Gemeente Ede
Memo Aan
:
Gemeenteraad
Van
:
College van burgemeester en wethouders
Datum
:
12 januari 2016
Opgesteld door
:
Hans van Lent
Zaaknummer
:
41897
Bijlage
:
Conceptrapportage interim-bevindingen controle 2015
Onderwerp
:
Rapportage accountant interim-bevindingen controle 2015
1. Inleiding Met ingang van het boekjaar 2015 heeft de gemeente Ede een nieuwe accountant, PWC. Als eerste is een zogeheten 30 dagen scan uitgevoerd en een rapportage in de vorm van een presentatie daarover uitgebracht. Deze bevindingen zijn met de raad besproken op 7 januari 2016. Aansluitend hierop heeft onze accountant haar interim-controle uitgevoerd en de bijbehorende ”Conceptrapportage interim-bevindingen controle 2015” aangeboden. Deze treft u bijgevoegd aan. Deze rapportage is in de Auditcommissie van 14 januari 2016 behandeld, waarbij de accountant de rapportage nader heeft toegelicht. Het betreffende verslag wordt u eveneens nog toegezonden. De essentie van het rapport treft u aan in paragraaf 1: “Onze belangrijkste boodschappen”. Verderop in de rapportage licht de accountant deze punten nader toegelicht. Wij herkennen ons in de inhoud van deze boodschappen. Samen met de accountant, en in overleg met de Auditcommissie, zullen wij de komende tijd de uitkomsten van het rapport vertalen in ons Audit- en intern controleplan en de prioriteiten en de volgorde daarvan bepalen. Allereerst gericht op de noodzakelijke acties die nog nodig zijn voor onze jaarrekening 2015, maar ook gericht op 2016 en later. Wij komen hierop via de Auditcommissie bij u terug. Wat betreft de (landelijke) problematiek over de haalbaarheid van het verkrijgen van een goedkeurende accountantsverklaring over 2015 hebben wij u al afzonderlijk geïnformeerd in onze memo van 5 januari 2016 (registratienummer 41453) “Actuele ontwikkelingen accountantsverklaring jaarrekening 2015 i.v.m. ontwikkelingen Sociaal Domein”. In de voorliggende rapportage gaat de accountant eveneens uitgebreider in op deze problematiek. 2. Het rapport Zoals aangegeven treft u de samenvatting van het rapport aan in de eerste paragraaf: “Onze belangrijkste boodschappen”. Samenvattend zijn deze gericht op een 3-tal gebieden, waarop wij onderstaand ingaan. Het betreft: 1. interne beheersing, organisatie en ICT; 2. ontwikkelingen Sociaal Domein; 3. Grondzaken Tot slot reageren wij nog kort op een aantal overige gememoreerde ontwikkelingen. Gemeente Ede,Postbus 9022, 6710 HK Ede . Telefoon 14 0318 Bezoekadres: Bergstraat 4, Ede E-mail
[email protected]. Website www.ede.nl.
Gemeente Ede
2.1. Interne beheersing/organisatie en ict. De accountant refereert bij de beoordeling van de interne beheersing en de organisatie aan de belangrijke reorganisatie in 2015 van de middelenfuncties en de vele wijzigingen van de sleutelfuncties. Dit geeft enerzijds aan de bereidheid om te investeren in de kwaliteit van de organisatie en de interne beheersing. Anderzijds trekt dit ook een wissel op het functioneren van de interne beheersing met gevolg dat deze over 2015 niet optimaal heeft gefunctioneerd. Dit onderschijven wij. Dit gevoegd bij de forse opgave die er lag om de ingrijpende veranderingen in het Sociaal Domein vorm te geven, geeft aan dat dit best wel een forse wissel heeft getrokken op de bedrijfsvoering. Daarnaast heeft het door ons uitgevoerde onderzoek op het terrein van ICT uitgewezen dat ook op dat gebied forse inspanningen nodig zijn. De bereidheid om hiervoor extra middelen beschikbaar te stellen geeft aan dat wij als Ede hier snel werk van willen maken. Voor al deze terreinen geldt dat wij samen met de accountant bezien welke concrete stappen en acties nodig zijn, geprioriteerd naar die nog nodig voor de jaarrekening 2015 en die gericht op 2016 en later. Bij de instelling van het cluster Dienstverlening en Bedrijfsvoering is een ontwikkelopgave gedefinieerd die op weg naar 2018 zijn beslag krijgt. Niet alles kan in een keer en is in eerste instantie gericht op de “basis op orde”. Daarnaast heeft de nieuwe accountant een andere controlefilosofie en –aanpak dan wij gewend waren. Van gegevensgericht naar systeemgericht, gericht op een vorm van meer continue controle en effectief en efficiënt zijn door slimme inzet van IT. Eveneens vragen de steeds meer verscherpte eisen die aan de accountantscontrole gesteld worden om een gewijzigde aanpak en een nog meer onafhankelijke positie van de Auditfunctie. In de organisatieaanpassing is hierin voorzien, maar deze moet nog wel zijn beslag krijgen. 2.2 Sociaal Domein Wij onderschrijven de geschetste weerbarstigheid en de grote onzekerheden op het gebied van het sociaal domein. Alle inspanningen waren in eerste instantie gericht op een adequate transitie waarin het belang voor de cliënt voorop stond. Terecht wordt vastgesteld dat de beheersing nu volle aandacht vraagt. Allereerst intern. Tegelijkertijd moeten wij ons bewust zijn van de vele afhankelijkheden die binnen dit terrein aan de orde zijn en die beheersing complex maken. In paragraaf 2.4 worden deze door de accountant genoemd. Op de risico’s daarvan, ook die van de zelfs grote kans op een niet goedkeurende verklaring, zijn wij al uitgebreider ingegaan in onze voornoemde memo van 5 januari jl. Kortheidshalve verwijzen wij daarnaar. De essentie is dat wij los van de noodzakelijke informatie van derden (als zorgaanbieders en SVB) zo veel als mogelijk zelf proberen vast te stellen of de met de aanbieders gemaakte afspraken zijn nageleefd en de afgesproken zorg is verleend. Bij de bepaling van de nog af te spreken werkzaamheden en prioriteiten komt zeker ook de vraag aan de orde in hoeverre de inspanningen nog gericht moeten/kunnen worden op 2015 of dat de energie vooral gericht moet gaan worden op 2016 en later. 2.3 Grondzaken De accountant geeft aan de waardering van onze grondexploitaties te beschouwen als een verhoogd risico. Uiteraard zijn wij ons daarvan ten volle bewust. Op weg naar de jaarrekening zal de accountant bijzondere aandacht aan grondzaken besteden (MPG). In het kader van de interim-controle is al wel gekeken naar de gehanteerde uitgangspunten. De tabel in paragraaf 2.5. geeft van dat oordeel een overzicht. In paragraaf 3.2 refereert de accountant gerefereerd aan de ingrijpende herziening van de BBV op het gebied van grondexploitaties. Over deze punten hebben wij u al eerder, bij de behandeling in uw raad van de uitgangspunten, geïnformeerd en toegezegd deze uit te werken en te betrekken bij de MPG 2016.
Gemeente Ede,Postbus 9022, 6710 HK Ede . Telefoon 14 0318 Bezoekadres: Bergstraat 4, Ede E-mail
[email protected]. Website www.ede.nl.
Gemeente Ede
2.4 Overige punten Tenslotte merken wij voor onderstaande punten nog het volgende op. 2.4.1 Vpb-plicht (paragraaf 3.1). Wij merken op dat de door de accountant genoemde analyses inmiddels zijn uitgevoerd. Al eerder heeft de portefeuillehouder op uw verzoek toegezegd deze (vrij technische materie) nader met u te bespreken in de raadswerkgroep. Dit punt staat voor 11 februari geagendeerd. 2.4.2 BBV (paragraaf 3.3) Naast de hiervoor al genoemde herziening van de BBV regels op gebied van grondexploitaties, zijn er ook wijzigingen aan de orde in het kader van versterking van sturing en verantwoording door de raad. Deels zijn deze al in de begroting 2016 opgenomen (kengetallen in paragraaf weerstandvermogen), deels moeten deze nog worden ingevoerd. Paragraaf 3.3 gaat daar uitgebreider op in. Ook hiervan geldt dat de uitwerking van deze wijzigingen al zijn opgepakt en met de raadswerkgroep programmabegroting verder worden vorm gegeven. 2.4.3 Privacy en security (paragraaf 3.4 en 3.5) Al eerder hebben wij onderkend dat er belangrijke ontwikkelingen op het terrein van privacy en security op stapel stonden en om serieuze versterking vragen. Dat was reden om in de laatste perspectiefnota extra geld op te nemen om hier handen en voeten aan te geven. In het op 1 oktober 2015 van start gegane cluster Dienstverlening en Bedrijfsvoering is dan ook binnen de afdeling Concerncontrol voorzien in de benoeming van een Privacy/security Officer die de bewustwording en de borging op dit terrein heeft opgepakt. 3. Tot slot Met deze memo hebben wij op hoofdlijnen een reactie gegeven van deze eerste bevindingen van onze nieuwe accountant. Deze vragen deels nog om verdieping, detaillering en concretere uitwerking. Sturing daarop zal plaatsvinden via ons Audit- en controleplan. Zoals aangegeven zullen wij dit samen met de accountant en in overleg met de Auditcommissie vorm geven, waarbij een goede prioritering van belang is. In dit plan zullen wij ook de toezeggingen en uitwerkingen vanuit de rapporten van de rekenkamercommissie een plaats geven.
Gemeente Ede,Postbus 9022, 6710 HK Ede . Telefoon 14 0318 Bezoekadres: Bergstraat 4, Ede E-mail
[email protected]. Website www.ede.nl.
Rapportage interimbevindingen controle 2015 Gemeente Ede Concept ter bespreking Gemeente Ede 7 januari 2016
Aan het college van burgemeester en wethouders van gemeente Ede Raadhuisplein 1 6711 DD Ede
7 januari 2016 Referentie:
Geacht college, Hierbij ontvangt u onze bevindingen met betrekking tot onze interimcontrole van de jaarrekening voor het boekjaar dat eindigt op 31 december 2015 van de gemeente Ede.
contact met ons op te nemen. Wij zijn uiteraard graag bereid om de inhoud van dit verslag nader toe te lichten.
Onze belangrijkste bevindingen tot nu toe hebben betrekking op: 1. De status van de implementatie van de decentralisaties binnen uw gemeente en de gesignaleerde risico’s die daarmee samenhangen voor het opstellen van de jaarrekening 2015 2. De ontwikkelingen binnen de grondexploitaties 3. De mogelijke verbeteringen van uw interne controles en het daarbij behorende interne controle plan.
Met vriendelijke groet, PricewaterhouseCoopers Accountants N.V F.E. van Kommer RA
T.A.G van Boxtel RA
Graag bespreken we de inhoud van dit verslag op 7 januari 2016 a.s. met uw gemeentesecretaris, portefeuillehouder financiën, controller en afdelingshoofd financiën. Mocht u vragen hebben, aarzel dan niet om
PricewaterhouseCoopers Accountants N.V., Newtonlaan 205, 3584 BH Utrecht, P.O. Box 85096, 3508 AB Utrecht, The Netherlands T: +31 (0) 88 792 00 30, F: +31 (0) 88 792 95 08, www.pwc.nl ‘PwC’ is the brand under which PricewaterhouseCoopers Accountants N.V. (Chamber of Commerce 34180285), PricewaterhouseCoopers Belastingadviseurs N.V. (Chamber of Commerce 34180284), PricewaterhouseCoopers Advisory N.V. (Chamber of Commerce 34180287), PricewaterhouseCoopers Compliance Services B.V. (Chamber of Commerce 51414406), PricewaterhouseCoopers Pensions, Actuarial & Insurance Services B.V. (Chamber of Commerce 54226368), PricewaterhouseCoopers B.V. (Chamber of Commerce 34180289) and other companies operate and provide services. These services are governed by General Terms and Conditions (‘algemene voorwaarden’), which include provisions regarding our liability. Purchases by these companies are governed by General Terms and Conditions of Purchase (‘algemene inkoopvoorwaarden’). At www.pwc.nl more detailed information on these companies is available, including these General Terms and Conditions and the General Terms and Conditions of Purchase, which have also been filed at the Amsterdam Chamber of Commerce.
Inhoudsopgave 1.
Onze belangrijkste boodschappen
2.
Onze evaluatie van uw interne beheersing Het ‘three lines of defence’ model als basis voor uw en onze werkzaamheden Onze eerste kennismaking met Ede
3.
Evaluatie van de impact van recente ontwikkelingen
Het huidige niveau van uw interne beheersing verdient de aandacht
De Vpb-plicht voor overheidsondernemingen komt eraan: Waar moet u aan denken?
Belangrijke aandachtspunten inzake juiste, volledige en rechtmatige verantwoording lasten Jeugd en WMO geconstateerd.
BBV wordt op gebied van grondexploitaties ingrijpend herzien
Ontwikkelingen in uitgangspunten van uw grondexploitatie
PwC
Onvoldoende zekerheid over getroffen IT beheersmaatregelen Zeg wat je Ziet als standaardonderdeel van onze controle
Wet meldplicht datalekken EU Privacy Verordening 4.
Vooruitkijkend naar de jaarrekeningcontrole 2015 Vooraf afstemming over bijzonderheden in de jaarrekening Tijdens het jaarrekeningtraject zijn wij van de volgende externe partijen afhankelijk
De eerste wijzigingen in BBV zijn al relevant voor uw begroting 2016
Page 3 of 32
1. 1.
2.
3.
4.
PwC
Onze belangrijkste boodschappen Wij zijn met ingang van 2015 de accountant van de gemeente Ede. Wij hebben op een prettige manier kennis gemaakt met uw organisatie. Per 1 oktober is een belangrijke reorganisatie doorgevoerd. Daarnaast zijn veel nieuwe verantwoordelijken aangesteld op sleutelfuncties. Op deze wijze investeert u in de kwaliteit van uw organisatie en interne beheersing. Door het grote aantal wijzigingen heeft de interne beheersing in 2015 niet optimaal gefunctioneerd. Dat betekent dat de komende maanden aanvullende werkzaamheden uitgevoerd moeten worden door uw (nieuw aangestelde) interne controle afdeling en door ons als accountant om de jaarrekeningcontrole te kunnen afronden. De gemeente Ede is ambitieus ten aanzien van de kwaliteit van haar interne beheersing. De doorgevoerde reorganisatie is hierin een eerste stap. Dit geeft de mogelijkheid om een aantal van de bestaande gegevensgerichte controlewerkzaamheden om te zetten in systeemgerichte. Hierdoor bent un gedurende het jaar beter in control. In 2015 zijn in het kader van de decentralisaties taken van het rijk en provincie overgedragen aan de gemeente Ede. De grootste impact hebben de nieuwe taken op het gebied van Jeugd en WMO. Wij hebben tijdens onze interim-controle een eerste beeld gevormd over de beheersing, uitvoering en controles binnen deze taakvelden. We zullen de komende periode hier een verdiepingsslag in maken. De invoering van de decentralisaties is gepaard gegaan met veel onzekerheden. We hebben met uw controller geinventariseerd wat de consequenties zijn voor uw bedrijfsvoering en voor de controle van uw jaarrekening. Op 5 januari is door uw controller een memo opgesteld over de voor de jaarrekening 2015 te volgen handelswijze. Het gevolg van deze situatie is dat over 2015 waarschijnlijk nog geen goedkeurende accountantsverklaring zal worden verstrekt. Het memo zal in de audit committee worden besproken in het kader van besluitvorming. Een groot deel van de taken op het gebied van WMO en Jeugd is middels een samenwerkingsovereenkomst met de regiogemeenten uitbesteed aan het samenwerkingsverband Foodvalley. Gemeente Ede is ten aanzien van
de jeugdzorg afhankelijk van de informatieverstrekking van het knooppunt. Belangrijk is hierbij dat binnen de regiogemeenten solidariteitsafspraken zijn gemaakt waarbij overschotten en tekorten per gemeente met elkaar verrekend worden. Deze verrekening systematiek is van invloed op het jaarafsluitproces en zal door ons bijzondere aandacht krijgen. 5.
Voor de verantwoording van de PGB-gelden is gemeente Ede afhankelijk van de informatievoorziening van de Sociale Verzekeringsbank (SVB). Volgens de meest recente mededelingen wordt een eindafrekening pas in juni 2016 verwacht en dan is het nog de vraag of deze voorzien is van een goedkeurende controleverklaring. Dit geldt overigens landelijk.
6.
In onze controleopzet maken wij bij de uitvoering van onze werkzaamheden gebruik van de werkzaamheden van uw interne controle afdeling. De uitvoering van uw interne controles. De afdeling interne controle is echter na de reorganisatie van 1 oktober 2015 gevormd. Dat heeft als gevolg dat veel interne controle-werkzaamheden nog niet (adequaat) zijn uitgevoerd c.q. zijn gedocumenteerd. Dit leidt voor een aantal processen tot aanvullende werkzaamheden.
7.
Op het gebied van de ICT hebben wij diverse bevindingen geconstateerd, voor de details verwijzen wij u naar paragraaf 2.5. Door deze bevindingen bestaat het risico dat ongeautoriseerde toegang en/of ongeautoriseerde handelingen plaatsvinden binnen Coda en GWS4all. Naar aanleiding van deze bevindingen zijn aanvullende acties noodzakelijk voor de jaarrekeningcontrole 2015.
8.
Uit onze controle werkzaamheden op uw processen blijkt een aantal leemtes in uw primaire processen. Wij adviseren de processen de komende periode goed te evalueren. Verdere details vindt U in bijlage A2.
Page 4 of 32
9.
PwC
De waardering van uw grondexploitaties beschouwen wij als een verhoogd risico. Deze zal binnen onze controle-aanpak bijzondere aandacht krijgen. Wij hebben al gekeken naar de parameters en uitgangspunten welke u met extern advies op een goede wijze onderbouwd heeft. Nadere toelichting is opgenomen in paragraaf 4.2.
Pagina 5 van 32
2.
Onze evaluatie van uw interne beheersing Het ‘three lines of defence’ model als basis voor uw en onze werkzaamheden
Dit model is bedoeld om inzichtelijk te maken op welke wijze de getrouwheid en rechtmatigheid van de jaarrekening is gewaarborgd. Doelstelling hierbij is om zoveel mogelijk kwaliteit in de eerste en tweede lijn te ontwikkelen. Dan werkt de interne beheersing van Ede het best. Waar de interne beheersing niet werkt zullen door uw interne controlemedewerkers, financiële medewerkers en/of door ons aanvullende (veelal gegevensgerichte) werkzaamheden moeten worden verricht om dit te compenseren. Op basis van onze detailbevindingen in bijlage A-2 hebben wij aanvullende gegevensgerichte werkzaamheden bepaald. Compenserende werkzaamheden zorgen vaak voor een extra langdurig jaarrekeningtraject. Onderstaand hebben wij de ‘lines of defence’ nog nader toegelicht. In navolging van de reorganisatie is de organisatie nu bezig met het uitwerken van de processen. Dit is een uitgelezen moment om uw administratieve organisatie hierop aan te passen.
Eerste lijn Clusters
Tweede lijn Financiën/ control
Derde lijn Interne controle
PwC
De afdelingen (primaire lijn) hebben de eerste verantwoordelijkheid voor het dagelijks risicomanagement en kwaliteitsborging, het opzetten van adequate processen en het werken volgens deze processen. Niet voor alle processen is een procesbeschrijving aanwezig, en vaak betreffen dit deelprocessen, en geen totaalbeschrijving.
De ondersteunende diensten zorgen voor de kaders (financieel beleid) waarbinnen de eerste lijn werkt. Hierbij is het van belang dat wordt gemonitord op de naleving van deze kaders en dat dit aansluit op de checks en balances in uw reguliere P&C cyclus.
Uw interne controle toetst met systeemgerichte en gegevensgerichte controles de (uitkomsten van) processen. Dit geeft zekerheid aan het college ten aanzien van de betrouwbaarheid en rechtmatigheid van de informatievoorziening.
PwC heeft een eigen verantwoordelijkheid voor de oordeelsvorming bij uw jaarrekening 2015. Wij zullen hierbij deels gebruik maken van door gemeente Ede uitgevoerde interne controles en hierop testwerkzaamheden uitvoeren. Waar nodig zullen wij zelfstandig aanvullende werkzaamheden uitvoeren. Wij steunen in situaties op de verantwoording en controleverklaring van derden. Wij zullen hiertoe controleinstructies versturen. Nadere analyse hiervan is opgenomen in paragraaf x.x.
Wij hebben begrepen dat de organisatie op dit moment bezig is met het opnieuw formuleren van de processen. Dit is met name vanuit de reorganisatie geïnitieerd.
PwC
Wij zijn van mening dat de kwaliteit van uw interne controles aandacht verdient. We zien voldoende aanknopingspunten om een verbeterslag te maken en de uitvoering op uw ambitieniveau te krijgen. Belangrijkste aandachtspunt is de zichtbare vastlegging van de uitgevoerde risicoanalyse per proces. Op dit moment is het onvoldoende duidelijk waarom welke werkzaamheden per proces worden uitgevoerd. Bij navraag blijkt dat deze analyse wel uitgevoerd wordt, maar een adequate vastlegging hiervan niet aanwezig is. Op dit moment is de interne controle bezig met de risicoanalyse per proces. Wij gaan in de bijlage nader in op de kwaliteit van uw interne beheersing, en de daarmee samenhangende interne controle werkzaamheden.
In paragraaf 2.1 is aangegeven welke processen door ons tijdens de interimcontrole zijn gecontroleerd. Naast de procesgerichte controles hebben wij de ontwikkelingen binnen de grondexploitaties en het sociaal domein in beeld gebracht.
Pagina 6 van 32
Onze eerste kennismaking met Ede De eerste samenwerking met uw organisatie hebben we als prettig en constructief ervaren. Afgelopen najaar hebben wij kennis gemaakt met diverse functionarissen binnen de organisatie. Deze kennismaking heeft plaatsgevonden langs de thema’s van onze “In control scan”. Aan de hand van vragenlijsten hebben wij medewerkers binnen uw organisatie gevraagd diverse vragen te beantwoorden. Meerdere functionarissen hebben dezelfde vragen ingevuld, zodat vastgesteld kon worden dat hieruit een eenduidig beeld naar voren komt of dat juist verschillen van inzichten zijn. Aan de hand van deze vragenlijsten en bijbehorende antwoorden hebben wij vervolgens verdiepingsgesprekken gevoerd met diverse medewerkers. Dit waren constructieve gesprekken, die ons een goede eerste indruk hebben gegeven over de interne beheersing binnen Ede. Wij hebben deze uitkomsten reeds met uw organisatie en de audit committee besproken.
Het huidige niveau van uw interne beheersing verdient de aandacht Het vormen van ons begrip van uw interne beheersing is onderdeel van onze controle. Dit doen we om potentiële factoren te identificeren die invloed hebben op het risico dat het management materiële fouten in de financiële verantwoording niet ontdekt. Indien dergelijke risico’s worden ontdekt, passen we waar nodig onze controleaanpak aan om deze risico’s te mitigeren. Dit rapport is gebaseerd op onze interimcontrole, welke is uitgevoerd in september en december 2015. Wij maken hierbij mede gebruik van uw interne controle werkzaamheden die zijn uitgevoerd door uw organisatie. Deze interne controles zien wij voor diverse processen als een adequate monitoring. De interne controles zijn zoveel mogelijk uitgevoerd tot en met het eerste half jaar 2015. Hierbij hebben wij geconstateerd dat niet alle processen in het eerste half jaar uitgevoerd zijn. Voorbeeld is de uitvoering van de interne controles op het proces van de verstrekkingen in het kader van de WMO (oud). Dit is ook het gevolg van de overgang. Wij hebben hier dan ook niet volledig kennis van kunnen nemen. Wij adviseren u de interne controles per proces meer over het jaar te spreiden. Voorkeur heeft het om de interne controles over de kwartalen PwC
te verdelen. Op deze wijze kan de gemeente anticiperen op ontwikkelingen en geconstateerde bevindingen. De volgende processen hebben onze aandacht gehad: Lonen en salarissen
Inkoop & aanbesteding
Subsidie-verstrekkingen
Grondexploitaties
Belasting en heffingen
Sociale zaken en WMO (oude taken)
Fido en betaal-organisatie
Verhuur en pacht Omgevings-vergunningen
Wij hebben de navolgende bijzonderheden geconstateerd binnen de uitvoering van de interne controles. De bevindingen op procesniveau zijn opgenomen in bijlage A-2.
Pagina 7 van 32
Uw risicoanalyse wordt niet zichtbaar vastgelegd Het startpunt bij het maken van een kwalitatief goed intern controleplan is het maken van een adequate risicoanalyse. Welke inherente risico’s loopt de organisatie? Op welke wijze wordt dit gemitigeerd door de interne beheersing (first line of defence, zie 2.3) Dit zijn belangrijke vragen die de organisatie zichzelf moet stellen. Vervolgens dient uw interne controle deze beheersmaatregelen te toetsen en vaststellen of deze hun adequate werking hebben gehad in 2015. Uit de controleplannen voor 2015 blijkt onvoldoende welke risico’s er per proces te onderkennen zijn, welke beheersmaatregelen deze mitigeren en op welke punten derhalve interne controles moeten plaatsvinden. Uit gesprekken met uw medewerkers blijkt deze informatie wel degelijk aanwezig te zijn binnen de organisatie, maar deze wordt niet expliciet vastgelegd in het interne controleplan. Wij vragen hier uw aandacht voor.
Wat is de omvang indien het fout gaat?
Betreft het een nieuw of moeilijk proces?
Wat is de kans dat het fout gaat?
Uw interne controle medewerkers voeren de werkzaamheden onafhankelijk uit maar hierop zijn uitzonderingen Uw interne controles worden uitgevoerd door uw controller en een aantal daartoe aangewezen functionarissen. Deze medewerkers staan onafhankelijk van de afdelingen en processen en zijn daartoe in staat onafhankelijk controles uit te voeren. De werkzaamheden van de aangewezen functionarissen worden vervolgens aan de controller per proces gerapporteerd. Wij hebben wel geconstateerd dat de uitgevoerde interne controle werkzaamheden op de verstrekkingen in het kader van de Wet Maatschappelijke Ondersteuning en de sociale uitkeringen niet worden uitgevoerd onder de verantwoordelijkheid van de concerncontroller. Wij willen u adviseren om ook de uitvoering van deze werkzaamheden in het kader van de onafhankelijkheid te laten plaatsvinden onder de verantwoordelijkheid van uw concerncontroller. Hierbij hoort ook een zichtbare review op de uitgevoerde werkzaamheden.
Tijdigheid van de uitvoering De uitvoering van de interne controlewerkzaamheden vindt met name per half jaar plaats. Dit betekent ook dat de uitkomsten van het boekjaar pas aan het begin van het opvolgende boekjaar bekend zijn. Dit resulteert erin dat de gemeente onvoldoende ruimte heeft om te kunnen bijsturen, en dan zijn de kosten voor reparatie aan de “achterkant” hoog. Dit resulteert er ook in dat het proces tot het opstellen van de jaarrekening additionele inspanningen vereisen.
Deels nieuw team, risico voor continuïteit
Bevindingen worden jaarlijks gerapporteerd
Als uitvloeisel van de reorganisatie is per 1 oktober 2015 uw nieuwe interne controle team gestart. Wij hebben bij onze controle werkzaamheden vastgesteld dat uw mensen nog zoekende zijn naar de juiste rol. Uw interne controle team is pas gestart en daarmee nog onvoldoende op de hoogte van de processen en de uitgevoerde interne controle werkzaamheden welke binnen de diverse processen en afdelingen worden uitgevoerd. Wij adviseren u om de diverse bedrijfsprocessen gestructureerd uit te werken. Daarnaast adviseren wij u om uw medewerkers meer kennis te laten nemen van de inhoudelijke werkzaamheden van de functionarissen op de diverse processen en afdelingen.
Ten behoeve van de uitgevoerde interne controle werkzaamheden wordt eens per jaar een samenvattend verslag van de uitkomsten van alle controlebevindingen in het boekjaar gemaakt. Wij hebben begrepen dat geen integrale tussentijdse rapportage wordt gemaakt over de uitgevoerde controlewerkzaamheden. Wij adviseren u de tussentijdse resultaten ook formeel te rapporteren. Hierbij adviseren we om naast de geconstateerde punten van de interne controle werkzaamheden ook de rapportages van externe partijen mee te nemen waaronder de Rekenkamercommissie.
PwC
Pagina 8 van 32
Belangrijke aandachtspunten inzake juiste, volledige en rechtmatige verantwoording lasten Jeugd en WMO geconstateerd. Veel taken WMO en Jeugd zijn uitbesteed aan het Knooppunt Met ingang van 2015 zijn de jeugdtaken overgedragen aan de gemeenten en is de WMO uitgebreid. Voor de levering van de zorg heeft gemeente Ede contracten afgesloten met de zorgaanbieders. Hierin zijn vaste prijsafspraken en volumes voor elk zorgproduct gemaakt. In het kader van de decentralisatie zijn cliënten overgedragen met reeds een bestaande indicatie met recht op zorg. Van deze cliënten is binnen de gemeente registratie en zorgindicatie aanwezig. Deze cliënten dienen in 2015 opnieuw geïndiceerd te worden. Naar wij hebben begrepen loopt de indicatiestelling hiervan op schema. Daarnaast heeft de gemeente Ede nieuwe cliënten. Cliënten voor jeugdzorg hebben toegang tot zorg via het CJG / sociaal team of een andere toegang (huisarts, medische specialist, rechter, gecertificeerde instelling). Cliënten worden vervolgens doorverwezen naar een zorgaanbieder waarmee gemeente Ede contracten mee heeft afgesloten. De zorginstellingen stellen vervolgens de zorgplannen op. Het onderdeel jeugdzorg is ondergebracht bij het Knooppunt (samenwerkingsverband t.b.v. de Foodvalleyregio), een backoffice welke belast is met inkoop en facturatie. De participerende gemeenten bevoorschotten het knooppunt. Ook worden hier de materiële controles op de rechtmatigheid van de ontvangen facturen uitgevoerd. De ontvangen facturen welke het Knooppunt niet kan toetsen op rechtmatigheid dienen de participerende gemeenten zelf op te volgen. Middels aangeleverde informatie maakt de gemeente rapportages over de voortgang en de werkelijk te verwachte kosten. Op deze wijze heeft de
PwC
gemeente inzicht in de voortgang en kan men een prognose maken van de bestedingen. De controle op de ontvangen facturen in het kader van de WMO wordt door de gemeente Ede zelf verricht. Momenteel is de gemeente nog bezig om de verdere samenwerking binnen de Foodvalley in de toekomst in te vullen. Voor zowel de onderdelen jeugd en WMO heeft de gemeente Ede c.q. Knooppunt gekozen de verantwoording van de zorginstellingen te laten plaatsvinden op grond van het protocol zoals gehanteerd door de gemeenten Haaglanden. Van de 17 (WOM) respectievelijk 40 (jeugd) grootste aanbieders wordt een accountantverklaring gevraagd op de processen, een zogenaamde ISA 3402 verklaring, omtrent de opzet, bestaan en werking van de processen.
Aanpak van de gemeente Ede De aanpak van de gemeente voor de controle op de lasten Jeugd en WMO is als volgt ingericht:
Controle op de ontvangen facturen door de gemeente zelf of het knooppunt.
Van de meeste aanbieders wordt een bestuursverklaring gevraagd bij de gedeclareerde bedragen over 2015. Deze cijfers vergelijkt de gemeente met de eigen cijfers. Bij verschillen zijn de eigen gegevens leidend maar zal uiteraard een analyse van de verschillen plaatsvinden.
Van de grootste aanbieders wordt een accountantsverklaring opgevraagd t.b.v. de opzet, bestaan en werking van de relevante processen.
Afrekensystematiek Jeugdzorg Binnen de regio Foodvalley is met uitzondering van de landelijke zorg of bovenregionale zorg geen solidariteitsbeginsel overeengekomen. Uitgangspunt bij solidariteit is de vereffening van de pieken bij de kleinere gemeentes. Solidariteit betekent in dit verband dat de feitelijke lasten 2015 voor alle deelnemende foodvalley-gemeenten niet op basis van de afgesproken verdeelsleutel worden toegerekend aan de individuele gemeenten. De uitwerking hiervan kan van invloed zijn op de verantwoording van de lasten in
Pagina 9 van 32
de jaarrekening 2015 van de gemeente Ede. De gemeente heeft inzicht in de wijze waarop de afrekensystematiek onderling is.
informatieverstrekking van de SVB. Naar verwachting ontvangt de gemeente hiertoe de volgende informatie:
Risico’s
Door solidatiteitsprincipe is pas relatief laat duidelijk wat definitieve kosten zullen zijn. Bovenregionale jeugdzorg vormt een extra schakel waardoor mogelijk meer inschattingen gedaan moeten worden voor de totale omvang van de lasten 2015 voor Foodvalley. Het woonplaatsbeginsel vormt ook een risico voor de volledigheid van de kosten. Deze kunnen nog gedurende 2016 binnenkomen. Onduidelijk is of alle instellingen inmiddels op de hoogte zijn van de aan te leveren verantwoording met controleverklaring en of zij dit op tijd kunnen realiseren. Dit zal mede afhangen van de beschikbaarheid van de accountants van de zorginstellingen. Wij adviseren u na te gaan of dit tijdspad bij de zorginstellingen bekend is. Dit tijdspad is meerdere malen gecommuniceerd maar blijft lastig. Meerdere grote en vooral landelijk werkende instellingen hebben aangegeven het landelijke protocol te hanteren.
Een ISAE 3402-verklaring ten aanzien van de opzet en bestaan van het registratiesysteem binnen het SVB; Een financiële verantwoording met controleverklaring tot en met oktober 2015.
Dit betekent dat de gemeente voor de jaarrekening 2015 zelf nog werkzaamheden dient te verrichten over de inschatting van de lasten voor de maanden november en december 2015. Hierbij dient aansluiting gezocht te worden bij de registratie van de PBG-verstrekkingen binnen de gemeente. Tevens dient een inschatting gemaakt te worden van de omvang van de niet verzilverde toekenningen.
U begrijpt dat deze ontwikkelingen een aanzienlijke impact kunnen hebben op uw afsluitingsproces 2015. Wij adviseren u hier een eenduidig plan van aanpak op te stellen en met de raad te bespreken. Wij stemmen dit graag nader met u af.
Overigens geven de verklaringen van de SVB waarschijnlijk onvoldoende nauwkeurige zekerheid voor de getrouwheid en rechtmatigheid van de lasten van PGB’s die voor rekening van de gemeente Ede komen. De controletolerantie waarmee de SVB een verklaring afgeeft, is namelijk naar alle waarschijnlijk groter dan de tolerantie die geldt voor de jaarrekening van de gemeente Ede. Daarnaast kunnen de verklaringen van de SVB anders dan goedkeurend zijn. Indien de gemeente geen eigen informatie heeft, bijvoorbeeld op basis van verstrekte beschikkingen, betekent dit dat de gemeente een onzekerheid heeft in de verantwoorde lasten die materieel kan zijn voor de jaarrekening van de gemeente Ede. De gemeente Ede heeft zicht op de beschikte PGB’s. Onzekerheid zit in de mate waarin verzilvering zal plaats vinden door gebrek aan historische informatie. Voor de rekening 2015 zal de gemeente hiervoor een onderbouwde inschatting maken. Een en ander is recent ook door VNG met gemeenten gecommuniceerd met het advies de eventuele impact op de aard van de controleverklaring 2015 van de gemeente te accepteren.
Nog geen inzicht in volledigheid en rechtmatigheid PGB-gelden
Wijze van verantwoording WSW-bedrijven is met ingang van 2015 veranderd
Voor alle cliënten die een PGB-budget ontvangen worden door de gemeente Ede beschikkingen verstrekt aan de cliënt en de Sociale Verzekeringsbank (SVB). Conform landelijke afspraken verzorgt de SVB het administratieve proces rondom de PGB-verstrekkingen. Gemeente Ede is voor een getrouwe en rechtmatige verantwoording in de jaarrekening 2015 afhankelijk van de
Met ingang van 2015 zullen WSW-bedrijven geen verantwoording meer afleggen via de SiSa-systematiek. Dit betekent dat gemeente Ede op een andere wijze informatie dient te verkrijgen van haar WSW-bedrijven. Wij adviseren u na te gaan welke afspraken hieromtrent zijn of worden gemaakt met uw WSWbedrijven zodat Ede over 2015 voldoende zekerheid heeft over de rechtmatigheid van de verstrekte gelden.
PwC
De regio kan geconfronteerd worden met niet goedkeurende controleverklaringen van de accountant van de zorginstelling. In deze situatie dient te worden overwogen of de declaratie afgerekend kan worden of niet. Hiertoe zal mogelijk ook nadere afstemming met de betreffende zorginstelling moeten plaatsvinden.
Pagina 10 van 32
Processen zijn beschreven, interne controles nog niet ingericht Met betrekking tot het onderdeel Jeugd zijn inmiddels intern de administratieve processen beschreven. Dit betreffen met name de processen rondom de indicatiestelling. De interne controles hebben echter nog niet plaatsgevonden. Wij adviseren u om tijdig afspraken te maken over de wijze van en het tijdspad van uitvoering van de interne controles.
PwC
Pagina 11 van 32
Ontwikkelingen in uitgangspunten van uw grondexploitatie De voorraden, met name de grondexploitaties vormen een belangrijk onderdeel van uw balans. Dit is ad EUR. 162.993.000, zijnde 31% van het balanstotaal (gegevens jaarrekening 2014). Gezien de omvang en de risico’s binnen deze omvangrijke posities besteden wij hier reeds aandacht aan tijdens onze interim controle. Wij hebben gedurende de interim controle reeds kennis genomen van de actualisatie van de uitgangspunten, als onderdeel van de waardering. Deze actualisatie is middels een raadsbesluit door u bekrachtigd. In onderstaande tabel gaan wij nader in op de door u gehanteerde uitgangspunten voor de grondexploitaties. Belangrijkste uitgangspunten
Toelichting 2015
Gehanteerde rekenrente
In 2015 is dezelfde rekenrente gehanteerd als in 2014, 3,0%. In vergelijking met het landelijke beeld is het percentage van 3% normaal.
Kostenstijging
Het kostenstijgingspercentage is conform voorgaande jaren 1,5% oplopend tot 2% in 2019. Dit is niet ongebruikelijk in de markt.
Opbrengstenstijging
Het percentage opbrengstenstijging is in 2015 aangepast van 1% naar 2% in 2019. Het daadwerkelijk realiseren van deze stijging is sterk afhankelijk van de ontwikkelingen op de vastgoedmarkt in de komende jaren. Het is onzeker in hoeverre dit daadwerkelijk kan worden gerealiseerd en dit zal aan de hand van de nog op te leveren onderbouwing worden vastgesteld door ons. Wij hebben dit als optimistisch aangemerkt.
Gehanteerde programmering
Op basis van een uitgevoerd onderzoek door Stec waarin geconcludeerd wordt dat er geen grote wijzigingen zijn in het aanbod en de marktbehoefte zijn er minimale wijzigingen uitgevoerd ten opzoichte van voorgaand jaar. Voor de afzet van bedrijfsgrond is de werkwijze en organisatie wel aangepast. Er wordt door de organisatie een hogere inspanning geleverd tov. De benadering in voorgaand jaar. Een aandachtspunt blijft de afzet van de woningen en gronden in het dure segment.
Fasering
Vanuit het onderzoek van Companen blijkt dat de fasering een aandachtspunt is. Anticiperend hierop heeft de gemeente een aantal acties in gang gezet, dit zijn: /
Onderzoeken van de mogelijkheden naar verdere fasering binnen Veluwse Poort. De mogelijke effecten worden verwerkt in het MPG 2016. Onderzoeken van de mogelijkheden binnen de herontwikkeling van Kernhem B West naar goedkope en middeldure sector. Op diverse locaties staat een afzet van grotere kavels gepland, ongeveer 34 kavels. De gemeente is momenteel bezig met marktonderzoek naar de mogelijke door te voeren aanpassingen.
Vooralsnog is de inschatting dat het doorvoeren van de hierboven beschreven mogelijkheden een negatief effect zullen hebben op de resultaten binnen de grondexploitaties.
PwC
Pagina 12 van 32
Belangrijk uitgangspunt binnen de geplande programmering is het uitgangspunt van 80 sociale woningen per jaar. Eventuele extra behoefte aan sociale woningen is niet meegenomen in de programmering maar zullen door de huidige ontwikkelingen binnen de vraag naar deze woningen mogelijk kunnen veranderen. Verkoopprijzen
Controleverschil (CV)
PwC
Gemeente Ede heeft voorgaand jaar ten behoeve van de marktwaarde van de bouwgronden externe taxaties laten uitvoeren en heeft dit jaar een verdere verdiepingsslag gemaakt, door de specifieke eigenschappen van de objecten in kaart te brengen, en zo meer te kunnen differentiëren in de prijs. Op deze wijze zorgt de gemeente voor een extra zorgvuldigheid. De gemeente beschikt over een taxatieprotocol, taxatieprocedure en taxatiecommissie. Derhalve voldoende functiescheiding binnen proces. Evenwichtig (E)
Optimistisch (O)
Controleverschil (CV)
Pagina 13 van 32
Onvoldoende zekerheid over getroffen IT beheersmaatregelen Als een van de eerste stappen in het kader van de jaarrekeningcontrole 2015 van Gemeente Ede hebben wij de opzet en het bestaan van de algemene ITbeheersmaatregelen beoordeeld rondom het financiële systeem (CODA) en het sociale zaken systeem (GWS4all). De algemene IT-beheersmaatregelen vormen het fundament van de geautomatiseerde gegevensverwerking en vormen daarmee de basis voor een beheerste IT-omgeving. Deze maatregelen zijn verdeeld over de volgende domeinen:
Beveiliging en toegangsbeveiliging Beheer van wijzigingen
Informatie & Automatisering (hierna I&A) organisatie en gerapporteerd in de 30 dagen scan. IT-omgeving is volop in beweging Tijdens 2014 zijn meerdere (grootschalige) verstoringen opgetreden in de ITomgeving van de gemeente, welke veroorzaakt werden door een verouderde ITinfrastructuur. Naar aanleiding van deze verstoringen heeft Gemeente Ede begin 2015 een “Health Check Infrastructuur Gemeente Ede” laten uitvoeren door een derde partij. De belangrijkste aandachtspunten uit deze Health Check hadden betrekking op de verouderde IT-infrastructuur, het ontbreken van formele procedures voor IT-beheerprocessen en het ontbreken van relevante IT-beleidsstukken zoals een informatiebeveiligingsbeleid. Gemeente Ede heeft de resultaten van de Health Check verwerkt in een ‘verbeterplan I&A’ om de kwaliteit van de IT-dienstverlening en betrouwbaarheid en continuïteit van de informatievoorziening te verbeteren. Aanvullend heeft de I&A organisatie een roadmap laten opstellen door een derde partij om eind 2016 de huidige verouderde infrastructuur te transformeren naar een stabiele en toekomstbestendige IT-omgeving. Ten tijde van de audit loopt de uitvoering van dit traject. De bevindingen die naar voren komen uit onze beoordeling van de algemene IT-beheersmaatregelen onderschrijven het beeld dat wordt gerapporteerd vanuit de Health Check en het verbeterplan. De belangrijkste bevindingen zijn: •
IT-operatie (back-up & recovery)
Deze paragraaf bevat de bevindingen ten aanzien van de algemene ITbeheersmaatregelen die een directe impact hebben op de audit aanpak voor 2015. De overige bevindingen zijn afgestemd met het management van de
PwC
Het ontbreken van een formele procedure voor het doorvoeren van wijzigingen in de productieomgeving van GWS4all en CODA. Op basis van interviews met de applicatiebeheerders hebben wij vernomen dat: •
Wijzigingen en wijzigingsverzoeken niet centraal worden geregistreerd;
•
Testverslagen niet/beperkt worden gedocumenteerd;
Vrijgave voor implementatie in de productieomgeving niet/beperkt wordt gedocumenteerd. Het ontbreken van een formele procedure voor het toekennen/wijzigen/verwijderen van autorisaties binnen het netwerk en applicaties. Op basis van interviews met de applicatiebeheerders •
•
Pagina 14 van 32
•
•
hebben wij begrepen dat verzoeken om gebruikers te verwijderen (bijvoorbeeld bij uitdiensttreding) niet in alle gevallen tijdig worden doorgegeven aan applicatiebeheerders. Voor de applicaties CODA en GWS4All vindt geen periodieke controle plaats of de autorisaties in lijn zijn met de functies van de betreffende medewerkers. Dit gebeurd één keer per jaar achteraf. De applicatie CODA maakt gebruikt van Single Sign On (hierna SSO) en steunt op de inlogrestricties van het Windows netwerk. Voor het Windows Netwerk hebben wij vastgesteld dat meer dan 100 persoonsgebonden accounts actief zijn die hun wachtwoord niet periodiek hoeven te wijzigen. Binnen de GWS4all applicatie worden wachtwoord restricties afgedwongen, echter kunnen deze instellingen op gebruiker niveau worden aangepast.
Acties noodzakelijk voor de jaarrekeningcontrole 2015: •
• •
Onze aanbevelingen ten aanzien van de IT: Wij adviseren u om: • Het wijzigingsbeheerproces te formaliseren en te zorgen voor een zichtbare audit-trail, bijvoorbeeld door documentatie te koppelen in de nieuwe helpdeskapplicatie. • Het autorisatiebeheerproces te formaliseren en te waarborgen dat functiewijzigingen en uitdienstmeldingen tijdig gemeld worden aan de applicatiebeheerders en tijdig verwerkt worden in de systemen. • Periodiek te controleren of autorisaties in applicaties in lijn zijn met de functies van de medewerkers en medewerkers bij uitdiensttreding tijdig verwijderd zijn.
Door bovenstaande bevindingen bestaat het risico dat er ongeautoriseerde toegang en/of ongeautoriseerde handelingen plaatsvinden binnen CODA en GWS4all. Wij adviseren u de verbeteracties zoals benoemd in het verbeterplan te realiseren, startend bij de implementatie van voorgenomen infrastructuur wijzigingen. Ons advies is om bij de formalisatie van de IT-beheerprocessen specifieke aandacht te geven aan de bovenstaande bevindingen. Naar aanleiding van deze bevindingen zijn aanvullende acties noodzakelijk voor de jaarrekeningcontrole 2015. Wij gaan nader in overleg met u over deze werkzaamheden. Onderstaand hebben wij de acties opgenomen voor de jaarrekeningcontrole, inclusief de aanbevelingen ten aanzien van de IT omgeving.
Cyber Security is een strategisch probleem en vraagt om organisatie brede aandacht Het aantal cyberincidenten in de publieke sector neemt onverminderd toe en de gevolgen van deze cyberincidenten hebben een steeds grote impact. Vooral persoonsgegevens zijn interessante objecten voor kwaadwillende. Uit onderzoek van PwC blijkt dat Nederlandse organisaties nog zoekende zijn naar een manier om te gaan met de toenemende cyberdreigingen.
PwC
Stel vast dat lijstwerk binnen de financiële applicatie (CODA) en sociale zaken applicatie (GWS4all) betrouwbaar is indien het gebruikt wordt voor de interne controles dan wel de jaarrekeningcontrole. Stel vast de autorisatie inrichting binnen CODA en GWS4all in lijn zijn met de functies van medewerkers. Stel vast dat de in 2015 uitdienst getreden medewerkers tijdig zijn verwijderd en geen mutaties hebben gedaan na datum uitdiensttreding binnen CODA en GWS4all.
Op het gebied van Cyber Security en Privacy hebben wij gedurende onze werkzaamheden een aantal verbeterpunten vastgesteld: Een informatiebeveiligings- & privacy beleid ontbreekt en de gemeente heeft geen integrale risicoanalyse uitgevoerd ten aanzien van de continuïteit, betrouwbaarheid en exclusiviteit van de geautomatiseerde informatievoorziening. De I&A afdeling heeft wel een eerste classificatie op de continuïteit van applicaties uitgevoerd. De gemeente is daarnaast Pagina 15 van 32
voornemens om begin 2016 een informatiebeveiligingsbeleid op te stellen op basis van de Baseline Informatiebeveiliging Gemeenten (BIG). In oktober 2015 is een Security Officer en Privacy Officer gestart. Zij zal verder invulling gaan geven aan het op te stellen informatiebeveiligingsbeleid. Onderdeel van het nieuwe beleid zal ook de naleving van nieuwe privacy wetgeving zijn, zoals de Meldplicht Datalekken die vanaf 1 januari 2016 van kracht is.
Gemeente Ede maakt gebruik van verouderde besturingssystemen (Windows XP en Windows 2003). Deze versies worden niet meer beschermd met beveiligingsupdates door de leverancier en kennen een veelvoud aan kwetsbaarheden. Ook zijn niet alle werkstations voorzien van actuele anti-virus software. In het kader van het ‘verbeterplan I&A’ zijn diverse acties gestart om deze attentiepunten op te lossen waaronder het vervangen van de verouderde systemen en het actualiseren van de antivirus software.
Wij adviseren u de voorgenomen acties ten aanzien van informatiebeveiliging door te voeren en periodiek de risicoanalyse te actualiseren om vast te stellen dat de grootste risico’s binnen de IT-omgeving zijn afgedekt. De in oktober aangestelde Security- en Privacy officer zal hier een belangrijke rol in spelen. Wij adviseren voorts om u hierbij niet uitsluitend op de technische aspecten van informatiebeveiliging en digitale hygiëne te richten, maar ook aandacht te geven aan de wijze waarop gereageerd wordt op beveiligingsincidenten. Nieuwe privacy regelgeving vraagt een goede voorbereiding Vanuit Europa wordt gewerkt aan de uitrol van aangescherpte data privacy regelgeving, welke van toepassing zal worden voor alle EU lidstaten. Het belangrijkste verschil met de huidige Europese Privacyrichtlijn is dat het een Verordening betreft, die direct in werking treedt voor alle Lidstaten. Daarnaast geeft het de toezichthoudende instanties (als het College Bescherming Persoonsgegevens) de mogelijkheid tot het uitdelen van hoge boetes en de verplichting tot het melden van datalekken. Ondanks onzekerheid over de datum van invoering raden wij een vroege start met voorbereiding erop sterk aan. Een andere belangrijke ontwikkeling is dat vanaf 1 januari 2016 overheden die te maken krijgen met een datalek, verplicht zijn dat te melden bij de
PwC
toezichthouder en het getroffen individu. De meldplicht heeft voor uw organisatie een aantal gevolgen. De belangrijkste veranderingen zijn: Elke organisatie is vanaf 1 januari 2016 verplicht een centraal overzicht bij te houden van datalekken. Een datalek hoeft echter alleen gemeld te worden bij de toezichthouder als het leidt tot een ‘aanzienlijke kans op ernstige nadelige gevolgen’ of ‘ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’. Organisaties hebben een eigen verantwoordelijkheid een afweging te maken of een datalek bijvoorbeeld leidt tot ongunstige gevolgen voor de persoonlijke levenssfeer. Met leveranciers (bewerkers) moeten afspraken worden gemaakt om de verantwoordelijke organisatie tijdig te informeren over datalekken bij de leverancier De Autoriteit persoonsgegevens, zoals de nieuwe naam van de toezichthouder luidt, kan straks boetes opleggen tot maximaal 810.000 euro of tien procent van de (wereldwijde) jaaromzet van de organisatie. Deze bevoegdheid heeft de toezichthouder bij vrijwel iedere overtreding van de Wet bescherming persoonsgegevens, zoals het niet op een behoorlijke of zorgvuldige manier verwerken van persoonsgegevens of het te lang bewaren van persoonsgegevens. Wij adviseren u tijdig te starten met de voorbereiding op deze nieuwe wetgeving. Besteed hierbij onder andere aandacht aan: Het inrichten van maatregelen om datalekken tijdig te identificeren en evalueren Het opstellen van een stappenplan hoe te handelen op het moment dat uw organisatie persoonsgegevens lekt Afspraken te maken met leveranciers/partners (bewerkers) over datalekken
Zeg wat je Ziet als standaardonderdeel van onze controle Cultuur en gedrag vormen de drijvende kracht onder het waarde creërende vermogen van iedere organisatie. Sturen op cultuur en gedrag is daarmee van strategisch belang voor de organisatie, de bestuurders, hun klanten en de toezichthouders. Als de cultuur en het gedrag binnen de organisatie niet
Pagina 16 van 32
aansluiten bij de organisatiedoelen en kernwaarden kan dit negatieve effecten hebben, aangezien dit gedrag niet bijdraagt aan de uitvoering van de strategie. Op elk niveau van beheersingsmaatregelen moet sprake zijn van ‘harde’ en ‘zachte’ controleaspecten. Denk bijvoorbeeld aan de handtekening bij een autorisatie, die zowel iets zegt over het proces (hard control: staat de handtekening er daadwerkelijk?) als over het gedrag van de persoon die deze handtekening plaatst (soft control: wordt de handtekening blind gezet of wordt er inhoudelijk kritisch gekeken naar het document?). Ook het bestaan van gedragscodes en het naleven hiervan zijn aspecten die van invloed zijn op de cultuur en het gedrag binnen uw organisatie. Als management in de organisatie hebt u veel invloed op de cultuur en daarmee op de (soft) controls in uw organisatie. Medewerkers stemmen hun gedrag af op de boodschappen die zij denken te ontvangen over wat echt gewaardeerd wordt binnen de organisatie. Deze boodschappen komen tot uiting in een drietal aspecten, namelijk via gedrag (zoals voorbeeldgedrag, tone at the top, maar ook tussen medewerkers
PwC
onderling), symbolen en beslissingen (keuzes die gemaakt worden bij beperkt in te zetten tijd of geld) en systemen en structuren (zoals een performancemanagementsysteem of interne controlemaatregelen). Het verschil tussen wat op deze punten gewenst is en wat daadwerkelijk zichtbaar is in de organisatie laat zien waar verbetermogelijkheden liggen.
Wat ons opvalt binnen gemeente Ede Een van de belangrijkste doelstellingen vanuit de reorganisatie was om de kwaliteit van de interne organisatie en de servicegericht te verbeteren. Inmiddels zijn de organisatorische wijzigingen doorgevoerd. In het verlengde daarvan is de verandering in het gedrag van uw medewerkers belangrijk. Wij willen uw aandacht vragen voor de hiërarchische cultuur die in de oude organisatie aanwezig was. Uit de gevoerde gesprekken concluderen wij dat de medewerkers erg loyaal zijn naar elkaar. Dit brengt het risico met zich mee dat management de interne beheersing doorbreekt en/of dat gewenste veranderingen niet voldoende plaatsvinden.
Pagina 17 van 32
3.
Evaluatie van de impact van recente ontwikkelingen De Vpb-plicht voor overheidsondernemingen komt eraan: Waar moet u aan denken?
Per 1 januari 2016 treedt de Wet modernisering Vpb-plicht overheidsondernemingen in werking. Deze Wet beoogt een gelijk fiscaal speelveld te creëren tussen ondernemingsactiviteiten van het private bedrijfsleven en overheidsondernemingen.
Voorbereidingsfase voorbij Gedurende de parlementaire behandeling van de Wet in de Tweede Kamer en Eerste Kamer heeft u kennis kunnen nemen van de inhoud van de Wet. Wellicht heeft u in deze periode al diverse voorbereidingen getroffen met betrekking tot de Wet. Hierbij valt te denken aan het inventariseren van alle activiteiten van uw gemeente die mogelijk onder het bereik van de Wet vallen, een inventarisatie van de huidige organisatiestructuur van uw gemeente en een inventarisatie van alle bestaande administraties. Al deze onderdelen worden geraakt door de Wet en zullen wellicht op enige wijze moeten worden aangepast. Andere vormen van voorbereiding kunnen betrekking hebben op het gebied van financieel beleid, automatisering en scholing van personeel met betrekking tot de Wet.
Nu aan de slag in de Bouwfase: welke stappen te zetten? Na de voorbereidingsfase is het zaak om uw gemeente nu echt klaar te maken. U moet gaan bouwen aan het organisatiekader van de belaste en/of vrijgestelde activiteiten. Hierbij staan vragen centraal als: 1.
PwC
Voert uw gemeente een bepaalde activiteit zelf uit of wordt deze ondergebracht in een afzonderlijke rechtspersoon of in een
samenwerkingsverband met andere gemeenten? Elke gemaakte keuze hierin leidt tot het aanpassen van een bestaande organisatiestructuur of het opzetten van een nieuwe. Wellicht moeten nv’s, bv’s, stichtingen worden opgericht en samenwerkingsverbanden worden opgezet. 2. Ook moeten allerlei nieuwe contracten worden opgesteld. Hierbij valt niet alleen te denken aan gangbare overeenkomsten zoals arbeidsovereenkomsten, huurovereenkomsten en financieringsovereenkomsten van de belastingplichtig geworden overheidsonderneming, maar ook aan overeenkomsten op het vlak van gemeenschappelijke regelingen en dienstverleningsovereenkomsten. 3. Ook moet de overheidsonderneming worden uitgerust met een financiële administratie die geschikt is om als basis te fungeren voor de heffing van vennootschapsbelasting. Zo moet allereerst een fiscale openingsbalans per 1 januari 2016 worden opgezet en vervolgens jaarlijks een vertaalslag worden gemaakt van het resultaat volgens de regels van het BBV naar de fiscale jaarwinstbepaling. Dit vergt een waardering van alle vermogensbestanddelen die op de fiscale openingsbalans komen te staan. Hierbij gaat het niet alleen om activa zoals gebouwen, machines en installaties, maar ook om de inrichting van de financieringsstructuur en de waardering daarvan. Ook speelt de vraag als: welk gedeelte wil de gemeente met eigen vermogen financieren en welke met (externe) leningen? Op dit punt is ook de (historische) verbondenheid tussen een belaste activiteit en de aangetrokken lening van belang. Verder is van belang om een inschatting te maken met betrekking tot de toerekening van het gebruik van vermogensbestanddelen voor de (belaste) ondernemingssfeer en niet-ondernemingssfeer voor een juiste toerekening van de kosten van deze vermogensbestanddelen. 4. Uiteraard vergt de naderende Vpb-plicht ook het nodige op het vlak van de automatisering. Zo moet de administratie zodanig zijn ingericht (evt. met standaard formats) dat een aangifte Vpb kan worden ingediend.
Pagina 18 van 32
PwC
Pagina 19 van 32
Invoering VPB-plicht is onderhanden De gemeente wordt bijgestaan door een externe partij en worden door de gemeente de benodigde analyses opgesteld. De gemeente is nu druk met het aanleveren van de verschillende documentatie aan deze partij ten behoeve van deze analyse.
BBV wordt op gebied van grondexploitaties ingrijpend herzien
Aanleiding De commissie BBV heeft de verslagleggingsregels rondom grondexploitaties (grexen) kritisch opnieuw beoordeeld. Hiervoor waren een aantal redenen:
de forse afboekingen op de grexen van de afgelopen jaren; de aanbevelingen uit het rapport Vernieuwing BBV van de commissie Depla; de aankomende omgevingswet en de invoering van de VPB plicht speelt een rol
De commissie BBV heeft een aantal voorstellen uitgewerkt die hebben geleid tot wijziging van het BBV c.q. aanpassing van de geldende Nota grondexploitatie. Naar de mening van de commissie leiden de voorstellen tot meer transparantie, eenduidigheid en vermindering van de administratieve lasten. Wij wijzen u er op dat deze aanpassingenaanzienlijke impact op de resultaten van de grondexploitaties en dus op de toekomstig begroting/baten en lasten zullen hebben. De wijzigingen zullen vanaf het boekjaar 2016 van krachtzijn.
Wat gaat er wijzigen?
PwC
Richttermijn van 10 jaar voor de maximale duur van de grondexploitatie. Hier kan alleen goed gemotiveerd en geautoriseerd door de Raad van afgeweken worden. Voor grexen die een langere looptijd hebben moeten aanvullende beheersmaatregelen genomen worden. Deze maatregelen moeten concreet zijn zoals het hebben van contracten voor de periode na tien jaar en het realiseren van opbrengsten in eerdere jaren die alle kosten op voorhand dekken. Een
verplichte maatregel is dat geen indexering mag worden toegepast voor opbrengsten later dan tien jaar. Rente die wordt toegerekend aan grexen moet worden gebaseerd op de werkelijke rente over het vreemd vermogen zijnde: o Rente van eventuele projectfinanciering. o Indien er geen sprake is van projectfinanciering dient het gewogen gemiddelde percentage van de leningenportefeuille naar verhouding eigen vermogen/vreemd vermogen gehanteerd te worden. o Geen rentetoerekening als gemeente geen vreemd vermogen heeft Afschaffing van de categorie NIEGG (niet in exploitatie genomen gronden) in het BBV. Zolang nog geen bouwgrond in exploitatie staan, dienen deze gronden op de balans onder materiële vaste activa als “strategische gronden” verantwoord te worden. Voor de kostentoerekening aan grexen moet verplicht aangesloten worden op kostenverhaalsmogelijkheid uit het Besluit Ruimtelijke Ordening (BRO). Ook de toelichting van de jaarrekening wijzigt op een aantal vlakken, onder meer: o Opname van de uitgangspunten/parameters bij de waardering wordt een verplicht onderdeel van de toelichting o Boekwaarde per m2 NIEGG (strategische gronden) hoeft niet meer te worden toegelicht
Zijn er overgangsbepalingen? Deze wijzigingen hebben geen effect op de waardering per 31 december 2015. Dit voorstel van de commissie BBV gaan in per 1 januari 2016. De huidige NIEGG’s mogen zonder afwaardering worden omgezet naar materiele vaste activa per 1 januari 2016. Echter uiterlijk 31 december 2019 moet een toets plaatsvinden op de marktwaarde tegen de dan geldende bestemming van deze gronden. Deze toets mag ook eerder plaatsvinden. Hierbij mag de afwaardering ven een individueel perceel niet over meerdere jaren verspreid worden
Consequenties voor de waardering van lopende projecten De voorgestelde wijziging in het BBV heeft de volgende consequenties voor de huidige lopende projecten:
Pagina 20 van 32
Lagere opbrengstcalculatie voor langlopende projecten (> 10 jaar) dus lager gecalculeerd eindresultaat. Onder bepaalde omstandigheden zal toegerekende rente veel lager zijn dan nu, voordeel is een gunstiger grondexploitatie, nadeel hogere rentelasten in de reguliere jaarexploitatie. Geen toerekening van rente en kosten meer aan NIEGG’s. Mogelijke afwaardering huidige NIEGG’s vanwege de hertoetsing
Wat moet u als gemeente doen? Wij adviseren u zo spoedig mogelijk de consequenties van de voorgestelde wijzigingen op uw meerjarige grondexploitaties maar ook op uw reguliere begroting in beeld te brengen. Vanzelfsprekend inclusief de VPB consequenties. De wetsvoorstellen roepen nog veel vragen op, de commissie BBV heeft aangekondigd eind eerste kwartaal 2016 met nadere guidamce en een aangepaste nota grondexploitatie te komen.
De eerste wijzigingen in BBV zijn al relevant voor uw begroting 2016 In 2014 heeft de commissie Depla advies uitgebracht over verbetering van het BBV rode draad hierin was het versterken van de horizontale sturing en verantwoording door de raad. Op 1 juli 2015 heeft de stuurgroep Vernieuwing BBV een brochure gepubliceerd waarin de adviezen van de commissie nader uitgewerkt zijn. Een eerste wijziging geldt al voor de begroting 2016 en rekening 2015. Dit betreft het toevoegen van kengetallen aan de paragraaf weerstandsvermogen en risicobeheersing. Het betreft de volgende kengetallen:
netto schuldquote en netto schuldquote gecorrigeerd voor alle leningen in % solvabiliteitsratio grondexploitatie in % structurele exploitatieruimte in % gemeentelijke belastingcapaciteit in %
Naast het opnemen van de tabel met kengetallen in de paragraaf weerstandsvermogen en risicobeheersing dient een beoordeling te worden gegeven van de onderlinge verhouding van de kengetallen in relatie tot de financiële positie. De wijze waarop de kengetallen moeten worden berekend is opgenomen in een ministeriele regeling van 9 juli 2015. In een bijlage bij deze regeling is aangegeven welke vergelijkende cijfers opgenomen moeten worden. Formeel geldt deze wetswijziging vanaf de begroting 2016 en de jaarrekening 2015. Voor wat de vergelijkende cijfers in de jaarrekening 2015 kunt u zich dan beperken tot werkelijke cijfers 2014. Voor berekening van de kengetallen in de begroting is het opstellen van een geprognosticeerde balans noodzakelijk. De BBV-wijzigingen die de komende jaren doorgevoerd worden zijn:
Hanteren van (60) taakvelden: deze komen in plaats van de ‘’oude”’ productramingen. Dit is bedoeld voor standaardisering van de financiële informatie. IV3 gaat dan vervallen. Deze wijze van rapportage komt naast de vrije programma indeling. Geplande invoering 2017/2018 Invoering van een basisset beleidsindicatoren (circa 50) voor begroting en rekening. Er wordt aangesloten bij “Waar staat je gemeente”. Geplande invoering 2017 Verbonden partijen: informatie over verbonden partijen per beleidsprogramma, nota verbonden partijen wordt vereenvoudigd. Geplande invoering 2017 Inzicht in overhead en kosten. Er komt een algemene definitie voor overhead. Overhead wordt een taakveld/programma en niet meer toegerekend aan beleidsprogramma’s. Paragraaf bedrijfsvoering vervalt hiermee. Er komt ook Standard Business Reporting in IV3 keten. Geplande invoering 2017 Stelsel van baten en lasten. Alle investeringen ook die met maatschappelijk nut worden geactiveerd. Geldt voor nieuwe investeringen na 2017. Er komt een uniforme rentetoerekening. Gemeenten moeten een geprognosticeerde balans opnemen in de begroting. | Geplande invoering 2017
In uw begroting 2016 heeft u hier reeds aandacht aan besteed.
PwC
Pagina 21 van 32
Wet meldplicht datalekken Als gevolg van een toenemend aantal inbreuken op de beveiliging van persoonsgegevens, treedt per 1 januari 2016 de Wet meldplicht datalekken in werking. Vanaf die datum zijn bedrijven en overheden verplicht om een datalek te melden bij het College bescherming persoonsgegevens (CBP) en mogelijk bij alle getroffen individuen. Het wel of niet moeten melden van een datalek bij het CBP is afhankelijk van het bestaan van mogelijk ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. Daarbij wordt het verplicht om van alle datalekken die zich in de organisatie voordoen een centrale registratie bij te houden. Niet voldoen aan de meldingsplicht kan resulteren in een boete tot maximaal 810.000 euro of tien procent van de (wereldwijde) jaaromzet van de onderneming. Als gevolg van deze regelgeving wordt het voor ondernemingen van groot belang om een adequaat incident response plan te hebben. Wij adviseren op korte termijn te inventariseren of er een adequaat incident response plan is geïmplementeerd. Onderdeel van een dergelijk plan is het op zodanige wijze inrichten van bedrijfssystemen en –processen dat adequate registratie en tijdige melding van een datalek is gewaarborgd.
PwC
EU Privacy Verordening Naar verwachting zal in de loop van 2016 de EU Privacy Verordening worden aangenomen. De Privacy Verordening krijgt rechtstreeks werking in alle EU lidstaten. Onderdeel van de Privacy Verordening is onder meer de verplichting voor een groot aantal bedrijven om een Functionaris voor de Gegevensbescherming aan te stellen en een privacybeleid te voeren dat schriftelijk moet worden vastgelegd. Verder introduceert de Privacy Verordening voor individuen een 'right-to-be-forgotten' waardoor individuen aanspraak kunnen maken op vernietiging van al hun persoonsgegevens die worden verwerkt. Het is van belang om nu al te beoordelen of de huidige bedrijfsprocessen en – systemen voldoen aan de vereisten die onder de EU Privacy Verordening rechtstreeks gaan gelden. Waar nodig zullen de noodzakelijke aanpassingen moeten worden doorgevoerd. In eerste instantie moeten systemen en processen moeten zodanig zijn ingericht dat eenvoudig inzichtelijk is welke persoonsgegevens per individu worden verwerkt. Vervolgens moet het mogelijk zijn daadwerkelijk te vernietigen.
Pagina 22 van 32
4.
Vooruitkijkend naar de jaarrekeningcontrole 2015 Vooraf afstemming over bijzonderheden in de jaarrekening
Om mogelijke discussies over (significante) bijzonderheden in de jaarrekening in een laat stadium van de jaarrekeningcontrole te voorkomen, hechten wij er aan tijdig afstemming te hebben over deze bijzonderheden. Met uw organisatie hebben wij afgesproken om een aantal zaken eerder te gaan controleren. Hierbij kan gedacht worden aan:
Actualisatie van de grondexploitaties
Onderbouwing van schattingsposten in uw jaarrekening 2015
Duidelijke onderbouwingen van diverse balansposten
Aanvullende gegevensgerichte controle werkzaamheden in het kader van de lonen & salarissen
Om dit proces spoedig te laten verlopen hebben we samen met enkele van uw medewerkers die betrokken zijn bij het opstellen van de jaarrekening en de onderbouwing van de jaarrekeningcontrole een workshop georganiseerd, welke gericht is op het bevorderen van de kwaliteit van de balansdossiers. Uw organisatie laat hier zien dat zij openstaan voor nadere dynamisering van het jaarrekeningtraject.
PwC
Aandacht voor de SiSa-bijlage blijft onverminderd van belang Het ministerie blijft onverminderd kritische op de getrouwheid van de verantwoording in de SiSa-bijlage van de jaarrekening. Gezien het belang wat het ministerie van BZK hecht aan de SiSa bijlage, heeft zij de Audit Dienst Rijk (ADR) gevraagd om dossier reviews uit te voeren bij externe accountants van provincies en gemeenten voor het verantwoordingsjaar 2014. Deze reviews hebben plaatsgevonden in de zomer van 2015. Uit deze reviews blijkt dat het ministerie steeds kritischer wordt op de verantwoording zoals opgesteld door de betreffende provincie of gemeente. Daarom adviseren wij u te blijven inzetten op de kwaliteit van de SiSa verantwoording, met als specifieke aandachtpunten: Rechtmatigheid van de bestedingen Naleving prestatiecriterium Kwaliteit van informatie van derden Gezien het feit dat dit een eerste jaarscontrole is, zullen wij voorafgaande op de jaarrekeningcontrole de SiSa-regelingen meer in detail gaan doornemen om de bijzonderheden vooraf te identificeren. Hiertoe is een specifieke afspraak gepland.
Pagina 23 van 32
Tijdens het jaarrekeningtraject zijn wij van de volgende externe partijen afhankelijk Gedurende het jaarrekeningtraject zijn wij afhankelijk van informatie van uw organisatie, maar ook van informatie van (de accountants van) externe partijen. Dit betreffen de volgende partijen:
ISAE 3402 type 2 inzake loonadministratie
ISAE 3402 type 2 Sociale verzekeringsbank (SVB)/Verantwoording SVB inzake PGB-budgetten Controleverklaringen van zorginstellingen binnen het sociaal domein, afhankelijk van lopende ontwikkelingen
Wij zullen tijdig contact (laten) leggen met deze partijen zodat er goede afspraken worden gemaakt over de tijdigheid en toereikendheid van de informatie.
A. A.1.
Bijlagen Reikwijdte van onze interim-werkzaamheden
Het doel van onze jaarrekeningcontrole is het vormen van een oordeel over de getrouwheid en de rechtmatigheid van de jaarrekening als geheel, zoals bedoeld in het Besluit Accountantscontrole Decentrale Overheden (BADO). Vanuit de jaarrekeningcontrole beoordelen wij de kwaliteit van de administratieve organisatie en interne beheersing voor zover relevant voor onze oordeelsvorming en geven wij geen zelfstandig oordeel over de kwaliteit van de administratieve organisatie en interne beheersing. De controle van de jaarrekening omvat het uitvoeren van controlewerkzaamheden, waaronder risicoanalyse, cijferbeoordelingen, beoordeling van de administratieve procedures en het daarmee samenhangende systeem van interne-beheersingsmaatregelen en gegevensgerichte controlewerkzaamheden. De samenstelling en omvang van die werkzaamheden zijn noodzakelijk voor het verkrijgen van voldoende controle-informatie ter onderbouwing van ons oordeel. Dit rapport is gebaseerd op de interim-werkzaamheden voor het onderzoek van de jaarrekening 31 december 2015. Dit onderzoek heeft zich niet verder uitgestrekt dan noodzakelijk is om tot een oordeel te komen over de jaarrekening 31 december 2015. Het onderzoek is dus niet primair gericht op het signaleren van alle aandachtspunten in de administratieve organisatie en interne beheersing. Hieronder vallen ook die procedures die zijn gericht op de betrouwbaarheid en de continuïteit van de geautomatiseerde informatiesystemen. Verder is onze jaarrekeningcontrole niet specifiek gericht op het ontdekken van mogelijke onregelmatigheden, waaronder fraudes. Als wij een specifiek onderzoek hadden ingesteld, dan hadden wij mogelijk aanvullende zaken gevonden die wij zouden hebben gerapporteerd.
A.2. Detail overzicht Interimbevindingen Proces
Bevinding
Toelichting
Risico
Aanvullende werkzaamheden/advies
Lonen en Salarissen
Onvoldoende functiescheiding
Geconstateerd dat er onvoldoende systeemtechnische functiescheiding aanwezig is bij de verwerking van salarismutaties.
Hierdoor bestaat het risico dat de salarisadministratie onjuiste/onrechtmatig mutaties doorvoert. Daarnaast bestaat het risico dat hierdoor onrechtmatig gelden aan de gemeente worden onttrokken. Het is onvoldoende duidelijk of bepaalde controles zijn uitgevoerd. Dit is naderhand niet meer vast te stellen. Risico is derhalve ongeautoriseerde correcties. Het gebruik van een standenregister zorgt ervoor dat de kans op ongeautoriseerde mutaties/ fouten beperkt is, en de interne beheersing het meest efficiënt wordt ingericht.
Als gevolg van deze leemte in de interne procedure zullen er aanvullende controlewerkzaamheden op salarismutaties moeten worden uitgevoerd om dit risico te mitigeren.
Door de beperkte functiescheiding is er sprake van zelfcontrole bij correcties in salarissen. Lonen en Salarissen
Lonen en Salarissen
PwC
Uitgevoerde controles vinden niet zichtbaar plaats.
Er is geen sprake van een standenregister.
De controle op correcties verwerkt door de salaris verwerker door de salarisadministratie aan het einde van de maand vinden niet zichtbaar plaats.
Het gebruik van een standenregister zorgt ervoor dat de controle op de salarisbetaling zich slechts hoeft te beperken tot de maandelijkse mutaties.
Wij adviseren om een adequate procedure in te richten waarbij er voldoende functiescheiding is. Er dienen aanvullende controles uitgevoerd te worden. Vanaf heden controles zichtbaar maken.
Standenregister invoeren
Pagina 26 van 32
Proces
Bevinding
Toelichting
Risico
Aanvullende werkzaamheden/advies
Lonen en Salarissen
Onvolledige afboeking van de vakantiedagen.
Geconstateerd dat de afboeking van vakantiedagen niet altijd plaatsvindt.
Het risico bestaat dat de schuldpositie inzake vakantiedagen per jaareinde te hoog is. Daarnaast bestaat er een risico met betrekking tot de rechtmatigheid van kosten indien personen meer vakantiedagen opnemen dan waar ze contractueel recht op hebben. Het risico bestaat dat er hiaten zijn in de procedures rondom salarisverwerking en hierdoor de salarissen niet juist worden verwerkt.
Wij adviseren om een adequate procedure in te richten waarbij er voldoende monitoring is op de afboekingen van vakantiedagen.
Het risico bestaat dat RAET onjuiste premiepercentages hanteert wat kan leiden tot een te hoge of te lage afdracht bij de belastingdienst. Dit kan leiden tot een onrechtmatigheid in de uitgaven of eventuele boetes van de belastingdienst. De gemeente blijft altijd verantwoordelijk voor de premiepercentages.
Als gevolg van deze leemte in de interne procedure zullen er aanvullende controlewerkzaamheden uit moeten worden gevoerd om dit risico te mitigeren.
Lonen en Salarissen
Lonen en Salarissen
PwC
Geen zicht op de verwerkingen in de salarisadministratie, welke de organisatie buiten de organisatie heeft geplaatst (service organisatie)
De gemeente heeft een deel van het proces buiten de deur geplaatst. Maar weet niet of dit proces goed werkt.
Geen invoercontrole op de wettelijke premiepercentages.
Geconstateerd dat er geen adequate controle wordt uitgevoerd op de gehanteerde premiepercentages door RAET.
Aanvullende controles op de juistheid van het saldovakantiedagen dient in overleg plaats te vinden.
Wij adviseren u om een procedure in te richten waarbij de zogenaamde ISAE 3402 type 2 verklaring van de accountant van Raet half jaarlijks bij RAET wordt opgevraagd. Daarnaast adviseren we om deze te beoordelen op bijzonderheden die van invloed zijn op de salarisverwerking.
Wij adviseren u om de gehanteerde premiepercentages door RAET te controleren aan de hand van de stukken van de belastingdienst.
Pagina 27 van 32
Proces
Bevinding
Toelichting
Risico
Aanvullende werkzaamheden/advies
Lonen en Salarissen
Mutaties binnen pensioenfonds worden niet gecontroleerd.
Geconstateerd dat er geen controle is op de volledigheid van de aan- en afmeldingen bij het pensioenfonds.
Hierdoor bestaat het risico op een onvolledige en onjuiste schuldpositie. Niet aanmelden leidt ook tot risico dat werknemers niet verzekerd zijn.
Als gevolg van deze leemte in de interne procedure zullen er aanvullende controlewerkzaamheden uit moeten worden gevoerd om dit risico te mitigeren.
Lonen en Salarissen
Geen adequate beheersing van activiteiten uitgevoerd door APG
Geconstateerd dat er geen service level agreement met APG is.
Lonen en Salarissen
Onduidelijkheden in de borging van de VARverklaring.
Geconstateerd dat er onvoldoende monitoring is op de volledigheid van de dossiers van inhuur personeel met betrekking tot de vereisten inzake VAR verklaringen. De VARverklaringen zouden decentraal geadministreerd moeten worden, echter is niet elke afdeling hiervan op de hoogte.
PwC
Hierdoor bestaat het risico dat de dienstverlening van APG te wensen overlaat en de rechten en verplichtingen van beide partijen niet kunnen worden afgedwongen. Hierdoor bestaat het risico dat er geen sociale premies worden afgedragen door de ingehuurde persoon. Hiermee bestaat voor gemeente het risico op een naheffing door de belastingdienst.
Wij adviseren om een adequate procedure in te richten waarbij de volledigheid van de aan- en afmeldingen bij het pensioenfonds is gewaarborgd. Vervolgens adviseren wij u om deze procedure periodiek te toetsen. Hierbij valt te denken aan het maken van een vergelijking tussen de personen die zijn opgenomen in de salarisadministratie en staan vermeld op de verzamelloonstaat en de personen die staan vermeld op de factuur van het pensioenfonds. Voor de jaarrekeningcontrole heeft dit geen directe invloed. Wel adviseren wij u om een SLA op te stellen met APG om zo de rechten en verplichtingen van beide partijen contractueel vast te hebben liggen.
Wij adviseren om een adequate procedure in te richten waarbij de volledigheid van dossiers van inhuur personeel is gewaarborgd. Momenteel liggen deze verantwoordelijkheden bij de afdeling waar de persoon voor wordt ingehuurd. Wij adviseren u om dit centraal te registreren en monitoren. Aanvullend dient de gemeente een controle uit te voeren op de aanwezigheid van de verklaringen.
Pagina 28 van 32
Proces
Bevinding
Toelichting
Risico
Aanvullende werkzaamheden/advies
Inkopen
Onvoldoende aandacht voor de rechtmatigheid van de bestedingen.
Geconstateerd dat een budgethouder facturen kan autoriseren zonder een bewijs prestatielevering toe te voegen.
Hierdoor bestaat het risico dat de budgethouder een factuur autoriseert zonder dat hier een prestatielevering aan ten grondslag ligt. Hierdoor bestaat er een risico in het kader van de rechtmatigheid indien de diensten niet zijn geleverd.
Als gevolg van deze leemte in de interne procedure zullen er aanvullende controlewerkzaamheden uit moeten worden gevoerd om dit risico te mitigeren.
Door het uitblijven van een adequate verplichtingen administratie wordt dit risico verhoogd.
Inkopen
Hiaten bij het aanmaken van kostenplaatsen.
Geconstateerd dat er geen controle plaatsvindt op de juiste toekenning van budgethouders aan kostenplaatsen.
Hierdoor bestaat het risico dat personen facturen goedkeuren welke niet onder hun verantwoordelijkheid vallen.
Wij adviseren om een adequate procedure in te richten waarbij systematisch wordt afgedwongen dat prestatieleveringen dienen te worden bijgevoegd alvorens een factuur geautoriseerd kan worden. Daarnaast adviseren wij om periodiek te toetsen of de prestaties zijn geleverd. Deze activiteit zijn goed belegd kunnen worden bij de interne controle. Wij adviseren om een adequate procedure in te richten waarbij systematisch wordt afgedwongen dat de toekenning van budgethouders aan kostenplaatsen wordt afgedwongen. Door het toevoegen van een invoercontrole wordt dit bereikt. Aanvullend dient bezien te worden of de kostenplaatsen aan de juiste budgethouder zijn gekoppeld.
PwC
Pagina 29 van 32
Proces
Bevinding
Toelichting
Risico
Aanvullende werkzaamheden/advies
Aanbesteden
Volledigheid van de beoordeling inkopen middels aanbestedingsteam is niet geborgd.
Geconstateerd dat niet alle inkopen via de afdeling inkoop lopen.
Hierdoor bestaat het risico dat er door de afdelingen meerdere malen bij eenzelfde leverancier wordt ingekocht en men hierdoor de Nationale/ Europese aanbestedingsgrenzen overschrijdt. Daarnaast bestaat er een fraude risico waarbij de afdeling in gaat kopen bij bekende relaties indien de inkopen per keer onder de interne richtlijnen blijven.
Wij adviseren om de inkopen centraal via de afdeling inkoop te laten verlopen via een inkoopsysteem waarbij de inkopen dienen te worden geautoriseerd.
Treasury
PwC
Treasuryfunctie (commissie) is niet formeel ingericht.
Geconstateerd dat er geen sprake is van een formele treasurycommissie. Momenteel zijn de treasuryactiviteiten van de gemeente zeer beperkt. In de toekomst zal dit anders zijn door de verdere ontwikkeling binnen de grondexploitaties waardoor de leningenpositie omvangrijker wordt.
Doordat afdelingen zelf mogen inkopen bestaat het risico dat er verplichtingen worden aangegaan die niet zijn opgenomen in het contractenregister en hierdoor niet worden gemonitord Een actievere treasurycommissie in de toekomst vereist een formeel kader en proces om onrechtmatige handelingen te beperken.
Nog uit te voeren een analyse van de inkiopen , gericht op de geschetste risico’s
In het verleden is een treasurycommissie niet noodzakelijk geacht in verband met voldoende liquiditeit. We bevelen aan om een treasury commissie in te stellen.
Pagina 30 van 32
Proces
Bevinding
Toelichting
Risico
Aanvullende werkzaamheden/advies
Burgerzaken
Geen adequaat vernietigingsprotocol bij Burgerzaken.
Geconstateerd dat er geen procedure is omtrent registratie van foutieve documenten en vernietiging hiervan.
Hierdoor bestaat er een frauderisico waarbij de foutieve documenten worden gebruikt voor oneigenlijke doeleinden.
Burgerzaken
Procedure kosteloze aanvragen niet aanwezig.
Geconstateerd dat er geen procedure is omtrent kosteloze aanvragen.
Burgerzaken
Juistheid gehanteerde tarieven niet geborgd.
Geconstateerd dat tarieven jaarlijks worden gecontroleerd door de interne controle afdeling. Er wordt echter niet gewaarborgd dat mutaties gedurende het jaar geautoriseerd worden .
Hierdoor bestaat er een frauderisico waarbij personeel burgerzaken onrechtmatig aanvragen kosteloos verwerkt. Hierdoor bestaat het risico dat er gedurende het jaar mutaties worden doorgevoerd die niet worden gecontroleerd en hierdoor mogelijk onjuiste tarieven worden gehanteerd.
Wij adviseren om een adequate procedure in te richten waarbij systematisch wordt afgedwongen dat foutieve documenten worden geregistreerd en vernietigd. Belangrijk dat hier een 4ogenprincipe wordt gehanteerd, en een vernietigingsprotocol wordt opgemaakt. Wij adviseren om een adequate procedure in te richten waarbij systematisch wordt afgedwongen dat kosteloze aanvragen dienen te worden geautoriseerd.
Burgerzaken
Geen adequate beveiligingsprocedures omtrent de toegang tot de kassakluis.
Geconstateerd dat de sleutel van de kluis wordt overgedragen doormiddel van het ‘verstoppen’ van de sleutel. Op moment van de uitvoering van onze controlewerkzaamheden had de kluis een inhoud van € 40.000 .
PwC
Hierdoor bestaat het risico dat de sleutel door iemand anders wordt gevonden, dan waar de sleutel voor bedoeld is of dat de sleutel wordt verloren. Gezien de hoogte van het bedrag wat in de kluis aanwezig is bestaat er een fraude risico.
Wij adviseren om een adequate procedure in te richten waarbij systematisch wordt afgedwongen dat mutaties dienen te worden geautoriseerd. Wel kan middels het opstellen van een omspannende verbandscontrole dit risico deels gemitigeerd worden. Echter betreft dit een detectieve controle, welke geen ruimte geeft tot correctie gedurende het jaar. Ook zou de gemeente middels analyse van logbestanden kunnen vaststellen of de tarieven niet zijn gewijzigd. Wij adviseren om een adequate procedure in te richten waarbij de overdracht van de sleutel op een minder gevoelige manier plaatsvindt. Daarnaast adviseren we om de activiteiten tegen contante betaling te minimaliseren en de kluis eerder af te romen en op de bank te storten.
Pagina 31 van 32
Proces
Bevinding
Toelichting
Risico
Aanvullende werkzaamheden/advies
WMO
Geen controls in het proces, en (nog) geen uitgevoerde ic.
Binnen het proces van de WMO verstrekkingen zijn geen controle momenten opgenomen.
Risico op onrechtmatige verstrekkingen. Ook een grotere kans op fouten door de organisatorische wijzigingen en de druk op de doorloop van de processen.
Aanvullende deelwaarnemingen uit te voeren op de verstrekte voorzieningen.
De functiescheiding omtrent de verstrekkingen ihkv. Sociale zaken is beperkt, hierdoor loopt de gemeente meer kans op onrechtmatige verstrekkingen.
De aantallen gecontroleerde dossiers van de ICfunctie dienen uitgebreid te worden.
Sociale Zaken / Buig & Participatie
Huren en Pachten
Geen controlepunten in het proces.
Standenregister ontbreekt
Momenteel heeft de focus gelegen op de doorloop van het proces om zo de wachttijden terug te dringen. Geen controlepunten in het proces, alleen adequate interne controle op de verstrekkingen.
Geconstateerd dat er geen vergelijking wordt gemaakt tussen de beschikbare m2 en de verhuurde m2. Daarnaast is er geen sprake van een standenregister voor huurcontracten.
Procedures moeten derhalve verbeterd worden Hierdoor bestaat het risico dat de opbrengsten vanuit de huren en pachten niet volledig gefactureerd en verantwoord worden.
We adviseren om per object inzichtelijk te maken wat de maximale verhuurcapaciteit betreft. Daarnaast bevelen we aan om een standenregister op te stellen waarin per contract wordt bijgehouden wat de contractwaarde is, wat de werkelijke opbrengst is en indien hier verschillen in zitten er een verklaring voor dit verschil wordt genoteerd indien het verschil groter dan een bedrag X is. Aanvullend dienen we per jaareinde een analyse te verrichten welke de volledigheid van de opbrengsten borgt.
PwC
Pagina 32 van 32