9Ķ
B A K E R T I L L Y B E R K
Gemeente Overbetuwe Management letter
Boekjaar 2017
23 januari 2018
x iii
: .1»
i I
www
An independent member of Baker Tilly InternationalV E R T R O U W E L I J K
College van burgemeester en wethouders van de Gemeente Overbetuwe
Postbus 11 6660 AA Elst
Zwolle, 23 januari 2018 Geacht college,
Voor u ligt onze managementletter die wij hebben opgesteld naar aanleiding van de door ons tot nu toe uitgevoerde werkzaamheden in het kader van de controle van de jaarrekening 2017 van de gemeente Overbetuwe. Wij brengen u hiermee verslag uit over de
bevindingen naar aanleiding van de interimcontrole.
Wij merken op dat de bevindingen zijn gebaseerd op onze werkzaamheden uitgevoerd in november 2017. Onze bevindingen hebben betrekking op de opzet en het bestaan en waar relevant ook de werking van de administratieve organisatie en de daarin opgenomen maatregelen van interne beheersing. Onze aanbevelingen kunt u zien als constructieve aanwijzingen als onderdeel van het continue proces om de kwaliteit van het financiële verantwoordingsproces te verbeteren.
De inhoud van deze managementletter is ambtelijk afgestemd en bestuurlijk besproken.
Volledigheidshalve maken wij u erop attent dat het niet is toegestaan deze managementletter aan derden te verspreiden zonder onze voorafgaande schriftelijke toestemming.
Wij bedanken het management en de medewerkers van de gemeente Overbetuwe voor de open en constructieve samenwerking bij het verrichten van onze controlewerkzaamheden en de totstandkoming van onze rapportage.
Tot het verstrekken van nadere toelichting zijn wij uiteraard graag bereid.
Hoogachtend,
Baker Tilly Berk N.V.
Drs. R.G. de Kort RA
Inhoudsopgave
Baker Tilly Berk contactpersonen : Rachel de Kort
Eindverantwoordelijk accountant r.dekort@bakertillyberk.nl
Emmy Friesen Supervisor Audit
e.friesen@bakertillyberk.nl Kantoorgegevens:
Baker Tilly Berk N.V.
Bijster 55 4817 HZ Breda Postbus 3814 4800 DV Breda + 31 76 525 00 00
1. Algemeen beeld van de gemeente2. Interne beheersing 3. Bevindingen
4. Follow up voorgaande jaren
5. Overige onderwerpen en actualiteiten
1. Algemeen beeld van de gemeente ( 1 / 3 )
Inleiding
Wij hebben de interimcontrole bij uw gemeente uitgevoerd. Deze controle is primair gericht op die onderdelen die van belang zijn voor een goede interne beheersing en een betrouwbare jaarverslaggeving, voor zover relevant voor de controle van de jaarrekening 2017. Het gaat hierbij onder meer om onderwerpen op het terrein van administratieve organisatie/interne beheersing (hierna: AO/IB),
rechtmatigheid en tussentijdse informatievoorziening. Onze werkzaamheden bij de interimcontrole vormen een belangrijk onderdeel van onze risicoanalyse ten behoeve van de jaarrekening 2017. Hoe meer effectieve waarborgen de interne beheersing bevat, hoe meer zekerheid er bestaat dat de door uw gemeente opgeleverde informatie betrouwbaar is, zowel tussentijds als bij het opleveren van de jaarrekening. Onze controlewerkzaamheden zullen worden afgestemd op onze bevindingen alsmede onze inschatting van de risico's dat de jaarrekening een afwijking van materieel belang bevat als gevolg van fraude of fouten. Wanneer interne beheersingsmaatregelen
onvoldoende zijn ingericht danwel onvoldoende zichtbaar zijn zullen hiervoor aanvullende gegevensgerichte controlewerkzaamheden moeten worden uitgevoerd.
Voor de jaarrekeningcontrole onderkennen wij een aantal risicogebieden, die een verhoogd risico met zich meebrengen op een materiële fout in uw jaarrekening. Deze risicogebieden zijn hieronder weergegeven. Opname van het risicogebied in deze opsomming betekent overigens niet dat dit risico ook manifest wordt bij uw gemeente. Het is slechts bedoeld om aan te geven dat wij hier tijdens onze controle extra aandacht aan zullen besteden
. Rechtmatigheid EU-aanbestedingen
. Betalingsverkeer (beheersing uitgaande geldstromen) . Waardering en beheersing voorraden (grondexploitaties) . Sociaal Domein
. Management override of controls - het risico op het doorbreken van interne beheersingsmaatregelen die anderszins effectief lijken te werken - door het management, de directie of het college (met name bij memoriaalboekingen en de oneigenlijke beïnvloeding van schattingsposten, i.c. voorzieningen)
Wellicht ten overvloede merken wij op dat onze controle en de daarbij behorende risicoanalyse niet als doel heeft een oordeel tot
uitdrukking te brengen over de effectiviteit van de interne beheersing. Hierdoor zijn onze controle, analyse en evaluatie beperkter dan dat deze zouden zijn geweest in het kader van een opdracht tot het geven van een oordeel omtrent de opzet, het bestaan, de effectiviteit en de efficiency van de interne beheersing als geheel. De risicoanalyse als onderdeel van de jaarrekeningcontrole omvat niet alle in de interne organisatie (mogelijk) aanwezige omissies. In deze rapportage zijn de bevindingen en aanbevelingen opgenomen die voortvloeien uit de door ons uitgevoerde werkzaamheden en die naar onze mening voor de directie, het college van burgemeester en wethouders en de gemeenteraad van belang zijn.
1. Algemeen beeld van de gemeente ( 2 / 3 )
Beeld interne beheersing
Een goede interne beheersing is voor uw gemeente van belang voor het realiseren van doelstellingen en op een betrouwbare wijze verantwoording afleggen over de realisatie daarvan. Wij zien dat in uw organisatie de interne beheersingsomgeving en de daarin opgenomen maatregelen van interne beheersing in de basis toereikend zijn in het kader van onze opdracht tot het controleren van de jaarrekening.
Uw organisatie is actief bezig met het in kaart brengen van de (fraude) risico's en de wijze hoe de gemeente daarmee wilt omg aan. Dit heeft vorm gekregen in een drieluik v a n ;
- Nota risicomanagement waarin beleid rondom risicomanagement is weergegeven
- (Fraude) risicoanalyse waarin geïdentificeerde mogelijke risico's zijn opgenomen met daarbij voor zover aanwezig c.q. gewenst de interne beheersmaatregelen
- Procesbeschrijving waarin naast de processtappen ook de interne beheersmaatregelen zijn opgenomen
Een belangrijk punt bij het opzetten van procesbeschrijvingen is het opnemen van een verfijning van de "key-controls". Deze "key-
controls" zitten vaak bij de rollen in functiescheiding van controlerend en autoriserend. Door dit te doen krijgt u beter inzicht in de interne beheersing. Bij een toereikende inrichting en werking van deze interne beheersing is samen met een adequate beschrijving de basis aanwezig om voor de verbijzonderde interne controle en door ons als accountant over te gaan van een gegevensgerichte naar een organisatiegerichte controlestrategie waarbij kan worden gesteund op de maatregelen van interne beheersing. Daarnaast biedt een toereikende inrichting en werking van de interne beheersing ook een goede grondslag voor de toekomstige rechtmatigheidsverklaring van het college. Wij verwijzen u naar de sectie actualiteiten voor meer informatie over de rechtmatigheidsverklaring van het college.
Uit de controlecyclus van 2016 blijkt dat uw gemeente met betrekking tot het sociaal domein (Jeugdzorg en nieuwe taken WMO) nog altijd in belangrijke mate afhankelijk is van derden. Deze afhankelijkheid manifesteert zich enerzijds in onvoldoende informatie met betrekking tot prestatielevering met onzekerheden in de controle als gevolg. Anderzijds staat door de veelal late informatieverstrekking door
aanbieders van zorg in natura uw eigen planning&controlcyclus onder druk. Mede gezien het feit dat al is aangekondigd dat de
systematiek met controleverklaringen van leveranciers van zorg in natura op termijn zal verdwijnen en dat de Sociale Verzekeringsbank (SVB) heeft aangegeven de prestatielevering rondom de PGB bestedingen niet vast te zullen stellen omdat dat niet hun
verantwoordelijkheid is, is het van groot belang binnen de gemeente de interne beheersing voor deze processen op een dusdanige wijze te organiseren dat de benodigde informatie binnen de gemeente beschikbaar is en blijft. Dit kan door het invoeren van aanvullende controles en de implementatie van 'soft-controls' in de vorm van het systematisch vastleggen van onder meer de prestatielevering naar aanleiding van huisbezoeken, herindicaties en klachten.
Onze detailbevindingen die hierna zijn uiteengezet, zijn ter verdere versterking van uw interne beheersing. Naar onze mening moeten het implementeren en verankeren van interne beheersingsmaatregelen met betrekking tot het sociaal domein en onze aanbevelingen op het gebied van automatisering prioriteit krijgen.
1. Algemeen beeld van de gemeente ( 3 / 3 )
I T
Verder zien wij een verbeterpunt op het gebied van de geautomatiseerde gegevensverwerking (zie pagina 11). Uit onze IT audit komt naar voren dat wachtwoordbeleid en mutatie van gebruikersrechten bij uitdiensttreding nog niet voldoen aan de gestelde eisen rondom automatisering, zie hiervoor onze bevindingen omtrent automatisering in hoofdstuk 3. Wij adviseren u hieraan prioriteit te geven.
Enerzijds in verband met de risico's die er mee samenhangen. Anderzijds om de IT omgeving de bedrijfsvoering zo veel als moge lijk is te laten faciliteren. Uw gemeente is immers inmiddels in grote mate afhankelijk van de werking van IT systemen. Daarnaast hebben wij een IT-audit uitgevoerd op de automatiseringsomgeving van het sociaal domein (Civision Samenleving), deze hebben wij nog niet af kunnen ronden. De conclusies hiervan zullen op een ander moment gecommuniceerd worden.
Grondexploitatie
Momenteel werkt uw organisatie samen met ons als accountant aan het opzetten van een gestructureerde aanpak voor de verantwoording en controle van de grondexploitatie. Hierbij zijn wij in een vroeg stadium in overleg getreden over de voor de gemeente Overbetuwe specifieke risico's, de daarbij behorende maatregelen, de wijze van verantwoorden en de controle. Wij ervaren deze samenwerking als constructief en prettig.
Processen
Gelet op onze risico inschatting hebben wij onderstaande processen betrokken in onze interim controle;
Proces Opmerking?
Administratie en verslaglegging Geen opmerkingen Inkopen, betalingen en
aanbestedingen
Geen opmerkingen
Personeel en salarissen Geen opmerkingen Plaatselijke belastingen en
heffingen
Geen opmerkingen
Subsidieverstrekkingen Geen opmerkingen
Treasury Zie hoofdstuk 3 en 4
Sociaal Domein Zie hoofdstuk 2
2. Interne beheersing ( 1 / 2 )
Inleiding sociaal domein
Vanaf boekjaar 2015 is uw gemeente voor haar inwoners verantwoordelijk voor de Jeugdzorg, de Wet Maatschappelijke Ondersteuning (WMO) en de Participatiewet. De uitvoering van deze taken vindt plaats binnen de gemeente zelf. Daarnaast is de administratieve
verwerking van de PGB's (verplicht) onder gebracht bij de SVB. Afgelopen jaar heeft u de juistheid en volledigheid van de kosten alsmede de prestatielevering vastgesteld aan de hand van de controleverklaringen van de zorgleveranciers en de SVB. Deze verklaringen waren veelal laat beschikbaar en in sommige gevallen (zoals van de SVB en zorginstelling Karakter) niet goedkeurend. Dit zet de
planning&controlcyclus onder druk en leidt tot onzekerheden met betrekking tot de getrouwheid en rechtmatigheid van een deel van de kosten die met het sociaal domein gemoeid zijn. Deze systematiek maakt u afhankelijk en daarmee kwetsbaar. Dit zal nog belangrijker worden wanneer voor de diverse zorgstromen in de toekomst door leveranciers geen controleverklaring meer overlegd wordt.
Om de afhankelijkheid en kwetsbaarheid te verminderen is binnen uw gemeente al heel veel informatie beschikbaar met betrekking tot de juistheid en volledigheid. Het is van belang deze informatie op een dusdanige manier te registreren dat deze ook als onderbouwing van de prestatielevering kan dienen. Daarnaast moeten de randvoorwaarden met betrekking tot indicatiestellingen en het berichtenverkeer geborgd zijn.
Randvoorwaarden
De volgende randvoorwaarden zijn van groot belang voor uw gemeente:
1. Een sluitend indicatieproces
2. Een goed functionerend berichtenverkeer
3. Borging van stamgegevens tarieven en crediteuren
Ad 1. Het goed beschreven en ingericht hebben van het indicatieproces leidt ertoe dat de gemeente zelf een goede administratie heeft van burgers in zorg. Voor zorg aan cliënten die via de gemeente toegang tot hulp ontvangen wordt dit ingericht met indicatiestellingen die in functiescheiding tot stand komen. Deze functiescheiding is binnen uw gemeente niet aanwezig, binnen de gemeente Overbetuwe is ervoor gekozen dat consulent zelfstandig bevoegd zijn voor het afgeven van een beschikking. Als gevolg hiervan zullen wij een aanvullende steekproef uitvoeren op het recht, de hoogte en de duur van de verstrekking vast te stellen. Voor jeugdhulp verleend na verwijzing door een andere wettelijke verwijzer is met aanbieders afgesproken dat zij een verzoek om toewijzing bericht sturen (verzoek om toewijzing), waarop de gemeente de woonplaats toetst en een toewijzingsbericht stuurt.
Ad 2. Ook het goed ingericht hebben van het berichtenverkeer is een belangrijke schakel in de interne beheersing. Een goed functionerend berichtenverkeer dient zowel op het gebied van functionaliteit als op het gebied van betrouwbaarheid van de
geautomatiseerde gegevensverwerking te voldoen aan de daaraan te stellen eisen. Inzake de functionaliteit hebben wij vastgesteld dat het berichtenverkeer voor zowel jeugd als Wmo goed op gang komt. Hierbij worden onder andere een automatische afstemming gemaakt tussen de afgegeven indicatie (301-bericht) en de ingediende declaratie (303-bericht) van de zorgaanbieder. De uitval van declaraties die niet matchen met de afgegeven indicaties zijn in 2017 beperkt. Het Wmo-berichtenverkeer verloopt goed. Voor wat betreft de
geautomatiseerde gegevensverwerking geldt dat de gemeente de betrouwbaarheid van de geautomatiseerde gegevensverwerking via het berichtenverkeer zal moeten (laten) vaststellen.
2. Interne beheersing ( 2 / 2 )
Ad 3. Teneinde de nauwkeurigheid van de stamgegevens rondom tarieven en crediteuren te borgen in de applicatie Civision Samenleving is het van belang dat deze gegevens zijn afgeschermd en slechts door een beperkt aantal medewerkers kunnen worden gemuteerd die niet betrokken zijn bij o.a. de procedures in de lijn waaronder de uitbetaling aan crediteuren. Een aandachtspunt hierbij is dat de mutaties van deze gegevens in functiescheiding tot stand komen. Naar verwachting zal onze controle een gegevensgerichte detailcontrole inhouden teneinde voldoende controlezekerheid te verkrijgen over de juistheid van de in rekening gebrachte tarieven en betalingen aan
rechthebbenden.
Prestatielevering
Voor het vaststellen van de levering heeft de gemeente zich afgelopen twee jaar gebaseerd op het landelijk accountantsprotocol. Daarbij is het van belang ons te realiseren dat de instellingsaccountant van de zorgleverancier deze controle alleen administratief kan doen.
Levering wordt dus niet vastgesteld, slechts aannemelijk gemaakt. De gemeente beschikt in veel gevallen zelfs over meer informatie dan de instellingsaccountant, omdat zij dichter bij de cliënten staat. Deze informatie kan de gemeente ondersteunen in het controledoel om de levering vast te stellen. Verschillende zorgvormen zullen door praktische en wettelijke beperkingen (o.a. privacywetgeving) een
verschillende controleaanpak vereisen. De te hanteren controleaanpak betreft een keuze van uw gemeente waarbij díe controlemiddelen in het plan opgenomen moeten worden, die voor uw eigen specifieke situatie zo min mogelijk administratieve lasten veroorzaken, of die al voor andere doeleinden in gebruik zijn én die efficiënt en effectief zijn. Uw organisatie is momenteel bezig een controleplan op te stellen waarin per zorgvorm de omvang en de te kiezen controleaanpak uiteen wordt gezet. Hierbij wordt onder andere interne controle
uitgevoerd op de rechtmatige uitvoering van de betreffende regelingen (uitkeringen, WMO en Jeugdwet) door een extern bureau.
Voor sommige zorgvormen in de jeugdzorg zal de gemeente niet in staat zijn om de levering met voldoende zekerheid vast te stellen en kan zij terugvallen op de leveringsverklaring vanuit het landelijk accountantsprotocol. Bij deze zorgvormen is het van belang
zorgleveranciers vroegtijdig te benaderen en hen te verzoeken bij eventuele complicaties in het verantwoordingsproces naar de gemeente vroegtijdig te informeren. Voor de zorgvormen waar de gemeente wel de levering met voldoende zekerheid kan vaststellen is het van belang dat de controlemiddelen toetsbaar worden vastgelegd. Concreet betekent dit wanneer er sprake is van contactmomenten met de cliënt bij keukentafelgesprekken of als onderdeel van het herindicatieproces een expliciete vastlegging plaatsvindt van onder meer de geleverde prestaties hetgeen als onderbouwing kan worden gebruikt voor het aantonen van de prestatielevering. Uiteraard kan bij deze gesprekken naast de rechtmatigheidsaspecten ook aandacht te besteden aan kwaliteitsaspecten en doelmatigheid. ook Dit kan voor zowel cliënten die zorg in natura ontvangen alsook voor PGB-cliënten. Wij hebben vastgesteld dat er (nog) geen formele structuur voor
vastlegging van de prestatie is ingericht en adviseren u hierin te voorzien.
Naast het bespreken (en registreren) van de prestatielevering met cliënten kan ook een klachtenprocedure van de gemeente gebruikt worden om, naast het verbeteren van dienstverlening aan cliënten, aanbieders te monitoren. Hierbij is het van belang cliënten
(bijvoorbeeld in de indicatiestelling) erop te wijzen dat klachten niet enkel bij de leverancier kenbaar gemaakt moeten worden maar ook bij de gemeente. Uw organisatie is in een vergevorderd stadium in het opzetten van een dergelijke klachtenprocedure. Een analyse van de te betalen eigen bijdrage voor diverse zorgvormen kan ondersteunen bij de vaststelling van de prestatielevering; een cliënt die een eigen bijdrage betaalt, zal sterk geneigd zijn een signaal te geven als de dienst niet wordt ontvangen. Het inrichten van een controleerbare klachtenregistratie voor het sociaal domein (of breder) met functiescheiding tussen vastlegging, opvolging en analyse is binnen uw gemeente nog niet ingericht op de mogelijke ondersteunende rol die deze kan hebben. Wij adviseren u hierin te voorzien.
3. Bevindingen ( 1 / 4 ) B A K E R T I L L Y
P tľ T) V P r o c e s B e v i n d i n g / a a n d a c h t s p u n t A d v i e s / a a n b e v e l i n g I m p a c t
j a a r r e k e n i n g c o n t r o l e T r e a s u r y
Verantwoordelijkheden
In het treasurystatuut is onder het hoofdstuk 'verantwoordelijkheden' opgenomen dat de externe accountant in het kader van haar reguliere controletaak de naleving van het treasurystatuut dient vast te stellen.
Het treasurystatuut maakt onderdeel uit van de normenkader. De gemeente is echter zelf primair verantwoordelijk voor het naleven van hetgeen opgenomen in het treasurystatuut. Het opnemen van de accountant als
verantwoordelijke in interne beleidsdocumenten leidt af van deze verantwoordelijkheid en is derhalve niet wenselijk.
Wij adviseren u om bij de actualisatie van het treasurystatuut deze passage te laten vervallen.
Geen impact op de jaarrekeningcontrole.
T r e a s u r y
Liquiditeitsplaning
De liquiditeitsplanning van de gemeente wordt gemonitord door de medewerker treasury.
Echter wordt de liquiditeitsplanning en de analyse hiervan niet gedocumenteerd. In het treasurystatuut staat echter wel vermeld dat er een liquiditeitsplanning aanwezig dient te zijn.
Derhalve voldoet de gemeente niet aan de interne wet- en regelgeving.
Wij adviseren u de
liquidititeitsplanning en de analyse hiervan te
documenteren.
Geen impact op de jaarrekeningcontrole.
An independent member of Baker Tilly International 9
3. Bevindingen ( 2 / 4 )
P r o c e s Bevinding/aandachtspunt A d v i e s / a a n b e v e l i n g I m p a c t jaarrekeningcontrole
Automatisering
Wachtwoordbeleid Civision Middelen
Voor de applicatie Civision Middelen wordt ingelogd middels een
gebruikersnaam en wachtwoord.
Wachtwoorden dienen uit minimaal 6 tekens te bestaan. Er zijn geen complexiteitseisen en wachtwoorden hoeven niet periodiek gewijzigd te worden. Wij concluderen op basis van deze bevindingen dat
wachtwoorden in de huidige vorm niet aan vereisten ten aanzien van lengte, complexiteit en periodiciteit.
Een gevolg van de tekortkomingen in het wachtwoordbeleid is dat een verhoogd risico aanwezig is op mutaties binnen Civision Middelen door onrechtmatige gebruikers.
Wij adviseren u de wachtwoordeisen voor de applicatie Civision Middelen aan te scherpen op de gebieden lengte en complexiteit en hiernaast een periodiciteit voor het aanpassen van
wachtwoorden af te dwingen.
Als een praktische oplossing voor het versterken van het wachtwoordbeleid geven wij als overweging om de
mogelijkheden tot invoeren van Single-Sign-On te
inventariseren.
Gebruikersaccounts binnen de applicatie Civision Middelen worden dan gekoppeld aan netwerkgebruikers en dit heeft tot gevolg dat niet meerdere malen een wachtwoord ingevoerd hoeft te worden.
Indien de eisen voor het netwerk wachtwoord voldoen is sprake van een sterke
authenticatie en wordt voorkomen dat gebruikers meerdere wachtwoorden dienen bij te houden.
Als gevolg van de tekortkomingen in
wachtwoorden kunnen we in mindere mate steunen op functiescheidingen in de applicatie Civision Middelen.
Oftewel we kunnen er in mindere mate op vertrouwen dat daadwerkelijk de gebruiker mutaties in Civision Middelen heeft doorgevoerd, waarvan wij de gebruikersnaam zien bij een transactie of in een logbestand.
De geconstateerde tekortkomingen leiden tot aanvullende gegevensgerichte detailcontroles, met name voor de processen rondom het registreren en fiatteren van inkoopfacturen en het muteren en fiatteren van crediteuren stamgegevens.
Voorgaande leidt tot meerwerk waarvan wij graag met u bespreken wie deze uitvoert.
3. Bevindingen ( 3 / 4 )
Proces Bevinding/aandachtspunt A d v i e s / a a n b e v e l i n g
Automatisering
Muteren gebruikersrechten in Civision Middelen
Op basis van het bespreken van de procedure voor het muteren van gebruikers en gebruikersrechten en het uitvoeren van een uit dienst controle, constateren wij
onvoldoende basis te hebben om op de procedure te steunen.
In deze constatering hebben wij meegenomen dat intern geen analyse op basis van logging plaatsvindt, waarmee juistheid van mutaties wordt vastgesteld.
Hiernaast is de procedure ons inziens niet specifiek zodanig ingericht dat alle mutaties in gebruikers(rechten) afgezet worden tegen een norm, waarbij
functiescheiding wordt gewaarborgd. Tot slot zijn applicatiebeheerders tevens uitvoerend werkzaam, waardoor deze niet onafhankelijk zijn.
Op basis van de huidige procedure en inrichting en het ontbreken van een logging op doorgevoerde mutaties, is een verhoogd risico aanwezig op (de mogelijkheid tot) functievermenging binnen Civision Middelen. Deze functievermenging kan leiden tot het doorvoeren van onjuiste of onrechtmatige mutaties.
Wij adviseren u om een norm (SOLL positie) op te stellen voor het aanbrengen van kritische functiescheidingen binnen Civision Middelen en deze ook zodanig in te richten in de applicatie, zodat de werkelijke (IST) positie beheersing van kritische mutaties waarborgt.
Wijzigingen van de IST positie dienen vervolgens door een onafhankelijke functionaris te worden beoordeeld op basis van de SOLL positie en voor
verwerking te worden geautoriseerd.
Hiernaast adviseren wij u om wijzigingen in rechten en rollen periodiek te analyseren middels de in Civision Middelen
beschikbare logging. Het periodiek analyseren van deze logfile geeft aanvullende zekerheid omtrent de werking van de kritische
functiescheidingen gedurende het gehele jaar.
I m p a c t jaarrekeningcontrole
Doordat wij de juistheid en volledigheid van mutaties in gebruikers(rechten) binnen Civision Middelen niet kunnen vaststellen en de huidige inrichting de voor ons kritische functiescheidingen niet
waarborgt, voeren wij
aanvullende gegevensgerichte werkzaamheden uit middels data analyse en deel-
waarnemingen. Deze data analyse en deelwaarnemingen zijn gericht op het vaststellen wie daadwerkelijk mutaties heeft uitgevoerd in onder andere het inkoop- en
betaalproces, aangezien wij in deze processen een verhoogd risico verwachten voor het doorvoeren van onrechtmatige mutaties.
Indien mutaties door
onbevoegde functionarissen zijn uitgevoerd of er geen
functiescheiding heeft plaatsgevonden bij het
doorvoeren en controleren van de mutaties, zullen wij
aanvullende detailcontroles uitvoeren.
Voorgaande leidt voor ons tot meerwerk dat wij graag met u bespreken.
3. Bevindingen ( 4 / 4 )
Proces Bevinding/aandachtspunt A d v i e s / a a n b e v e l i n g I m p a c t jaarrekeningcontrole
Automatisering Wachtwoordbeleid netwerkomgeving
Op basis van testwerkzaamheden hebben wij vastgesteld dat het ingerichte algemene
wachtwoordbeleid voldoet aan daaraan te stellen eisen. Echter zijn van de circa 620 actieve
netwerkaccounts er circa 100 uitgezonderd van de
wachtwoordperiodiciteit. Deze accounts betreffen
persoonsgebonden accounts, het standaard administrator account en service accounts van leveranciers.
Voor de accounts uitgesloten van het wachtwoordbeleid is een verhoogd risico op onrechtmatige toegang door onbevoegde
functionarissen aanwezig. Het risico bestaat dat onbevoegde
functionarissen hiermee toegang verkrijgen tot documenten op het netwerk en applicaties.
Wij adviseren u om
persoonsgebonden accounts, service accounts van
leveranciers en het standaard administrator account te laten voldoen aan de
wachtwoordperiodiciteit. Enkel voor accounts die systeemtaken uitvoeren (en waarmee
derhalve niet daadwerkelijk ingelogd kan worden door een gebruiker), verwachten wij dat deze zijn uitgezonderd van de wachtwoordperiodiciteit.
Een adequate
netwerkbeveiliging heeft wel impact op het risico op hacking en datalekken. Hierdoor houdt het risico verband met een adequate inrichting t.b.v. de AVG, waarvoor een separate paragraaf is opgenomen in deze managementletter.
4. Follow-up voorgaande jaren ( 1 / 2 )
Uitleg: indicator: N is "nog niet ten uitvoer gebracht", NA is "uitgevoerd maar nog niet afgerond" en A is "afgerond".
Bevinding voorgaand j a a r S t a t u s I m p a c t jaarrekeningcontrole
Treasury
Vastgesteld dat bij het aangaan van langlopende leningen en kasgeldleningen in 2016 niet gehandeld is in lijn met het treasury statuut. In het treasury statuut is opgenomen dat de medewerker AO/IC achteraf controleert of aan de in het treasurystatuut gestelde voorwaarden is voldaan. Dit is in 2016 niet uitgevoerd.
Aanbeveling:
Wij adviseren u met ingang van boekjaar 2017 deze controle standaard op te nemen in de procedure voor het afsluiten van een nieuwe lening.
Wij hebben vastgesteld dat de procedure in 2017 is aangepast.
Geen impact voor de jaarrekeningcontrole.
Bankafschriften
Het is voor de gemeente Overbetuwe niet mogelijk bankafschriften van de BNG te exporteren naar Excel. Dit maakt de controle op de juistheid van de
bankbetalingen bewerkelijk.
Voor 2017 is de controleaanpak ten aanzien van betalingen gewijzigd, derhalve bevindingen op afgerond.
Geen impact voor de jaarrekeningcontrole.
4. Follow-up voorgaande jaren ( 2 / 2 )
Uitleg: indicator: N is "nog niet ten uitvoer gebracht", NA is "uitgevoerd maar nog niet afgerond" en A is "afgerond".
Bevinding voorgaand j a a r S t a t u s I m p a c t jaarrekeningcontrole
Sociaal domein
De verantwoordelijkheid voor het sociaal domein is in 2015 op de gemeente af gekomen. Dit heeft geleid tot een controleverklaring met beperking bij de jaarrekening 2015.
In 2017 heeft de gemeente interne beheersingsmaatregelen ingeregeld die de afhankelijkheid van controleverklaringen van de zorgaanbieders
moeten gaan beperken.
Ten behoeve van de interim controle hebben we dit proces doorgenomen. De inhoudelijke controle zullen wij uitvoeren april/mei 2018.
Interne beheersing subsidieprojecten (baten)
De gemeente heeft nog geen volledig subsidieregister dat inzicht biedt in vragen als welke subsidies zijn ontvangen, wanneer daar verantwoording over moet worden afgelegd en wie hiervoor verantwoordelijk is.
De gemeente heeft dit aandachtspunt ook zelf onderkend en al belangrijke stappen gezet tot completering van een dergelijk centraal subsidieregister.
Dit is echter nog niet volledig afgerond, wij adviseren u dit op korte termijn af te ronden.
NA Wij zullen aanvullende werkzaamheden verrichten om de volledigheid van de subsidieopbrengsten vast te stellen.
5. Overige onderwerpen en actualiteiten
Frauderisico-analyse Als onderdeel van onze controle hebben wij u verzocht inzicht te geven in uw inschattingsproces rondom de risico's dat de jaarrekening een materiële afwijking zou kunnen bevatten als gevolg van fraude. Hierbij gaat het om de aard, omvang en frequentie van deze inschattingen, het proces dat de directie daarbij hanteert en ook de communicatie daarover met het personeel en met het toezichthoudend orgaan.
Uit de gesprekken die wij met u hebben gevoerd en de vastleggingen die zijn gedaan blijkt het belang dat u hecht aan het vermijden en ontdekken van fraude. Wij hebben daarbij vastgesteld dat het periodiek opstellen en actualiseren van (fraude)risicoanalyses plaatsvindt en structureel onderdeel vormt van de interne beheersingsomgeving. Wij adviseren u deze lijn door te zetten.
Van de accountant wordt op grond van de regels van de beroepsorganisatie NBA een professioneel- kritische houding verwacht ten aanzien van afwijkingen van materieel belang als gevolg van fraude. Ter invulling van deze houding zal de accountant een inschatting moeten maken van de frauderisico's, zich een beeld moeten vormen van de maatregelen van interne beheersing die de organisatie heeft getroffen om
mogelijke fraudes van materieel belang te voorkomen en moeten bezien of deze maatregelen effectief zijn.
Wanneer sprake is van een aanwijzing voor fraude, zal de accountant dit moeten communiceren met, afhankelijk van de aard van de fraude, de direct leidinggevende, het college en, in sommige gevallen (fraude in de top van de organisatie) en wanneer onvoldoende herstelwerkzaamheden worden ondernomen, de raad.
Om invulling te geven aan de eerdergenoemde verplichting hebben wij een fraudediscussie gevoerd binnen het controleteam. Bij gesprekken met vertegenwoordigers van uw gemeente is het onderwerp fraude betrokken, waarbij wij de nadruk hebben gelegd op de eventuele mogelijkheden van materiële
onjuistheden als gevolg van fraude in relatie tot de jaarstukken en op preventieve maatregelen daarbij.
Van deze vertegenwoordigers hebben wij geen signalen ontvangen dat er onregelmatigheden zijn geconstateerd.
Daarnaast hebben wij conform onze beroepsregels zelfstandig werkzaamheden uitgevoerd die erop waren gericht om het risico van het 'omzeilen' van de interne beheersingsmaatregelen door het management te detecteren. Hoewel wij, zoals hiervoor beschreven, een kritische houding hebben ten opzichte van risico's van fraude, merken wij op dat onze controle niet specifiek gericht is op het ontdekken van fraude.
Tijdens de uitvoering van onze interimcontrole hebben wij geen aanwijzingen verkregen dat er sprake is geweest van fraude.
5. Overige onderwerpen en actualiteiten
Schattingsposten De voorzieningen voor verplichtingen, verliezen en risico's, de voorzieningen ter egalisering van kosten alsmede de post 'nog te betalen bedragen' en de grondexploitatie zijn gebaseerd op veronderstellingen en schattingen waarvoor de directie en het college verantwoordelijk zijn. Op basis van hun kennis van de gemeente en haar omgeving worden effecten van de te voorziene risico's, verplichtingen, kosten en opbrengsten in de komende jaren ingeschat en wordt bepaald wat de omvang van de voorziening dan wel het verwachte resultaat zal c.q. moet zijn. De directie en college laten zich hierbij ondersteunen door specialisten. Omdat schattingen per definitie subjectief zijn, besteden wij in onze controle nadrukkelijk aandacht aan de onderbouwing en redelijkheid van de aannames.
Voor de jaarrekeningcontrole is het belangrijk dat, in lijn met voorgaand jaar, een adequate onderbouwing beschikbaar is voor alle (mogelijk te vormen) voorzieningen voor verplichtingen, risico's, opbrengsten en kosten (middels een beschrijving van de schattingsmethoden, de uitgangspunten daarbij alsmede scenario¬
analyses). Daarnaast vragen wij uw aandacht voor het zichtbaar maken van interne
beheersingsmaatregelen die uw gemeente heeft ingericht met betrekking tot het zorgvuldig tot stand komen van de schattingen.
Wij hebben met de gemeente afspraken gemaakt om de belangrijkste schattingsposten en de daarbij behorende uitgangspunten voor aanvang van de feitelijke jaarrekeningcontrole te controleren, waarbij we specifiek met de gemeente in overleg zullen treden over onderhoudsvoorzieningen. Op deze wijze wordt voorkomen dat het controleproces vertraging oploopt en eventuele correcties tijdig verwerkt worden.
Grondexploitatie In de Notitie Grondexploitaties uit 2016 is de aanbeveling opgenomen dat volgens het realisatiebeginsel wanneer voldoende zekerheid voor winstnemen bestaat, de winst dan ook dient te worden genomen. Op basis van antwoorden van de Commissie BBV in de Vraag Antwoord rubriek is duidelijk geworden dat dit geïnterpreteerd moet worden als een verplichting tot tussentijdse winstneming wanneer is voldaan aan de volgende drie voorwaarden:
1. Het resultaat op de grondexploitatie kan betrouwbaar worden ingeschat; én 2. De grond (of het deelperceel) moet zijn verkocht; én
3. De kosten zijn gerealiseerd (winst wordt naar rato van de realisatie gerealiseerd).
Voor tussentijdse winstneming moet de percentage of completion methode worden gevolgd. Deze werkt als volgt:
(o/o gemaakte kosten) x ( /o gerealiseerde opbrengsten) = ( /o winstneming)
Ter illustratie: 5 0 / van de kosten zijn gemaakt en 5 0 / van de opbrengsten zijn gerealiseerd dan is 2 5 / van de winst te nemen. Wij verzoeken u om voor de jaarrekeningcontrole een analyse inzake de
voorwaarden op te stellen per complex.
5. Overige onderwerpen en actualiteiten
Rechtmatigheids- In 2015 heeft een werkgroep onder leiding van Staf Depla gemeenten (VNG), accountants (NBA) en het verklaring Rijk (BZK en Financiën) het onderzoeksrapport "Vernieuwing accountantscontrole gemeenten" uitgebracht.
Dit rapport bevat een zevental adviezen. Een van deze adviezen ziet toe op een eigen rapportage van het college (als onderdeel van de jaarstukken) over de financiële rechtmatigheid. Hierin geeft het college aan rechtmatig te hebben gehandeld met betrekking tot de financiële Rijks en Europese wetgeving. Ook is in de verklaring opgenomen dat de toelichting op de verschillen tussen de begroting en jaarrekening accuraat is.
Met deze verklaring verschuift de verantwoordelijkheid voor de rechtmatigheid van de accountant naar het college van B&W. Het oordeel van de accountant inzake de getrouwheid van de jaarrekening zal dan ook een oordeel over de getrouwheid van de collegeverklaring betreffen.
Met de invoering van de collegeverklaring (vermoedelijk verplicht in 2020) wordt het belang van interne beheersing groter. Het goed inrichten en beschrijven van een proces stelt het college immers in staat om gefundeerd een rechtmatigheidsverklaring af te geven bij haar jaarstukken.
AVG (Algemene W e t - en regelgeving inzake dataprivacy
Verordening Vanaf 24 mei 2016 is de wet- en regelgeving inzake dataprivacy aangescherpt door het actief worden van Gegevensbescherming) de GDPR (General Data Protection Regulation). De Nederlandse vertaling van deze wet is de AVG
(Algemene Verordening Gegevensbescherming).
Momenteel bevindt de betreffende wetgeving zich in een "implementatiefase". Hiermee hebben zowel bedrijven als gemeentes de mogelijkheid om zich voor te bereiden op de nieuwe wetgeving en de wetgeving in hun bedrijfsproces te borgen. Vanaf 25 mei 2018 is de AVG van toepassing, is de gemeente aanspreekbaar op naleving ervan en kunnen boetes worden opgelegd.
Technologische ontwikkelingen hebben gemeentes de afgelopen jaren steeds meer mogelijkheid gegeven tot het verzamelen, verwerken en analyseren van steeds meer persoonsgegevens. Burgers worden daarentegen steeds veeleisender en stellen randvoorwaarden aan de bescherming van hun persoonsgegevens.
De onderstaande tabel bevat een aantal belangrijke aspecten uit de AVG.
Onderwerp Omschrijving
Toestemming Degene van wie persoonsgegevens verwerkt gaan worden dient daarvoor toestemming te
n û u û n r\r\r\r- m i H H a l w a n ûûn H I I İ H Û I Ü Ľ Û a / H - i o x / o h a n H a l i n n
geven door middel van een duidelijke actieve handeling
Verhoogde boetes Organisaties die de AVG overtreden riskeren boetes tot een maximum bedrag van C 20.000.000.
Functionaris Gegevens bescherming
Bij grootschalige verwerking van persoonsgegevens is de gemeente verplicht een functionaris voor de gegevensbescherming aan te stellen. Alsook dient de gemeente een Data Protection Impact Assessment uit te voeren.
Recht om vergeten te worden
Degene van wie persoonsgegevens worden verwerkt hebben het recht om van de gemeente te eisen dat alle persoonsgegevens van hem/haar worden gewist. Dit geldt ook voor gegevens die met behulp van derden worden verwerkt.
5. Overige onderwerpen en actualiteiten
Ensia Vanaf verantwoordingsjaar 2017 leggen gemeentes verantwoording af omtrent informatieveiligheid via de vragenlijsten in de reeds beschikbare Ensia-tool. Een doel hiervan is om de verantwoording naar de verschillende toezichthouders betreffende BRP, PUN, DigiD, BAG, BGT en SUWInet samen te voegen tot één audit.
