Memo
Inleiding
Op 21-1-2020 heeft de gemeente Gennep de concept managementletter (ML) 2019 van haar huisaccountant Baker Tilly ontvangen. Na het bespreken van de bevindingen met de accountant op 30-1-2020 is op 6-2-2020 de definitieve ML ontvangen. In deze managementletter worden de aanbevelingen naar aanleiding van de interim controle en de bijbehorende IT audit, welke eind 2019 is uitgevoerd, beschreven. De ambtelijke reactie op dit stuk wordt na vaststelling in het MT ter informatie aan het college en het audit comité voorgelegd.
Bevindingen
In de managementletter komen een achttal bevindingen aan de orde. Dit betreft één nieuwe bevinding uit 2019, één bevinding is volledig opgevolgd en er zijn zes bevindingen uit eerdere jaren. Op deze zes
bevindingen zijn in het verleden acties ondernomen. Na kennisname van de concept ML zijn een aantal lopende verbeteracties nog extra aangescherpt. Hiermee hebben we het grootste deel van de bevindingen inmiddels opgevolgd. Op onderdelen is een verdere doorontwikkeling nodig.
In het eerste deel van deze memo is een inhoudelijke reactie geformuleerd op de bevindingen. De
nummering van de bevindingen correspondeert met de nummers uit de managementletter. Per bevinding wordt eerst de bevinding, het risico, follow up 2019, de aanbeveling en de te ondernemen actie voor de jaarrekeningcontrole uit de managementletter geciteerd, vervolgens is de ambtelijke reactie beschreven.
Attentiepunten jaareinde controle en overige aandachtspunten
Daarnaast zijn in de managementletter een aantal attentiepunten voor de jaareinde controle, welke plaats zal vinden in de periode maart/april 2020, opgenomen. Door het vroeger afstemmen van de attentiepunten met de accountant (wens vanuit de gemeente) hopen we dat de jaarrekeningcontrole dit jaar efficiënter kan verlopen. Tevens zijn een aantal overige aandachtspunten (voorheen landelijke actualiteiten) beschreven. In het tweede deel van deze memo geven we in het kort aan hoe de gemeente Gennep omgaat met beide punten.
Tot slot beschrijven we nog een korte stand van zaken over informatie IT-beheersing (informatieveiligheid) en de invoering van de BIO, Baseline Informatiebeveiliging Overheid.
Samenvattend
Lopende verbeteracties zijn mede naar aanleiding van de (concept) ML van de accountant extra
aangescherpt. Hiermee is het grootste deel van de bevindingen inmiddels opgevolgd. Op onderdelen is een verdere doorontwikkeling benodigd, met name op het gebied van het vastleggen van inkoop &
aanbestedingstrajecten, prestatieleveringen en het periodiek controleren van IT autorisaties/accounts. Dit gaan we in 2020 een verder vervolg geven. Op basis van de ML en de door ons uitgevoerde verbeteracties is de conclusie gerechtvaardigd dat we beheersmatig onze zaken op orde hebben.
Aan: MT
Van: Cluster beleid & advies
CC: -
Datum: Feb-2020
Onderwerp: Managementletter accountant n.a.v. interim controle 2019 + ambtelijke reactie
Memo
Met de recente wijziging van de structuur van de organisatie is sprake van een verschuiving van verantwoordelijkheden. Dit heeft gevolgen voor diverse processen binnen de bedrijfsvoering van de
gemeente. Het verschuiven van de verantwoordelijkheden betekent niet dat we minder aandacht en energie moeten steken in de beheersing van onze organisatie. Cruciaal om de beheersing goed in te vullen is de beschikbaarheid van de juiste informatie. Dit is een gedeelde verantwoordelijkheid van de organisatie en bedrijfsvoering.
Bevindingen
1 Archivering Prestatielevering Bevinding
Als onderdeel van onze systeemgerichte werkzaamheden stellen wij vast of de accordering van de prestaties waarvoor facturen worden ontvangen zijn onderbouwd met documenten (zoals contracten, urenbrieven en pakbonnen). Wij constateren dat de gemeente niet in alle gevallen consistent omgaat met de archivering van de prestatieverklaring. In het kader van de rechtmatigheidsverantwoording die vanaf boekjaar 2021 verplicht is, wordt de interne beheersing op dit soort onderdelen steeds relevanter.
Wij hebben uiteindelijk voldoende informatie gekregen waaruit blijkt dat de prestatie geleverd is.
Risico
Er is een risico dat achteraf niet aangetoond kan worden dat de prestatie geleverd is.
Aanbeveling
Wij adviseren u intern beleid op te stellen waarin vast ligt voor welke soort facturen de prestatieverklaring gearchiveerd moet worden en/of een overweging voor de prestatieverklaring vast moet liggen.
Onderscheid zou gemaakt kunnen worden op basis van de omgang en soort facturen. Wij willen u hierbij ook wijzen op de notitie over prestatielevering. De Commissie BADO van de NBA zal deze binnenkort uitbrengen.
Te ondernemen actie voor jaarrekeningcontrole
Deze constatering leidt niet tot extra werkzaamheden voor de jaarrekeningcontrole.
Ambtelijke reactie
Zodra de BADO notitie beschikbaar is nemen wij hier kennis van. Op basis van de aanbevelingen uit dit stuk en in overleg met de accountant gaan we onderzoeken hoe we de vastlegging van
prestatieleveringen in 2020 gaan verbeteren.
Memo
2 Het inkoopbeleid is relatief oud en voldoet mogelijk niet meer aan de recente wet- en regelgeving Bevinding voorgaand jaar
Wij hebben geconstateerd dat het laatste inkoopbeleid uit 2013 komt. Etc.
Update 2019
Het nieuwe inkoop- en aanbestedingsbeleid is per 1 juli 2019 in werking getreden. U geeft aan dat dit beleid is gebaseerd op de meest recente wet- en regelgeving en interne beleidsregels. Dit punt is opgevolgd.
Risico
Het niet naleven van Europese aanbestedingsrichtlijnen omdat het interne inkoopbeleid hierbij niet aansluit.
Aanbeveling
Niet van toepassing. Punt is opgevolgd in 2019.
Te ondernemen actie voor jaarrekeningcontrole Niet van toepassing. Punt is opgevolgd in 2019.
Ambtelijke reactie
Punt is opgevolgd in 2019.
Memo
3 Controle op juistheid van aanbestedingen vindt achteraf plaats Bevinding voorgaand jaar
Wij hebben vernomen dat de controle op juistheid van aanbestedingen achteraf plaatsvindt. Voorheen verliepen alle aanbestedingen via het consultancyteam. Dit is echter vanaf 2018 niet meer het geval. Dit is een bewuste keuze. Standaard dient wel een inkoopstartnotitie ingevuld te worden voor alle
aanbestedingen vanaf € 25.000 (diensten) en € 50.000 (leveringen). Hier vindt echter geen zichtbare controle meer op plaats. Eenmaal per jaar wordt een spendanalyse uitgevoerd om vast te stellen dat alle aanbestedingen zijn verlopen volgens Europese aanbestedingsrichtlijnen.
Update 2019
Het proces is ongewijzigd. De bevinding blijft bestaan.
Risico
Het niet (tijdig) signaleren van niet naleven van Europese aanbestedingsrichtlijnen.
Aanbeveling
In het kader van beheersing van dit proces is het van belang eerder een controle uit te kunnen voeren.
Hiertoe is het van belang verplichtingen vast te leggen waardoor de controle op de aanbestedingen gedurende het jaar kan plaatsvinden. Achteraf kan door een analyse van de werkelijke uitgaven met de verplichtingen te vergelijken vastgesteld worden of hiermee alle belangrijke dossiers in de controle reeds zijn betrokken en wordt een meer risico gerichte aanpak gehanteerd waarbij tussentijds mogelijkheden ontstaan om bij te sturen indien afgeweken is van het beleid.
Te ondernemen actie voor jaarrekeningcontrole
In het kader van de jaarrekeningcontrole wensen wij een spendanalyse te ontvangen zodat wij kunnen toetsen of aanbestedingen zijn verlopen volgens Europese aanbestedingsrichtlijnen. Deze dient te voldoen aan de eisen op pagina 9. Wij hebben hier reeds een format voor aangeleverd.
Ambtelijke reactie
Het inkoopproces heeft onze aandacht. Zowel vooraf (met het invullen van de ‘inhoudsopgave inkoop &
aanbesteden), als ook periodiek achteraf (als onderdeel van de interne controle) als jaarlijks achteraf (toets op Europese aanbestedingsrichtlijnen) vindt toetsing plaats. Het risico van het niet naleven van Europese aanbestedingsrichtlijnen is daardoor tot het minimum beperkt. Deze werkwijze gaan we nogmaals onder de aandacht brengen van de medewerkers die het betreft. Daarnaast voeren we per jaareinde zelf een spendanalyse uit, deze gaan we voor de jaarrekeningcontrole 2019 uitbreiden met de eisen uit het format van de accountant.
Memo
4 Niet voor elke verstrekte subsidie wordt de besteding in detail gecontroleerd Bevinding voorgaand jaar
Wij hebben vernomen dat niet voor elke verstrekte subsidie in detail de besteding wordt gecontroleerd voordat deze wordt vastgesteld. Het risico zit in subsidies onder de € 25.000, omdat daarboven een controleverklaring is vereist. Voor de subsidies onder dit bedrag vindt in feite geen standaardcontrole plaats op de rechtmatige besteding van de ontvangen gelden. Afhankelijk van de soort subsidie vindt er wel een bepaalde controle plaats (zoals bijvoorbeeld op ledenaantallen), echter deze is niet duidelijk zichtbaar voor ons. Verder is er geen checklist aanwezig om een gestructureerd proces in te regelen. Er wordt nu bijvoorbeeld geen controle uitgevoerd dat voldaan is aan de gestelde termijnen uit de subsidieverordening. Er wordt in dit soort gevallen ook geen uitzonderingsbesluit genomen.
Update 2019
Het proces is ongewijzigd. De bevinding blijft bestaan.
Risico
Het risico bestaat dat verstrekte subsidies niet worden besteed aan de activiteiten waarvoor ze bedoeld zijn.
Aanbeveling
Wij bevelen aan om een checklist in te voeren, waarin onder andere de beoordeling van de rechtmatige besteding van subsidiegelden en de voorwaarden/termijnen uit de subsidieverordening worden
meegenomen.
Ambtelijke reactie
De risico’s van onjuiste besteding van subsidies zijn beperkt. In de subsidieverordening zijn
verantwoordingseisen opgenomen, die we in de praktijk ook hanteren. Voor subsidies tot 2,5 K kunnen en voor subsidies tot 25 K worden inhoudelijke verantwoordingen gevraagd. We gaan onderzoeken hoe we de zichtbare vastlegging van de afweging/beoordeling van de inhoudelijke
verantwoordingsrapportages van subsidies in de categorie >2,5 K - <25 K kunnen verbeteren.
Memo
5 Geen vierogen principe op wijzigen crediteurenstamgegevens in Suites voor het Sociaal Domein Bevinding voorgaand jaar
Voor Suites voor het Sociaal Domein hebben we beoordeeld of het vierogen principe op de wijziging op crediteuren stamgegevens systeemtechnisch wordt afgedwongen. Wij hebben vernomen dat gedurende het jaar de controle op de mutatie crediteurenstamgegevens systeemtechnisch is ingeregeld. Echter, in 2019 blijken wijzigingen te hebben plaatsgevonden waardoor dit punt blijft openstaan.
Update 2019
Wij hebben vernomen dat het vierogen principe in de loop van het jaar voor alle gebruikersgroepen is ingericht. Dit zullen wij tijdens de balanscontrole controleren.
Risico
Onrechtmatig gebruik van rechten binnen Suites voor het Sociaal Domein.
Aanbeveling
De bevinding wordt naar verwachting tijdens de balanscontrole opgelost.
Te ondernemen actie voor jaarrekeningcontrole
De gemeente dient aan te tonen dat alle wijzigingen in crediteurenstamgegevens terecht zijn doorgevoerd en goedgekeurd door een tweede medewerker. Wij zullen hier een aanvullende controle op uitvoeren.
Ambtelijke reactie
Deze bevinding uit voorgaand jaar is in de loop van 2019 opgevolgd. Hierdoor kwamen er over het 1e deel van 2019 in de steekproef van de accountant nog enkele items naar voren uit de “oude” situatie.
(hiervan hebben we het vierogen principe achteraf voldoende kunnen aantonen). Tijdens de
balanscontrole zal het restant van de steekproef over de laatste maanden van 2019 worden uitgevoerd en kan de werking van deze controlemaatregelen worden aangetoond.
Memo
6 Logische toegangsbeveiliging behoeft verbetering Bevinding voorgaand jaar
Wij hebben geconstateerd dat ten aanzien van het aspect logische toegangsbeveiliging nog verbeteringen mogelijk zijn. Dit zijn de volgende:
- Geen periodieke wijziging van het wachtwoord afgedwongen voor een aantal gebruikers- en beheer accountants als gevolg van een instelling op individueel niveau.
- Voor beheertaken op netwerkniveau wordt gebruik gemaakt van accounts die niet herleidbaar zijn naar een natuurlijk persoon.
- Op applicatieniveau wordt ook gebruik gemaakt van niet persoonsgebonden accounts.
Follow-up 2019
Periodieke wijziging van gebruikersaccounts
Ook in 2019 hebben wij geconstateerd dat nog niet alle accounts op het netwerk, waaronder accounts van raadsleden, en accounts in Suites voor het Sociaal Domein onder het wachtwoordbeleid vallen. Dit betreft 145 accounts waarvan er 23 persoonsgebonden zijn. Het geformuleerde risico ziet toe op de
persoonsgebonden accounts.
Naar personen herleidbare accounts op het netwerk
Accounts met beheerrechten zijn herleidbaar, op enkele accounts van leveranciers na. Dit punt is afdoende opgevolgd.
Niet naar personen herleidbare accounts in Suites
Niet alle accounts zijn herleidbaar naar een persoon. Dit betreft vijf accounts waarvan bij vier het wachtwoord niet verloopt.
Risico
Mogelijk misbruik user- en beheeraccounts Aanbeveling
Wij bevelen aan om een sterke wachtwoordpolicy in te voeren voor alle accounts waarvoor dit mogelijk is (eindgebruikers en automatiseringspersoneel). Wij bevelen aan om periodiek te controleren of uitgegeven users en rechten in lijn zijn met de autorisatiematrix en op basis van de uitkomst bij te sturen.
Te ondernemen actie voor jaarrekeningcontrole
Controle op de verrichte werkzaamheden met niet persoonsgebonden accounts en accounts waarvan het wachtwoord niet verloopt middels data-analyse. Wij zullen kennisnemen van deze analyse en beoordelen welke aanvullende werkzaamheden in onze controle moet worden uitgevoerd om dit risico te
ondervangen.
Ambtelijke reactie
Periodiek worden alle accounts geanalyseerd. Naar aanleiding van deze bevinding is dit nog eens extra gedaan. Accounts onder wachtwoordbeleid: de lijst met accounts is geanalyseerd en er zijn
vervolgstappen genomen. Een aantal accounts zijn verwijderd en een aantal zijn onder de
wachtwoordpolicy geplaatst. De accounts van de raadsleden worden onder de wachtwoordpolicy geplaatst nadat de raadsleden zijn geïnformeerd. Het grootste deel van de accounts betreffen
mailboxen van vergaderruimtes etc. deze accounts hebben beperkte rechten op het systeem. Het punt is hiermee opgevolgd. Niet naar personen herleidbare accounts in Suite betreft een beperkt aantal
accounts die benodigd zijn voor consultants van Centric (voor het inrichten en onderhouden van het systeem, omzetten programmatuur etc.). Naar aanleiding van deze bevinding zijn 2 van deze 5 accounts verwijderd en is voor de overige 3 accounts de wachtwoordpolicy aangepast, deze wachtwoorden verlopen nu ook periodiek. Deze bevinding is hiermee opgevolgd.
Memo
7 Autorisaties Key2Financien ten aanzien van crediteurenstamgegevens zijn te ruim ingeregeld Bevinding voorgaande jaren
In het verleden hebben wij geconstateerd dat ten aanzien van de autorisaties binnen Key2Financien de rechten voor bepaalde gebruikers ruimer zijn toegekend dan in opzet is vastgelegd. In 2018 constateren wij alleen nog dat gebruikers rechten hebben tot het wijzigingen van crediteurenstamgegevens waarvan dit gezien de benodigde functiescheiding het betalingsproces niet gewenst is.
Follow up 2019
Wij hebben vastgesteld dat er geen vierogen principe op het wijzigen van crediteurstamgegevens is ingericht in Key2Financien. Wij begrijpen van u dat sinds april 2019 bij een betaling aan een gewijzigd crediteur bankrekeningnummer of bij een betaling aan een nieuwe crediteur in Key2financien altijd afgedwongen wordt dat deze facturen gecontroleerd worden door een tweede medewerker. Tien accounts mogen crediteurenstamgegevens wijzigen. Van deze tien accounts zijn er acht rechtstreeks herleidbaar naar een natuurlijk persoon. In de praktijk wijzigt normaliter een persoon de
crediteurenstamgegevens, dit betekent dat de bevoegdheden van de overige accounts ingeperkt kunnen worden.
Risico
Onrechtmatig gebruik van rechten waardoor onrechtmatig middelen kunnen worden onttrokken.
Aanbeveling
Wij bevelen aan om in Key2Financien het vierogen principe systematisch in te regelen op het wijzigen van crediteurenstamgegevens en deze rechten te scheiden van betalingsbevoegdheid in het bankpakket. Wij bevelen tevens aan om periodiek te controleren of uitgegeven users en rechten in lijn zijn met de autorisatiematrix en op basis van de uitkomsten bij te sturen. Neem hierin de rechten tot de onderliggende database mee.
Te ondernemen actie voor jaarrekeningcontrole
Wij verzoeken ten behoeve van de jaarrekening inzichtelijk te maken of gebruikers die betalingen hebben uitgevoerd ook crediteurenstamgegevens hebben gewijzigd. Wij zullen kennisnemen van deze analyse en beoordelen welke aanvullende werkzaamheden in onze controle moet worden uitgevoerd om dit risico te ondervangen.
Ambtelijke reactie
Het aantal accounts dat crediteurenstamgegevens kan wijzigen is inmiddels teruggebracht. De rechten van een aantal applicatiebeheerders zijn op dit punt ingeperkt.
Door het inrichten van de extra control in K2F per april 2019 is dit punt opgevolgd.
Memo
8 Ontbreken functiescheiding binnen Suites voor het Sociaal Domein Bevinding voorgaande jaren
Wij hebben in het verleden geconstateerd dat autorisaties binnen Suites voor het Sociaal Domein te ruim zijn ingeregeld en dat niet in alle gevallen een vier ogen principe wordt afgedwongen. Wij hebben de situatie beoordeeld en constateren het volgende: Wij hebben geconstateerd dat een tweede autorisatie niet afgedwongen wordt doordat de stappen in de fase toetsing optioneel zijn en daarmee omzeild kunnen worden. Wij hebben vastgesteld dat tien personen (waarvan acht applicatiebeheerders) toegang hebben tot de administraties van zowel de gemeente Bergen als de gemeente Gennep.
Follow-up 2019
In 2019 hebben wij vernomen dat u stappen heeft gezet in de procesafspraken en inrichting van de applicatie. Het is echter nog steeds mogelijk de stap toetsing te omzeilen. Dit betekent dat er niet standaard sprake is van een vierogen principe op het toekennen van beschikkingen. Hoewel in 2019 het aantal personen dat toegang heeft tot beide administraties is verminderd, hebben we ook in 2019 geconstateerd dat meer personen dan noodzakelijk toegang hebben tot beide administraties. Acht accounts hebben toegang tot beide administraties. Van deze acht accounts behoren er vier tot
werknemers die niet onafhankelijk zijn van het primaire proces. Het geformuleerde risico ziet met name toe op deze vier accounts.
Risico
Onrechtmatig gebruik van rechten binnen Suites voor het Sociaal Domein.
Aanbeveling
Wij bevelen aan om periodiek te controleren of uitgegeven users en rechten in lijn zijn met de
autorisatiematrix en op basis van de uitkomsten bij te sturen. Tevens bevelen wij aan beheer accounts uit te geven per administratie. Wij bevelen aan om de controle op de goedkeuring van beschikkingen
systeemtechnisch af te dwingen.
Te ondernemen actie voor jaarrekeningcontrole
Aangezien er technisch gezien geen sprake hoeft te zijn van een vierogen principe, hanteren wij een volledig gegevensgerichte controleaanpak ten aanzien van het sociaal domein. Wij hebben de controle voor een deel van het jaar reeds uitgevoerd. Het resterende deel controleren wij tijdens de
balanscontrole.
Ambtelijke reactie
Mede naar aanleiding van deze bevinding zijn de betreffende accounts geanalyseerd. Van de 8 accounts staan er inmiddels 5 op verwijderd, deze worden niet meer gebruikt (dit betrof o.a. recent uit dienst getreden medewerkers). 2 accounts zijn van applicatiebeheerders die zowel voor Gennep als Bergen werken. En 1 account wordt gebruikt door Centric consultants voor het inrichten/onderhouden van het systeem en voor het uitvoeren van het jaarwerk etc. Hiermee is het punt met betrekking tot de accounts welke toegang hebben tot beide administraties opgevolgd.
Ten aanzien van de functiescheiding is het uitgangspunt dat alle zaken (pw/jw/wmo) door de juridisch kwaliteitsmedeweker getoetst worden. Bij afwezigheid van deze medewerker of bij eenvoudige pw zaken kan het voorkomen dat er zaken in Suite collegiaal getoetst worden omdat de doorlooptijd anders te lang wordt. In beide gevallen dient de zaak handmatig aan de collega in Suite toebedeeld te worden.
We gaan vanaf 2020 periodiek d.m.v. een gegevensanalyse op alle toekenningen/werkprocessen
controleren of er sprake is geweest van eenzijdig handelen. Hiermee geven we voldoende opvolging aan de bevinding.
Memo
Attentiepunten jaareinde controle en overige aandachtspunten
In hoofdstuk 2 van de ML staan attentiepunten voor de jaarafsluiting en aanlevering van de jaarstukken. In het kort gaan we in op een aantal attentiepunten:
Aanbestedingsrechtmatigheid.
Voor de onderbouwing van de rechtmatigheid van de aanbestedingen is een spendanalyse nodig. In de reactie op bevinding 3 is aangegeven op welke wijze we hieraan invulling geven.
Nieuwe notitie Grondexploitaties 2019.
De notitie is bekend en gaan we toepassen. De nieuwe categorie warme gronden, dit zijn gronden die op termijn bestemd zijn voor concrete gebiedsontwikkeling door de gemeente, is in Gennep niet aan de orde.
Deze gronden hebben we niet. De afwijkingen van de werkelijke lasten en baten ten opzichte van de
ramingen lichten wij toe. Zo ook de bijstellingen in de exploitatie opzetten. Het stikstof besluit heeft voor de lopende grondexploitaties geen vertragingen.
Voorziening groot onderhoud.
Het onderscheid groot en klein onderhoud is financieel al verwerkt. Het beheerplan is nog recent. Of sprake is van achterstallig onderhoud wordt in beeld gebracht.
Structurele en incidentele baten en lasten.
Het overzicht van incidentele baten en lasten gaan we uitbreiden met een toelichting met ingang van de jaarrekening 2019. Bij de eerstvolgende actualisatie van de financiële verordening gaan we een grensbedrag voor de incidentele baten en lasten opnemen. Het structurele saldo presenteren we al conform het
voorbeeld in de notitie.
Overige attentiepunten.
In deze alinea staan de bevindingen uit het accountantsverslag 2018 die voor 2019 ook van belang zijn. Deze bevindingen nemen we mee in het proces van het opstellen van de jaarstukken.
Overige onderwerpen.
In dit hoofdstuk staan algemene ontwikkelingen waar we als gemeente mee te maken krijgen. De
ontwikkelingen zijn bekend. Voor een aantal geven we hieronder de stand van zaken weer in de gemeente Gennep.
Rechtmatigheidsverantwoording met ingang van het boekjaar 2021.
Met ingang van boekjaar 2021 dient het College van burgemeester en wethouders zelf verantwoording af te leggen aan de Raad over het rechtmatig tot stand komen van de in de jaarrekening verantwoorde baten en lasten alsmede de balansmutaties. In regionaal verband werken we samen in dit voorbereidingsproces en op het gebied van kennisdeling. De daadwerkelijke uitvoering pakken we intern op. De interne acties focussen zich in onze situatie met name op het creëren van bewustwording bij het college en het aanpassen van een verordening.
Memo
Verbijzonderde interne controle.
We hebben een intern controle plan dat we jaarlijks uitvoeren en de bevindingen rapporteren aan het college. Deze vorm past bij de eisen en schaal van onze gemeente. De accountant heeft aangegeven dat onze werkwijze grotendeels voldoet in het kader van de rechtmatigheidsverantwoording vanaf 2021.
Bevindingen visitatiecommissie sociaal domein.
In 2019 heeft de gemeente Gennep zich aangemeld voor deelname aan een onderzoek van de
visitatiecommissie sociaal domein. Gemeente Gennep komt hier vooralsnog niet voor in aanmerking. Om toch grip te krijgen en te houden op de uitgaven in het sociaal domein voert de gemeente Gennep in 2020 zelf een soortgelijk onderzoek uit. De eerste bevindingen van de visitatiecommissie worden meegenomen in het interne onderzoek.
Omgevingswet.
De gemeente Gennep heeft al een omgevingsvisie vastgesteld. Een pilot omgevingsplan voor de kern Ven- Zelderheide is opgestart om hiermee ervaring op te doen.
Verduurzaming gemeentelijk vastgoed.
Een opdracht is verleend voor het opstellen van een inventarisatie van de te nemen maatregelen voor verduurzaming van het gemeentelijk vastgoed. Dit wordt komend jaar vertaald naar een investeringsplan waarna de uitvoering zoveel mogelijk wordt gecombineerd met het groot onderhoud.
Btw compensatie gemeentelijke begraafplaatsen.
Wij hebben eind december bezwaar ingediend tegen de vaststelling BCF over het jaar 2014 en verzocht om een aanvullende bijdrage.
Overige onderwerpen.
De in dit hoofdstuk opgenomen onderwerpen inzake de btw volgen wij en, voor zover van toepassing, ondernemen wij actie.
Memo
IT-beheersing (informatieveiligheid) Stand van zaken invoering BIO.
In 2019 is een organisatie brede GAP-analyse uitgevoerd op basis van de BIO-maatregelen en controls.
Daarbij is gekeken welke controls en maatregelen nog actie behoeven en of deze acties direct of later geïmplementeerd moeten worden. De BIO geeft de ruimte om op basis van een risicoafweging te gaan werken en dat is ook onze insteek. Het gaat om prioriteiten stellen en wat er nu gedaan moet worden en wat tot later kan wachten. De komende maanden gaan we hiermee aan de slag.
De actiehouders (medewerkers die een rol hebben binnen de beveiligingsorganisatie) zijn nu aan zet om aan te geven wanneer de actie gerealiseerd kan worden. Deze acties zullen onderdeel zijn van een verbeterplan wat in mei aan het management ter vaststelling wordt voorgelegd.
Concrete acties waar op dit moment verder aan wordt gewerkt:
- Actualisatie en BIO-proof maken van het informatieveiligheidsbeleid.
- Actualiseren van de belangrijkste bedrijfsprocessen en systemen op basis van de classificatie Beschikbaarheid, Integriteit en Vertrouwelijkheid.
- Er is een Data Protection Impact Assessment (DPIA) uitgevoerd voor het proces sociaal domein en Djuma. Aanbevelingen vanuit informatiebeveiliging worden vertaald naar concrete acties en zullen onderdeel uit maken van het verbeterplan.
