertijd constateren wij dat deze projecten op sommige momenten minder aandacht kregen dan gewenst, bijvoorbeeld door de waan van de dag en/of overige prioriteiten of personele wisselingen.
Wij adviseren gemeente Groningen om de doelstellingen vanuit het plan van aanpak om te zetten in tussentijdse doelstellingen en een haalbaar tijdspad. Dit om ervoor te zorgen dat tussentijds de effecten van de werkgroepen ook zichtbaar worden. Tegelijkertijd is het hierbij belangrijk om voldoende aandacht te blijven hebben voor de balans tussen het opstellen van een plan/tijdspad en anderzijds juist het in de praktijk realiseren van resultaten.
Tot slot is het belangrijk om een visie op te stellen rondom de toekomstige inrichting van Financiën (bijv. met een horizon naar 2025). Met een duidelijke visie en ambitieniveau kunnen de komende jaren gericht verdere investeringen worden gedaan. Dit maakt het ook makkelijker om te beoordelen of er
voldoende voortgang is om de ambities te bereiken en eventueel hierop bij te sturen.
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
Onze visie op de derde lijn
Ontwikkelingen in de derde lijn
De afgelopen jaren is zichtbaar in Team Auditing geïnvesteerd. De
werkzaamheden van Team Auditing vervullen een belangrijke rol in de tijdige en kwalitatieve oplevering van de controledocumentatie, waardoor de jaarrekeningcontrole soepeler verloopt en er minder verrassingen en (materiële) controlebevindingen worden geconstateerd.
Door ontwikkelingen rondom Team Auditing, zoals de positionering in de organisatie (verschuiving naar concern control) en personele wijzigingen en capaciteitsbeperkingen (o.a. in de aansturing van de afdeling), constateren wij dat Team Auditing op een kruispunt is aangekomen. Een natuurlijk moment om na te denken over de doelstellingen en ambities van Team Auditing. Wat wil gemeente Groningen met Team Auditing de komende jaren bereiken? Wij adviseren een uitwerking van de visie voor Team Auditing te maken en hierbij aandacht te besteden aan de volgende punten:
• De huidige insteek van de werkzaamheden van Team Auditing is
hoofdzakelijk gericht op het uitvoeren van (interne) controles ten behoeve van de jaarrekeningcontrole en de externe accountant. Het is belangrijk om een stap te maken naar het uitvoeren van controles voor (de verbetering van) de interne organisatie en bijvoorbeeld ook doelmatigheid hierbij te betrekken.
• Door personele ontwikkelingen is de capaciteit en daarmee de planning van de uitvoering in de knel gekomen. Het is belangrijk om duidelijke keuzes te maken over de aard en omvang van (interne) controles die worden
uitgevoerd. Voor de kwetsbaarheid op de korte termijn hebt u diverse acties ondernomen, zoals het maken van de keuze om bepaalde controles niet uit te voeren en hiervoor extra werkzaamheden door ons te laten uitvoeren, het werven van nieuwe (vaste) medewerkers en het inhuren van medewerkers.
• De personele wisselingen hebben ook gevolgen voor het kennis- en ervaringsniveau binnen de afdeling. Wij adviseren te investeren in een trainings-en opleidingsprogramma gericht op kwaliteit en (digitale)
ontwikkelingen, zoals data-analyse, IT-Audit en ‘process-mining’. Hierdoor wordt de kwaliteit van de controles verbeterd, maar kunt u mogelijk ook de toegevoegde waarde van de afdeling vergroten en efficiency realiseren.
• Wij adviseren in de uit te werken visie voor de komende jaren ook aandacht te besteden aan de balans tussen enerzijds het invullen van de natuurlijke adviesfunctie richting de eerste en tweede lijn en anderzijds het invullen van de controlerende/toetsende rol. Nu zien we af en toe dat team Auditing zowel een belangrijke rol heeft in de nadere uitwerking in de eerste en tweede lijn en daarnaast ook nog een toetsende rol vervult. In het kader van het kritisch in kunnen vullen van de toetsende rol is deze vermenging niet gewenst.
Inleiding
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
IT omgeving in beweging
Relevante IT-ontwikkelingen zijn met ons gedeeld
In de zomer hebben wij inzicht gekregen in de relevante IT-ontwikkelingen en de opzet en deels het bestaan getoetst van de IT General Controls (ITGC’s) voor Dafinci, Suite4 Jeugdzorg, Suite4 Werk & Inkomen, Beaufort en Youforce.
Ook hebben wij de status van de in 2020 gerapporteerde ITGC-bevindingen geactualiseerd. Op basis van onze werkzaamheden concluderen wij dat we op onderdelen een systeemgerichte controle kunnen uitvoeren op Dafinci, voor de overige systemen zullen wij een gegevensgerichte controleaanpak hanteren. In onze werkzaamheden hebben we expliciet aandacht besteed aan de
samenwerking met Fujitsu en de geplande vervanging van de Suites.
Migraties Fujitsu nog onderhanden, mogelijke impact audit 2021 In het accountantsverslag van juni 2021 hebben we beschreven dat de samenwerking met Fujitsu moeizaam blijft en de migratie van de systemen verder is vertraagd. Hiermee zijn de zorgen ten aanzien van IT continuïteit, kwaliteit van dienstverlening en informatiebeveiliging toegenomen. De gemeente heeft KPMG gevraagd om een beoordeling uit te voeren op de IT infrastructuur en de beheerprocessen, dit bevindt zich nu in een afrondende fase. Aanvullend is Fox-IT ingehuurd om penetratietesten uit te voeren. De migratie van systemen naar Fujitsu is nog onderhanden. Afhankelijk van de timing van de migraties zullen we hier in het kader van de jaarrekeningcontrole 2021 werkzaamheden op moeten verrichten om zekerheid te verkrijgen over de betrouwbaarheid van de datamigraties voor de systemen in scope van de controle.
Diverse systemen worden komende jaren vervangen
De komende jaren zullen een aantal grote wijzigingen plaatsvinden in het applicatielandschap van de gemeente Groningen. Een belangrijk ontwikkeling is hierbij de vervanging van de Suite oplossingen in het sociaal domein door de SaaS-oplossing van Blinqt. In dit kader hebben we gesproken met onder andere de projectleider. Wij hebben daarbij begrepen dat er sprake is van een gefaseerde overgang waarbij de verwachting is dat eind Q1 2022 de eerste fase live zal gaan (Jeugdzorg en WMO) en eind 2022/ begin 2023 de tweede fase (Werk en Inkomen). In dit kader hebben wij ook gesproken over het belang van een gecontroleerde overgang vanuit een interne beheersing perspectief.
Aspecten die hierbij van belang zijn:
• Een betrouwbare en aantoonbare dataconversie waarbij juistheid/volledigheid is geborgd.
• Inrichting van de applicaties die bijdraagt aan het versterken van uw interne beheersing (onder andere geautomatiseerde controlemaatregelen en functiescheidingen).
• Voldoende aandacht voor het verkrijgen van inzicht en zekerheid over de beheersmaatregelen zoals die bij de leverancier zijn belegd, bijvoorbeeld middels het periodiek toetsen van een derdenverklaring (zoals een ISAE 3402 type II verklaring).
Naast de vervanging van de Suite oplossingen zijn nog andere vervangingen gepland, zoals de vervanging van eSuite medio 2023 voor het zaakgericht werken en het systeem bij Burgerzaken. We hebben daarnaast begrepen dat dit jaar wordt gekeken naar de eventuele vervanging (in de komende jaren) van het financieel systeem en het HR systeem.
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
ITGC’s in lijn met vorig jaar, bevindingen worden opgepakt
Inleiding
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
De resultaten van onze werkzaamheden op de ITGC’s zijn opgenomen in de tabel hiernaast. Zoals zichtbaar gemaakt in de tabel, zien we dat gelijk aan vorig jaar bevindingen zijn geconstateerd die impact hebben op onze
controleaanpak. Ten opzichte van vorig jaar is het wijzingenbeheerproces op onderdelen verbeterd voor Dafinci. We hebben begrepen dat een proces is opgesteld voor configuratie-wijzigingen voor Dafinci en dat de gemeente bezig is deze te formaliseren. Centrale registratie vindt nu nog niet plaats.
De gemeente is bezig met de inrichting van een uniforme vastlegging van de configuratiewijzigingen in ServiceNow. We hebben begrepen dat Team Auditing in het najaar 2021 onderzoek gaat doen naar de voortgang.
De overige bevindingen liggen in lijn met vorig jaar. Voor een gedetailleerde toelichting van de observaties en bevindingen, inclusief risico’s en
aanbevelingen, verwijzen we naar de bijlage met detailbevindingen.
Voor de controleaanpak 2021 betekent dit dat deze in lijn ligt met vorig jaar en we een voornamelijk gegevensgerichte controle uitvoeren. We adviseren u voldoende aandacht te geven voor het verhogen van de volwassenheid van uw IT-beheerprocessen.
Algemene IT-beheersingsmaatregelen
Wijzigingen- beheer
Logische toegangs- beveiliging
Continuïteit van gegevens- verwerking
Applicatie
Dafinci (Financiën)
2020
2021
Suite4 (Jeugdzorg en
Werk &
Inkomen) Sociaal Domein
2020
2021
Beaufort (Personeel en
salaris)
2020
2021
Youforce (HR mutaties)
2020
2021
Bevinding (audit impact), geen voortgang
Bevinding (audit impact), opvolging onderhanden
Geen bevinding opgemerkt
ITGC’s nog niet volledig beoordeeld (door ontbreken derdenverklaring, wordt achteraf over het jaar verstrekt.)
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
Aandacht en prioriteit benodigd voor cybersecurity
Als onderdeel van de jaarrekeningcontrole van de gemeente hebben we op basis van interview met uw CISO en de beoordeelde documentatie inzicht gekregen in de wijze waarop de gemeente Groningen cyberrisico’s
adresseert. Daarbij hebben we specifiek gekeken naar de cyberrisico’s zoals opgenomen in het figuur hiernaast.
Op basis van onze werkzaamheden hebben wij onder andere geconstateerd dat:
• eind 2020 een externe penetratietest heeft plaatsgevonden; hier kwamen geen significante bijzonderheden uit naar voren.
• diverse tooling aanwezig is om kwetsbaarheden in het netwerk op te sporen (firewalls,
kwetsbaarhedenscanner, etc.). Echter blijkt uit het ‘Security Services Report’ van de maand mei 2021 dat er diverse systemen niet compliant zijn (achterlopen in patches) en ook blijkt dat niet het volledige netwerk wordt gescand door de kwetsbaarhedenscanner (bijna 1/3 werd niet gescand in mei 2021, in oktober is dat nog 15%).
• in de omgeving van de gemeente veel verouderde systemen aanwezig zijn welke kwetsbaar zijn doordat ze niet langer worden ondersteund. Uit onze analyse van uw Windows AD omgeving blijkt dat 1719 oude systemen (Windows 7 en Windows 2008) aanwezig zijn waarop in 2021 is ingelogd.
• het huidige informatiebeveiligingsbeleid nog is gebaseerd op de structuur van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Vanaf 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht geworden. Conform de BIO wordt het beleid minimaal eens in de 3 jaar geactualiseerd, de gemeente voert dit uit voor april 2022.
Bij de gemeente is een belangrijke rol voor Fujitsu weggelegd in het beheersen van cyber risico’s. Gegeven de toenemende cyber risico's in de sector, de hierboven weergegeven constateringen en ook de eerder beschreven moeizame samenwerking met Fujitsu, bevelen wij u aan om extra aandacht te besteden en voldoende prioriteit te geven aan cybersecurity. Hoewel de directe risico’s op de financiële processen en onze controle beperkt lijken te zijn, gegeven diverse interne controles, een ISAE3402 type II en een voornamelijk gegevensgerichte aanpak, kan een onvoldoende beveiligde IT omgeving grote gevolgen hebben voor de continuïteit van de dienstverlening van de gemeente zoals ook is gebleken bij bijvoorbeeld de hack bij gemeente Hof van Twente. Het bewustzijn van medewerkers speelt hierin ook een belangrijke rol. Wij adviseren u met urgentie deze uitdagingen aan te gaan en voldoende mitigerende maatregelen te nemen.
Op basis van onze gesprekken met verschillende medewerkers van de gemeente begrijpen we dat, ten tijde van de controlewerkzaamheden, in 2021 geen significante cyberincidenten en datalekken hebben plaatsgevonden.
Leverancier gegevens
Patch management
Backup and recovery
Directe betalingen
Intrusie preventie / detectie en monitoring
Cyber Security
Figuur: Cyber Security risico’s
Fraude, omkoping en corruptie en het niet naleven van wet- en regelgeving
Een integrale frauderisicoanalyse dient te worden opgemaakt om het beheersingsproces van frauderisico's en risico's van het niet naleven van wet- en regelgeving en (mogelijke) fraude-indicaties te verbeteren
Met betrekking tot de identificatie van de significante frauderisico's constateerden we geen andere risicofactoren dan in ons controleplan opgenomen. Onze observaties worden verder beoordeeld op de volgende pagina's.
Als onderdeel van onze controlewerkzaamheden hebben wij de interne beheersing rond het voorkomen en identificeren van fraude beoordeeld. Aangezien het voorkomen en opsporen van fraude de primaire verantwoordelijkheid is van het college en de raad, verwachten we dat er een zeker minimaal niveau van interne controle is, rekening houdend met de omvang en complexiteit van de gemeente en haar activiteiten.
Wij merken op dat de evaluatie en beheersing van frauderisico’s bij de gemeente Groningen is opgenomen in separate processen en uitgevoerde interne controles. Wij bevelen echter aan een integrale frauderisicoanalyse te implementeren en op basis hiervan gericht beheersmaatregelen te treffen c.q. interne controles uit te voeren. In ons controleplan hebben wij onze gezamenlijke
initiële frauderisicoanalyse opgenomen. Tijdens onze tussentijdse controlewerkzaamheden zijngeen aanwijzingen van fraude onder onze aandacht gekomen.
Als onderdeel van onze tussentijdse controle hebben wij vastgesteld of beheersmaatregelen zijn getroffen om deze frauderisico’s te ondervangen. Daarnaast hebben wij de opzet van de interne beheersing van uw belangrijkste financiële processen beoordeeld. Hieruit blijken geen
aanvullende frauderisico’s ten opzichte van onze controleplan.
Inleiding
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
Fraude, omkoping en
corruptie en het niet naleven van wet- en regelgeving
Uw organisatie en interne controle-omgeving heeft geen significante
tekortkomingen betrekking tot fraude en het niet naleven van wet- en regelgeving Wij hebben geen bevindingen ten aanzien van de interne beheersing met betrekking tot fraude en het niet naleven van wet- en regelgeving geconstateerd (die naar verwachting kunnen leiden tot een materiële fraude in de jaarrekening). Wel zien wij op individuele processen punten waar wel voldoende aandacht voor de mogelijke frauderisico’s moet bestaan.
Belangrijk om te weten
De primaire verantwoordelijkheid voor het voorkomen en detecteren van fraude en niet- naleving van wet- en regelgeving ligt bij zowel de raad (als toezichthoudend orgaan) als het college (als bestuurlijk orgaan). In dit interview bespreken we verantwoordelijkheden van toezichthouders en bestuurders met twee ervaren commissarissen. Hoewel hier over het bedrijfsleven gesproken wordt, is dit wel degelijk ook relevant voor gemeenten.
Verantwoordelijkheden van de accountant
Als uw accountant is het onze verantwoordelijkheid om onze controle te plannen en uit te voeren om een redelijke mate van zekerheid te verkrijgen dat de financiële overzichten als geheel geen afwijkingen van materieel belang bevatten, ongeacht of deze zijn veroorzaakt door fraude of fouten, rekening houdend met het toepasselijke wet- en regelgevingskader.
Vanwege de inherente beperkingen van een controle is er een onvermijdbaar risico dat bepaalde afwijkingen van materieel belang in de financiële overzichten niet worden ontdekt.
Voor het volledige interview, klik hier
Onze kernboodschappen Controlekader
Controleomgeving IT risico's en beheersing Fraude en wet- en regelgeving Vooruitkijkend
Appendix
Onze observaties ten aanzien van het frauderisico- beheersingsproces
U kunt uw volwassenheid van het frauderisicobeheersingsproces verbeteren
Op basis van onze bevindingen over de interne beheersing, zijn wij van mening dat de algehele interne controleomgeving overwegend informeel is.
Wij adviseren een integrale frauderisicoanalyse op te stellen en hierbij de afzonderlijke procescontroles in te betrekken.
Aankomende wijzigingen in de controleverklaring van accountants ten aanzien van fraude en continuiteit
Achtergrond