Gemeente Heemstede Managementletter Rapportage naar aanleiding van de interim-controle 2013
28 november 2013
li'
EY Building a better working world
Building a better working world
Ernst & Young Accountants LLP Cross Towers, Antonio Vivaldistraat 150 1083 HP Amsterdam Postbus 7883 1008 AB Amsterdam
Tel: +31 88 407 10 00 Fax: +31 88 407 1005 ey.com
VERTROUWELIJK College van burgemeester en wethouders van de gemeente Heemstede Postbus 352 2100 AJ Heemstede
Amsterdam, 28 november 2013
SV/RE/avm/9E3L2B
Managementletter tussentijdse controle 2013 Geacht college, Met genoegen presenteren wij u hierbij onze managementletter 2013. Zoals u van ons gewend bent, geeft deze rapportage een beeld van uw organisatie en de gerealiseerde vooruitgang in 2013. In ons dienstverleningsplan heeft uw raad ons de opdracht verstrekt om de jaarrekening 2013 van uw gemeente te controleren. Onze tussentijdse bevindingen rapporteren wij door middel van deze managementletter. In deze rapportage beperken wij ons tot de bevindingen en mogelijke verbeterpunten in de bedrijfsvoering en processen die wij hebben onderzocht in het kader van de controle van de jaarrekening en die naar onze mening van belang zijn voor het management en het college. Dit heeft tot doel vanuit onze natuurlijke adviesfunctie een bijdrage te leveren aan het zelfcontrolerende vermogen van uw organisatie.
EY Partners in Sport /
Wij hebben onze conceptbevindingen toegelicht en besproken met de ambtelijke organisatie de portefeuillehouder Financiën. Tot het geven van een nadere toelichting zijn wij gaarne bereid. Hoogachtend, Ernst & Young Accountants LLP
drs. S.M. van der Ven RA
Ernst & Young Accountants LLP is een limited iiability partnership opgericht naar het recht van Engeland en Wales en geregistreerd bij Companies House onder registratienummer 0 C 3 3 5 5 9 4 . In relatie tot Ernst S Young Accountants LLP wordt de term partner gebruikt voor een (vertegenwoordiger van een) vennoot van Ernst & Young Accountants LLP. Ernst & Young Accountants LLP is statutair gevestigd te Lambeth Palace Road 1, London SE1 7EU, Verenigd Koninkrijk, heeft haar hoofdvestiging aan Boompjes 2 5 8 . 3 0 1 1 XZ Rotterdam, Nederland en Is geregistreerd bij de Kamer van Koophandel Rotterdam onder nummer 2 4 4 3 2 9 4 4 . Op onze werkzaamheden zijn algemene voorwaarden va n toepassing, waarin een beperking van de aansprakelijkheid is opgenomen.
Inhoudsopgave
i
Wat zijn onze belangrijkste bevindingen en aanbevelingen?
i.i
Algemeen beeld Bestuurlijke aandachtspunten
1.2
2 2.1 2.2 2.3 2.4 2.4 2.7 2.8 2.9
Waar staat de gemeente? Procesbeoordeling en bedrijfsvoeringsmonitor Interne controle en verbijzonderde interne controle Inkoop- en aanbestedingsbeleid Omgevingsvergunningen Parkeeropbrengsten SISA Beheersing verbonden partijen ICT
3
Is uw gemeente klaar voor de toekomst?
3.1 3.2
Aandachtspunten jaarrekeningcontrole Actuele ontwikkelingen
Bijlage 1 2 3
Opvolging aanbevelingen voorgaand jaar Opvolging aanbevelingen voorgaand jaar IT-audit Reikwijdte en controleaanpak
Pagina 2
1 Soa ^ftgtaiuQssoD fö©©0(3 Eind september hebben wij de interim-controle uitgevoerd. Daarbij hebben wij de opzet van de administratieve organisatie in overleg met de procesverantwoordelijken geactualiseerd om een duidelijk beeld te krijgen van de organisatie van de gemeente Heemstede in 2013. Voor de toetsing op de werking van de in de administratieve organisatie opgenomen interne controlemaatregelen hebben wij (voor zover gereed) effectief gebruik kunnen maken van de intern uitgevoerde verbijzonderde interne controle werkzaamheden. Continue aandacht voor versterking interne beheersing
In de afgelopen jaren is continue aandacht voor de verbetering van uw organisatie. Dit komt tot uiting in het opvolgen van eerder door ons gerapporteerde aanbevelingen (zie bijlage 1) en het actualiseren en professionaliseren van de verbijzonderde interne controle. De eenduidige vastlegging en updates die plaatsvinden binnen het KeyControlDashboard (hierna: KDC) zijn hierbij van een goed niveau. De verbijzonderde interne controle richt zich met name op de getrouwheid en rechtmatigheid van de routinematige processen. Voor de toekomst adviseren wij in de uitvoering en mate van diepgang van de werkzaamheden nog beter aan te sluiten op de hogere risicogebieden. Hierbij denken wij aan aansluiting op de intern onderkende risico's zoals opgenomen in de risicoparagraaf en bijvoorbeeld de rol van opdrachtgeverschap bij nieuwe samenwerkingsvormen en toetsing op de beheersing van grote (investerings)projecten.
Uw processen zijn in de basis goed op orde
Ten tijde van de interim-controle hebben wij uw significante processen beoordeeld. Hierbij zijn wij met name ingegaan op de vraag of de processen dusdanig zijn ingericht dat de belangrijkste procesrisico's worden afgedekt. Dit hebben wij gedaan door middel van interviews met de betreffende procesverantwoordelijken, het uitvoeren van lijncontroles en het beoordelen van de kwaliteit en de uitkomsten van de verbijzonderde interne controle. Om vast te stellen dat deze opzet ook daadwerkelijk in de praktijk wordt toegepast, voeren de interne controleurs van de verbijzonderde interne controle een groot scala aan testwerkzaamheden als verbijzonderde interne controle uit. Wij hebben deze werkzaamheden door middel van deelwaarnemingen beoordeeld. De interne controleurs hebben op basis van deze testwerkzaamheden rapportages opgesteld. Wij concluderen dat de processen in de basis goed zijn ingericht en zien de onafhankelijke testwerkzaamheden als een goede basis om te steunen op uw processen. In dit stadium van het jaar zijn nog niet alle werkzaamheden uitgevoerd. De volledige afronding van de verbijzonderde interne controlewerkzaamheden en uitkomsten daarvan zullen begin 2014 zijn afgerond. Om bijsturing gedurende het jaar mogelijk te maken zal het komende jaar op onderdelen vervroeging van dit proces plaatsvinden.
Pagina 4
1 Wat zijn onze belangrijkste bevindingen en aanbevelingen? 1.1 Algemeen beeld De belangrijkste procesbevindingen
Ten aanzien van uw procesbeheersing zien wij een aantal verbeterpunten. Wij vragen met name uw aandacht voor de volgende zaken, welke wij in hoofdstuk 2 nader uitwerken: • aanscherping van de beheersing van het naleven van de inkoop- en aanbestedingprocedures, mede gelet op de nieuwe aanbestedingswet; • meer structuur in het beheer van verbonden partijen en waarborgen/garanties; • effectiever gebruik maken van de geautomatiseerde controles binnen de processen en IT-beheer als onderdeel van de verbijzonderde interne controle.
1.2 Bestuurlijke aandachtspunten Top 3 bestuurlijke aandachtspunten
Naast de speerpunten die wij vanuit de auditcommissie zullen meekrijgen, zijn wij gewend om vanuit onze natuurlijke adviesfunctie u mee te nemen in onze visie ten aanzien van de belangrijkste aandachtspunten. Wij onderkennen de volgende bestuurlijke aandachtspunten: 1 Samenwerking in de regio, waaronder de impact van de decentralisaties en het beheer van verbonden partijen; 2 Realisatie van uw bezuinigingen; 3 Gebruik van automatisering en de beheersing van de IT-processen.
Pagina 5
1 Bestuurlijke samenvatting 1.2
Bestuurlijke aandachtspunten
Samenwerking in de regio
De gemeente Heemstede zal in de toekomst tot nog meer samenwerking in de regio overgaan. Daar waar nu belangrijke samenwerkingsverbanden bestaan bij belastingen, sociale dienstverlening en gezamenlijke inkoop, zullen de decentralisatie van rijkstaken en de voorgenomen verdergaande samenwerking op het gebied van de bedrijfsvoering met de gemeente Bloemendaal de samenwerking in de regio intensiveren.
Decentralisaties
Op dit moment bevindt de gemeente Heemstede zich volop in de voorbereiding aangaande de drie decentralisaties (Participatiewet, AWBZ en Jeugdzorg). Het beleid zal ook in samenwerking met de omringende gemeenten in de komende periode verder vormgegeven worden. Complexe factoren in deze zijn: • de regelgeving is nog niet definitief en de budgetten zijn nog onbekend; • de huidige samenwerking in de regio op het gebied van jeugd(zorg) en werkvoorziening omvat verschillende geografische gebieden die niet volledig op elkaar aansluiten; • het grote aantal zorgaanbieders, voor wie de toekomst nog onzeker is. Maandelijks wordt het bestuur en de raad vanuit de opgezette programmaorganisatie actief geïnformeerd over de belangrijkste ontwikkelingen op dit gebied.
Invulling verdere samenwerking gemeente Bloemendaal
Aandacht voor governance verbonden partijen en controlfunctie Heemstede
•M
Op ambtelijk niveau heeft een verkenning plaatsgevonden op de bedrijfsvoering om te onderzoeken op welke gebieden samenwerking in de toekomst mogelijk en wenselijk is. Hierbij zijn vanuit verschillende werkgroepen de medewerkers geïnformeerd en betrokken bij het proces. De volgende functies zijn nader onderzocht: financiën, personeel & organisatie, juridische zaken, communicatie, facilitaire zaken, automatisering en informatievoorziening. Hierbij zijn nadere werkafspraken gemaakt. Deze zijn het meest vergaand op het gebied van ICT, waarbij zelfstandig geen nieuwe aanschaffingen (> € 15.000) zullen plaatsvinden. Bovenstaande punten hebben ingrijpende veranderingen voor de organisatie, waarbij het budget waar de gemeente verantwoordelijk voor is naar verwachting belangrijk zal worden uitgebreid, als gevolg van de nieuwe taken. Dit vraagt om een goede inrichting aan de voorkant voor nieuwe samenwerkingsverbanden dan wel dienstverleningscontracten. Hierbij vragen wij aandacht voor een goede inrichting van de governance structuur (taken, bevoegdheden, mandatering en verantwoording) aan de voorkant als het gaat om het volledig uitbesteden van taken en de inrichting van de controlfunctie vanuit de gemeente (o.a. eisen en wensen ten aanzien van de informatiebehoefte en -voorziening en de tijdigheid).
Pagina 6
1 Bestuurlijke samenvatting
1.2 Bestuurlijke aandachtspunten ealisatie van uw bezuinigingen worden goed bewaakt
De realisatie van de bezuinigingen en de nog te verwachten toekomstige ontwikkelingen op dit gebied worden continue bewaakt. Hierover wordt periodiek specifiek gerapporteerd. De vergaande bezuinigingen vanuit het kabinet en de decentralisatie van taken en middelen stellen de gemeente voor deze uitdaging. De gemeente Heemstede heeft in de afgelopen periode bezuinigingen voor € 4,9 miljoen (circa 11% van de totale inkomsten) door: • besparingen op de bedrijfsvoering; • faseren/schrappen van gemeentelijke investeringen; • versoberen van het voorzieningenniveau. Hiermee is een sluitende begroting voor 2014 gepresenteerd. In de meerjarenbegroting 2015-2017 is een gedeelte van de bezuinigingstaakstelling voor € 2,2 miljoen (in 2017) nog niet definitief ingevuld. In een bezuinigingscatalogus zijn meerdere scenario's ambtelijk voorbereid en zal besluitvorming eerst na de verkiezingen door het college aan de raad worden voorgelegd. Hierbij is inzichtelijk gemaakt op welke beleidsterreinen keuzemogelijkheden bestaan. De besluitvorming zal in de begroting 2015 worden verwerkt. De verwachting is dat het weerstandvermogen blijft voldoen aan gewenste ondergrens. Bewaking hiervan blijft een punt van aandacht.
IT-beheersing op toenemende automatisering
In de afgelopen jaren zijn de primaire processen meer en meer gedigitaliseerd, zoals factuurverwerking, het archief, subsidies, omgevingsvergunningen en sociale dienstverlening. Hiermee hebben de IT-processen een belangrijkere rol ingenomen als onderdeel van de interne beheersing. Wij constateren dat de verbijzonderde interne controle op de IT-processen in onvoldoende mate is meegegroeid. Zo wordt in beperkte mate gebruik gemaakt van geprogrammeerde controles en vindt geen interne toetsing plaats op de algemene IT-beheerprocessen. Als onderdeel van onze controle maken wij waar mogelijk gebruik van geprogrammeerde controles in de systemen. Om hiervan op een effectieve wijze gebruik te kunnen maken is het van belang dat de IT-beheerprocessen van deze systemen op orde zijn. In dit kader focussen wij ons op logische toegangsbeveiliging, wijzigingsbeheer en continuïteitsmaatregelen. In voorgaande jaren hebben deze geprogrammeerde controles zich voornamelijk toegespitst op de uitkeringenadministratie. Daarnaast beoordelen wij de IT-beheerprocessen van Key2Finance. De hieruit voortkomende aanbevelingen zijn adequaat opgepakt. Hiervoor verwijzen wij naar bijlage 2. De inhoudelijke testwerkzaamheden op de relevante IT-beheerprocessen dienen nog te worden uitgevoerd. Over de uitkomsten van deze beoordeling zullen wij u afzonderlijk rapporteren in ons verslag van bevindingen. Pagina 7
2 Waar staat de gemeente? 2.1 Procesbeoordeling en bedrijfsvoeringsmonitor Uw processen zijn in de basis goed op orde
De gemeente Heemstede heeft haar zaken goed op orde wat betreft de inrichting van de administratieve organisatie van de processen. Uit onze interim-controle, waarbij wij de werking van de interne controlemaatregelen hebben getoetst, komt eenzelfde beeld naar voren. Wij hebben in het kader van de jaarrekeningcontrole de volgende significante processen beoordeeld: • Inkoop en aanbesteden (incl. betalingsverkeer) • Personeel en salarissen • Gemeentelijke belastingen (uitbesteed) • Burgerzaken • Begraafrechten • Omgevingsvergunningen • Parkeeropbrengsten • Subsidieverstrekkingen • Sociale uitkeringen WMO • Administratie en Planning&Control • Begrotingswijzigingen • Verbonden partijen ICT Wij constateren dat u aan de voorkant de processen goed heeft ingericht (opzet), waardoor het aantal aanbevelingen ter verdere verbetering van de processen beperkt is. Ons beeld ten aanzien van de bovenstaande processen hebben wij gevisualiseerd om u in één oogopslag een beeld te geven van de mate waarin de processen binnen de gemeente op orde zijn. Wij noemen dit onze bedrijfsvoeringsmonitor. Deze is op de volgende pagina opgenomen. Ten aanzien van de verbetermogelijkheden met betrekking tot met name die processen die wij nog als "geel" classificeren, gaan wij verder in dit hoofdstuk in meer detail op in.
Pagina 9
2 Waar staat de gemeente? Proces
Oordeel
Inkopen en aanbestedingen (incl. betalingsverkeer Personeel en salarissen Gemeentelijke belastingen (uitbesteed) Burgerzaken Rood
Oranje
Geel
Het proces voldoet niet aan de te stellen eisen. Veel aandachtspunten voor verbetering. H e
t proces voldoet voor een belangrijk deel niet aan te stellen eisen. Meerdere aandachtspunten voor verbetering. Het proces voldoet nagenoeg geheel aan de te stellen eisen. Enkele aandachtspunten ter verbetering.
Begraafrechten Omgevingsvergunningen Parkeeropbrengsten Subsidieverstrekkingen Sociale uitkeringen
Groen
H e t
proces voldoet geheel aan de te stellen eisen. Beperkte ruimte tot verbetering.
WMO Administratie en Planning&Control Begrotingswijzigingen SlS,a Verbonden partijen ICT Pagina 10
2 Waar staat de gemeente?
2.2
Interne controle en verbijzonderde interne controle
Interne controle goed ingebed binnen de organisatie
Controle eerste halfjaar uitgevoerd
Tijdens onze interim-controle hebben wij kennis genomen van de opzet van uw administratieve organisatie en de daarin opgenomen maatregelen van interne controle. De uitvoering van de interne controle is primair bij de (proces)medewerkers in de lijn belegd. In de tweede lijn vinden de verbijzonderde interne controles plaats door de interne controleurs. Deze inbedding van de interne controle in de eerste en tweede lijn achten wij een uitstekende methodiek, teneinde het zelfcontrolerend vermogen van de organisatie te vergroten. De uitvoering van de werkzaamheden van de verbijzonderde interne controles liggen nagenoeg op planning. Een aantal controles zijn nog niet uitgevoerd doordat de gegevens pas op een later tijdstip in het jaar beschikbaar komen of doordat de planning van de uitvoering op een later moment is besloten. Finale afronding van de werkzaamheden en de rapportage over de uitkomsten zal begin 2014 volledig zijn afgerond. Vervroeging van het proces is daar waar mogelijk al in gang gezet en opgenomen in de planning voor 2014. Wij hebben reeds onze controlewerkzaamheden op de interne controle uitgevoerd en constateren dat deze testwerkzaamheden met voldoende kwaliteit en diepgang zijn uitgevoerd. Over de belangrijkste controlebevindingen die uit deze controlewerkzaamheden voortvloeien, rapporteren wij u in de volgende paragrafen. Tevens merken wij op dat toetsing van beheersmaatregelen voor bepaalde processen geen onderdeel maken van de verbijzonderde interne controle zoals beheersing verbonden partijen en ICT.
Automatisering binnen de processen
Ten aanzien van de uitvoering van de interne controle en de verbijzonderde interne controle, merken wij op dat beperkt gebruik wordt gemaakt van geautomatiseerde controles. Momenteel worden de beheersingsmaatregelen nog veelal rondom de automatisering getest. Een voorbeeld hiervan is de toetsing op de factuurverwerking. Meerdere beheersingsmaatregelen zijn echter geautomatiseerd of kunnen worden geautomatiseerd. Zo zijn meerdere functiescheidingen en bevoegdheden binnen het financiële systeem (Key2Finance) aangebracht en kan binnen sociale zaken effectief gebruik worden gemaakt van uitzonderingsrapportages. In dit kader kan ook gedacht worden aan het toetsen van automatische koppelingen tussen subsystemen en de financiële administratie. Gebruik van automatisering leidt ertoe dat de controlewerkzaamheden efficiënter en effectiever kunnen worden uitgevoerd. Daarnaast is het automatiseringsproces binnen een organisatie als de gemeente van cruciaal belang als het gaat om beveiliging van vertrouwelijke informatie. Voorwaarde voor het gebruikmaken van geautomatiseerde beheersingsmaatregelen is dat de generieke IT-beheermaatregelen, zoals versiebeheer, logische toegangsbeveiliging en back-up en recoveryprocedures, voldoende zijn ingericht. Hierop vinden intern geen toetsingen plaats.
Toets IT-beheersingsmaatregelen door middel van EDP-audit
Wij adviseren u te analyseren op welke wijze gesteund kan worden op de automatisering bij uitvoering van de interne controlewerkzaamheden. Tevens adviseren wij u om ook de generieke IT-beheersmaatregelen nadrukkelijk te toetsen door middel van interne (EDP-)audits als onderdeel van de verbijzonderde interne controle.
Pagina 11
2 Waar staat de gemeente? 2.3 Inkoop- en aanbestedingsbeleid Inkoop- en aanbestedingsproces gedecentraliseerd
Het inkoop- een aanbestedingsproces is binnen uw gemeente in vergaande mate gedecentraliseerd. De verantwoordelijkheid voor het op rechtmatige wijze verrichten van inkopen en aanbestedingen ligt bij de desbetreffende budgetverantwoordelijke. Vanwege de gedecentraliseerde opzet, zijn een aantal beheersingsmaatregelen geïmplementeerd om te waarborgen dat inkopen en aanbestedingen rechtmatig plaatsvinden. Zo heeft u een verplichte consultatie bij Stichting RIJK voor inkopen die Europees aanbesteed moeten worden, alsmede bij gezamenlijke inkopen. Ook bij andere onduidelijkheden over inkopen fungeert Stichting RIJK als vraagbaak. Daarnaast is de gemeente bezig met de inrichting van een centraal contractenregister. Daarnaast wordt de rechtmatigheid van de aanbestedingen achteraf steekproefsgewijs gecontroleerd als onderdeel van de verbijzonderde interne controle. De verbijzonderde interne controles die tot op heden zijn uitgevoerd omvatten nog geen aanbestedingen die onder de nieuwe aanbestedingswet vallen, gelet op de invoeringsdatum van 1 april 2013. Wij hebben vastgesteld dat de controle op aanbestedingen alleen betrekking hebben op de juistheid van de deze aanbestedingen. Evenals vorig jaar heeft er op dit moment nog geen tussentijdse controle plaatsgevonden op de volledigheid van de naleving van de juiste aanbestedingrichtlijnen. Deze controle zal op basis van een crediteurenanalyse van de inkopen voor jaareinde plaatsvinden. Bovenstaande werkwijze houdt in dat het risico bestaat dat aan de voorkant geen juiste aanbestedingsbeslissing is gemaakt door de betreffende budgetverantwoordelijke. In het verleden was alleen het onterecht niet Europees aanbesteden achteraf niet te herstellen. Met de nieuwe aanbestedingswet is het wettelijke normenkader op dit punt uitgebreid (zie hierna). Het hanteren van een contractenregister kan het risico op fouten aan de voorkant verkleinen en kan bijdragen aan een effectief inkoopbeleid. De verwachting is dat het contractenregister in 2014 volledig operationeel is. Wi'j adviseren de gemeente om de verbijzonderde interne controle aan te vullen met de periodieke controle voor volledigheid van aanbestedingen en hierin ook de aanscherpingen vanuit de nieuwe aanbestedingswet specifiek mee te nemen.
Pagina 12
2 Waar staat de gemeente?
2.3 Inkoop- en aanbestedingsbeleid (vervolg) Aanpassing nieuwe aanbestedingswet niet verwerkt in het inkoopbeleid
Vanaf 1 april 2013 is de nieuwe aanbestedingswet in werking getreden. De organisatie is geïnformeerd en op de hoogte van de gevolgen van de aanbestedingswet 2013 gesteld vanuit Stichting RIJK. Het procedure handboek van Stichting RIJK is hierop aangepast. In aansluiting hierop is het aanbestedingsbeleid van de gemeente Heemstede aangepast. Het nieuwe beleid zal in november worden vastgesteld. Vooruitlopend op de aanpassingen die daarin gedaan zijn als gevolg van de nieuwe aanbestedingswet, is tussen 1 april jl. en heden waar mogelijk al rekening gehouden met de vernieuwde wet- en regelgeving. Wij adviseren specifiek aandacht te besteden aan de gevolgde procedure na 1 april en vóór de periode van ingebruikname van de herziene interne aanbestedingsregels teneinde ook over deze periode het voldoen aan wet- en regelgeving te waarborgen. Op basis van de aanbestedingswet is het normenkader voor de rechtmatigheidtoetsing uitgebreid en dienen ook de bepalingen in de gids proportionaliteit te worden nageleefd. Op basis van de gids proportionaliteit is voor de levering van goederen en diensten te stellen dat bij bedragen > € 50.000 wordt verwacht dat opdrachten meervoudig onderhands worden aanbesteed en dat bij het aangaan van verplichtingen> € 150.000 een nationaal openbare aanbestedingsprocedure wordt gevolgd. De huidige grenzen van het inkoop- en aanbestedingsbeleid liggen met € 15.000 en € 115.000 ruim binnen deze aanscherping, als ook het nieuw vast te stellen beleid. Voor meervoudig onderhands aanbesteden en nationale aanbestedingen geldt niet de plicht om Stichting RIJK bij de aanbesteding te betrekken. Binnen de nieuwe wet is het belangrijk dat gemotiveerd, bij aanvang van de procedure, wordt aangeven welke procedure gevolgd wordt en waarom eventueel wordt afgeweken van de wetgeving. De wet laat afwijkingen toe op basis van het "comply or explain" -principe. Voorts verwijzen wij voor een nadere toelichting naar de actuele ontwikkelingen. Wij adviseren voor eigen aanbestedingen ook toe te zien op de naleving van het aangescherpte procedure handboek. Wij geven in overweging om Stichting RIJK ook bij nationale en meervoudige onderhandse aanbestedingen verplicht te consulteren.
Pagina 13
2 Waar staat de gemeente?
2.4 Omgevingsvergunningen Toetsing op bouwsom binnen nieuw systeem minder goed zichtbaar
De AO/IB is beschreven en bevat de minimaal te verwachten beheersingsmaatregelen voor een juiste, volledige en rechtmatige totstandkoming van de opbrengsten vanuit omgevingsvergunningen. Begin 2013 is er van applicatie gewisseld voor het behandelen en verwerken van omgevingsvergunningen, namelijk van SOU1T XO naar Mozard. Vanuit onze eigen waarneming hebben wij geconstateerd dat de toetsing op hoogte van de bouwsom in beperkte mate is gedocumenteerd zodat niet eenduidig te achterhalen is op basis waarvan dit is getoetst. In de oude systematiek was hier wel in voorzien. Op basis van het bovenstaande adviseren wij in het proces maatregelen te treffen die de toetsing op de hoogte van de bouwsom en de controle daarop (4 ogen principe) beter zichtbaar maakt. Daarnaast hebben wij vernomen dat in Mozard op een andere wijze de aansluiting tussen de aanvragen en de tot uitdrukking komende opbrengsten in de financiële administratie wordt gemaakt. Wij hebben deze aansluiting nog niet kunnen beoordelen omdat deze ten tijde van de interim controle nog niet was uitgevoerd. Wij adviseren u om eind 2013 vanuit Mozard alle aanvragen te herleiden (in samenwerking met ICT om de volledigheid van de aanvragen vanuit Mozart vast te stellen) en daarbij te beoordelen welke aanvragen hebben geleid tot verleende vergunningen en leges. De omgevingsvergunningen zonder leges (de leges vrije omgevingsvergunningen en afgewezen aanvragen met leges) dienen zichtbaar te zijn aangesloten met de verantwoording van CBKZ en de verantwoording in de financiële administratie.
2.5 Parkeeropbrengsten Volledigheid opbrengsten "belparkeren" nog niet gewaarborgd.
Gedurende 2012 is de gemeente Heemstede gebruik gaan maken van mogelijkheden van "belparkeren". In onze managementletter 2012 hebben wij gerapporteerd om meer zekerheid te verkrijgen over de volledigheid van de opbrengsten die door een externe partij (Parkfolio) worden aangeleverd. In tegenstelling tot opbrengsten vanuit pin en chipgelden heeft de gemeente Heemstede geen inzicht in de primaire registratie van het "belparkeren". Dit kan worden ondervangen door een 1SAE3402 verklaring vanuit Parkfolio waarin door een externe accountant wordt bevestigd dat opbrengsten volledig aan de deelnemende partijen wordt toegerekend. De mogelijkheid hiertoe wordt door de gemeente onderzocht, maar heeft nog niet tot het gewenste resultaat geleid. Wij adviseren de gemeente om voor de opbrengsten uit "belparkeren" vanuit Parkfolio een ISAE3402 te ontvangen om zo meer zekerheid te verkrijgen omtrent de volledigheid van deze parkeeromzet. Pagina 14
2 Waar staat de gemeente?
De gemeente Heemstede dient voor het boekjaar 2013 op grond van wettelijk voorschrift voor een aantal specifieke uitkeringen de verantwoordingsinformatie hieromtrent op te nemen in een bijlage bij de jaarrekening, waarvoor het te hanteren model door het ministerie van Bzk is voorgeschreven. Dit in het kader van Single information en Single audit (SiSa). Het aantal regelingen waarover de gemeente verantwoording dient af te leggen bedraagt zes, waarvan vijf regelingen binnen sociale zaken. Voor de SiSa-regelingen inzake het sociale domein heeft de gemeente Heemstede een extra verantwoordelijkheid vanuit de IASZ voor aanlevering van de gegevens aan meerdere gemeenten. Een juiste administratieve organisatie en interne beheersing van het proces draagt bij aan een tijdige en betrouwbare informatievoorziening en verantwoording betreffende de onder SiSa vallende regelingen. Hiermee wordt bovendien geborgd dat bij het samenstellen van de jaarrekening de juiste documentatie beschikbaar is voor het invullen van de SiSa-bijlage en zo het samenstellen van de SiSa-bijlage en de interne controle daarop geen tijdrovend proces wordt. De gemeente onderkent het belang hiervan en neemt de SiSa-regelingen mee in de verbijzonderde interne controletoetsing, waarbij de regelingen binnen het sociale domein onderdeel uitmaken van de verbijzonderde interne controle binnen de IASZ. Tot op heden is alleen de uitvoeringsregeling verkeer en vervoer als onderdeel binnen de verbijzonderde interne controle getoetst, aangezien voor de overige regelingen de informatie voor een juiste en volledige verantwoording pas later in het jaar beschikbaar komt. Het zwaartepunt van de werkzaamheden op de rechtmatige besteding vindt hierdoor inherent pas laat in het jaar plaats. Risicoanalyse per regeling aandachtspunt om inzichtelijk te maken
De interne beheersing rondom SiSa-regelingen is nog niet structureel ingebed als het gaat om aspecten als het opstellen/ beoordelen van de risicoanalyse per regeling, de toereikendheid van de opzet van de administratieve organisatie en het uitvoeren van een lijncontrole. Deze werkzaamheden geven de gemeente inzicht in de mate van beheersing rondom de SiSaregelingen. Voor regelingen met een omvang > € 100.000 is de gemeente verplicht om deze werkzaamheden zelf uit te voeren en vast te leggen. Wj} adviseren voor SiSa-regelingen buiten het sociale domein meer tijdig gedurende het jaar de risicoanalyse uit te voeren en de lijncontrole te documenteren.
Pagina 15
2 Waar staat de gemeente? 2.7 Beheersing verbonden partijen Beheersing van verbonden partijen
De beheersing van de verbonden partijen heeft binnen de gemeente Heemstede doorlopend de aandacht, maar kenmerkt zich als een proces met een incidenteel karakter. Zo is bijvoorbeeld de AO/IC niet specifiek beschreven en maakt de toetsing op de beheersing geen onderdeel uit van de huidige verbijzonderde interne controle. Het aantal verbonden partijen waar de gemeente Heemstede een relatief groter risico loopt, is beperkt en de beheersing en huidige verantwoording binnen de begroting- en jaarrekeningcyclus wordt toereikend geacht. In de toekomst is de verwachting dat de gemeente Heemstede meer samenwerkingsvormen zal aangaan in de regio als gevolg van de decentralisaties. Het is van belang dat de governance bij nieuwe samenwerkingsvormen vooraf goed is ingericht. Wij geven in overweging om de risicoanalyse en het proces rondom de beheersing van verbonden partijen te formaliseren, zodat hiermee vastligt met welke mate en diepgang en op welke wijze taken en verantwoordelijkheden van de verschillende betrokken medewerkers zijn belegd en welke beheersingsmaatregelen zijn getroffen in het kader van de beheersing.
Wijziging BBV
Als gevolg van een wijziging van artikel 15 van het BBV zijn gemeenten voor het begrotingsjaar 2014 verplicht nadere informatie in de paragraaf verbonden partijen op te nemen om het inzicht in de verbonden partijen van de gemeente te bevorderen. Daarbij gaat het onder meer om het belang dat de gemeente heeft in de financiële positie van de verbonden partijen en wijze van financiering. Wij hebben geconstateerd dat de informatie in de begroting 2014 is uitgebreid maar nog niet alle relevante gegevens omvat, met name als het gaat om de financiële positie en wijze van financiering van de verbonden partij. U heeft aangegeven dit als een groeiproces te zien en hieraan in de toekomst te voldoen.
Ten behoeve van de interim-controle 2013 heeft een interview plaatsgevonden met het hoofd ICT en de applicatiebeheer van Civision szwNET. Doel van dit gesprek was het doornemen van opvolging van de managementletter punten van 2012. Op basis van dit update gesprek is de management letter van 2013 geactualiseerd. Er zijn geen detailwerkzaamheden uitgevoerd voor het beoordelen van de (algemene IT) beheersmaatregelen en het daadwerkelijk vaststellen van de opvolgingen van de managementletterpunten. Deze detailwerkzaamheden zullen begin 2014 worden uitgevoerd en zullen in het verslag van bevindingen nader worden toegelicht. Wij hebben de opvolging van de managementletter punten van 2012 in het kader van de IT-audit werkzaamheden uiteengezet in bijlage 2.
Pagina 16
3 Is uw gemeente klaar voor de toekomst? 3.1 Aandachtspunten jaarrekeningcontrole In dit hoofdstuk staan wij stil bij een aantal aandachtspunten voor het boekjaar 2013 die naar onze mening bijzondere aandacht dienen te hebben bij het opmaken van de jaarrekening. De aandachtspunten aangaande verbonden partijen en SiSa zijn ook nader omschreven in paragrafen 2.6 en 2.7. Verbonden partijen, verstrekte leningen en garantstellingen
Naast de verbonden partijen is het voor de gemeente ook van belang om goed inzicht te hebben in de financiële positie van organisaties waaraan leningen zijn verstrekt dan wel organisaties waarvoor de gemeente een garantstelling heeft afgegeven. Toezicht op verbonden partijen, verstrekte leningen en garantstellingen, alsmede adequate analyse van de financiële positie van de partijen, worden steeds belangrijker in de huidige economische omstandigheden. Wij wijzen u erop om eventuele risico's betreffende de hiervoor genoemde verbonden partijen, verstrekte leningen en garantstellingen gedurende het jaar goed te monitoren, en om mede in het kader van de jaarrekening 2013 goede afspraken te maken met de betrokken partijen over een tijdige en effectieve informatievoorziening.
Pagina 18
3 Is uw gemeente klaar voor de toekomst? 3.2 Actuele ontwikkelingen Mogelijk risico voor gemeenten inzake de ontwikkeling VPB plicht
Overheidsbedrijven die economische activiteiten verrichten zijn vanaf 1 januari 2016 waarschijnlijk verplicht om altijd vennootschapsbelasting (VPB) te betalen. De Staatssecretaris van Financiën heeft dit in de zogenoemde "Notitie Belastingplicht Overheidsbedrijven" gepubliceerd. Hierin heeft hij het voornemen geuit om: • een integrale vennootschapsbelastingplicht in te voeren voor indirecte overheidsbedrijven (zoals BV's en NV's waarvan alle aandelen worden gehouden door overheden); • overheden te dwingen hun meer commercieel getinte activiteiten verplicht af te zonderen in een indirect overheidsbedrijf (dat vervolgens met vennootschapsbelasting wordt belast). Voor de gemeente Heemstede kunnen deze wijzigingen grote gevolgen hebben. Wij adviseren u op korte termijn in kaart te brengen wat de mogelijke gevolgen van dit voornemen kunnen zijn en binnen het convenant met de belastingdienst hierover duidelijkheid te verkrijgen. Hiertoe zullen wij met uw organisatie in overleg treden.
Mogelijke afschaffing btwCompensatiefonds met ingang van 2015
Het kabinet ziet af van het schrappen van het btw-Compensatiefonds, maar handhaaft de bezuiniging van ruim een half miljard euro die de afschaffing zou opleveren. Dat bedrag wordt nu gekort op het provincie- en gemeentefonds.
De drie decentralisaties
Vanuit de rijksoverheid wordt er in de komende jaren een grote decentralisatie doorgevoerd, waarbij taken van het rijk en de provincie bij de gemeente komen te liggen.
Aan het voortbestaan van het btw-Compensatiefonds zijn wel twee voorwaarden verbonden: • de door het kabinet geplande structurele bezuiniging van 550 miljoen euro op het budget wordt gekort op het gemeentefonds en het provinciefonds; • bovendien wordt vanaf 2015 een jaarlijks maximumbudget vastgesteld, zodat decentrale overheden niet "onbeperkt" btw kunnen terugvragen.
Pagina 19
3 Is uw gemeente klaar voor de toekomst?
3.2 Actuele ontwikkelln Participatiewet
AWBZ
Jeugdzorg
De Participatiewet voegt de WWB, WSW en de deel van de Wajong samen, zodat er straks één regeling is voor iedereen die in staat is om te werken. Er komen 35 regionale werkbedrijven die mensen met een arbeidsbeperking aan de slag helpen. Per 1 januari 2015 blijft de Wajong alleen nog toegankelijk voor mensen die duurzaam en volledig arbeidsongeschikt zijn. Ook vindt er een herkeuring plaats van de 230.000 mensen die nu in de Wajong zitten. Naar verwachting blijven er 40.000 mensen in de Wajong. Deze groep behoudt hun Wajong-uitkering die via het UWV loopt. Vanaf 1 januari 2015 is nieuwe instroom in de WSW niet meer mogelijk, huidige WSW'ers behouden hun rechten en plichten. Gemeenten worden geheel verantwoordelijk voor de activiteiten op het gebied van dagbesteding, ondersteuning, begeleiding en verzorging. De decentralisatie vanuit de AWBZ is daarmee breder dan voorheen: niet alleen dagbesteding, maar ook ondersteuning, begeleiding en verzorging komt richting gemeenten. De aanspraken worden beperkt, dienstverlening wordt versoberd en meer gericht op waar ze het hardste nodig is en gaat vallen onder de wet maatschappelijke ondersteuning (Wmo). De Wmo wordt herzien, er komt een nieuwe wet. De aanspraken op huishoudelijke hulp worden vervangen door een maatwerkvoorziening voor degenen die het echt nodig hebben en het niet uit eigen middelen kunnen betalen. Aan gemeenten wordt een zeer ruime beleidsvrijheid gegeven met betrekking tot de concrete invulling van deze gedecentraliseerde voorzieningen. Vanaf 2013 vindt scheiding van woning en zorg plaats met verdere decentralisatie in 2014. Per 1 januari 2015 komt alle Jeugdzorg onder de verantwoordelijkheid van de gemeenten te vallen. Het gaat dan om jeugd-ggz, provinciale jeugdzorg, gesloten jeugdzorg, jeugdreclassering, jeugdbescherming en jeugd-lvg. Preventie en uitgaan van eigen kracht staan in deze transitie centraal. Door eerder de juiste hulp op maat te bieden, kan een beroep op dure gespecialiseerde hulp worden voorkomen. Het gaat om een integrale benadering aan gezinnen volgens het uitgangspunt "één gezin, één plan, één regisseur"; door ontschotting van budgetten ontstaan meer mogelijkheden voor betere samen-werking en innovaties in ondersteuning, hulp en zorg aan jeugdigen en gezinnen. De transitie gaat gepaard met een bezuiniging van netto € 80 miljoen in 2015, oplopend tot € 300 miljoen vanaf 2017. De gemeente Heemstede is tijdig aangehaakt en zich goed bewust van de ontwikkelingen van deze regelgeving en gaat ondanks de vele onzekerheden die er op dit moment nog zijn door met ontwikkelingen van beleid ter voorbereiding op deze transitie. Hiertoe is een programmaorganisatie ingericht met een stuurgroep en projectgroepen waarbinnen de gemeenten Bloemendaal en Haarlemmerliede & Spaarnwoude met Heemstede samenwerken. Er is een goed beeld van de aantallen cliënten en van de potentiële leveranciers. Het onzekere element is de finalisering van de regelgeving en de hieraan te koppelen budgetten vanuit het rijk. Door middel van maandelijkse notities wordt het bestuur actief geïnformeerd over de ontwikkelingen op dit gebied.
Pagina 20
3 Is uw gemeente klaar voor de toekomst? 3.2 Actuele ontwikkelingen BBV is op punten aangepast
Op 25 juni 2013 is een besluit genomen tot wijziging van het BBV. Dit besluit is genomen ter versterking van de deugdelijkheid en transparantie van de begroting en de meerjarenraming van provincies en gemeenten en het versterken van de horizontale controle daarop. De gestelde vereisten aan begroting, meerjarenraming, jaarrekening en jaarverslag zijn hiermee aangepast en aangevuld. Het is van belang bij het opmaken van de begroting, meerjarenraming, jaarrekening en jaarverslag dit besluit toe te passen. De belangrijkste wijzigingen betreffen: Technische aanpassingen: • • • •
Verantwoording van informatie over verbonden partijen naar verwachting de grootste impact
Benaming van Programmarekening is aangepast in "Overzicht van baten en lasten" Wijziging term "gerealiseerd resultaat voor bestemmen" in "gerealiseerde totaal van saldo van baten en lasten" Wijziging term "gerealiseerd resultaat na bestemmen" in "gerealiseerde resultaat" Benaming paragraaf "Weerstandsvermogen" is aangepast in "Weerstandsvermogen en risicobeheersing"
Inhoudelijke aanpassingen: «• Uitbreiding van de informatie in de Paragraaf Verbonden partijen met: Naam en vestigingsplaats, het openbaar belang dat op deze wijze wordt behartigd, veranderingen die zich gedurende het begrotingsjaar in het belang dat de gemeente in de verbonden partij heeft, het eigen vermogen en het vreemd vermogen van de verbonden partij aan het begin en aan het einde van het begrotingsjaar, resultaat van de verbonden partij. Hierbij merken wij op dat de gemeente Heemstede in het verleden al veel informatie verantwoorde over de financiële positie van verbonden partijen. • Overzicht van incidentele baten en lasten per programma, waarbij per programma ten minste de belangrijkste posten afzonderlijk worden gespecificeerd en de overige posten als een totaalbedrag kunnen worden opgenomen. • Toevoeging van het onderdeel Investeringen met economisch nut met "Investeringen met economisch nut, waarvoor ter bestrijding van de kosten een heffing kan worden geheven". Achtergrond bij de laatste wijziging is dat de huidige regelgeving (bij riool- en afvalstoffenheffing) tot onduidelijkheden bij fiscale procedures leidden (met name op het gebied van kostentoerekening). Uitgangspunt is nu dat investeringen in casu worden geactiveerd onder dit onderdeel. Indien gemeenten in de heffing bijdragen hebben opgenomen voor toekomstige vervanging van deze investeringen komen deze gelden in een vervangingsvoorziening. Indien de investering wordt gerealiseerd vindt activering plaats, daarna worden direct de daartoe bestemde gelden uit de vervangingsvoorziening rechtstreeks in mindering op het geactiveerde bedrag verwerkt. Dit besluit treedt in werking per begrotingsjaar 2014.
Pagina 21
3 Is uw gemeente klaar voor de toekomst? 3.2 Actuele ontwikkelingen Nieuwe aanbestedingswet per 1 april 2013 van kracht
Per 1 april 2013 is de aanbestedingswet in werking getreden waarmee de Europese regels toegepast worden op de Nederlandse situatie. De wet moet vooral zelfstandigen zonder personeel (zzp'ers) en het midden- en kleinbedrijf betere kansen bieden op overheidsopdrachten. Een aantal belangrijke wijzigingen zijn:
•
Aanbestedende diensten zijn verplicht het gunningscriterium van de Economisch Meest Voordelige Inschrijving (EMVI) te hanteren. De aanbestedende dienst wordt verplicht een proces-verbaal op te stellen over de gunning van de opdracht. In dat proces-verbaal moet onder meer worden opgenomen de naam van de 'winnaar' en een motivering daarvan. Ten aanzien van de geschiktheidseisen mogen geen eisen worden gesteld aan de omzet, tenzij er zwaarwegende argumenten zijn om toch omzeteisen te stellen. Beginsel van proportionaliteit waarbij de eisen die bij een aanbesteding aan een ondernemer worden gesteld in verhouding moeten staan tot de opdracht. In principe geen clustering van opdrachten op zo'n manier dat kleinere bedrijven geen kans meer maken. Ondernemers kunnen voortaan met een zogeheten eigen verklaring aangeven dat ze voldoen aan de gestelde eisen. Alleen de winnende ondernemer van de aanbesteding dient op verzoek de originele bewijsstukken aan te leveren. (Voor)aankondigingen van de opdracht moeten verplicht via TenderNed (elektronisch systeem voor aanbesteden) worden gepubliceerd.
De gemeente is zich bewust van de wijzigingen en de impact hiervan op de huidige processen. Vanuit Stichting RIJK zijn de leidraden al aangepast aan de nieuwe wetgeving en heeft uitgebreide voorlichting aan de organisatie plaatsgevonden. De regelgeving laat echter op onderdelen ook mogelijkheden open tot afwijkingen. In dit kader is het van belang dat de overwegingen hieromtrent gemotiveerd aan de voorkant in het aanbestedingsdossier worden opgenomen.
Wet Normering Topinkomens in de publieke sector
Met ingang van 1 januari 2013 is de Wet normering bezoldiging topfunctionarissen publieke en semipublieke sector (WNT) in werking getreden. Deze nieuwe wet vervangt de Wet openbaarmaking uit publieke middelen gefinancierde topinkomens (WOPT). Binnen de WNT wordt de bezoldiging van topfunctionarissen genormeerd. Onder topfunctionarissen wordt bij een gemeente verstaan: de gemeentesecretaris en de griffier.
Pagina 22
3 Is uw gemeente klaar voor de toekomst?
3.2 Actuele ontwikkelingen Wet Normering Topinkomens in de publieke sector
Een overschrijding van het beloningsmaximum - circa € 228.500 op fulltime jaarbasis, inclusief loon in natura (zoals de auto van de zaak) en inclusief het werkgeversdeel in de pensioenpremie - is voor dat deel onverschuldigd betaald en moet door de betrokkene worden terugbetaald. Niet terugbetaalde overschrijdingen moeten door ons bij de minister worden gemeld. Voor de topfunctionarissen zijn tevens grenzen gesteld aan de contractuele ontslagvergoeding (€ 75.000). Onafhankelijk van de bezoldiging geldt voor topfunctionarissen een openbaarmakingsverplichting van de bezoldiging in de jaarrekening, opgesplitst in 4 elementen: beloning, sociale verzekeringspremies, belastbare vaste en variabele onkostenvergoedingen en voorzieningen ten behoeve van beloningen betaalbaar op termijn.Voor medewerkers (niet zijnde topfunctionarissen) geldt tevens een publicatieverplichting indien de bezoldiging boven het maximum uitkomt. Onder medewerkers wordt in dit kader ook verstaan inhuur van personeel, waarbij de bezoldiging gelijk staat aan het factuurbedrag. Voor deeltijdmedewerkers (of tijdelijke inhuur) geldt dat een analyse moet worden gemaakt van de bezoldiging over het hele jaar door de deeltijdfactor naar rato om te rekenen tot een jaarsalaris. Indien het deeltijdsalaris dan boven het bezoldigingsmaximum uitkomt, geldt ook hier een publicatieverplichting. Overgangsrecht De WNT zal van toepassing zijn op aanstellingen en op arbeidscontracten die zijn gesloten na de inwerkingtreding van de nieuwe wet. De WNT kent een eerbiedigende werking van vier jaar (2013 tot en met 2016) na inwerkingtreding van de WNT, voor contracten die al bestonden op 6 december 2011. Dit is de datum waarop de Tweede Kamer het wetsvoorstel heeft aangenomen. Daarna moet de beloning in de drie volgende jaren (2017, 2018, 2019) stapsgewijs worden afgebouwd, zodat in jaar acht (2020) de bezoldiging het maximum niet meer overschrijdt. Deze eerbiedigende werking geldt niet voor nieuwe bezoldigingen en bestaande contracten die zijn aangepast na 6 december 2011. Gevolgen voor de jaarrekening 2013 De inwerkingtreding van de WNT betekent dat in de jaarrekening 2013 een overzicht moet worden opgenomen van alle topfunctionarissen (zijnde de gemeentesecretaris en griffiers) waarbij op persoonsniveau de verschillende componenten van het beloningsmaximum dienen te worden toegelicht. Daarnaast moet een overzicht worden opgenomen op functieniveau van alle medewerkers waarvan de bezoldiging boven het maximum uitstijgt. Wij adviseren u vroegtijdig in kaart te brengen welke medewerkers moeten worden toegelicht in de jaarrekening 2013 en of sprake is overschrijding van het bezoldigingsmaximum (circa € 228.500) dan wel de maximale beëindigingsvergoeding (€ 75.000) voor een topfunctionaris van de gemeente. Indien niet geheel wordt voldaan aan de openbaarmakingsverplichting of sprake is van onverschuldigde betalingen (bij overschrijding van de beloningsmaxima) dienen wij dit te melden bij de minister.
Pagina 23
Opvolging aanbevelingen voorgaand jaar Bijlage 1 Proces Wet HOF
Verbijzonderde interne controle
Inkoop en aanbesteden
Toelichting inzake gemeentelijke eigendommen die andere bestemming krijgen
Bevinding/Aanbeveling Wij adviseren de gemeente Heemstede om op korte termijn de gevolgen van dit wetsvoorstel in kaart te brengen door op basis van de bestaande liquiditeitenprognoses en investeringsplanningen het toekomstige EMU-saldo te berekenen. Wij adviseren u voortaan om bij de vastlegging van de interne controle door de interne controleurs in KCD de aard van de bevinding (incidenteel/structureel) te laten rapporteren. Indien er sprake is van structurele fouten/bevindingen dan dient de deelwaarneming uitgebreid te worden. Wij adviseren u om een centraal contractenregister op te zetten. Vanuit dit contactenregister kan worden bepaald op welke moment, welke contracten opnieuw aanbesteed moeten worden. Op deze wijze wordt de volledigheid van de aan te besteden contracten gewaarborgd. Wij hebben vernomen dat er momenteel een onderzoek plaatsvindt over het optimaal gebruik van gemeentelijke eigendommen. Er wordt in dit kader nagedacht over verkoop van gemeentelijke eigendommen en het aanpassen van huurovereenkomsten. De beslissing om vastgoed te verkopen kan invloed hebben op toelichting van de activa in de jaarrekening van de gemeente Heemstede. In artikel 63 lid 5 van de BBV is het volgende opgenomen: "Van activa waarvan de bestemming verandert, wordt de actuele waarde van de nieuwe bestemming op de balans opgenomen. Dit betekent dat indien de gemeente besluit om vastgoed te verkopen, de actuele waarde van het vastgoed in de toelichting van de jaarrekening moet worden opgenomen.
Status Opgevolgd
Opgevolgd
Onderhanden
Opgevolgd
Wij adviseren u om bij het opstellen van de jaarrekening 2012 met voorgenoemde rekening te houden.
Inkoop en aanbesteding
De verbijzonderde interne controlewerkzaamheden ten aanzien van de toetsing van de naleving van het inkoopbeleid zijn voor een deel uitgevoerd. De controle heeft plaatsgevonden op een aantal in 2012 uitgevoerde aanbestedingen. De werkzaamheden ter waarborging van de volledigheid van de aanbestedingen zijn nog niet uitgevoerd.
Eveneens bevinding voor 2013
Pagina 25
Opvolging aanbevelingen voorgaand jaar (vervolg) Bijlage 1
Proces
Bevinding/Aanbeveling
Status
De verwerking van de betalingen aan de zorgverleners van de huishoudelijke hulp geschiedt met ingang van 2010 middels een automatische match op persoonniveau door de uitkeringenadministratie met de digitale facturen van de zorgverleners. Hierdoor is ten opzichte van 2009 een verdere verbeterslag gemaakt ten aanzien van de controle van de rechtmatigheid van de in rekening gebrachte kosten van de zorg-verleners. Voorheen werden de facturen van zorgleveranciers nog handmatig regel voor regel door een medewerker van de IASZ gecontroleerd. WMO
De zichtbare vastlegging van deze controlemaatregel ontbreekt doordat dit in de uitkeringenadministratie geschied. De uitkeringenadministratie genereert uitvallijsten waarin factuurregels die niet corresponderen met de uitkeringenadministratie worden geregistreerd. Deze lijstwerken worden met de zorgleverancier gecommuniceerd welke tot correcties leidt.
Eveneens bevinding voor 2013. Het niveau van de te stellen eisen aan de applicatie zijn nog niet toereikend.
Wij achten het van belang dat de inrichting van een dergelijke geautomatiseerde controle door een IT-auditor wordt beoordeeld.
Personeel
Subsidies
Parkeeropbrengsten
Wij adviseren u om de procedures ten aanzien van het declareren van een toelage voor onregelmatige dienst aan te scherpen. Wij adviseren u om de berekening van een declaratie door een tweede medewerker te laten controleren.
Opgevolgd
Wij adviseren u om de procedures ten aanzien van het verlenen van subsidies aan te scherpen indien sprake is van hogere vaststelling dan de verleende subsidie en deze zichtbaar vast te leggen.
Opgevolgd
Wij adviseren u om de zogenoemde ISAE3402-verklaring te ontvangen van Parkfolio waardoor er meer zekerheid kan worden verkregen omtrent de opgaven van Parkfolio en de daarmee samenhangende volledigheid van de parkeeromzet van de gemeente.
Onderhanden voor 2013
Pagina 26
Opvolging aanbevelingen voorgaand jaar IT-audit Bijlage 2 Proces
Beveiliging DigiD
Invoer IBAN
Informatiebeveiliging
Bevinding/Aanbeveling
Status
Naar aanleiding van beveiligingsincidenten rondom DigiNotar en DigiD is in 2012 het beveiligingsassessment rondom DigiD aangekondigd. Inmiddels is enige tijd verstreken en zijn diverse gemeenten en leveranciers van gemeentelijke websites gestart met het inventariseren van de impact van de norm van Logius. Ernst & Young maakte onderdeel uit van de pilot die door VNO en KING is georganiseerd om de impact van de norm te bepalen en is sindsdien actief betrokken bij diverse gemeenten en gemeentelijke leveranciers. We zien echter dat inspanningen momenteel nog achterblijven wat het risico met zich meebrengt dat gemeenten niet tijdig een assessment hebben laten uitvoeren. Wij adviseren u op korte termijn de 1ST situatie te bepalen om vast te stellen waar u momenteel staat. Op die manier heeft u nog ruim de tijd eventuele verbeteringen door te voeren, voordat u zich laat toetsen tegen de norm. Ten aanzien van dit finale assessment adviseren wij u op korte termijn afspraken te maken met uw auditor.
Bij de gemeente Heemstede is een proef audit uitgevoerd, waardoor zij in beeld heeft welke verbeterstappen nog moeten worden gezet. In november zal het definitieve assessment worden uitgevoerd.
Uiterlijk 1 februari 2014 moeten deze standaarden ingevoerd zijn. Het Nationaal Forum voor de SEPA-migratie constateert dat publieke instellingen, in tegenstelling tot elders in Europa waar publieke instellingen een voorbeeldfunctie vervullen, niet vroeg overgaan. Met name gemeenten zullen een extra inspanning moeten verrichten voor de overgang op IBAN, die momenteel nog erg achterblijft. Uit de migratiemonitor blijkt dat een substantieel deel van de gemeenten zijn planning nog moet bepalen. Wij willen u graag wijzen op de naderende deadline en het belang om de planning ten aanzien van de IBAN implementatie te bepalen. Wij bevelen aan een informatiebeveiligingsbeleid op te stellen dat aansluit op de behoeften van de gemeente ten aanzien van privacybescherming, continuïteit, vertrouwelijkheid en betrouwbaarheid van informatie. Het informatiebeveiligingsbeleid is gebaseerd op een risicoanalyse. Door het uitvoeren van een risicoanalyse kunnen de belangrijkste risico's ten aanzien van informatiebeveiliging in kaart worden gebracht. De geïdentificeerde risico's veranderen echter continue. Het is daarom van belang dat u als gemeente meebeweegt met de risico's door deze periodiek te herzien. Hierdoor ontstaat een continu proces van opstellen, in gebruik nemen, verifiëren en aanpassen van maatregelen. Hierdoor bent u als gemeente zelf in staat de risico's ten aanzien van informatiebeveiliging tot een minimum te beperken.
Onderhanden.
Wij hebben vernomen dat in 2013 een informatiebeveiligingsplan is opgesteld. In dit plan staat beschreven welke maatregelen moeten worden geïmplementeerd om het informatiebeveiligingsbeleid op het juiste niveau te krijgen.
Pagina 28
Opvolging aanbevelingen voorgaand jaar IT-audit (vervolg) Bijlage 2
Proces
Wachtwoordinstellingen (netwerkomgeving)
Wachtwoordinstellingen (Civision szwNet)
Autorisaties szwNet
Bevinding/Aanbeveling
Status
De eerste laag van toegang tot de informatiesystemen binnen de gemeente Heemstede is de netwerkomgeving (Active Directory). Wij hebben geconstateerd dat binnen de netwerkomgeving voor gebruikers een aantal sterke wachtwoordrestricties zijn ingericht. Zo is een gebruiker verplicht het wachtwoord eens in de 60 dagen te wijzigen en mag het niet gelijk zijn aan de voorgaande acht wachtwoorden. Echter worden geen eisen gesteld aan de complexiteit van het wachtwoord, waardoor het risico bestaat dat het wachtwoord makkelijk te raden of te hacken is. Wij bevelen u aan complexiteit van het wachtwoord op netwerkniveau te vereisen (combinatie van letters, hoofdletters en cijfers).
De beslissing is genomen om dit punt in 2014 op te volgen.
Om toegang te verkrijgen tot Civision szwNet moeten medewerkers met een gebruikersnaam en wachtwoord inloggen. Het wachtwoord moet voldoen aan een aantal restricties, maar de gebruiker is niet verplicht om het wachtwoord periodiek te wijzigen. Als gevolg van tekortkomingen in de ingerichte wachtwoordrestricties bestaat het risico op intern misbruik van gebruikersaccounts en ongewenste toegang tot uitkeringsgegevens. Naar wij hebben begrepen bestaat de mogelijkheid om Single Sign On (SSO) voor Civision szwNet te implementeren. Wij bevelen u aan SSO te implementeren mits dit op de juiste wijze wordt ingericht. Bij de inrichting van SSO is het van belang dat de tekortkoming in de wachtwoordpolicy van het netwerk wordt opgelost. Wij bevelen tevens aan om te borgen dat procedures zijn opgesteld voor accounts die zijn uitgezonderd op SSO (bijvoorbeeld service of testaccounts).
Wij hebben vernomen dat passende opvolging is gegeven aan onze aanbeveling. In 2013 is de Single Sign on functionaliteit voor de applicatie Civiosn szwNet geïmplementeerd. Wel willen wij benadrukken dat de wachtwoordinstellingen van de netwerkomgeving verder aanscherpt dienen te worden door het afdwingen van wachtwoordcomplexiteit (zie ook wachtwoordinstellingen (netwerkomgeving))
Wij hebben vastgesteld dat de controller en een generiek systeembeheer account ten onrechte beschikken over alle rechten binnen Civision szwNet. Het risico bestaat dat onrechtmatige mutaties worden doorgevoerd of dat functiescheiding kan worden doorbroken. Wij bevelen aan alle toegekende autorisaties periodiek te beoordelen en te borgen dat rechten in de applicaties conform het "need-to-know"principe zijn ingericht.
Wij hebben vernomen dat passende opvolging is gegeven aan onze aanbeveling. In 2013 zijn de rollen en autorisaties van de applicatie Civision swzNet herzien.
Pagina 29
Opvolging aanbevelingen voorgaand jaar IT-audit (vervolg) Bijlage 2 Proces
Bevinding/Aanbeveling
Toegang tot de database van szwNet
Wij hebben geconstateerd dat de applicatie en systeembeheerders toegang hebben tot de database van Civision szwNet. De applicatie -en systeembeheerders van de gemeente Heemstede maken hiervoor gebruik van hetzelfde generieke databaseaccount. Mutaties die worden doorgevoerd met dit generieke account kunnen niet naar een medewerker worden herleid. Als gevolg hiervan kan in het geval van een incident niet met zekerheid worden vastgesteld welke medewerker de betreffende mutatie heeft doorgevoerd. Wij bevelen u aan om voor toegang tot de database persoonsgebonden accounts te hanteren. Voor generieke accounts binnen databases, applicaties en netwerken bevelen wij aan het wachtwoord te wijzigen en op te slaan in bijvoorbeeld een kluis zodat het alleen in noodgevallen kan worden geraadpleegd. Voor het doorvoeren van wijzigingen binnen Civision szwNet zoals patches en releases wordt geen formeel proces gehanteerd. De verantwoordelijkheid ten aanzien van wijzigingen is belegd bij de applicatiebeheerder. Wij hebben begrepen dat de applicatiebeheerder een impactanalyse uitvoert door de update scripts van de wijziging inhoudelijk te beoordelen. Vervolgens wordt een testomgeving opgezet waar een aantal gebruikers testwerkzaamheden op uitvoert. Op dit moment wordt geen standaard testscript gehanteerd en worden resultaten van de uitgevoerde testwerkzaamheden niet gedocumenteerd. Als gevolg hiervan bestaat het risico dat belangrijke functionaliteiten en processen niet worden getest en hierdoor fouten in de programmatuur niet tijdig worden opgemerkt. Dit heeft als mogelijk gevolg dat verstoringen ontstaan.
Wijzigingsbeheer
Wij bevelen u aan om het proces voor wijzigingen verder te professionaliseren en de stappen te documenteren zodanig dat: • een voorgestelde wijziging moet worden geautoriseerd door bijvoorbeeld de leidinggevende of de eigenaar van de applicatie; • het proces en bijbehorende verantwoordelijke worden beschreven (zoals testen in een testomgeving en functiescheiding binnen het wijzigingsproces); • gestructureerd wordt getest aan de hand van een testplan/testscript en dat resultaten hiervan worden vastgelegd; • het testscript minimaal de belangrijkste functionaliteiten en processen bevat en wordt uitgebreid indien wijzigingen in specif ieke delen van de programmatuur worden doorgevoerd; • een nieuwe versie op basis van de schriftelijke testresultaten wordt geaccepteerd.
Status
Voor meerdere databases en applicatie heeft een inventarisatie plaatsgevonden. In 2014 zal de inrichting zodanig worden aangepast dat mutaties tussen wijzigingen in programmatuur en wijzigingen door beheerders eenduidig te traceren zijn.
Wij hebben vernomen dat passende opvolging is gegeven aan onze aanbeveling. Wij hebben vernomen dat het aantal functioneel beheerders van de applicatie Civision szwNet is uitgebreid naar twee functionarissen. Om te waarborgen dat het functioneel beheer op een gestandaardiseerde wijze wordt uitgevoerd, zijn afspraken gemaakt over de wijze waarop werkzaamheden worden uitgevoerd en gedocumenteerd.
Pagina 30
Reikwijdte en controleaanpak Bijlage 3
Reikwijdte werkzaamheden In het kader van de door de raad aan ons verstrekte opdracht tot controle van de jaarrekening 2013 van de gemeente Heemstede brengen wij u hierbij verslag uit van de belangrijkste bevindingen en aanbevelingen naar aanleiding van de tussentijdse controlewerkzaamheden die wij onlangs hebben uitgevoerd. Bij de jaarrekeningcontrole maken wij mede gebruik van de administratieve organisatie en het daarvan deel uitmakende systeem van interne controle van uw gemeente. In dit verband hebben wij de opzet en bestaan van de administratieve organisatie op een aantal door ons noodzakelijk geachte punten onderzocht. Wij wijzen u erop dat onze controle niet was gericht op het vormen van een oordeel over de administratieve organisatie als zodanig. De in deze managementletter opgenomen bevindingen kunnen dan ook niet als limitatief worden beschouwd. Onze werkzaamheden zijn erop gericht een oordeel te kunnen geven over de jaarrekening 2013 van de gemeente Heemstede. Ze zijn niet primair gericht op het opsporen van fraudes of onregelmatigheden in uw organisatie. De bevindingen in deze brief zijn daarom beperkt tot de punten die voortvloeien uit de door ons uitgevoerde werkzaamheden. Indien onze werkzaamheden aanwijzingen hebben opgeleverd voor opgetreden fraudes of onregelmatigheden, dan hebben wij u daarover onmiddellijk gerapporteerd. Bij onze controlewerkzaamheden hebben wij als uitgangspunt de door de raad vastgestelde toleranties gehanteerd. De raad heeft ons daarbij opgedragen om bij onze oordeelsvorming en rapportering uit te gaan van de hierna vermelde goedkeurings- en rapporteringstolerantie. Goedkeuringstolerantie
Goedkeurend
Beperking
Fouten in de jaarrekening (% lasten)
< 1%
>!%< 3%
Onzekerheden in de controle (% lasten)
< 3%
>3% <10%
Oordeelsonthouding
Afkeurend > 3%
> 10%
Op basis van de begroting 2013 van de gemeente Heemstede betekenen bovengenoemde percentages dat een totaalbedrag aan fouten in de jaarrekening van € 437.000 en een totaal van onzekerheden van € 1.311.000 miljoen de goedkeurende strekking van de controleverklaring niet zullen aantasten. De rapporteringstolerantie is, zoals met u overeengekomen, gesteld op € 218.500 (0,5% van de goedkeuringstolerantie).
Pagina 32
Reikwijdte en controleaanpak Bijlage 3
Reikwijdte werkzaamheden Onze controle richt zich tevens op de getrouwheid en rechtmatigheid van de informatie in de SiSa-bijlage van de jaarrekening. Voor SiSa gelden specifiek voorgeschreven rapporteringstoleranties die veelal lager zijn dan uw rapporteringstolerantie van € 218.500. Wij passen deze voorgeschreven SiSa-toleranties eveneens op correcte wijze toe.
Controleaanpak In overeenstemming met de wet resulteert onze accountantscontrole in het afgeven van een controleverklaring zowel met betrekking tot de rechtmatigheid van het financieel beheer (worden de financiële beheershandelingen conform de van toepassing zijnde wet- en regelgeving verricht) als met betrekking tot de getrouwheid (het getrouwe beeld van de financiële positie en het saldo van de baten en lasten). Onze controle valt globaal uiteen in een tweetal momenten. Bij de tussentijdse controle is de focus gericht op het toetsen van de door ons als significant aangemerkte processen binnen de gemeente Heemstede terwijl bij de eindejaarscontrole de posten in de jaarrekening centraal staan. De identificatie van de significante processen vindt plaats op basis van risicoanalyse. Bij onze tussentijdse controle hebben wij, voor zover mogelijk, de opzet van deze processen in kaart gebracht (hoe is de administratieve organisatie en de interne controle ingericht?) en vervolgens het bestaan van deze processen vastgesteld (worden de procedures zoals beschreven ook in de praktijk gebracht?). Om uiteindelijk te kunnen steunen op de interne controlemaatregelen zoals die in de processen zijn opgenomen, dienen wij ten slotte vast te stellen dat deze maatregelen gedurende het gehele jaar hebben gewerkt (het toetsen van de werking). Hierbij steunen wij op de interne controlewerkzaamheden zoals deze door uw interne controleurs worden uitgevoerd. De werkzaamheden zijn momenteel onderhanden. In deze managementletter rapporteren wij u de status hiervan. Op het moment dat de interne controlewerkzaamheden zijn afgerond, voeren wij hierop een review uit en signaleren wij eventuele tekortkomingen. In het verslag van bevindingen naar aanleiding van de jaarrekeningcontrole komen de (eventueel) hieruit voortvloeiende significante bevindingen aan bod.
Pagina 33
