Managementletter 2015 GGD regio Utrecht
Rotterdam, 19 november 2015
CONCEPT
Agenda Inhoudsopgave Inleiding
2
Algemene bevindingen
3
Bevindingen processen
5
Totaal overzicht bevindingen interimcontrole
24
1
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Inleiding
Aan het dagelijks bestuur van de GGD regio Utrecht t.a.v. Dr. P.L.J. Bos, Directeur Publieke Gezondheid Postbus 51 3700 AB ZEIST
Deloitte Accountants B.V. Wilhelminakade 1 Postbus 2031 3000 CA Rotterdam Nederland Tel: 088 288 2888 Fax: 088 288 9815 www.deloitte.nl
Geachte leden van het dagelijks bestuur, Als onderdeel van de controle van de jaarrekening 2015 van de GGD regio Utrecht (hierna: GGD) hebben wij kennis genomen van elementen uit de interne beheersingsomgeving en de daarin opgenomen maatregelen van interne controle die relevant zijn voor de jaarrekening 2015 (hierna: ao/ic). Hierna treft u de rapportage van de bevindingen naar aanleiding van de interimcontrole aan. De in deze rapportage opgenomen bevindingen zijn waar mogelijk kort en bondig gepresenteerd. De bevindingen zijn besproken met de heer Bos, de heer Eijbersen, de heer Kruisselbrink en de heer van Deijck op 19 november 2015. De in deze rapportage opgenomen bevindingen zijn (voornamelijk) gebaseerd op de door ons gevoerde gesprekken met medewerkers van de GGD. Gezien de timing van de interimcontrole, hebben wij nog geen detailcontroles op alle processen en de financiële administratie uit kunnen voeren. Indien uit de later uitgevoerde detailcontroles nog relevante aanvullingen komen op deze rapportage, informeren wij u hierover op een passend moment.
In deze rapportage is een aantal bevindingen en aanbevelingen opgenomen. De bevindingen en aanbevelingen zijn bedoeld als constructieve input voor het management als onderdeel van het continue proces van het veranderen en verbeteren van de beheersing van uw organisatie. Bij de bevindingen is tevens een prioritering opgenomen. Hieruit volgt dat sprake is van een aantal bevindingen met een hoge prioritering en dat acties nodig zijn om te komen tot een efficiënte en effectieve jaarrekeningcontrole 2015. Een groot deel van deze bevindingen zijn terug te voeren op de in het verleden ontstane problemen met de bezetting van de financiële administratie en control-functie. Ten opzichte van 2014 constateren wij dat de GGD verbeteringen getroffen heeft en druk doende is met de verdere versterking van de financiële administratie, de control-functie en het verbeteren van de ao/ic. De GGD komt hiermee naar onze mening steeds beter ‘in control’. Verdere verbetering van de ao/ic en versterking van de financiële administratie en de control-functie, is mede gelet om de toenemende regeldruk en uitbreiding van activiteiten noodzakelijk. Graag bespreken wij deze rapportage en de daarin opgenomen bevindingen en aanbevelingen nader met u. Tot slot spreken wij onze waardering en dank uit voor de medewerking die ons gedurende de uitvoering van onze werkzaamheden is verleend. Hoogachtend, Deloitte Accountants B.V.
M.F. Witte AA MBA 2
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
Algemene bevindingen
3
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Algemene bevindingen Bezetting financiële administratie en control-functie
De afgelopen jaren heeft de bezetting en mogelijke versterking van de financiële administratie en de control-functie de nodige aandacht gekregen van de organisatie, van het bestuur en in onze rapportages. Er zijn diverse acties opgestart om de positie van de financiële administratie en de control-functie te versterken. Sinds onze vorige rapportage zijn de volgende acties genomen om de financiële functies en de control-functies te versterken: •
Per 1 november 2015 is een manager financiën gestart (hiervoor op interimbasis werkzaam voor de GGD)
•
Per 1 november 2015 is een business controller APG / JGZ gestart.
Gezien de recente ontwikkelingen (GGD huis, invlechting van de A-taken van de GG&GD Utrecht, taken JGZ Utrecht-West) is het takenpakket zwaarder geworden en uitgebreid, waardoor de positie van de financiële administratie en de control-functie onder druk is komen te staan en versterkende maatregelen noodzakelijk zijn gebleken. In vergelijking met vorig jaar, constateren wij dat de GGD een groot deel van onze aanbevelingen opgevolgd heeft of dat de GGD bezig is met de opvolging van de bevindingen. Gezien de hoeveelheid van aanbevelingen en de ontwikkelingen bij de GGD en gemeenten, aanverwante organisaties en de accountantscontrole, zijn echter nog niet alle aanbevelingen opgevolgd. Wij onderschrijven de door de GGD daarbij gehanteerde prioriteitstelling. Alle aanbevelingen met een hoge prioriteit zijn afgewikkeld of onderhanden. De hoofdlijnen van onze bevindingen zijn op de volgende pagina samengevat.
4
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Algemene bevindingen In 2014 was een belangrijke ontwikkeling de overdracht van taken van de GG&GD Utrecht naar de GGD. Het heeft de GGD veel tijd gekost op dit dossier (nagenoeg) succesvol af te ronden. In 2015 is wederom sprake van uitbreiding van taken (JGZ 0-4) en wij constateren dat door beter projectmanagement (mede door de vorig jaar opgedane ervaring) nu sprake is van een ‘soepeler’ traject. Verder constateren wij dat aandacht is voor belangrijke onderwerpen zoals risicomanagement en het uitzetten van strategische doelstellingen van de GGD. Tevens is sprake van versterking van de financiële functie van de GGD. Belangrijke aandachtspunten voor 2015 en verder zijn het optimaliseren van de administratieve organisatie, het verankeren van (verbijzonderde) interne controle in de P&C-cyclus en het verder verbeteren van de IT-omgeving. Voor het jaarrekeningtraject 2015 is het bij aanvang van de jaarrekeningcontrole beschikbaar hebben van een (vrijwel) complete conceptjaarrekening en een goed gevuld opsteldossier van belang. Op korte termijn maken wij nadere afspraken met de organisatie inzake de voor de accountantscontrole benodigde documentatie en de bijbehorende planning.
Voor een compleet overzicht van onze bevindingen en aanbevelingen, zie de hierna volgende bevindingen.
5
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen processen
6
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Toelichting bij tabellen met bevindingen Leeswijzer Er zijn in de komende pagina’s tabellen met detailbevindingen opgenomen. De tabellen zijn in overleg met uw organisatie gegroepeerd. De bevindingen zijn onderverdeeld naar de volgende onderwerpen: •
Bevindingen ten aanzien van uitbreiding activiteiten;
•
Bevindingen die primair bestuurlijke aandacht vergen (beleid en / of toezicht);
•
Bevindingen vanuit wet- en regelgeving;
•
Bevindingen ten aanzien van de ao/ic; en
•
Bevindingen ten aanzien van finance & control onderwerpen.
In deze tabellen is per bevinding aangegeven wat de prioritering is. Om de tabel goed te kunnen interpreteren, geven wij een korte toelichting hoe de prioritering door ons bepaald is. Prioriteit hoog: De bevinding heeft impact op de jaarrekening(controle) 2015. Actie van de GGD is vereist voorafgaand aan de jaarrekeningcontrole 2015 om knelpunten in het jaarrekeningproces te voorkomen. De bevinding heeft aanvullende controlewerkzaamheden van de organisatie en / of Deloitte tot gevolg doordat sprake is van een risico voor de jaarrekeningcontrole 2015.
7
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Vervolg toelichting bij tabellen met bevindingen
Prioriteit middel: De bevinding kan impact hebben op de jaarrekening(controle) 2015. Actie van de GGD is hierdoor niet per definitie vereist voorafgaand aan de jaarrekeningcontrole 2015. Mogelijk heeft de bevinding aanvullende controlewerkzaamheden van de organisatie en / of Deloitte tot gevolg wanneer sprake is van een risico voor de jaarrekeningcontrole 2015. Prioriteit laag: De bevinding heeft op dit moment (nog) geen impact op de jaarrekening(controle) 2015. In komende maanden en jaren kan de bevinding wel impact hebben op de jaarrekening(controle). De bevinding is vooralsnog ter kennisname opgenomen.
Per bevinding is aangegeven of sprake is van een nieuwe bevinding (N) of dat sprake is van een bevinding die reeds eerder gerapporteerd is (O). De letters N of O zijn in de laatste kolom van de tabel opgenomen. Iedere bevinding heeft een uniek kenmerk meegekregen in de donkerblauwe kolom. Dit kenmerkt komt terug in de samenvattende tabel met bevindingen (Totaal overzicht bevindingen interimcontrole). De bevindingen die zijn opgelost, zijn niet langer opgenomen in de volgende pagina’s met detailbevindingen. Hierdoor is geen sprake van een doorlopende nummering meer van kenmerken. In het hoofdstuk ‘bevindingen die primair bestuurlijke aandacht vergen’ is alleen de bevinding met kenmerk ‘FU3’ opgenomen. De bevindingen FU1 en FU2 zijn immers afgewikkeld. In het ‘totaal overzicht bevindingen interimcontrole’ komen deze bevindingen nog wel terug en hebben deze de status ‘gereed’. 8
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen ten aanzien van uitbreiding activiteiten
9
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen ten aanzien van uitbreiding activiteiten
FU3
Bevinding In 2016 is sprake van een omzetstijging van circa € 6,7 miljoen. Dit hangt samen met de uitbreiding van de JGZactiviteiten. Hierdoor neemt tevens het aantal medewerkers van de GGD toe met 68 FTE. Het is van belang dat de ondersteunende afdelingen van de GGD met de activiteiten meegroeien.
Risico De GGD is mogelijk onvoldoende toegerust om deze uitbreiding van activiteiten adequaat te kunnen managen. Mogelijk leidt dit tot onrechtmatige uitgaven.
Actie De volgende acties zijn van belang: • Het sluiten van DVO’s met de gemeenten inzake de nieuwe activiteiten voor 2016. • Het formaliseren van de afspraken inzake de overdrachtsbalans en overdracht van personeel. • Het maken van een sociaal plan (tegemoetkoming woon-werkverkeer, overdracht pensioen, wijzigingen i.vm. overgang cao etc.). • Het in 2015 verwerken van eventuele verplichtingen die aangegaan zijn in 2015 die samenhangen met de uitbreiding van de JGZ-activiteiten. • Evalueren bezetting en benodigde capaciteit ondersteunende afdelingen. • Het in de jaarstukken 2015 toelichten van de uitbreiding van activiteiten. • Aanscherpen budgetbewaking ter voorkoming onrechtmatige begrotingsoverschrijdingen, zowel in 2015 (voorbereiding) als in 2016.
Prioriteit Middel
N/O N
De GGD is momenteel druk doende met bovengenoemde acties.
10
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen die primair bestuurlijke aandacht vergen
11
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen die primair bestuurlijke aandacht vergen (1)
Bevinding De bevinding in 2014 was dat de bezetting van de financiële administratie onder druk stond. Dit was het gevolg van personele wisselingen en toegenomen taken. Er zijn diverse acties genomen ter versterking van de financiële administratie en de P&Ccyclus.
Risico De P&C-cyclus staat onder druk en wordt mogelijk onvoldoende beheerst. Daarnaast kan de betrouwbaarheid van de (financiële) informatie afnemen (zie ook relatie met interne controle).
B2
De GGD frauderisicoanalyse wordt niet (structureel) periodiek geactualiseerd. Ten opzichte van 2014 beschikt de GGD nu over een frauderisicoanalyse.
B3
Investeringskredieten worden tot op heden niet op detailniveau (activumniveau) geraamd. Door de groei van de organisatie is het gewenst om kredieten op activumniveau te registreren om zodoende onrechtmatigheden te voorkomen.
Frauderisico’s zijn niet meer up-todate. Hierdoor zijn de risico’s onvoldoende bekend bij het management en bestuur waardoor geen adequate maatregelen getroffen worden. Op activumniveau kan niet vastgesteld worden dat het AB een investeringskrediet beschikbaar gesteld heeft.
B1
12
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
Actie Versterking heeft in 2014/2015 reeds plaatsgevonden. Het is nu van belang de P&C-cyclus beter te verankeren in de (dagelijkse) werkzaamheden van de medewerkers van de afdeling beheer. Daarnaast is het van belang dat de medewerkers en de administratie voorbereid zijn op de uitbreiding van activiteiten per 1 januari 2016 inzake JGZ. GGD actualiseert de frauderisico’s periodiek (ten minste jaarlijks) en de eventuele interne beheersingsmaatregelen. Mogelijk dienen aanvullende maatregelen te worden getroffen. De GGD dient de investeringskredieten op detailniveau te ramen en uitputting te monitoren.
CONCEPT
Prioriteit Hoog
N/O O
Hoog
O
Middel
O
© 2014 Deloitte The Netherlands
Bevindingen die primair bestuurlijke aandacht vergen (2) B5
Bevinding In de nota ‘Reserves en voorzieningen, weerstandsvermogen en risicomanagement’ van de GGD is opgenomen dat de egalisatiereserve (=algemene reserve) tot maximaal 5% van de jaarlijkse gemeentelijke bijdragen mag zijn, het 'risicofonds Reizigersadvisering' maximaal 10% van de jaaromzet als ook het ‘risicofonds Facultatieve taken’ mag zijn. De egalisatiereserve als ook het risicofonds reizigersadvisering (exclusief omzet Reizigers Utrecht) overschrijden het door het AB vastgestelde maximale omvang. Het is van belang dat uw GGD de actuele risico’s in kaart heeft. De GGD beschikt niet over een gestructureerd (centraal) systeem van risicoanalyse. Volgens planning wordt in november en december 2015 de risicoanalyse gemaakt en wordt de nota reserves en voorziening gemaakt.
13
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
Risico De GGD beschikt mogelijk niet over voldoende weerstandscapaciteit om de risico’s op te kunnen vangen.
Actie Wij adviseren u te komen tot een integrale risicoanalyse voor de GGD. Deze analyse is de basis voor de bepaling van het benodigde weerstandsvermogen en voor de inrichting en verbetering van de administratieve organisatie en de verbijzonderde interne controle. Hiermee wordt tevens de omvang van de risicofondsreserves geëvalueerd.
Prioriteit Hoog
N/O O
Wij adviseren u bij de bepaling van het (toekomstige) benodigde weerstandsvermogen tevens rekening te houden met de uitbreiding van taken JGZ in 2016.
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen die primair bestuurlijke aandacht vergen (3)
B8
B10
14
Bevinding Volgens de gemeenschappelijke regeling dient er een bijdrageverordening te zijn voor de gemeentelijke bijdrage. Deze verordening is er niet. Het beleid op het gebied van veiligheid en risicobeheersing van de geautomatiseerde gegevensverwerking is niet door de GGD geformaliseerd. Er is een notitie door de GGD in voorbereiding.
Risico Bepalingen volgens de gemeenschappelijke regeling worden niet nageleefd.
Actie GGD stelt de bijdrageverordening op en deze wordt vastgesteld door het AB. De eerste acties om te komen tot de bijdrageverordening zijn ingezet.
Prioriteit Midden
N/O O
De geautomatiseerde gegevensverwerking is onvoldoende betrouwbaar.
Er is een notitie door de GGD in voorbereiding. Het is van belang dat hierbij aandacht geschonken wordt onder andere aan: - Logische toegangsbeveiliging - Backup & recovery procedures - Changemanagement procedures - Interne controles gericht op het beheer van rechten - Beleid ten aanzien van superusers en applicatiebeheer
Midden
N
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen vanuit weten regelgeving
15
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen vanuit wet- en regelgeving
W1
Bevinding De impact van de Wet Markt en Overheid en Vpb-plicht is nog niet (volledig) geïnventariseerd door de GGD.
W2 Het inkoop- en aanbestedingsbeleid dient te worden geactualiseerd en te worden verankerd in de organisatie.
16
Risico Wet- en regelgeving wordt niet nageleefd (onrechtmatig, mogelijke sancties).
De aanbestedingswet en de EUaanbestedingsregels worden niet nageleefd.
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
Actie Inzake de VPB neemt de GGD deel aan de afspraken die hieromtrent gemaakt worden door de VAGGD met de belastingdienst. Vervolgens is het voor de GGD van belang dat administratieve maatregelen getroffen worden zodat de afspraken ook kunnen worden nageleefd. Voor de wet Markt en Overheid liggen de acties bij de GGD, hoewel een overlap bestaat met de VPB. De wet heeft echter impact op 2015 en derhalve is actie nodig (inventarisatie marktactiviteiten en vaststelling dat de wet wordt nageleefd). De GGD heeft inmiddels een inkoopen aanbestedingsbeleid. Dit beleid wordt verder verbeterd, om de kaders voor de te volgen aanbestedingsprocedure te verbeteren.
Prioriteit Hoog (Wet Markt en Overheid) Midden(Vpbplicht).
N/O O
Midden
O
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen ten aanzien van de ao/ic
17
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen ten aanzien van de ao/ic
A2
Bevinding Diverse medewerkers kunnen de stamgegevens crediteuren wijzigen. Een controle op de mutaties ontbreekt. Vanaf 1 juni 2015 is in het proces sprake van gewenste functiescheiding tussen het beheer van de crediteurenstamgegevens en de invoering/betaling van inkomende facturen. Deze functiescheiding dient nog in de applicatie te worden gerealiseerd (superusers).
Risico De stamgegevens van crediteuren zijn niet betrouwbaar. Tevens is sprake van een frauderisico.
Actie Ten opzichte van 2014 is sprake van een betere functiescheiding in het administratieve proces.
Prioriteit Midden
N/O O
Het verdient de voorkeur om geen ‘superuser’ met een rol in het dagelijkse proces te hebben. Dit kan worden bewerkstelligd door het applicatiebeheer te beleggen bij medewerkers die niet betrokken zijn bij het factuurafhandelingsproces. De doorgevoerde mutaties van de stamgegevens dienen zichtbaar te worden gecontroleerd. Daarbij geldt ook dat geen sprake kan zijn van zelfcontrole (zie ook hier de relatie met het interne controleplan). Doordat voor 1 juni 2015 nog sprake was van onvoldoende functiescheiding, zijn aanvullende controles achteraf nodig om vast te kunnen stellen dat geen sprake is van onrechtmatige betalingen.
18
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen ten aanzien van de ao/ic
A3
A4
A5
A6
19
Bevinding De GGD beschikt niet over actuele procesbeschrijvingen en de keycontrols zijn onvoldoende uitgewerkt.
Risico Belangrijke interne beheersingsmaatregelen zijn onvoldoende bekend in de organisatie / maatregelen worden onjuist toegepast.
Er is geen procedure voor de verwerking van memoriaalboekingen. Tevens is geen sprake van functiescheiding. In de ao/ic worden diverse controles uitgevoerd (bv. invoer op juiste tarieven, match factuur met contract). Deze worden niet altijd zichtbaar vastgelegd. Er ontbreekt een controle door een onafhankelijke tweede medewerker op de in Pytheas ingevoerde tarieven.
Onjuiste memoriaalboekingen worden niet tijdig gesignaleerd of voorkomen.
Achteraf kan niet meer vastgesteld worden dat bepaalde controles uitgevoerd zijn en wat de bevindingen en conclusies waren. Fouten die gemaakt kunnen worden bij de invoertarieven worden mogelijk niet of niet tijdig gesignaleerd.
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
Actie In het kader van onze audit hebben wij de belangrijkste controls in kaart gebracht. De GGD vult deze controls nader aan en maakt deze analyse onderdeel van de P&C-cyclus. Daarnaast draagt de GGD zorg voor actuele procesbeschrijvingen. De GGD stelt een procedure vast, waarbij een tweede onafhankelijke medewerker de memoriaalboeking goedkeurt.
Prioriteit Midden
N/O O
Midden
O
In het kader van de verdere verbetering van de ao/ic, worden de betrokken medewerkers geïnstrueerd hoe en waarom de uitgevoerde werkzaamheden worden gedocumenteerd. Na invoer van de nieuwe tarieven, wordt een controle uitgevoerd door een onafhankelijke tweede medewerker.
Laag
N
Midden
N
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen ten aanzien van finance & control
20
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen ten aanzien van finance & control F1
F2
F3
21
Bevinding De GGD voert in onvoldoende mate tot geen (verbijzonderde) interne controles uit op onder meer de volledigheid van de opbrengsten, de juistheid van de (loon)kosten en de validiteit van in- en externe financiële informatie.
Risico De GGD mist opbrengsten in een jaar, kosten en/of opbrengsten worden in het onjuiste jaar verantwoord en beslissingen worden genomen op basis van mogelijk onjuiste financiële informatie.
Bij de jaarrekeningcontrole heeft de controle van de overlopende passiva veel tijd gekost, zowel voor de GGD als voor Deloitte. Inmiddels heeft de GGD meer aandacht voor het tussentijds monitoren van de tussenrekeningen. De uitgevoerde werkzaamheden worden echter nog niet volledig (gestructureerd) vastgelegd. Voorgaande jaren had de GGD de jaarrekening en het balansdossier niet gereed bij de start van de jaarrekeningcontrole. In 2014 hebben wij een duidelijke verbetering gezien, maar verdere verbetering in 2015 is nodig.
Het controlespoor ontbreekt en verklaringen en onderbouwingen voor opgenomen verplichtingen ontbreken.
Actie De GGD stelt een intern controleplan op, mede op basis van de uitgevoerde (fraude) risicoanalyse. In dit plan wordt zowel beschreven welke interne controles in een boekjaar worden uitgevoerd, als ook de frequentie, de aanpak, de taakverdeling en de vastlegging van de controle. Uiteraard kunnen wij hierin adviseren, zodat wij er bij onze controles ook op kunnen steunen. Voor 2015 wordt de verbijzonderde interne controle uitgevoerd door een externe partij. Specifieer alle tussenrekeningen, voeg onderbouwingen en verklaringen toe voor tenminste posten > € 10 duizend en geef bij elke post de verwachte termijn van afloop aan en wie de verantwoordelijke manager/budgethouder is.
Prioriteit Midden
N/O O
Midden
O
Hoog
O
De huidige status is dat voor een aantal tussenrekeningen bovenstaande acties inmiddels uitgevoerd worden, maar dat deze nog niet tijdig afgewikkeld worden. Vertraging in het samenstel- en controleproces.
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
Wij adviseren u voldoende aandacht te schenken aan de completering van het balansdossier. Dit mede gezien de deadline van 15 april (wet GR). Wij zullen gebruik maken van een digitale werkomgeving om het samenstelproces beter te kunnen monitoren. Belangrijke aandachtspunten hierbij zijn de vastgelegde controles inzake de volledigheid van de opbrengsten en de onderbouwingen voor de waardering van de voorzieningen
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen ten aanzien van finance & control
F4
F6
22
Bevinding De GGD kan als organisatie de betaalde inkoop BTW niet tot beperkt compenseren. Daarbij is de BTW dus een kostenverhogende component. Bij de controle hebben wij geconstateerd dat de inkoopfacturen in het boekhoudsysteem gedurende het boekjaar exclusief BTW wordt geboekt terwijl in de rapportagetool de cijfers inclusief BTW worden gepresenteerd. De voorziening logopedie dient geactualiseerd te worden.
Risico Er is geen aansluiting tussen beide informatiesystemen waardoor de validiteit van de gebruikte management- en bestuurlijke financiële informatie afneemt.
Actie De BTW wordt (vanaf 2015) direct als kosten geboekt. In overleg met een fiscalist en na afstemming met de inspecteur van de belastingdienst wordt het te hanteren mengpercentage bepaald. De GGD pakt dit in 2016 gelijktijdig met de invoering van de VPB nader op.
Prioriteit Middel
N/O O
Mogelijk is sprake van een onvoorziene toevoeging of vrijval.
Actualiseer de onderbouwingen en uitgangspunten van de voorziening periodiek (bijvoorbeeld per bestuurlijk rapportagemoment) en stem deze tijdig met ons af.
Midden
O
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen ten aanzien van finance & control
F8
F11
F12
F14
23
Bevinding Eén medewerker van de afdeling reizigersadvisering is boventallig. Hiervoor is een voorziening gevormd die naar verwachting ultimo 2015 nihil is. Een liquiditeitsplanning voor de komende maanden ontbreekt.
De kostenverdeelstaat is het product van kosten- en opbrengsttoerekeningen en daar zit nog geen scherpe kostprijscalculatie onder. Mede in verband met uitbreiding van taken (JGZ, WMO) is het van belang goed inzicht te hebben in de kostprijs. De beheerplannen van de onderhoudsvoorzieningen (Nieuwegein en Zeist) zijn (mogelijk) verouderd aangezien deze stammen uit 2011.
Risico Mogelijk is de verplichting ultimo 2015 nog niet afgewikkeld.
Actie GGD maakt een inschatting van de kans dat mevrouw in 2016 productief aan het werk is (binnen de GGD, detachering, uitstroom) en wat de kans is dat de verplichtingen voor de GGD in 2016 nog door lopen.
Prioriteit Hoog
N/O O
Het liquiditeitsmanagement is niet optimaal. Hierdoor worden tevens de regels van het schakistbankieren mogelijk niet juist toegepast. Risico van kruissubsidiëring en onnauwkeurigheden in toerekeningen is aanwezig, waardoor deze staat beperkte informatiewaarde heeft en onjuiste beslissingen genomen worden.
De GGD stelt een liquiditeitsplanning op.
Laag
O
Wij adviseren u de methode van kostentoerekening te evalueren en op basis van de gekozen methodiek te komen tot nieuwe kostprijzen voor die onderdelen binnen uw organisatie, waar dit gewenst is.
Middel
O
Het saldo dat beschikbaar is in de voorziening is mogelijk niet toereikend.
De GGD maakt een analyse per jaareinde (2015) of het saldo in de voorziening toereikend is. Tevens beargumenteert de GGD dat de beheerplannen nog actueel en toereikend zijn. Na (eventuele) strategische keuzes in het huisvestingsbeleid, zal actualisatie plaatsvinden.
Midden
O
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Bevindingen ten aanzien van finance & control
F15
Bevinding Per 1 januari 2016 wordt door de GGD een ERP-systeem geïmplementeerd/
F16
In 2015 is voor reizigersvaccinaties een nieuwe applicatie geïmplementeerd.
F17
De prestatieonderbouwing van ingekochte goederen en diensten wordt niet op een gestructureerde wijze gearchiveerd / kan achteraf niet gereproduceerd worden.
24
Risico Bij de invoering van het ERPsysteem is het systeem nog niet optimaal ingeregeld. Een mogelijk risico hierbij is dat data niet juist en volledig is overgezet en dat de functiescheiding in het systeem nog niet goed ingeregeld is. Dit kan zorgen voor vervuiling in de data en mogelijk onjuiste boekingen en betalingen. Gezien de financiële omvang van deze opbrengsten, dient de applicatie betrouwbaar te zijn. Een mogelijk risico hierbij is dat data niet juist en volledig is overgezet en dat de functiescheiding in het systeem nog niet goed ingeregeld is. Dit kan zorgen voor vervuiling in de data en mogelijk onjuiste boekingen. De rechtmatigheid van inkopen kan achteraf niet vastgesteld worden.
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
Actie De dataconversie van de oude naar de nieuwe applicatie en toekenning van rechten in de nieuwe applicatie worden door de GGD gedocumenteerd en gecontroleerd. Begin 2016 zal tevens een EDPauditor onderzoek doen naar de functiescheiding in de applicatie.
Prioriteit Hoog
N/O N
De dataconversie van de oude naar de nieuwe applicatie en toekenning van rechten in de nieuwe applicatie worden door de GGD gedocumenteerd en gecontroleerd. Begin 2016 zal tevens een EDPauditor onderzoek doen naar de functiescheiding in de applicatie.
Hoog
N
In 2015 zijn de budgethouders voorgelicht over het belang van adequate onderbouwing van de inkopen. Er worden uniforme afspraken gemaakt over de wijze waarop de bewijzen van prestatielevering worden gearchiveerd.
Midden
N
CONCEPT
© 2014 Deloitte The Netherlands
Totaal overzicht bevindingen interimcontrole
25
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Referenti e FU1 FU2 FU3 B1 B2 B3 B4 B5 B6 B7 B8 B9 B10 W1 W2 A1 A2 A3 A4 A5 A6 F1 F2 F3 F4 F5 F6 F7 F8 F9 F10 F11 F12 F13 F14 F15 F16 F17 26
Totaal overzicht bevindingen interimcontrole
Hoog
Overdrachtsbalans GG&GD Utrecht Mogelijk handelen in strijd met begroting Impact op organisatie uitbreiding JGZ-activiteiten Bezetting financiële administratie Frauderisicoanalyse Investeringskredieten Nota ‘Activeren, waarderen en afschrijven’ Risicoanalyse, risicomanagement en reservebeleid Nevenfuncties bestuur en management Strategische beleidsnotitie Bijdrageverordening Controleprotocol en normenkader Beleid geautomatiseerde gegevensverwerking is niet geformaliseerd. Wet markt en Overheid Vennootschapsbelasting Inkoop- en aanbestedingsbeleid Controle betalingen Stamgegevens crediteuren Actuele procesbeschrijvingen en keycontrols Procedure verwerken memoriaal Interne controles zijn niet zichtbaar vastgelegd. Ingevoerde tarieven worden niet zichtbaar gecontroleerd.
X X
Uitvoeren interne controle Controle overlopende passiva Balansdossier jaarrekeningcontrole BTW boeking Foutief boeken facturen Actualisatie voorziening logopedie Topfunctionaris WNT Boventalligheid afdeling reizigers Totaaloverzicht kosten en opbrengsten Marap Consistentie verwerking opbrengsten JGZ Liquiditeitsplanning Kostencalculatie en kostentoerekening Wijzigingen BBV Beheerplannen voorziening onderhoud zijn mogelijk verouderd Aandachtspunten invoering ERP-systeem Aandachtspunten invoering nieuw systeem reizigersvaccin Onderbouwing prestatielevering
X
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
Prioriteit Middel
Status 2015 Laag
X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X x
Gereed Gereed Nieuw Onderhanden Onderhanden Onderhanden Gereed Onderhanden Gereed Gereed Onderhanden Gereed Onderhanden Onderhanden Onderhanden Onderhanden Gereed Onderhanden Niet gestart Niet gestart Nieuw Nieuw Onderhanden Onderhanden Onderhanden Onderhanden Gereed Onderhanden Gereed Onderhanden Gereed Gereed Onderhanden Onderhanden Gereed Nieuw Nieuw Nieuw Nieuw
CONCEPT
Samenvatting Status Aantal Gereed 12 Onderhanden 17 Nieuw 8 Niet gestart 2
© 2014 Deloitte The Netherlands
Actualiteiten
27
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Actualiteiten Wet bescherming persoonsgegevens (Wbp) - Datalek Per 1 januari 2016 treedt een wetswijziging in de Wbp in werking. Als gevolg daarvan moet elke organisatie die persoonsgegevens verwerkt vanaf 1 januari elke inbreuk op de beveiliging melden bij de toezichthouder de Autoriteit persoonsgegevens (opvolger CBP), die: •
leidt tot een aanzienlijke kans op ernstige nadelige gevolgen.
•
ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
In ernstige gevallen moet een dergelijk ‘datalek’ zelfs gemeld worden aan de individuele betrokkenen. Hiermee bestaat er ook een risico op reputatieschade. Doordat datalekken verplicht gemeld moeten worden, kunnen deze daarmee sneller in de publiciteit komen, zeker indien ook melding aan betrokken plaats dient te vinden. Daarnaast kunnen boetes worden opgelegd wanneer verzuimd wordt datalekken tijdig te melden. Deze kunnen oplopen tot € 810.000,-.
Wij adviseren u voor te bereiden op deze wetswijziging. Een hulpmiddel daarbij vormen de volgende vragen: 1. Waar moet een melding binnen komen? 2. Wie moeten intern op de hoogte worden gesteld? 3. Waar kan worden teruggevonden welke maatregelen (technische. Organisatorisch) aanwezig zijn? 4. Met welke juridische aspecten moet rekening worden gehouden? 5. Hoe om te gaan met “lekken” die optreden bij bewerkers van persoonsgegevens? 6. Moeten de betrokkenen geïnformeerd worden? Zo ja, wie doet dat? 7. Wie is verantwoordelijk voor communicatie naar betrokkenen, wat is de te hanteren werkwijze? 8. Wie bepaalt of het datalek gemeld dient te worden bij de Autoriteit persoonsgegevens? 9. Wie stelt de Autoriteit persoonsgegevens vervolgens in kennis? (welk eisen stelt de Autoriteit persoonsgegevens aan de melding? 28
GGD regio Utrecht Bevindingen interimcontrole 19 november 2015
CONCEPT
© 2014 Deloitte The Netherlands
Deze rapportage is alleen bestemd voor de leden van het algemeen bestuur en het dagelijks bestuur van de GGD Regio Utrecht en mag niet in zijn geheel of gedeeltelijk aan derden worden verstrekt of aangehaald zonder onze schriftelijke toestemming vooraf. Er wordt geen verantwoordelijkheid aan een derde partij geaccepteerd, omdat dit verslag daar niet voor opgesteld en bedoeld is. Dientengevolge nemen wij geen enkele verplichting of plicht van zorg aan ieder ander persoon aan wie dit verslag getoond of in zijn handen komt op ons. De in dit verslag aan de orde gestelde onderwerpen zijn door ons geconstateerd gedurende onze controleopdracht waarvan wij van mening zijn dat zij uw aandacht behoeven. Het is geen allesomvattend verslag van alle geconstateerde zaken en in het bijzonder kunnen wij niet verantwoordelijk worden gesteld voor het rapporteren van alle bedrijfsrisico’s of tekortkomingen in het systeem van interne beheersing. Elke conclusie, opinie of opmerking in dit verslag is verstrekt in de context van onze controleverklaring over de jaarrekening als geheel, welke zal worden verstrekt in onze controleverklaring. Evenzo geldt dat de opmerkingen, bevindingen en aanbevelingen met betrekking tot het systeem van interne beheersing niet gelezen dienen te worden als een afzonderlijke opinie van het systeem van interne beheersing en haar werking.
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not provide services to clients. Please see www.deloitte.nl/about for a more detailed description of DTTL and its member firms.
Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries and territories, Deloitte brings world-class capabilities and high-quality service to clients, delivering the insights they need to address their most complex business challenges. Deloitte’s more than 200,000 professionals are committed to becoming the standard of excellence. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the “Deloitte network”) is, by means of this communication, rendering professional advice or services. No entity in the Deloitte network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. © 2014 Deloitte The Netherlands
CONCEPT