Realistisch vooruit Managementletter 17 november 2011

Realistisch vooruit

Managementletter 17 november 2011

Gemeente Eindhoven College van Burgemeester en Wethouders T.a.v. de heer A. Verbakel Postbus 90150 5600 RB Eindhoven 17 november 2011 WO/e0230475/LH/SvD Geacht College, Zoals afgesproken in het dienstverleningsplan ontvangt u hierbij onze managementletter 2011. Het eerste deel van onze interim-werkzaamheden werkzaamheden in het kader van onze controle 2011 2011 is afgerond. Bij de controlewerkzaamheden werkzaamheden zijn tot dusver geen wezenlijke tekortkomingen tekortkomingen geconstateerd die direct gevolgen hebben voor onze controleverklaring. Wij hebben geconstateerd dat er veel veranderingen en ontwikkelingen in gang zijn gezet om in te kunnen spelen op de toekomst. Daarbij merken wij op dat ondanks de vele inspanningen, insp de resultaten van deze veranderingen en ontwikkelingen nog niet zichtbaar zijn. Deze managementletter heeft dan ook als titel meegekregen “realistisch vooruit”. vooruit” In deze managementletter omschrijven c.q. volgen wij een aantal belangrijke ontwikke ontwikkelingen en geven wij de belangrijkste aandachtspunten over uw interne beheersing aan u mee om uw organisatie nog verder te versterken. Wij danken u hartelijk voor de medewerking van u en uw collega’s tijdens de uitvoering van onze werkzaamheden. Hoogachtend, PricewaterhouseCoopers Accountants N.V.

W.J.J. Verdegaal-Ong RA T: 088-7925282 [email protected]

PricewaterhouseCoopers Accountants N.V., Newtonlaan 205, 3584 BH Utrecht, Postbus 85096, 3508 AB Utrecht T: 088 792 00 30, F: 088 792 95 08, www.pwc.nl ‘PwC’ is het merk waaronder PricewaterhouseCoopers Accountants N.V. (KvK 34180285), PricewaterhouseCoopers Belastingadviseurs N.V. (KvK 34180284), PricewaterhouseCoopers Advisory N.V. (KvK 34180287), PricewaterhouseCoopers Compliance Services B.V. (KvK 51414406), 51414406), PricewaterhouseCoopers B.V. (KvK 34180289) en andere vennootschappen handelen en diensten verlenen. Op deze diensten zijn algemene voorwaarden van toepassing, waarin onder meer aansprakelijkheidsvoorwaarden zijn opgenomen. Op leveringen aan deze vennootschappen vennootschappen zijn algemene inkoopvoorwaarden van toepassing. Op www.pwc.nl treft u meer informatie over deze vennootschappen, waaronder deze algemene (inkoop)voorwaarden die ook zijn gedeponeerd bij de Kamer van Koophandel te Amsterdam

Inhoudsopgave 1

Inleiding- de reikwijdte van onze controlewerkzaamheden

4

2

Jaarrekeningcontrole

5

2.1

Onze rol als uw accountant

5

2.2

Wat is de impact tot op heden voor de jaarrekeningcontrole en controleverklaring?

7

2.2.1 2.3

Onrechtmatigheden in Europese aanbestedingen geconstateerd, nieuwe procedure biedt uitkomst 7

Welke bevindingen hebben alleen impact op uw interne beheersing?

7

2.3.1

Verhuur gemeentelijke gebouwen heeft uw aandacht nodig

7

2.3.2

Hit and run risicobetalingen

8

2.3.3

Aandachtspunten subsidieverstrekking gesignaleerd

8

2.4

Bevindingen voorgaand jaar opgepakt, effecten nog niet zichtbaar

8

2.5

Opvolging IT-bevindingen onder handen

8

2.6

Conclusie: uw interne beheersing is van voldoende niveau in het kader van de jaarrekeningcontrole

9

3

Onze visie op belangrijke thema’s en ontwikkelingen

10

3.1

Planning & Control: digitalisering, werken met indicatoren en een resultaatgerichte cultuur zijn de toekomst

10

3.2

Koppel risicomanagement aan prestatiemanagement om bewustzijn vast te houden

11

3.3

Ontwikkeling sturing en beheersing IT-infrastructuur en applicatielandschap

12

3.3.1

Beveiligingsincidenten: passende maatregelen noodzakelijk

12

3.3.2

Beheer informatiesystemen niet eenduidig belegd, handboek biedt uitkomst

13

3.4

Sector control als het financieel geweten van gemeente Eindhoven

13

3.5

Liquiditeitssturing verankeren in reguliere P&C

13

3.6

Beheersing sector werk is effectief en kan mogelijk efficiënter

14

4

Doorkijk naar de jaarrekening

16

4.1

Inleiding

16

4.2

Voorzieningen cijfermatig onderbouwen in de jaarrekening

16

4.3

Tijdige besluitvorming voor reservemutaties en looptijd noodzakelijk

16

A

Prioriteitstelling bevindingen & aanbevelingen

17

A.1

Samenvatting follow-up aanbevelingen

17

A.2

Follow-up bevindingen 2010

17

A.3

Belangrijkste bevindingen 2011 inclusief prioriteit

27

B

P&C Discussiedocument

30

C

Classificatie prioriteiten en status aanbevelingen

31

Managementletter 2011, Gemeente Eindhoven PwC

Pagina 3

1 Inleiding- de reikwijdte van onze controlewerkzaamheden Het doel van onze jaarrekeningcontrole is het vormen van een oordeel over de getrouwheid en de rechtmatigheid van de jaarrekening als geheel, zoals bedoeld in het Besluit Accountantscontrole Decentrale Overheden (BADO). Het is niet de doelstelling van een jaarrekeningcontrole zekerheid te verschaffen over de kwaliteit van de interne organisatie. Onze controle van de jaarrekening bestaat uit een combinatie van controlewerkzaamheden, waaronder risicoanalyse, cijferbeoordelingen, beoordeling van de administratieve procedures en het daarmee samenhangende systeem van internecontrolemaatregelen en gegevensgerichte controlewerkzaamheden in zodanige samenstelling en omvang als wij noodzakelijk achten voor het verkrijgen van eerdergenoemd oordeel. Naast het oordeel over de getrouwheid dienen wij bij de jaarrekening een oordeel te geven over de rechtmatigheid van de baten, de lasten en de balansmutaties die in de jaarrekening zijn verantwoord. Deze managementletter is gebaseerd op de interim-werkzaamheden ten behoeve van het onderzoek van de jaarrekening 2011. Dit onderzoek strekt zich niet verder uit dan noodzakelijk is om tot een oordeel te komen over de jaarrekening 2011 en is daarom niet primair gericht op het onderkennen van alle aandachtspunten in de administratieve organisatie en de interne beheersing, inclusief die procedures die zijn gericht op de betrouwbaarheid en de continuïteit van de geautomatiseerde informatiesystemen. Verder is onze jaarrekeningcontrole niet specifiek gericht op het ontdekken van mogelijke onregelmatigheden, waaronder fraudes. Hadden wij een specifiek onderzoek ingesteld dan waren ons mogelijk aanvullende zaken ter kennis gekomen die wij zouden hebben gerapporteerd. In deze managementletter vindt u het verslag van onze interim-bevindingen en de bijbehorende aanbevelingen ten aanzien van de interne beheersing. De opgenomen aanbevelingen zijn in belangrijke mate gebaseerd op de uitgevoerde verbijzonderde interne controles tot en met juli/augustus en interviews gedurende onze interimcontrole. Wij hebben de door gemeente Eindhoven uitgevoerde internecontrolewerkzaamheden gereviewd en de opgestelde rapportages beoordeeld. In hoofdstuk 2 hebben wij de bevindingen ten aanzien van de interne beheersing opgenomen die direct voortvloeien uit onze beoordeling van de interne beheersing uit hoofde van de jaarrekeningcontrole. In hoofdstuk 3 geven wij onze mening c.q. visie over belangrijke thema’s en ontwikkelingen die wij van groot belang vinden om uw organisatie toekomstbestendig en beheersbaar te maken. Daarnaast maken wij in hoofdstuk 4 een doorkijk naar de jaarrekeningcontrole. Er zullen de komende maanden en ook bij de eindejaarscontrole nog controlewerkzaamheden uitgevoerd worden. Indien hier nog relevante bevindingen uit voortvloeien, zullen wij dit in februari c.q. na afronding van de balanscontrole aan u en de directieraad (DR) rapporteren. De naar onze mening meest relevante bevindingen van de verbijzonderde interne controle hebben wij vertaald naar concernniveau en verwerkt in onze managementletter. Voor een nadere detaillering en de bevindingen per directie verwijzen wij u naar de afzonderlijke interne controlerapportages. Voor zover bestuurlijk relevant nemen wij onze bevindingen op in het rapport van bevindingen aan de gemeenteraad. Onze managementletter is uitsluitend opgesteld voor gebruik door de gemeente Eindhoven en is primair bedoeld voor u en de DR. U mag deze, zonder onze toestemming vooraf, niet aan derden verstrekken. Als gevolg hiervan accepteren wij geen aansprakelijkheid of verantwoordelijkheid tegenover enige andere persoon die dit verslag in handen of ter inzage krijgt.


Pagina 4

2 Jaarrekeningcontrole Jaarrekenin 2.1

Onze rol als uw accountant

De raad heeft ons de opdracht tot controle van de jaarrekening gegeven. Wij steunen bij de controle van de jaarrekening zoveel mogelijk op de interne beheersmaatregelen van de gemeente Eindhoven. Uw afdeling internal control ntrol controleert deze interne beheersmaatregelen beheer inclusief de IT-beheersmaatregelen beheersmaatregelen van de belangrijkste financiële stromen van alle sectoren uitgezonderd de sector control. Wij beoordelen of de werkzaamheden door de afdeling internal control conform de gemaakte gemaakte afspraken zijn uitgevoerd en voldoende basis vormen voor onze jaarrekeningcontrole. Op deze manier voorkomen wij w dubbele controles en extra belasting van uw ambtelijke organisatie. Voor de sector control controleren wij de belangrijkste financiële stromen zonder voorbereiding door de internal controlafdeling afdeling omdat de afdeling onderdeel uitmaakt van control en niet volledig onafhankelijk controlewerkzaamheden kan uitvoeren. De rolverdeling rolverdeli is hieronder in een controlepiramide piramide weergegeven vanaf de controlerende ntrolerende functie van de Raad. De rekenkamer re is in dit geheel buiten beschouwing gelaten.

Figuur 1: Piramide rollen jaarrekeningcontrole

In dit hoofdstuk zullen wij de status van de werkzaamheden van de afdeling internal control en van ons als externe accountant als ook onze bevindingen ten aanzien van de interne beheersing weergeven voor de belangrijkste financiële processen in het kader van de jaarrekeningcontrole. Detailbevindingen zijn opgenomen in de rapportages van de afdeling internal control. Status van de internecontrolewerkzaamheden werkzaamheden De afdeling internal control controleert op de sector control na alle processen. De afdeling heeft qua aanpak een sterke groei laten zien in vergelijking tot voorgaand jaar. De afdeling internal control heeft met o ons een risicogerichte controle-aanpak aanpak opgezet waarbij processen met lager risico cyclisch gecontroleerd worden. Op dit moment zijn veel meer processen gecontroleerd en afgerond in vergelijking met voorgaand jaar. De controle over het eerste halfjaar is nagenoeg genoeg afgerond. De controles over het tweede halfjaar worden nu gestart. De verbijzonderde interne controle is naar onze mening klaar voor een volgende stap in de doorontwikkeling van de interne controlefunctie. Dit houdt in een tijdige tussentijdse cont controle op kwartaal basis van processen zodanig dat bijsturing door de sectoren en de directie mogelijk is. Managementletter 2011, Gemeente Eindhoven PwC

Pagina 5

Hieronder geven wij u een overzicht van de status van de werkzaamheden. Onder handen betekent dat er nog resterende controlewerkzaamheden ten aanzien van de werking van beheersmaatregelen door de afdeling internal control uitgevoerd moeten worden en vervolgens controle door PwC moeten plaatsvinden. Afgerond: er zijn geen bevindingen geïdentificeerd in het kader van de jaarrekeningcontrole -

Salarisverwerking (P&O). Legesheffing (VTH). Beheer verbonden partijen (Control en diverse sectoren). Planning & Control procedures (Control). Juridische zaken (Interne dienstverlening). Verhuur en kaartverkoop sportaccommodaties (S&B). Treasury activiteiten (Instrumentarium). Verstrekkingen van levensonderhoud, re-integratie en inburgering (Werk). Belastingheffing (PUZA). Kasprocedures (AIHD). Mutatie crediteuren stamgegevens (AIHD). Zorg en inkomen (Z&I). Doorbelastingen (Instrumentarium, opzet van de procedures).

Afgerond: er zijn enkele nieuwe aandachtspunten geïdentificeerd -

Europese aanbestedingen (AIHD en sectoren). Verhuur van gemeentelijke gebouwen (Grond en Vastgoed). Betalingsverkeer (AIHD). Subsidiestromen (diverse sectoren).

Aan de bovenstaande geïdentificeerde bevindingen wordt in dit hoofdstuk verdere aandacht besteed. Opgeleverd door internal control ten tijde van de interim-controle, nog te reviewen door PwC -

Onderhoudsvoorzieningen (Grond en Vastgoed). Memoriaalboekingen (AIHD), nog conclusies te trekken samen met internal control.

Onder handen, nog op te leveren door internal control -

Inhuur derden Nétive toegangsrechten (P&O). Onderwijshuisvesting (Grond en Vastgoed), de uitkomsten van het rekenkameronderzoek worden in eerste instantie afgewacht. Aan- en verkopen gronden (Grond en Vastgoed, deadline 30 november 2011). Totstandkoming Meerjarenperspectief Grondbedrijf (Grond en Vastgoed, deadline 30 november 2011).

Op basis van de werkzaamheden uitgevoerd door de afdeling internal control waarvan wij kennis hebben genomen en onze eigen controlewerkzaamheden kunnen wij concluderen dat de interne beheersing voldoende is, maar met een bevinding die direct verband houdt met onze jaarrekeningcontrole en controleverklaring. De overige drie bevindingen hebben impact op uw interne beheersing. Wij geven de impact van de bevindingen tot op heden weer in onderstaande paragrafen.


Pagina 6

2.2

Wat is de impact tot op heden voor de jaarrekeningcontrole en controleverklaring?

2.2.1 Onrechtmatigheden in Europese aanbestedingen geconstateerd, nieuwe procedure biedt uitkomst In het kader van de jaarrekeningcontrole toetsen wij of gemeente Eindhoven voldoet aan de Europese aanbestedingsregels. Op basis van een steekproef van 59 dossiers ad circa € 34 miljoen op de inkopen over het eerste halfjaar van 2011 is geconstateerd dat er voor € 532.000 (1,5%) onrechtmatig is ingekocht. Dit betreft inkopen op contracten die voor 2011 zijn afgesloten binnen de sectoren Werk, zorg & inkomen, Grond & Vastgoed en Realisatie & Beheer. In 2011 geldt een nieuwe procedure waarbij de inkopende sectoren bij inkopen groter dan € 75.000 de centrale inkoopafdeling verplicht dienen te raadplegen. De inkopen waarbij onrechtmatigheden zijn geconstateerd zijn nog niet onderhevig geweest aan deze nieuwe procedure. Deze nieuwe procedure draagt naar onze mening bij aan het voorkomen van onrechtmatige inkopen en het effect zal in volgende jaren meetbaar zijn. De impact is een onrechtmatigheid van € 532.000. Aangezien het een steekproef over het eerste halfjaar betreft, kunnen wij het totale effect voor de jaarrekening nog niet in schatten. Een nadere analyse over het tweede halfjaar is noodzakelijk om de totale impact te bepalen.

2.3

Welke bevindingen hebben alleen impact op uw interne beheersing?

2.3.1 Verhuur gemeentelijke gebouwen heeft uw aandacht nodig De verhuuradministratie van gemeentelijke gebouwen in Planon geeft voor 52 locaties onvoldoende inzicht in de contractvoorwaarden met de huurders. Daarnaast bevat de verhuuradministratie verschillen met de financiële administratie door boekingsverschillen tussen Planon en Decade. De betekenis van boekingsverschillen komt voort uit de aansluiting tussen de verhuuropbrengsten in Decade en de verhuuropbrengsten in Planon. De verhuuropbrengsten volgens Decade zijn € 1.287.000 hoger dan de opbrengst volgens de contracten in Planon. Een aantal boekingen in Decade hebben geen betrekking op een verhuuropbrengst. Wij adviseren u de verschillende nader te analyseren en de boekingen te corrigeren zodat er een zuivere aansluiting bestaat tussen Decade en Planon. Daarnaast is ons opgevallen dat een aantal objecten verhuurd worden om niet of tegen een gering bedrag en hiervoor is een verklaring gevraagd. De door de afdelingen verstrekte verklaringen zijn door ons gevalideerd en hierbij is het volgende geconstateerd:  Voor een veertiental vrijetijdsaccommodaties overgenomen van de Lumensgroep per 1 januari 2008 is vastgesteld dat huuropbrengsten op basis van de begroting van de Lumensgroep worden voldaan. De Lumensgroep is een door de gemeente gesubsidieerde instelling. Wij hebben vernomen dat de huur- en subsidiestromen door het bestuur nogmaals onder de loep worden genomen.  Voor de overige contracten vindt geen of beperkte facturering plaats. Wij bevelen u aan om gemaakte afspraken omtrent een verhuurcontract zichtbaar te onderbouwen in Planon waardoor het risico op een onvolledige opbrengstverantwoording wordt gemitigeerd. Het verbeterde inzicht in (verhuur)contracten leidt verder tot tijdige acties en/of bijsturing. Wij bevelen u aan de contractadministratie door te lichten en contracten te updaten.


Pagina 7

2.3.2 Hit and run risicobetalingen De afdeling internal control heeft de werking van de controlautorisatie van betalingen behorend tot de sector AIHD gecontroleerd. Wij hebben geconstateerd dat het betaalbestand door de medewerker bevoegd tot het plaatsen van de eerste autorisatie kan worden gemuteerd. Het risico bestaat dat na de autorisatie van betaallijsten nog (ongeautoriseerde) wijzigingen in de betaalbestanden kunnen plaatsvinden. Er zijn echter bij de uitgevoerde steekproef op de betalingen geen verschillen geïdentificeerd in de hash totals. Wij bevelen aan het technisch onmogelijk te maken de betaalbestanden buiten het systeem te kunnen muteren. Is dit niet mogelijk dan adviseren wij dat bij autorisatie van de betalingen en door afdeling internal control achteraf een aansluiting wordt gemaakt tussen het hash-totaal van de bankrekeningnummers op de verzamelopdracht en op de betaallijst.

2.3.3 Aandachtspunten subsidieverstrekking gesignaleerd Uit de internecontrolewerkzaamheden is gebleken dat sanctiebeleid op subsidies niet consequent nageleefd wordt. Daarnaast is in een steekproef naar voren gekomen dat voor wederkerende subsidies in 4 van de 25 gecontroleerde dossiers de voorschotbetaling aan de beschikking vooraf is gegaan. In principe geldt de richtlijn “zonder besluit geen betaling”. Normaal gesproken wordt dit tot uitdrukking gebracht in de vorm van een beschikking. In 3 van de 4 geconstateerde afwijkingen hebben wij vastgesteld dat de subsidie reeds in de begroting afzonderlijk is vermeld en daarmee goedgekeurd. Wij adviseren enkel te bevoorschotten op basis van een beschikking en na te gaan of het mogelijk is de bevoorschotting te blokkeren in de subsidie-applicatie ISA4All voordat de beschikking afgerond is.

2.4

Bevindingen voorgaand jaar opgepakt, effecten nog niet zichtbaar

Naast de controlewerkzaamheden 2011 hebben wij aandacht besteed aan de opvolging van de openstaande bevindingen uit 2010. Uit de controlewerkzaamheden van internal control komen de volgende wederkerende bevindingen naar voren.  Kostendeclaraties vinden via formulieren bij AIHD buiten Key2 plaats en autorisatie is niet in alle gevallen conform mandaat.  De autorisatie van inkoopfacturen is niet in alle gevallen onderbouwd met prestatiedocumenten waaruit blijkt dat de dienst heeft plaatsgevonden. In bijlage 1A is de status van onze aanbevelingen uit 2010 op dit moment weergegeven. Een aantal initiatieven zijn gestart om hieraan opvolging te geven. Het is echter nog te vroeg om een conclusie te verbinden aan het effect van deze initiatieven. In de interne beheersing is dit voor 2011 over het algemeen nog niet zichtbaar. Wij adviseren u de voortgang van de initiatieven door internal control gedurende het jaar te monitoren.

2.5

Opvolging IT-bevindingen onder handen

Als onderdeel van de jaarrekeningcontrole hebben wij in 2010 de opzet en het bestaan van de algemene ICTbeheersmaatregelen beoordeeld. Wij hebben dit uitgevoerd voor de systemen relevant voor de jaarrekeningcontrole van Gemeente Eindhoven, te weten GWS4all (sociale zaken), PIMS@all (personeelsadministratie) en Decade (financiële administratie). Hierbij hebben wij gekeken naar de volgende domeinen:  program change & development;  access to programs & data;  computer operations. Uitgangspunt voor ons was de nulmeting IT-audit die in 2009/2010 is uitgevoerd door Sector Control van Gemeente Eindhoven.


Pagina 8

Op basis van deze werkzaamheden hebben wij in 2010 de detail bevindingen IT aan u gerapporteerd. Voor de jaarrekeningcontrole 2011 van Gemeente Eindhoven hebben wij deze bevindingen geüpdatet. Hiervoor hebben wij gesproken met medewerkers van de Sector I&B, alsmede Sector Control en hebben wij documentatie beoordeeld. In de tabel in bijlage 1a is de huidige status weergegeven van de in 2010 gerapporteerde ITbevindingen. Voor de beheersmaatregelen en procedures die zijn gericht op de betrouwbaarheid en de continuïteit van de geautomatiseerde informatiesystemen zullen wij in een later stadium nog testwerkzaamheden uitvoeren om het bestaan van deze maatregelen vast te stellen. Tevens dienen wij nog een aantal documenten te ontvangen en te beoordelen.

2.6

Conclusie: uw interne beheersing is van voldoende niveau in het kader van de jaarrekeningcontrole

In 2010 hebben wij geconcludeerd dat uw interne beheersing van voldoende niveau is in het kader van de jaarrekeningcontrole. Wij hebben in onze managementletters van voorgaand jaar een heel aantal aanbevelingen opgenomen waarvan wij vinden dat u deze als organisatie dient op te pakken om naar een beter beheerste organisatie te komen. Op dit moment is de status van uw interne beheersing nagenoeg onveranderd. Er zijn voldoende initiatieven genomen verdere verbeteringen door te voeren, echter zijn de resultaten nog niet meetbaar. U moet keuzes maken en prioriteiten stellen, zo gaat u “realistisch vooruit”. De verbijzonderde interne controle is naar onze mening klaar voor een volgende stap in de doorontwikkeling van de interne controlefunctie. Dit houdt in tussentijdse controle op kwartaalbasis van processen gedurende het gehele jaar waarbij periodiek afstemming plaatsvindt met de sectoren en directie over de bevindingen. Hiermee worden aandachtsgebieden tijdig gesignaleerd en is bijsturing mogelijk. Daarnaast kan internal control een belangrijke bijdrage leveren aan het tussentijds monitoren van de voortgang van initiatieven voor verdere verbetering van de interne beheersing.


Pagina 9

3 Onze visie op belangrijke thema’s en ontwikkelingen Wij denken met u mee op belangrijke thema’s en ontwikkelingen vanuit onze natuurlijke adviesfunctie die raakvlakken hebben met de jaarrekeningcontrole. Deze onderwerpen hebben geen direct verband met onze jaarrekeningcontrole en daarbij behorende controleverklaring. Echter deze thema’s vinden wij van groot belang om uw organisatie toekomstbestendig en beheersbaar te maken. Derhalve nemen wij de ontwikkelingen over deze onderwerpen op vanuit onze natuurlijke adviesfunctie en zijn van mening dat dit noodzakelijke aanbevelingen bevat om uw organisatie verder te versterken.

3.1

Planning & Control: digitalisering, werken met indicatoren en een resultaatgerichte cultuur zijn de toekomst

Op het gebied van planning en control (P&C) is gemeente Eindhoven bezig met verdere verbeteringen. De belangrijkste ontwikkelingen zijn:  Het ontwikkelen van een visiedocument voor de cyclische instrumenten. Het doel van dit document is in kaart brengen welke instrumenten noodzakelijk zijn en waaraan deze instrumenten dienen te voldoen om te komen tot effectieve sturings-, beheersen verantwoordingsinstrumenten.  Het inperken van de verantwoordingsdocumenten zoals de concernrekening waarbij het doel is concreter en bondiger.  Het ‘samen analyseren’ is geëvalueerd. Hieruit komt naar voren dat aanscherping nodig is om verdere kwaliteit en uniformering te bewerkstelligen. In onze managementletter 2010 hebben we aan de hand van het huis van P&C uw P&C-cyclus nader geanalyseerd. PwC heeft een tweetal workshops verzorgd in de accountantscommissie om samen met de raadsleden te peilen hoe de toekomst van de P&C-cyclus van gemeente Eindhoven eruitziet. Wij hebben een discussiedocument opgesteld waarin wij de hierboven genoemde sporen samen vertaald hebben in een ontwikkelrichting voor de gemeente Eindhoven. Wij hebben de leden van de accountantscommissie gevraagd een stip op de horizon uit te werken waar de P&C-cyclus naartoe gaat voor gemeente Eindhoven, dit is hierna figuurlijk weergegeven.


Pagina 10

Figuur 2: Ontwikkelproces P&C

Bij quick wins denken wij aan de volgende voorbeelden:       

Kort en krachtige vastlegging. Communicatie nicatie over het proces (welke beleidsstukken komen eraan?). Jaarstukken beperken tot concernverslag en bijlagen. bijlagen Beleidsvisies/nota’s niet meer opnemen als resultaat. resultaat Samenvoegen begrotingswijzigingen. begrotingswijzigingen Hoofdboodschap van de verschillende teksten verwerken in de titels. Kerncijfers en indicatoren goed met de Raad afstemmen (begroting 2012).

Voor de overige drie sporen hebben wij het discussiedocument in bijlage C opgenomen. Met dee accountantscommissie is de afspraak gemaakt dat de wethouder financiën in het kader van het gemeentelijke programma verbeterplan P&C onze aanbevelingen tegen het licht zal houden. De voorzitter van de accountantscommissie en de wethouder zullen vervolgens vervolgens samen bezien welk voorstel zij de accountants accountantscommissie zullen voorleggen.

3.2

Koppel risicomanagement aan prestatiemanagement om bewustzijn vast te houden

In navolging op de nota strategisch risicomanagement zijn er bij diverse sectoren workshops gehouden, presentaties gegeven en is er ondersteuning geboden bij diverse risicomanagement sessies. Het onderling bespreken en afwegen van risico’s en maatregelen wordt als positief ervaren. De eerste stappen in het vergroten van het risicobewustzijn zijn hiermee gezet. Echter is ook gebleken dat ondanks het enthousiasme na een workshop het erg lastig blijkt om het risicobewustzijn vast te houden. In onze visie is risicomanagement geen losstaand element binnen de bedrijfsvoering maar dient het een onderdeel te zijn van de dagelijkse gang van zaken. Verankering in de reguliere P&C-cyclus P&C cyclus is hierbij een vereiste. Onze ervaring leert dat het helpt om risicomanagement te koppelen aan prestatie prestatiemanagement.. Het koppelen van doelstellingen, prestaties en risico’s heeft heeft een positieve uitwerking op het risicobewust.


Pagina 11

Binnen de huidige P&C-cyclus van de gemeente Eindhoven bieden de managementcontracten een uitgelezen mogelijkheid om een dergelijk koppeling te realiseren. Wij geven u in overweging de volgende waterval te hanteren bij het formuleren van doelstellingen in de managementcontracten: Waar moet de sector in uitblinken om de strategische doelstellingen te realiseren? (Succesfactor) 

Hoe weten wij of wij hier inderdaad in uitblinken? (KPI).  Hoe goed willen wij hierin zijn? (Target).  Welke initiatieven moeten wij ontplooien om deze targets te behalen? (Initiatieven).  Hoeveel willen wij investeren om deze targets te halen? (Budget).



Wat zou deze KSF in de weg kunnen staan? (Risico’s).  Wat zijn indicatoren (kans, impact) die duiden op verandering en omvang van het risico? (KRI).  Welke initiatieven moeten wij ontplooien om deze risico’s te mitigeren?  Hoeveel willen we investeren om dit risico te beperken? (Budget).

In de tussentijdse evaluaties kan vervolgens worden ingegaan om de geleverde prestaties en beheersing van de daaraan gekoppelde risico’s.

3.3

Ontwikkeling sturing en beheersing IT-infrastructuur en applicatielandschap

De inzet van IT-toepassingen vormt een belangrijke schakel in de bedrijfsvoering van Gemeente Eindhoven. De beheersing van de informatievoorziening vormt daarmee een integraal onderdeel van de beheersing van de organisatie en wordt bepaald door:  de kwaliteit van de informatiesystemen, geprogrammeerde controles binnen systemen en gebruikerscontroles;  de beheersing van de IT-infrastructuur, waarop de systemen draaien;  de beheersing van IT-risico’s;  de beheersing van IT-(veranderings)trajecten.

3.3.1 Beveiligingsincidenten: passende maatregelen noodzakelijk Hoe belangrijk de beheersing van IT voor Gemeente Eindhoven is, is onder meer gebleken tijdens de beveiligingsincidenten die zich zeer recentelijk hebben voorgedaan. Zo werd in de media genoemd dat:  gegevens van ruim dertigduizend WMO-cliënten van de gemeente twee maanden lang op internet hebben gestaan;  diverse websites van de gemeente niet voldoende beveiligd zijn, waaronder de digitale gemeentelijke Belastingbalie. Op dit moment is de gemeente druk met het analyseren van de incidenten, het opstellen van een plan van aanpak en het nemen van passende maatregelen. Zo loopt er een inventarisatie die inzicht moet verschaffen in alle sites die een sector in beheer en of in ontwikkeling heeft zodat de Sector I&B alle aanwezige sites kent en deze ook onder de gewenste beheersing kan laten vallen. In het kader van onze natuurlijke adviesfunctie hebben wij, met behulp van door PwC ontwikkelde tooling, snel een eerste indruk kunnen krijgen van een overzicht (niet limitatief) van websites die bij het domein eindhoven.nl horen (zogenoemde subdomeinen/subsites). Hierbij valt op dat er gebruik wordt gemaakt van verouderde software die bekende beveiligingsproblemen bevat (dit betreft Tomcat versie 5.5.23). Voorts lijken een aantal van deze subsites ogenschijnlijk qua naamgeving dezelfde functie te hebben (voor remote toegang). Verder is er een subsite bij die lijkt op een testomgeving, waar in de regel vaak wat minder goed naar beveiliging wordt gekeken. Door bovenstaande feiten is het risico op ongeautoriseerde toegang of openbaring van gegevens vergroot. Wij adviseren u om alle gemeente-sites aan een quickscan te onderwerpen om na te gaan of er geen grote problemen aanwezig zijn. Wij merken op dat wij geen integrale security scan van uw IT-omgeving hebben uitgevoerd en dat dit een momentopname is naar de laatste stand der techniek, door technologische ontwikkelingen kunnen risico's anders gaan wegen en/of achterhaald raken. Managementletter 2011, Gemeente Eindhoven PwC

Pagina 12

3.3.2 Beheer informatiesystemen niet eenduidig belegd, handboek biedt uitkomst Tijdens onze werkzaamheden in het kader van de jaarrekeningcontrole hebben wij onder meer vastgesteld dat taken, verantwoordelijkheden en bevoegdheden voor het beheer van informatiesystemen op dit moment niet eenduidig belegd zijn. Zo is de sector I&B verantwoordelijk voor het technisch beheer van de applicaties Decade, GWS4all en PIMS@all. Het functioneel beheer van GWS4all valt sinds kort ook onder de verantwoordelijkheid van de sector I&B. Voor de applicaties PIMS@all en Decade is het functioneel beheer belegd bij de betreffende sector. Gemeente Eindhoven kent geen proces- en systeemeigenaren. Hierdoor is het niet duidelijk wie waarvoor verantwoordelijk is. De sector I&B heeft de eerste stappen gezet door handboeken op te (gaan) stellen voor technisch beheer, applicatiebeheer en functioneel beheer. Gemeente Eindhoven is voornemens om in 2012 deze werkwijze te implementeren in de organisatie en wil meetbaar gaan maken in hoeverre procedures nageleefd worden. Als dit voornemen wordt doorgezet, zal er meer duidelijkheid komen over de verschillende vormen van beheer en zullen er ook meer handvaten zijn om bijvoorbeeld het wijzigingsbeheer beter in te richten. Wij onderschrijven deze stappen en adviseren u om ook een overzicht op te stellen hoe taken, verantwoordelijkheden en bevoegdheden voor IT zijn belegd en dit overzicht breed binnen de organisatie te communiceren. Daarnaast adviseren wij om hier gemeentebreed afspraken over te maken en niet sectorspecifiek.

3.4

Sector control als het financieel geweten van gemeente Eindhoven

In de begroting 2012 geeft uw initiatieven weer om de sector Control te ontvlechten. De sector control bevat naast de verbijzonderde interne controle ook een contollersfunctie en een aantal administratieve functies. Wat valt ons op aan de huidige situatie rondom control in relatie tot de administratie bij de gemeente Eindhoven?

     

Functievermenging tussen de DR en concern control. Er is geen afzonderlijke concerncontroller. Deze functie is belegd bij één van de directieleden. De gedeconcentreerde adviseurs (lijncontrollers) worden aangestuurd door de controllers in de huidige sector control om uniform werken te stimuleren en het leervermogen van de gedeconcentreerde adviseurs te vergroten. De gedeconcentreerde adviseurs hebben door de vele concern brede vraagstukken minder tijd beschikbaar voor control in de lijn zoals het samen analyseren. De sector control omvat ook een aantal administratieve onderdelen zoals registraties rondom reserves, investeringskredieten. De verbijzonderde interne controle is onderdeel van de sector control. Om het risico op zelfcontrole binnen de sector control te mitigeren, worden er geen interne controles uitgevoerd op de administratieve taken binnen de sector control. De administratie is onderdeel van de sector Interne Dienstverlening en volledig dienstbaar aan de overige sectoren. M.a.w. zij voeren uit wat door de andere sectoren wordt opgelegd.

Wij zijn met u in gesprek en ondersteunen c.q. adviseren u bij het vinden van een passende oplossing.

3.5

Liquiditeitssturing verankeren in reguliere P&C

Verslechterde economische omstandigheden en tegenvallende resultaten uit het grondbedrijf leiden anno 2011 tot een verscherpte aandacht voor de liquiditeitspositie. Het kasgeldlimiet wordt meer dan eens (na afstemming met de Provincie Noord-Brabant) overschreden en sinds lange tijd heeft de Gemeente Eindhoven langlopende financieringen voor eigen gebruik aangetrokken: de liquiditeitspositie lijkt zich structureel in zwaar weer te bevinden. Een intern onderzoek naar de liquiditeitspositie heeft geleid tot een adviesrapport waarin is aangegeven wat het nut is van een goede liquiditeitsprognose, wat daarvoor nodig is en wat voor maatregelen hiervoor getroffen moeten worden binnen de Gemeente Eindhoven.


Pagina 13

Als belangrijke stappen zijn benoemd:

    

Verdere verbetering van de basis informatievoorziening: basis op orde. Tijd (capaciteit) beschikbaar stellen binnen treasury. Draagvlak creëren en bewustzijn vergroten. Meer aandacht voor liquiditeitsverloop van projecten, investeringen en grondexploitatieprojecten. Informatieverbetering liquiditeitsontwikkeling (communicatie tussen sectoren en treasury, vergelijking realisatie vs. prognose, rapportages in Turap).

Volgens het actuele treasurystatuut is in de basis de treasurer verantwoordelijk voor het beheersen van de liquiditeitspositie en de liquiditeitssturing. De treasurer hanteert hierbij de liquiditeitsprognose als instrument. De liquiditeitsprognose wordt jaarlijks ten behoeve van de begroting opgesteld en de realisatie van inkomsten en uitgaven wordt op maanden weekbasis gemonitord. Materiële financiële afwijkingen worden gecommuniceerd aan het sectorhoofd Control, maar de liquiditeitsprognose wordt buiten de formele rapportagemomenten in de P&C-cyclus niet verder verspreid binnen de gemeente Eindhoven. In de praktijk ontstaan er verschillen tussen de liquiditeitsprognose en de daadwerkelijke liquiditeitsbehoefte als gevolg van de voortgang van grote projecten c.q. investeringen. Bij het opstellen van de liquiditeitsprognose wordt hier in onvoldoende mate rekening mee gehouden. Om de liquiditeitsprognose beter te laten aansluiten op de liquiditeitsbehoefte heeft de treasurer informatie vanuit de sectoren nodig. Dit vereist tevens voldoende bewustzijn bij de sectoren en projectleiders. Wij zien mogelijkheden in uw huidige P&C-cyclus om het liquiditeitsbewustzijn verder te stimuleren, namelijk:  door liquiditeitsplanning een verplicht onderdeel te laten zijn van samen analyseren;  door het opnemen van liquiditeitontwikkeling in de Turap;  door in de managementcontracten een concrete norm ten aanzien van liquiditeiten te benoemen en hierop te sturen;  door het opnemen van een liquiditeitsprognose in projectvoorstellen en dossiers. Wij hebben vastgesteld dat in 2011 reeds is gestart met het verhogen van de input en bewustwording omtrent projecten, investeringen en grondexploitatieprojecten. Een van de afspraken omtrent de totstandkoming van het MIP 2011 betrof het doorlichten van de projectenportefeuille.

3.6

Beheersing sector werk is effectief en kan mogelijk efficiënter

In ons dienstverleningsplan is het door de raad geformuleerde speerpunt opgenomen waarin de volgende vraag gesteld is: in hoeverre zijn de beheersmaatregelen in het kader van uitkeringen effectief? De interne beheersing is gericht op twee elementen, namelijk de kwaliteit van de uitgevoerde werkzaamheden door casemanagers (kwaliteitstoetsingen) en handhaving om uitkeringsfraude te signaleren en treffende maatregelen te nemen (intensieve controles). Op basis van de aan ons verstrekte informatie en review van de verbijzonderde interne controle hebben wij vastgesteld dat de beheersmaatregelen effectief werken. Het aantal uitkeringsgerechtigden ultimo september is 5.699. Het aantal afzonderlijke instromers in de periode januari tot en met november is volgens de opgave van de sector Werk 1.875, het aantal afzonderlijke uitstromers is 1.990 voor dezelfde periode. Het aantal intensieve controles op het cliëntenbestand is tot en met november 1.086. De selectie van de onderzoeken wordt risicogericht ingestoken om de “pakkans” bij fraude te vergroten. In totaal zijn van januari tot en met 1 oktober 2011 404 vorderingen met de reden fraude opgeboekt. De financiële omvang hiervan bedraagt € 931.697. Deze is aanzienlijk hoger dan in 2010 veroorzaakt door meer risicogericht onderzoeken. Naast de intensieve controles vinden kwaliteitstoetsingen door kwaliteitscoaches plaats achteraf om vast te stellen of casemanagers de juiste conclusies hebben getrokken voor wijzigingen in het uitkeringsbestand, zoals instroom, uitstroom en verlenging. In totaal zijn 1.256 toetsingen achteraf uitgevoerd. Managementletter 2011, Gemeente Eindhoven PwC

Pagina 14

Zoals hiervoor beschreven, zijn geen bevindingen geconstateerd ten aanzien van de internal control uitgevoerde steekproef en controle door PwC achteraf. Dit is een repressieve maatregel die achteraf fouten kan ontdekken die vervolgens hersteld kunnen worden. Deze controles vinden het gehele jaar plaats. Er is geen aanleiding dit te wijzigen vanuit de conclusies die voortkomen uit de internecontrolewerkzaamheden. Echter is het beter om een 4-ogenprincipe toe te passen bij het verstrekken van uitkeringen in plaats van intensieve controles achteraf. Dit 4-ogenprincipe kan verankerd worden in de uitkeringsadministratie GWS. Op basis van een kosten-batenanalyse adviseren wij u te onderzoeken of preventieve controle in vergelijking met controle achteraf door kwaliteitscoaches de voorkeur heeft. Wij adviseren u dit in uw overwegingen mee te nemen bij het vormgeven van de beheersing.


Pagina 15

4 Doorkijk naar de jaarrekening 4.1

Inleiding

In het accountantsverslag bij de jaarrekening 2010 van Gemeente Eindhoven hebben wij een aantal fouten en onzekerheden geconstateerd met betrekking tot de gevormde voorzieningen. Dit hield verband met onvoldoende cijfermatige onderbouwing van de gevormde voorzieningen op het peilmoment ultimo 2010. Daarnaast hebben wij enkele rechtmatigheidsfouten geconstateerd ten aanzien van de reserves.

4.2

Voorzieningen cijfermatig onderbouwen in de jaarrekening

Onderstaande voorzieningen dienen ultimo 2011 opnieuw berekend te worden rekening houdend met de voorschriften van het Besluit Begroting en Verantwoording (BBV). De onderhoudsvoorzieningen dienen enerzijds onderbouwd te worden met geactualiseerde onderhoudsplannen. De risicovoorzieningen dienen op basis van de kans dat het risico in financiële zin tot een verwachte uitstroom van middelen leidt berekend te worden gebaseerd op actuele onderbouwde informatie. De volgende voorzieningen zijn opgenomen in ons accountantsverslag over 2010 waarover fouten of onzekerheden zijn gerapporteerd of waar sprake is van verhoogde aandacht voor de verwerking in 2011 of berekening over 2011.          

Voorziening algemene risicogaranties en geldleningen. Voorziening onderhoud bijzonder basisonderwijs. Voorziening onderhoud bruikleenscholen. Voorziening afvalstoffenheffing. Voorziening dubieuze debiteuren. Voorziening bijdrage SRE financieringschap. Voorziening voormalig personeel. Voorziening functioneel leeftijdsontslag brandweer. Voorziening Gemeentelijk Rioleringsplan. Voorzieningen voor af te rekenen subsidies van voor 2007.

4.3

Tijdige besluitvorming voor reservemutaties en looptijd noodzakelijk

De looptijd van enkele reserves was ultimo 2010 verstreken zonder nadere besluitvorming door de raad hierover. Daarnaast heeft een overheveling van de saldireserve specifiek naar de reserve GSB plaatsgevonden zonder besluitvorming door de raad. Om deze onrechtmatigheden te voorkomen, is het noodzakelijk tijdig de raad te betrekken bij mutaties waartoe het College niet bevoegd is en de looptijden van de reserves voor aflopende reserves aan de raad voor te leggen.


Pagina 16

A Prioriteitstelling bevindingen & aanbevelingen A.1

Samenvatting follow-up aanbevelingen Prioriteit

Prioriteit

Prioriteit

Prioriteit

‘Urgent’

‘Hoog’

‘Middel’

‘Laag’

Aantal nieuwe aanbevelingen 2011

0

2

6

4

Aantal openstaande aanbevelingen uit voorgaande jaren

0

13

5

4

Waarvan geïmplementeerd in 2011

0

3

1

1

Resterende aanbevelingen uit voorgaande jaren

0

10

4

3

Aantal openstaande aanbevelingen

0

12

10

7

A.2 Follow-up bevindingen 2010 1

Bevinding & Aanbeveling (prioriteit)

Status

Samenhang tussentijdse analyse financiële en niet financiële indicatoren ontbreekt nog (hoog)

Implementatie gestart De sector Control heeft inmiddels het project “Visie Cyclische Instrumenten“ opgestart. Opzet is om vanuit dit project belangrijke aanscherping aan te brengen in de niet-financiële indicatoren en de relatie met de financiële indicatoren. Insteek is dat er verbetering gaat ontstaan in de sturingsinformatie en de link tussen financiële en beleidsresultaten. Met de begroting 2012 worden hierin al eerste belangrijke stappen gezet. Met ingang van 2013 is algehele herziening van de indicatoren voorzien.


Pagina 17

2


Status

Risicomanagement nog onvoldoende geborgd (hoog)

Implementatie gestart In 2011 is door Control een voortgangsrapportage opgesteld. Aanvullende maatregelen ter verbetering van de borging hebben plaatsgevonden. Vanuit de DR vindt nadrukkelijke sturing plaats, meer actieve gesprekken met Sectorhoofden en frequentere centrale monitoring.

3

Procedurebeschrijvingen niet compleet (hoog)

Implementatie gestart Het centrale gemeentebrede project “Blauw” is bewust on hold gezet vanwege de in ontwikkeling zijnde herinrichting en uitlijning van organisatie en bedrijfsprocessen. Daar waar dit voor de bedrijfsvoering gewenst is, wordt op sectorniveau wel invulling gegeven aan de ontwikkeling van procedurebeschrijvingen. Daarnaast loopt momenteel het programma Slimmer Werken waarbij eveneens aandacht wordt gegeven aan het inzichtelijk maken van (keten)processen en het beschrijven daarvan.

4

Doelmatigheid en rechtmatigheid inkopen verdienen meer aandacht (hoog)

Opgevolgd Geconstateerd werd dat als gevolg van decentrale inkoop de kans bestaat dat er bij inkopen onvoldoende inkoopkennis aanwezig is, met gevolg dat het risico aanwezig is dat er geen optimale prijs-/kwaliteitverhouding wordt bedongen. Tevens is hierdoor risico aanwezig dat niet EU aanbesteed wordt. Met het vaststellen van het hernieuwde inkoop- en aanbestedingsbeleid door de raad in maart 2011 is geregeld dat de afdeling inkoop betrokken is bij inkooptrajecten vanaf de openbare aanbestedingsgrens. Een sterk verbeterde en betrouwbaardere inkoopdiagnose en een goede werkrelatie met VBIC heeft er toe geleid dat sneller inzichtelijk is waar eventueel nog ondoelmatig wordt ingekocht.


Pagina 18


Status Middels de gemeentebrede aanbestedingskalender, het portfoliomanagement dat daar aan voorafgaat en de inrichting van accountmanagement richting de sectoren, wordt geborgd dat de centrale afdeling inkoop bij nagenoeg alle inkooptrajecten is betrokken.

5

Projectmanagement moet professioneler (hoog)

Implementatie gestart Middels implementatie en naleving van het effectief opdrachtgever- en opdrachtnemerschap, het “handboek Projectmanagement” en de interne trainingen voor kennisoverdracht bij de sector Projectmanagement (PM) wordt gewerkt aan een meer professionele inrichting van projectmanagement. Sectorleiding stuurt op deze ontwikkeling.

6

Inkomende subsidies in beeld brengen noodzakelijk (hoog)

Implementatie gestart Het ontwikkelteam van de sector Control heeft inmiddels het verbeterproject “Inkomende geldstromen” opgestart. Hiermee worden gemeentebreed op een eenduidige wijze de inkomende geldstromen en de hierbij behorende proces- en gegevensstromen beheersbaar en inzichtelijk gemaakt. Opzet is te komen tot een ingeregelde centrale regisseursrol voor de inkomende geldstromen, incl. de daarvoor gebruikte toepassing. Afronding van het project vindt volgens planning plaats in januari 2012.

7

Bestedingen WMO mogelijk onrechtmatig (hoog)

Opgevolgd Zie ook punt 5 van de 2e managementrapportage waarbij uit dossiercontroles van PWC blijkt dat verstrekkingen op de juiste wijze hebben plaatsgevonden en dat controles op facturen van zorgaanbieders adequaat worden uitgevoerd.


Pagina 19


Status Desalniettemin is door PwC geconstateerd dat door het ontbreken van kwaliteitscontroles en inhuur van tijdelijke medewerkers het risico bestaat dat fouten in verstrekkingen en in naleving van weten regelgeving niet tijdig worden geconstateerd. Als gevolg van vastgestelde bezuinigingen zijn diverse projecten opgestart met hoge prioriteit, zoals implementeren eigen bijdragen, project de Kanteling, alsmede aanbestedingen hulpmiddelen en hulp bij het huishouden. Hiervoor is inzet van kwaliteitscoaches noodzakelijk geweest, waardoor interne controles volgens de Kborg systematiek tijdelijk achterwege is gebleven. Inmiddels zijn maatregelen genomen om de interne controles m.b.v. Kborg wederom te gaan uitvoeren.

8

Sturing en beheersing IT-omgeving verdienen uw aandacht (hoog)

Zie hieronder vanaf nummer 2010.1 voor status detailbevindingen ten aanzien van IT. Verder loopt op dit moment in het kader van het programma slimmer werken een onderzoek bij de sector I&B. In dit onderzoek wordt niet alleen gekeken naar de procesinrichting van de sector, maar ook hoe de sector de dienstverlening naar de rest van de organisatie verder kan verbeteren.

9

Subsidieverstrekkingen op orde, uniformiteit dossiers kan beter (laag)

Implementatie gestart De ingebruikname van de nieuwe ISA versie (applicatie voor het administreren van subsidies) voor alle subsidieverstrekkingen waarin het dossier volledig gedigitaliseerd wordt komt tegemoet aan de opmerking m.b.t. de uniformiteit van dossiervorming. Voor 2011 zijn er nog 2 versies van ISA in gebruik.

10

Inkoopprocedures en verplichtingenadministratie verdienen uw aandacht (hoog)

Implementatie gestart De autorisatie van inkoopfacturen is niet in alle gevallen onderbouwd met prestatiedocumenten waaruit blijkt dat de dienst of levering heeft plaatsgevonden.


Pagina 20


Status De sector AIHD heeft in samenwerking met het ontwikkelteam het verbeterproject “Gemeentebreed bestelproces” opgestart. Het project loopt nog, de gemeentebrede inkoopprocedures zullen als gevolg van dit project beter worden ingericht.

11

WMO-verstrekkingen op orde, aandacht voor interne borging (hoog)

Opgevolgd Op basis van WMO dossiercontroles is door PwC geconcludeerd dat WMO op de juiste wijze is verstrekt en dat controles op de facturen van zorgaanbieders adequaat worden uitgevoerd. Procedures worden nu bezien om kwaliteitscontroles preventief in de processen te borgen. Zie ook punt 7 eerste managementletter.

12

Procedure declaraties aanscherpen(hoog)

Implementatie gestart PwC beveelt aan declaraties alleen nog digiaal te verwerken m.b.v. de declaratie-applicatie Key 2. Het voordeel hiervan is dat digitaal wordt geautoriseerd en dat voorwaarden zoals maximale bedragen van declaraties in de applicatie zijn geïncorporeerd. De sector P&O heeft deze aanbeveling voortvarend opgepakt en heeft inmiddels in samenwerking met de sector AIHD een werkgroep opgestart. Het totaal aan declaratiesoorten en methoden wordt momenteel geanalyseerd om zoveel als mogelijk te komen tot afschaffing van papieren personeelsdeclaratieformulieren. Naar verwachting zal het gehele traject incl. inrichting applicatie en implementatie in medio 2012 zijn afgerond.

13

Gedrag en cultuur als basis voor interne beheersing (hoog)

Implementatie gestart De bezuinigingen hebben geleid tot een strakkere sturing op (financiële) doelstellingen en afspraken. Aan de hand van SMART gedefinieerde doelstellingen vindt periodieke monitoring plaats door B&W, DR, en sectormanagement.


Pagina 21

2010.01


Status

Wijzigingsbeheer (middel)

Ongewijzigd

Gemeente Eindhoven beschikt over globale beschrijving van het wijzigingsproces. De procesbeschrijving bevat op hoofdlijnen de te volgen stappen en de verantwoordelijke medewerkers.

De sector I&B is verantwoordelijk voor het technisch beheer van de applicaties Decade, GWS4all en PIMS@all. Het functioneel beheer van GWS4all valt sinds kort ook onder de verantwoordelijkheid van de sector I&B. Voor de applicaties PIMS@all en Decade is het functioneel beheer belegd bij de betreffende sector.

Er is geen duidelijke procedure in gebruik aan de hand waarvan wijzigingen worden doorgevoerd in de applicaties Decade, GWS4all en PIMS@all. Wij hebben echter vastgesteld dat wijzigingen wel getest en geaccordeerd worden alvorens installatie in de productieomgeving plaatsvindt. Wij adviseren u om de wijzigingsbeheer procedure aan te scherpen ten aanzien van het doorvoeren van wijzigingen in applicaties (waaronder Decade, GWS4all en PIMS@all).

2010.02

De sector I&B heeft een handboek Technisch beheer opgesteld. Een handboek Applicatiebeheer wordt binnenkort afgerond door de sector I&B en in 2012 zal het handboek functioneel beheer worden afgerond. Gemeente Eindhoven is voornemens om in 2012 deze werkwijze te implementeren in de organisatie en wil meetbaar gaan maken in hoeverre procedures nageleefd worden. Als dit voornemen wordt doorgezet, zal er meer duidelijkheid komen over de verschillende vormen van beheer en zullen er ook meer handvaten zijn om wijzigingsbeheer beter in te richten. Echter, taken, verantwoordelijkheden en bevoegdheden voor het beheer van informatiesystemen zijn op dit moment niet eenduidig belegd. Het is onoverzichtelijk wie waarvoor verantwoordelijk is. Het ontbreken van proces- en systeemeigenaren onderschrijft dit. Het verdient aanbeveling om een overzicht op te stellen hoe taken, verantwoordelijkheden en bevoegdheden voor IT zijn belegd en dit overzicht breed binnen de organisatie te communiceren. Daarnaast adviseren wij om hier gemeentebreed afspraken over te maken en niet sectorspecifiek. Zie ook bevinding 2011.01.

Informatiebeveiligingsbeleid (middel)

Opgevolgd

Gemeente Eindhoven beschikt niet over een actueel informatiebeveiligingsbeleid. Wij hebben echter diverse maatregelen aangetroffen ten aanzien van informatiebeveiliging en vastgesteld dat er een concept informatiebeveiligingsbeleid ter accordering ligt bij de Informatiebeveiligings stuurgroep en directie.

Informatiebeveiligingsbeleid is definitief vastgesteld in april 2011 en geaccordeerd door de Directieraad. Het beleid is gekoppeld aan het programma Het Nieuwe Werken.


Pagina 22

2010.03


Status

Wij adviseren om het concept informatiebeveiligingsbeleid zo snel mogelijk definitief vast te stellen en te implementeren.

Er wordt nu gewerkt aan een invoeringsplan voor de organisatie van informatiebeveiliging.

Autorisatiebeheer (hoog)

Deels opgevolgd

Gemeente Eindhoven beschikt over globale beschrijving van het autorisatieproces. De procesbeschrijving bevat op hoofdlijnen de te volgen stappen en de verantwoordelijke medewerkers rondom het toekennen, wijzigen en verwijderen van gebruikers op het netwerk. De procedure beschrijft echter onvoldoende hoe autorisatiewijzigingen worden doorgevoerd in de applicaties Decade, GWS4all en PIMS@all. Tevens hebben wij vastgesteld dat applicatiebeheerders niet op de hoogte worden gesteld dat medewerkers uit dienst treden.

Wij hebben van u vernomen dat er een concepttoegangsbeleid is opgesteld dat goedgekeurd dient te worden door de Directieraad en de OR (in verband met het gebruik van het Burgerservicenummer). Het project Identity & Access Management, waar dit punt ook in wordt meegenomen, loopt. Voorts hebben wij van u vernomen dat voor de applicatie GWS4all een verbetering en aanpassing van de beschrijving van het autorisatieproces heeft plaatsgevonden.

Gemeente Eindhoven is voornemens om het autorisatieproces binnen applicaties aan te scherpen na de implementatie van het ‘Identitiy Access Management’ project medio 2011. Wij adviseren u om de autorisatieprocedure aan te scherpen ten aanzien van autorisatiewijzigingen binnen bedrijfskritische applicaties (waaronder Decade, GWS4all en PIMS@all).

2010.04

Logische toegangsbeveiliging applicaties (middel)

Deels opgevolgd

De wachtwoordeisen op applicatieniveau zijn onvoldoende. Tevens vindt er geen periodieke beoordeling plaats van de logging binnen de applicaties Decade, GWS4all en PIMS@all.

De gemeente geeft aan dat toegang tot het netwerk (Novell) geregeld is en dat toegang tot de applicaties Decade, GWS4all en PIMS@all verloopt conform het toegangsbeleid (concept). Onderbouwende stukken (o.a. concept toegangsbeleid) dienen wij nog van u te ontvangen ter beoordeling.

Decade: Wij hebben vastgesteld dat binnen Decade geen wachtwoordeisen van kracht zijn zoals:   

Een minimumlengte + complexiteitseisen. Het verplicht periodiek wijzigen van het wachtwoord. Het wachtwoord mag niet hetzelfde zijn als het vorige.

De bevinding met betrekking tot geen zichtbare periodieke beoordeling van de logging is de status ongewijzigd.

Gemeente Eindhoven geeft aan dat het technisch niet mogelijk is om wachtwoord restricties in te stellen in Decade. GWS4all: Er vindt geen zichtbare periodieke beoordeling plaats van de logging. PIMS@all: Er vindt geen zichtbare periodieke beoordeling plaats van de logging.


Pagina 23


Status

Gemeente Eindhoven is voornemens om de logische toegangsbeveiliging binnen applicaties aan te scherpen na de implementatie van het ‘Identitiy Access Management’ project medio 2011. Wij adviseren u om de logische toegangsbeveiliging binnen Decade indien mogelijk aan te scherpen. Veel gebruikte instellingen zijn:     

Een verplicht wachtwoord met een lengte van minimaal 8 karakters. Verplicht cijfers en letters aanwezig in wachtwoorden Wachtwoorden elke 90 dagen te wijzigen en dit door het systeem af te laten dwingen. Een wachtwoord historie van 6 maal. Na 3 maal foutief inloggen het account te blokkeren.

Wij adviseren om de logging van kritische transacties/ handelingen in de systemen periodiek te laten monitoren door een onafhankelijke medewerker en de resultaten te documenteren. Voorbeelden van zaken die beoordeeld dienen te worden zijn: transacties boven een X-bedrag, aanpassingen aan stamgegevens en aanpassingen in autorisaties. 2010.05

Autorisaties applicaties (hoog)

Deels opgevolgd

Het aantal gebruikers met alle rechten binnen de applicaties Decade, GWS4all en PIMS@all is te groot.

Wij hebben van u begrepen dat voor de applicatie GWS4all het aantal gebruikers met alle rechten is ingeperkt tot alleen de functioneel beheerders. Voor de applicaties GWS4all en PIMS@all is de situatie ongewijzigd.

Decade: Wij hebben vastgesteld dat 6 gebruikers binnen Decade beschikken over alle rechten. Voor 2 van deze gebruikers geldt dat zij vanuit hoofde van hun functie niet over deze rechten hoeven te beschikken. Gws4all Wij hebben vastgesteld dat 12 gebruikers binnen GWS4all beschikken over alle rechten.

Tijdens testwerkzaamheden die wij in een later stadium zullen uitvoeren zullen wij de zogenaamde “superusers” opnieuw beoordelen voor de applicaties GWS4all, Decade en PIMS@all.

Gemeente Eindhoven is voornemens om de autorisatieinrichting binnen applicaties aan te scherpen na de implementatie van het ‘Identitiy Access Management’ project medio 2011. Wij adviseren u om het aantal gebruikers met alle rechten binnen de applicaties Decade en GWS4all te minimaliseren. 2010.06

Back-up & Restore (laag)

Ongewijzigd

Gemeente Eindhoven beschikt niet over een formele back-up & restoreprocedure. Wij hebben echter vastgesteld dat er periodiek een back-up wordt gemaakt van relevante data en systemen waaronder voor Decade, GWS4all en Pims@all.

De migratie naar het nieuwe data center (TU Eindhoven) is in volle gang en wordt in Q1 2012 opgeleverd. De Gemeente Eindhoven beschikt dan over een geheel gevirtualiseerde server omgeving (dubbel gespiegeld per locatie).


Pagina 24


Status

Hiernaast voert de gemeente jaarlijks een uitwijktest uit voor het netwerk.

Het formaliseren van back-up & restore procedures, alsmede het uitvoeren van een periodieke full restore test vanaf back-up tape voor Decade, GWS4all en PIMS@all heeft niet plaatsgevonden. In het beheershandboek dat opgesteld gaat worden zal hier verdere invulling aan worden gegeven.

Er vindt echter geen zichtbare periodieke full restore test plaats vanaf back-up tape voor deze applicaties. Wij adviseren u om het huid huidige back-up & restore proces te formaliseren. Tevens adviseren wij u periodiek (bijvoorbeeld 1 maal per jaar) een recovery test uit te voeren voor de bedrijfskritische applicaties, waaronder Decade, GWS4all en PIMS@all. 2010.07

Continuïteitsplan/calamiteitendraaiboek (laag)

Ongewijzigd

De gemeente Eindhoven beschikt niet over een continuïteitsplan/calamiteitendraaiboek.

Planning is dat in januari 2012 het continuïteitsplan klaar is. Zie ook de status update bij punt 2010.06.

Gemeente Eindhoven is echter bezig met een project om per Q1 2011 een uitwijkvoorziening te implementeren. Onderdeel van dit project is het opstellen van een continuïteitsplan. Wij adviseren u een calamiteitenplan op te stellen waarin de taken, verantwoordelijkheden en bevoegdheden in het geval van een calamiteit zijn gedocumenteerd. Tevens dient het plan de acties te beschrijven die genomen dienen te worden in het geval van een calamiteit. 2010.08

Periodieke controle uitdiensttreding (middel)

Ongewijzigd

Periodiek controleert Systeembeheer op accounts die langer dan 60 dagen niet zijn gebruikt. Wij hebben echter vastgesteld dat deze controle voor het laatst begin 2010 is uitgevoerd. Een zichtbare controle op uitdienstgetreden medewerkers binnen het netwerk en de applicaties Decade, GWS4all en Pims@all ontbreekt.

Het project Identity & Access Management, waar dit punt ook in wordt meegenomen, loopt. In december 2011 zal een controle voor Novell (netwerk) plaatsvinden. Voor de applicaties is dit nog niet geregeld.

Gemeente Eindhoven is voornemens om het autorisatieproces binnen applicaties aan te scherpen na de implementatie van het ‘Identitiy Access Management’ project medio 2011. Wij adviseren u om een periodieke controle in te richten voor de toegekende autorisaties op netwerk en binnen applicaties. Het verdient de aanbeveling om de resultaten en de controle te documenteren. Tevens adviseren wij om deze stappen vast te leggen in een formele uitdienstprocedure voor bedrijfskritische applicaties. 2010.09

Contractbeheer (laag) Gemeente Eindhoven heeft geen centraal contractbeheer op de contracten met externe IT leveranciers. Zo hebben wij vastgesteld dat de contracten met de leveranciers van de applicaties voor Decade, GWS4all en PIMS@all niet centraal zijn geregistreerd en gearchiveerd.


Opgevolgd Centraal contractbeheer voor IT gerelateerde contracten is gerealiseerd.

Pagina 25


Status

Wij hebben derhalve het bestaan van deze contracten niet vast kunnen stellen. Wij adviseren u om centraal contractbeheer te implementeren voor bedrijfskritische applicaties. 2010.10

Configuratie Management (middel)

Huidige status is onbekend.

Binnen de Gemeente Eindhoven zijn 100 tot 150 werkstations aanwezig waar eindgebruikers zelf software op kunnen installeren, buiten het gezichtsveld van de I&B. Wij adviseren u om de betreffende werkstations af te schermen zodat het niet mogelijk is voor eindgebruikers om zelf software te installeren.


Pagina 26

A.3 Belangrijkste bevindingen 2011 inclusief prioriteit

1

Bevinding & Aanbeveling

Prioriteitstelling t.a.v. uw bedrijfsvoering

Rapportering van interne controles vindt aan het einde van het jaar plaats

Middel

Implementeren uitvoering tussentijdse interne controles en terugkoppeling aan sectoren en directie op kwartaalbasis. 2

Er zijn voor € 532.000 onrechtmatigheden in Europese aanbestedingen geconstateerd

Hoog

Doorlichting inkopen op mogelijke onrechtmatigheden in de Europese aanbestedingen over het tweede halfjaar door internal control. 3

Er is voor een aantal verhuurobjecten onvoldoende inzicht in de verhuuradministratie over de gemaakte verhuurafspraken

Laag

Doorlichting contracten verhuur vastgoed waarvoor geen opbrengsten gegenereerd worden en aansluiting tussen Planon en Decade m.b.t. de huuradministratie. 4

Er bestaat een hit en run risico bij de betalingen

Middel

Invoeren controle op de hash-totals bij betalingen door de lijnorganisatie en achteraf door internal control. 5

Subsidie bevoorschotting heeft plaatsgevonden voorafgaand aan beschikking van middelen

Laag

Onderzoeken of ISA4All mogelijkheden bevat bevoorschotting te blokkeren voorafgaand aan beschikking van middelen. 6

Opvolging bevindingen uit onze managementletters wordt niet tijdig gemonitord

Middel

Gedurende het jaar de ontwikkeling van initiatieven in de interne beheersing n.a.v. bevindingen per kwartaal door internal control te monitoren en terug te koppelen aan de directie en sectoren.


Pagina 27

7



De Planning & Controlcyclus kan verder geoptimaliseerd, initiatieven worden ontplooid

Middel

Wij raden u aan een stip op de horizon uit te werken waar de P&C cyclus van Eindhoven naar toe gaat. 8

Risicomanagement is nog niet verankerd in de gemeentelijke processen

Middel

Wij raden u aan risicomanagement te koppelen aan prestatiemanagement. Binnen de P&C cyclus kunt u risicomanagement koppelen aan de managementcontracten. 9

Liquiditeitssturing dient verder gestimuleerd te worden

Middel

Wij zien mogelijkheden in uw huidige P&C cyclus om het liquiditeits bewustzijn verder te stimuleren, namelijk:   

10

door liquiditeitsplanning een verplicht onderdeel te laten zijn van samen analyseren; door het opnemen van liquiditeitontwikkeling in de Turap; door in de managementcontracten een concrete norm ten aanzien van liquiditeiten te benoemen en hierop te sturen.

Er vinden veel repressieve controles plaats in het kader van verstrekkingen levensonderhoud

Laag

Op basis van een kosten-batenanalyse kunt u onderzoeken of preventieve controle in vergelijking met controle achteraf door kwaliteitscoaches de voorkeur heeft. 2011.01

Een tweetal beveiligingsincidenten hebben zich voorgedaan

Laag

Wij adviseren u alle gemeente-sites aan een quickscan te onderwerpen om na te gaan of er geen grote problemen in aanwezig zijn. 2011.02

Control environment IT nog niet op orde

Hoog

Taken, verantwoordelijkheden en bevoegdheden voor het beheer van informatiesystemen binnen Gemeente Eindhoven zijn op dit moment niet eenduidig belegd. Zo stellen wij vast dat voor sommige applicaties (zoals GWS4all en edocs) het functioneel beheer is belegd bij de Sector I&B. Voor andere applicaties is functioneel beheer bij de betreffende sector ondergebracht. Proceseigenaren zijn niet benoemd binnen de gemeente.


Pagina 28



Het is onoverzichtelijk wie waarvoor verantwoordelijk is. Het verdient aanbeveling om per proces/systeem een overzicht op te stellen hoe taken, verantwoordelijkheden en bevoegdheden zijn belegd en dit overzicht breed binnen de organisatie te communiceren. Daarnaast adviseren wij om hier gemeentebreed afspraken over te maken en niet sectorspecifiek.


Pagina 29

B P&C Discussiedocument

Opdrachtformulering Voorzet voor een concrete opdrachtformulering vanuit de Raad : 1. Werk de in de voorliggende presentatie beschreven ‘stip op de horizon’ verder uit in een richtinggevend (visie)document (circa 8-10 pagina’s): P&C in Eindhoven over 5 jaar 2. Inventariseer de ‘quick wins’ op het gebied van P&C in Eindhoven en definieer een concrete oplossing (per quick win) 3. Start een ontwikkeltraject in nauwe samenwerking tussen Raad, College en ambtelijke organisatie, gericht op het definiëren van én werken met indicatoren. Eerste resultaat is een plan van aanpak hoe aan dit ontwikkeltraject vorm en inhoud te geven. 4. Stel een plan van aanpak op voor de komende 5 jaar gericht op het digitalisering van P&Cdocumenten in samenhang met het gemeentelijk IV- en ICT-beleid en lopende ontwikkelingen Bij alle deelopdrachten zal de verbinding moeten worden gezocht tussen de harde aspecten en zachte aspecten (cultuur / gedrag) van P&C De opdracht kan vanuit de Raad worden verstrekt aan: •

het College met het verzoek de opdracht uit te voeren

•

een gezamenlijke raadswerkgroep waar ook leden van College en ambtelijke organisatie zitting hebben

P&C the Easy Way, gemeente Eindhoven PwC


10 oktober 2011 18

Pagina 30

C Classificatie prioriteiten en status aanbevelingen Prioriteitstelling De aanbevelingen zijn eveneens geclassificeerd naar mate van prioriteit, waarbij de volgende indeling is gehanteerd: “Urgent”

Significante aandachtspunten die invloed hebben op de accountantsverklaring en derhalve opgelost dienen te zijn ten tijde van het opstellen van de jaarrekening.

“Hoog”

Significante aandachtspunten met een hoog risico en potentieel hoge impact op de verslaggeving, compliance en/of operationele performance.

“Middel”

Significante aandachtspunten met een gemiddeld risico en potentieel gemiddelde impact op de verslaggeving, compliance en/of operationele performance.

“Laag”

Aandachtspunten met een laag risico en potentieel lage impact op de verslaggeving, compliance en/of operationele performance.

Hierbij wordt opgemerkt dat de indeling alleen gebaseerd is op de controlebevindingen en bedoeld is om een indicatie te geven van ons oordeel over de volgorde in prioriteit waarmee de aanbevelingen geïmplementeerd zouden moeten worden. De uiteindelijke beslissing over de prioriteit van de individuele aanbevelingen is de verantwoordelijkheid van het College en de Raad.

Status van implementatie Voor de aanbevelingen die door ons in voorgaande jaren zijn gerapporteerd is de status aangegeven ten tijde van de interim-controle. Daarbij is de volgende indeling gehanteerd:

Geen actie ondernomen

Er is door het management (nog) geen actie ondernomen ter implementatie van onze aanbeveling.

Implementatie gestart

Management heeft actie genomen om onze aanbeveling te implementeren, maar de implementatie is nog niet gereed.

Geïmplementeerd

De aanbeveling is (substantieel) geïmplementeerd.


Pagina 31

Planning & Control bij de gemeente Eindhoven Niet bewerkte resultaten workshop accountantscommissie Wat gaat goed? Kleine stapjes vooruit • Begrotingsregels • MIP • Tussentijdse rapportages over begrotingswijzigingen • Informatieverstrekking vanuit het College • Verantwoording op financieel vlak • Centrale control is een verbetering tegenover de situatie van 5 jaar geleden • Professionalisering van de organisatie • Opzet van risicomanagement • Aansluiting van de rekening op de begroting • Leesbaarheid, werken met kleuren P&C the Easy Way, gemeente Eindhoven PwC

10 oktober 19-09-2011 2011 20

Planning & Control bij de gemeente Eindhoven Niet bewerkte resultaten workshop accountantscommissie Wat kan beter? • Indicatoren (KFI en PI’s) verbeteren, balans tussen input en output • Digitaliseren, automatiseren van de P&C cyclus (slimme zoekfunctie) • Management contracten • Integraal volgen van beleidsvelden over langere termijn • Begroting als sturingsinstrument van de gemeente • Budgetbeheer, bijvoorbeeld personele bezetting • Teveel raadsbesluiten • Kort en krachtige vastlegging • Communicatie over het proces (welke beleidsstukken komen eraan?) • “0”- meting P&C the Easy Way, gemeente Eindhoven PwC


10 oktober 19-09-2011 2011 21

Pagina 32

Planning & Control bij de gemeente Eindhoven Niet bewerkte resultaten workshop accountantscommissie Waar mee stoppen? • Informatie blijven geven op postzegelniveau, en meer lange termijn en hoofdlijnen (actie: wat is hoofdlijn en wat detail?) • Moppercultuur (gedrag) • Integrerend systeem • Beleidsvisies/nota’s als resultaat opnemen in de begroting of rekening • Herhaalmomenten uit de P&C-cyclus halen (zoals kadernota en beschouwingen, kadernota versus begroting) • Interne administratieve regels (doorgeschoten? handtekeningcultuur?) • Tussentijdse begrotingswijzigingen P&C the Easy Way, gemeente Eindhoven PwC

10 oktober 19-09-2011 2011 22

Hoe ziet P&C er in de toekomst uit bij Eindhoven? Niet bewerkte resultaten workshop accountantscommissie

Kenmerken toekomstige Planning en control: - Gedigitaliseerde autorisatie en ontsluiting - Gedifferentieerde indicatoren met een koppeling tussen financiële en niet financiële indicatoren - Inhoudelijke discussies i.p.v. procesvragen - Zakelijke cultuur / doelgerichte mensen P&C the Easy Way, gemeente Eindhoven PwC


10 oktober 2011 23

Pagina 33

Realistisch vooruit Managementletter 17 november 2011

Recommend Documents