Deloitte.
Delojile Accountants Orlyplejn 10 1043 DP Amsterdam POStb 58110 5 1040 HC Amsterdam Nederjand Tel: 088 288 2888 Fax: 088 288 9735 WWWdeloftfenl
Gemeente Oostzaan B oardletter 12 april 20.13
it
Op alle opdrachten verrlcht door Deloifte zn de Algemene Vooaa,den DienserIening Deloitte Koophan onder nummer 24362837 J Nederland november 2010 gedepone5 b de Kamer van 5 van toepassing DeloiNe Accountants B.V. is ingoschreV in het handeisregisier van de Kamer van Koophandel te Rotterdam Onder nummer 24362853.
Member of Deloille Touche Totimatsu Limjtj
s.v.
D e 101 tte.
Deloitte Accountants B.V. Orlypein 10 1043 DP Amsterdam Postbus 58110 1040 NC Amsterdam Nederland Tel: 088 288 2888 Fax: 088 288 9735 www.deloitte.nl
Aan de raad van de gemeente Oostzaan Postbus 20 1530 AA WORMER cc. het college van burgemeester en wethouders
Datum
Behandeld door
Ons kenmerk
12 april2013
N.R. Fritz RA
PS13-116/dt
Onderwerp
Boardletter 2012
Geachte raad, Wj hebben conform uw opdracht, als onderdeel van de controle van de jaarrekening 2012, d.d. 12 oktober 2012 met kenmerk PS 12-220/dt, de interim-controle voor de gemeente Oostzaan uitgevoerd. U treft in deze boardletter de significante bevindingen aan.
Uitbesteding bedrijfsvoering De gemeente Oostzaan heeft haar bedrijfsvoering uitbesteed aan het samenwerkingsverband OVER-gemeenten (hierna: GR OVER-gemeenten). Voor de gemeente Oostzaan is de GR OVER-gemeenten als serviceorganisatie een belangrijke verbonden partij. Alle processen die leiden tot de verantwoording van baten, lasten en balansmutaties in de jaarrekening vinden plaats in de GR OVER-gemeenten. GR OVER-gemeenten stelt ook de jaarrekening op voor de gemeente Oostzaan. Het college van de gemeente Oostzaan blijft verantwoorcfelijk voor het opstellen van de jaarrekening (en de tussentijdse verantwoordingsinformatie) aan uw raad. Uw gemeente houdt toezicht op de GR OVER-gemeenten door deelname van uw college van burgemeester en wethouders aan het algemeen bestuur van de gemeenschappelijke regeling. Dit biedt uw college de mogelijkheid om toezicht te houden en bij te sturen. U, als raad, heeft een belangrijke kaderstellende en toezichthoudende functie binnen uw gemeente. Dit geldt ook voor de verbonden partij GR OVER-gemeenten, omdat uw raad controleert of de verbonden partij de taken binnen de gestelde kaders uitvoert en of het college hierin de eigen verantwoordelijkheden neemt. Om uw taak als raad op een goede manier te kunnen uitvoeren, is het belangrijk dat u op de juiste momenten over de juiste informatie beschikt met betrekking tot de werkzaamheden door de GR OVER-gemeenten. Psi 3-116/i.
Deloitte.
In onze voorgaande rapporten hebben wij u een Service Level Agreement (SLA) tussen uw gemeente en de GR OVER-gemeenten in overweging gegeven, waarbij uw raad periodiek wordt geInformeerd over de naleving van de afspraken in de SLA. Wij realiseren ons dat dit kan leiden tot een intensieve vorm van toezicht. De laatste tijd wordt, mede ingegeven door maatschappelijke ontwikkelingen, steeds meer gewerkt met auditcommissies of toezichtcommissies om toezichthouders op een goede en professionele manier te ondersteunen. Wij hebben begrepen dat uw gemeente en de gemeente Wormerland een gezamelijke werkgroep hebben, die is samengesteld uit de fractievoorzitters. Wij geven in overweging om de gezamenlijke werkgroep van de gemeenten Oostzaan en Wormerland, eventueel aangevuld met deskundigen, een aantal toezichthoudende taken toe te kennen, die er toe leiden dat deze gezamenlijke werkgroep: •
toezicht houdt op de kwaliteit van (onderdelen van) de interne beheersing bij de GR OVER-gemeenten en de dienstverlening aan uw gemeente;
•
speerpunten benoemt voor de accountantscontrole bij de GR OVER-gemeenten;
•
de uitkomsten van de accountantscontrole bij de GR OVER-gemeenten bespreekt met de accountant van de GR;
•
periodiek uw raad informeert over de uitkomsten van het toezicht.
Als u dat wenst, zijn wij graag bereid om, vanuit onze ervaring met auditcommissies, verder met u van gedachten te wisselen over de aandachtsgebieden op dit vlak die het werkveld van de gezamenlijke werkgroep kunnen vormen.
Voortgang controle 2012 Een goede procesbeheersing en de tijdige en kwalitatief goede oplevering van de concept jaarrekening van uw gemeente met alle achterliggende stukken ter onderbouwing van posten in de jaarrekening, is belangrijk voor een viot jaarrekeningtraject zonder verrassingen of vertragingen. De GR OVER-gemeenten heeft het afgelopen jaar diverse verbetenngen aangebracht in de interne beheersing. Tevens is een actieplan opgezet naar aanleiding van de managementletters 2011 en 2012. Dit actieplan bevat de prioritering en de primaathouder. Dit is een startpunt voor het verder op orde brengen van de interne beheersing. Op andere onderdelen is nog te weinig voortgang geboekt. Dit betreft vertraging in de Verbijzonderde Interne Controle over de eerste drie kwartalen van 2012 bij de processen: WMO, inkoop en aanbesteding en subsidies en Verbijzonderde Interne Controles in het vierde kwartaal. Het, in tijd naar achter, schuiven van deze controles kan gevolgen hebben voor het jaarrekeningtraject van uw gemeente.
PS13-116/2.
Deloitte.
In de boardletter die u bij deze brief aantreft, informeren wij u over de belangrijkste bevindingen van onze interim-controle bij do GR OVER-gemeenten. Onze detailaanbevelingen en attentiepunten die zijn gericht op de interne beheersing van de GR OVER-gemeenten hebben wij uitgebreid gerapporteerd in de managementletter van de GR OVER-gemeenten. Wij hebben tevens aanbevelingen gedaan die in do komende tijd kunnen bijdragen aan structurele verbetering van de interne beheersing. Wij vertrouwen erop met doze boardletter bij te dragon aan het (verder) verbeteren van do interne beheersing van do diverse processen binnen uw organisatie. Tot slot willen wij onzo waardering on dank uitspreken voor de modewerking die ons gedurende de uitvoering van onze werkzaamheden is verleend. Graag willen wij doze rapportage en do daarin opgenomen bovindingen en aanbevelingen nader met u bespreken.
Wij vertrouwen erop u hiermee van dienst te zijn geweest.
Hoogachtend, Delitte countants B.V.
dUnan RA
PS13-1 16/3.
Deloitte. 1. Inleiding 11 Opdracht Wij hebben conform uw opdracht, als onderdeel van cie controle van de jaarrekening 2012, d.d. 12 oktober 2012 met kenmerk PS 12-222/dt de interim-controle voor de Gemeenschappelijke Regeling OVER-gemeenten (hierna: GR OVER-gemeenten) uitgevoerd. U treft in deze boardletter de belangrijkste bevindingen aan. Voor de start van de controle hebben wij in zogenoemde pre-auditmeetings de focus van de controle 2012 met de directie en met het dagelijks bestuur afgestemd. Daarbij zijn ons geen specifieke onderzoeksvragen in de vorm van aandachtspunten meegegeven. In hoofdstuk 2 van deze boardletter rapporteren wij onze bevindingen uit de interim-controle, waarbij wij ook ingaan op de Verbijzonderde Interne Controle (VIC). Onze aanpak is immers deels afhankelijk van de kwaliteit van de door uw organisatie uitgevoerde VIC. Deze controle is primair gericht op de analyse en evaluatie van de interne beheersingsomgeving en de daarin opgenomen maatregelen van interne controle. Tevens heeft deze controle als doelstelling om aandachtspunten ten aanzien van de jaarrekening 2012 te signaleren en onder uw aandacht te brengen. De geselecteerde werkzaamheden zijn afhankelijk van de door ons toegepaste oordeelsvorming, met inbegrip van het inschatten van de risico’s dat de jaarrekening een atwijking van materieel belang bevat als gevoig van fraude of fouten. Bij het maken van deze risico-insehattingen nemen wij de interne beheersing in aanmerking die relevant is voor het opmaken van de jaarrekening en voor het getrouwe beeld daarvan, gericht op het opzetten van controlewerkzaamheden die passend zijn in de omstandigheden. Deze risico-inschattingen hebben echter niet tot doel een oordeel tot uitdrukking te brengen over de effectiviteit van de interne beheersing.
PS13-1 16/4.
Deloitte. 2. Bevindingen interim-controle 2.1. Manaçr Nu diverse taken van het Rijk worden overgedragen aan de gemeenten, is het zaak om een goed beeid te hebben van de inrichting van de bestaande processen. Ais GR OVER-gemeenten de bestaande processen voidoende beheerst, dan kan de voile aandacht worden gericht op de nieuwe taken, processen en geldstromen waarvoor de gemeenten straks verantwoordelijk worden. Daarvoor is het nodig om de bestaande processen te beschrijven en de huidige regeigeving op orde te hebben. Het inrichten en beschrijven van de administratieve organisatie is een beiangrijke waarborg voor een goede procesbeheersing. Uw organisatie heeft de processen nog niet beschreven. Een goede AO-beschrijving gaat in op grote(re) financiëie en niet-flnanciëie risico’s en de inrichting van de beiangrijkste beheersmaatregeien die deze risico’s afdekken. Het zijn geen werkprocesbeschrijvingen, maar scherpe en to-the-point beschreven documenten, die de kern van een proces met de daaraan gekoppeide risico’s schetsen. in toenemende mate zien wij dat bij organisaties een nieuwe balans wordt gezocht tussen regeigeving en eigen verantwoordeiijkheid van de medewerkers die de regeigeving uitvoeren. Kernvragen daarbij zijn: weike vrijheid hebben medewerkers om eigen initiatief te nemen en weike vastleggingen zijn nodig ais medewerkers van deze vrijheden gebruikmaken (pas toe of leg uit). Om hierop in te speien geven wij in overweging vrijheden binnen processen te definiëren en processen op hoofdiijnen uit te werken, zonder dat rigide werkinstructies ontstaan. Wij adviseren om op korte termijn te starten met de procesbeschrijvingen en steiien voor dat u dat gefaseerd aanpakt. Eerst gericht op de grootste processen met de grootste financiëie risico’s. Vervoigens gericht op de minder risicovolie processen of op processen van beperktere financiëie omvang. U kunt er onderbouwd ook voor kiezen om bepaaide processen niet in een AO-beschrijving te vatten, bijvoorbeeld omdat de financiëie impact en de omvang van de risico’s zeer beperkt is. De voigende stap is het toetsen van de naleving van de beiangrijkste beheersmaatregeien die zijn opgenomen in de AO-beschrijvingen. Deze interne controie kan iangs de volgende stappen vorm krijgen: •
Zijn alie van beiang zijnde processen aan bod gekomen?
•
Zijn bij deze processen aiie reievante risico’s benoemd?
•
Dekken de beschreven beheersmaatregelen de onderkende risico’s in voidoende mate af?
•
Werken de medewerkers voigens de processen en geven zij opvolging aan de beheersmaatregeien zoais deze beschreven zijn?
PS13-116/5.
Deloitte. Dit betekent dat de VIC vooral kijkt naar de kwaliteit van de procedures. Do VIC is daarmee een preventieve controlemaatregel: hoe beter de procedure is, hoe kleiner de kans is op afwijkingen. Voor een volledig beeld van de getrouwheid en rechtmatigheid is het ook van belang te controleren of en in welke mate zich afwijkingen en/of onrechtmatigheden hebben voorgedaan. Controlemaatregelen achteraf zijn daarmee minstens zo belangrijk als de preventieve controlemaatregelen. Kortom, naast do reeds uitgevoerde procescontroles zijn ook aanvullende gegevensgerichte werkzaamheden nodig om voldoende zekerheid te verkrijgen van de processen in de VIC. Deze paragraaf vat de belangrijkste bevindingen samen op het vlak van de administratieve organisatie, de interne beheersing en de VIC die volgen uit de iriterim-controle.
Stand van zaken rondom de elementen van “interne beheersing” zijn
Verbijzonderde Interne Controle (VIC)
In onze managementletter 2010 hebben wij aangegeven dat de interne beheersing van GR OVER-gemeenten op ten minste vijf elementen moet verbeteren. In hoofdstuk 2.2 geven wij per element de status aan binnen uw organisatie. Hieruit blijkt dat nog forse stappen gezet dienen te worden. De VIC wordt fase-gewijs ingevoerd. Eind 2012 is gestart met het het opzetten van de VIC van de processen Subsidies, WMO en Europese Aanbesteding. Volgens uw plan van aanpak zou in het 4e kwartaal 2012 voor alle processen VIC worden uitgevoerd. In hoofdstuk 2.3 gaan wij dieper in op de VIC. Voor de processen Subsidies, WMO en Europese Aanbesteding hebben wij nog geen interim-controlewerkzaamheden verricht. U heeft aangegeven eerst zelf VIC op doze processen uit te voeren voordat wij deze processen controleren.
Financiële bedrijfsprocessen
In 2012 is nog te weinig aandacht gegeven aan de verbetering van de processen. Dit blijkt uit de follow-up van de bevindingen 2011. Met het oog op de aanstaande decentralisaties en de nieuwe taken die op u af komen, is het nodig dat uw organisatie de interne beheersing van do bestaande processen verbetert. Op die manier bent u straks klaar om volledig de aandacht te richten op de nieuwe taken en do grote geldstromen die daar bij horen.*
*
De DR OVER-gemeenten heeft inmiddels een actieplan opgezet naar aanleiding van de managementletter 2011 en 2012. Dit actieplan bevat de prioritering en de primaathouder. Dit is een startpunt voor het, op onderdelen, verder op orde brengen van de interne beheersing.
PS13-116/6.
Deloitte.
IT-audit
Wij hebben de inrichting van de IT-omgeving beoordeeld, specifiek op het onderdeel “digitale factuurbehandeling”. Hieruit blijkt dat nog veel moet gebeuren om de betrouwbaarheid van informatie te kunnen waarborgen. Bij onze controle hebben wij werkzaamheden uitgevoerd buiten het systeem om, waardoor een deel van de geconstateerde leemtes is weggenomen. Gm alle leemtes weg te nemen zijn nog diverse werkzaamheden nodig voorafgaand aan het maken van de jaarrekening. Wij maken hierover graag afspraken met u.
Notitie grondexploitatie (BBV)
Door wijzigingen in het BBV is extra aandacht nodig voor de onderbouwing van de waardering en de verwerking van de Niet In Exploitatie Genomen Gronden (NIEGG) in de jaarrekeningen van de gemeenten waarvoor uw gemeenschappelijke regeling de jaarrekeningen opstelt.
22. Elementen in control In onze managementletter 2010 hebben wij aangegeven dat de interne beheersing van GR OVER-gemeenten op ten minste vijf elementen moet verbeteren. Hieronder geven wij per element de status aan en geven wij weer welke acties naar onze mening nodig zijn.
1.
Adequate risicoanalyse als basis voor de procesinrichting.
GR OVER-gemeenten heeft nog geen risicoanalyse. De risicoanalyse is de basis voor de inrichting van de processen. Het is belangrijk om frauderisico’s onderdeel te maken van de risicoanalyse. Daarnaast kan risicoanalyse bijdragen aan een beter inzicht in de risico’s die de deelnemende gemeenten open. Zo bent u beter in staat te bepalen of het weerstandsvermogen van voldoende omvang is.
PS13-11617.
Deloitte. 2.
Adequate en duidelijk vastgelegde procesopzet met op de risicoanalyse gerichte risicomitigerende
De processen zijn nog niet beschreven.
maatregelen. 3.
Goede VIC die nagaat of procesafspraken in de praktijk worden nageleefd en die toeziet dat indien nodig correcties worden aangebracht.
4.
Adequate inrichting van de automatiseringsomgeving die betrouwbaarheid van informatie waarborgt.
Eind 2012 is gestart met de opzet van een VIC. Wij hebben nog geen resultaten kunnen beoordelen.
Wij hebben de inrichting van de IT-omgeving beoordeeld. Daarbij hebben wij in het bijzonder aandacht gehad voor het digitale factuurbehandelingsproces. Er zijn nog veel verbeteringen nodig om de betrouwbaarheid van informatie te kunnen waarborgen.
5.
Voldoende frequente en betrouwbare managementinformatie afgestemd op de informatiebehoeften
De managementinformatie voldoet nog niet aan de eisen die uw financiele verordening artikel 7 daaraan stelt. Dit heeft onder meer geresulteerd in een vertraagde behandeling van de zomernota.
PS13-1 16/8.