Gemeenschappelijke regeling Reinigingsbedrijf Avalex. Managementletter 2011

Gemeenschappelijke regeling Reinigingsbedrijf Avalex Managementletter 2011 20 april 2012

Formatted: Font: Bold, German (Germany) Deleted: Formatted: German (Germany) Deleted: Formatted: German (Germany) Deleted:

Aan de directie van de

Formatted: German (Germany)

Gemeenschappelijke regeling Reinigingsbedrijf Avalex

Deleted:

Laan van „s-Gravenmade 9

Formatted: German (Germany)

2495 BD DEN HAAG

Deleted: Formatted: German (Germany) Deleted: Formatted: German (Germany)

20 april 2012

H.J. van Beelen MSc

Deleted: Formatted: German (Germany)

Managementletter 20111

Deleted:

Geachte directie, In overeenstemming met de opdracht van 20 december 2011 van het Algemeen Bestuur van de gemeenschappelijke regeling Reinigingsbedrijf Avalex (verder: Avalex), hebben wij de interim-controle over het jaar 2011 uitgevoerd. Op verzoek van Avalex is de controle gestart op 9 januari 2012. De interim-controle 2011 is vooral gericht op onderwerpen die belangrijk zijn voor een goede en betrouwbare jaarverslaggeving over 2011. Het gaat hierbij met name om bevindingen en actiepunten op het terrein van de interne beheersing, voorzover die invloed hebben op de getrouwe en rechtmatige verantwoording van baten, lasten en balansmutaties. Wij vertrouwen erop met deze managementletter 2011 bij te dragen aan het verbeteren van de interne beheersing en de kwaliteit van de jaarrekening 2011. Met betrekking tot de jaarrekening 2010 merken wij op dat bij Avalex diverse vragen open staan over de onderbouwing van posten in de jaarrekening 2010. Daarom hebben wij bij de jaarrekening 2010 nog geen controleverklaring

Moved (insertion) [1]

afgegeven. In november 2011 hebben wij het management van Avalex en het Algemeen en het Dagelijks Bestuur van

Deleted: Wij hebben daarom

Avalex met onze voortgangsrapportage schriftelijk geïnformeerd over de openstaande punten en over onze controlebevindingen bij de jaarrekening 2010. Tussen november 2011 en de datum van deze managementletter heeft Avalex diverse openstaande vragen met betrekking tot de jaarrekening 2010 beantwoord. Andere vragen staan nog open. Om het overzicht te houden hebben wij de stand van zaken met betrekking tot de jaarrekening 2010 niet verwerkt in deze managementletter 2011. Zodoende bevat de managementletter 2011 alleen opmerkingen met betrekking tot het jaar 2011. De status van onze bevindingen over het jaar 2010 hebben wij opgenomen in de update van de Voortgangsrapportage accountantscontrole 2010 die wij tegelijk met deze managementletter 2011 uitbrengen. Wij vertrouwen erop u hiermee van dienst te zijn geweest en zijn graag bereid tot het geven van een nadere toellichting. Hoogachtend,

Deleted: bij de jaarrekening 2010.op dat Avalex diverse openstaande punten die volgen uit de accountantscontrole van de jaarrekening 2010 heeft afgewikkeld. Andere punten staan nog open. Moved up [1]: Wij hebben daarom nog geen controleverklaring afgegeven bij de jaarrekening 2010. Deleted: d.d. xx februari 2012,

Blad 3 van 43 20 april 2012

1. Inleiding Deloitte heeft de opdracht om de jaarrekening 2011 van Avalex te controleren. Als onderdeel van deze opdracht hebben wij in januari en in februari 2012 de interim-controle uitgevoerd. Wij hanteren voor de controle van de jaarrrekening een risicogerichte benadering. Dit houdt in dat wij samen met u de risico‟s inventariseren die kunnen leiden tot materiële fouten in de jaarrekening. Door deze benadering krijgen wij een goed beeld van uw organisatie en zijn wij in staat u binnen onze rol als accountant te adviseren. Het doel van onze controle is het geven van een oordeel over de jaarrekening. De controle omvat het in overweging nemen van de interne beheersing die relevant is voor het opstellen van de jaarrekening, gericht op het opzetten van controlewerkzaamheden die in de omstandigheden passend zijn. Onze controle is niet gericht op het tot uitdrukking brengen van een oordeel over de werking van de interne beheersing. Voorafgaand aan de start van de interim-controle 2011 hebben wij in een zogenoemde pre-audit meeting de focus van de controle 2011 met u afgestemd. Hierbij is ook aandacht besteed aan het eventueel inschakelen van specifiek benodigde aanvullende expertise binnen het controleteam om zo de kwaliteit van de controle en de adviezen te optimaliseren. Tijdens de uitvoering van de interimwerkzaamheden zijn wij nagegaan of onze risicoanalyse nog adequaat is. De bevindingen en aanbevelingen naar aanleiding van onze interim-controle 2011 zijn in deze managementletter opgenomen. De aangelegenheden die wij rapporteren zijn beperkt tot die tekortkomingen die wij tijdens de controle hebben onderkend en waarvoor wij vinden dat deze voor uw management voldoende belangrijk zijn. Wij hebben de managementletter als volgt ingedeeld. De managementsamenvatting is opgenomen in hoofdstuk 2. In hoofdstuk 3 besteden wij aandacht aan de manier waarop de administratieve organisatie en interne controle (AO/IC) op hoofdlijnen is georganiseerd. In hoofdstuk 4 gaan wij in op de follow-up van onze adviezen uit voorgaande rapportages. In hoofdstuk 5 hebben wij een aantal belangrijke afspraken vastgelegd met betrekking tot het jaarrekeningtraject 2011.


2. Managementsamenvatting Inleiding In deze managementletter gebruiken wij regelmatig de term „in control‟. Daarmee bedoelen wij dat een organisatie „in control‟ is, als deze organisatie tijdig alle relevante fouten en onzekerheden zelf signaleert en corrigeert. Dit is van wezenlijk belang voor een betrouwbare tussentijdse informatievoorziening en jaarverslaggeving op grond waarvan beleids- en beheersingsbeslissingen worden genomen. In onze optiek is een organisatie „in contol‟ als tenminste de volgende elementen van interne beheersing goed zijn geborgd. 1.

Adequate risicoanalyse als basis voor de procesinrichting.

2.

Adequate procesopzet met op de risicoanalyse gerichte risico-mitigerende maatregelen.

3.

Goede verbijzonderde interne controle die nagaat of procesafspraken in de praktijk worden nageleefd en die toeziet dat indien nodig correcties worden aangebracht.

4.

Adequate inrichting van de automatiseringsomgeving die betrouwbaarheid van informatie waarborgt.

5.

Voldoende frequente managementinformatie afgestemd op de informatiebehoeften van de gebruikers en voorzien van toereikende verschillenanalyses.

Ontwikkelingen in 2011 In 2010 hebben wij geconcludeerd dat Avalex niet in control is. Dit is door het management en het bestuur van Avalex onderkend. Avalex heeft hierop adequaat gereageerd. In 2011 zijn veel initiatieven genomen en inspanningen gedaan om naar een in control situatie te kunnen doorgroeien. Wij zien een toegenomen enthousiasme en vertrouwen bij het management en de medewerkers van de afdeling Finance om de interne beheersing van Avalex te verbeteren. Dat is een belangrijk winstpunt. Immers, in control komen is iets dat de medewerkers van Avalex samen moeten doen.

Naast verbeteringen in de sfeer en cultuur zijn in 2011 ook de eerste concrete verbeteringen in de interne beheersing gerealiseerd. Zo is in de eerste helft van 2011 de opzet van de managementinformatie op niveau gebracht. Vervolgens is de planning & control cyclus beschreven en wordt de financiële administratie maandelijks afgesloten


voordat de managementrapportages worden gemaakt. Daarnaast bevatten de managementrapportages relevante sturingsinformatie voor de verschillende gebruikers daarvan.

Eind 2011 is een goede start gemaakt met de risicoanalyse en met het beschrijven van de belangrijkste processen met financiële impact. Vervolgens heeft Avalex een intern controleplan geschreven voor het uitvoeren van interne controles. Dit zijn zonder meer positieve ontwikkelingen. De keerzijde is dat de risicoanalyse en de procesbeschrijvingen nog niet up-to-standard zijn. Maar er ligt wel een goede basis om vanuit verder te werken.

De planning &control cyclus was nog niet heel 2011 operationeel. De kwaliteit van de begroting als sturingsinstrument voldoet nog niet en de maandelijks uitgevoerde interne controles op de betrouwbaarheid van de administratie zijn nog niet goed zichtbaar. Ook verloopt in 2011 nog teveel tijd tussen afsluiten van een periode en het beschikbaar komen van de financiële rapportages. Tevens zijn het intern controleplan en de bijbehorende werkprogramma voor verbetering vatbaar.

Uit de bevindingen en aanbevelingen uit het rapport van de rekenkamers Delft, Leidschendam-Voorburg, Rijswijk en Pijnacker-Nootdorp d.d. van 20 januari 2010 en uit het rapport “Governance Avalex” van 8 april 2011 van AKD en Deloitte kan worden afgeleid dat er geen sprake is van een optimale governancestructuur. De gedane aanbevelingen hebben nog niet geleid tot aanpassing van de governancestructuur. De gesignaleerde risico‟s en verbeterpunten zijn derhalve nog steeds van kracht.

EDP audit Avalex is voor de betrouwbaarheid van de managementinformatie en de jaarrekening in hoge mate afhankelijk van de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking in de financiele administratie (SAP) en in de software voor de registratie van de afvalstromen (Pfister).

Wij hebben de de opzet van algemene IT beheersmaatregelen van Pfister onderzocht en wij hebben de opzet en het bestaan van autorisaties in SAP beoordeeld. Samengevat zien wij dat: voor Pfister beperkte verbeteringen zijn doorgevoerd ten aanzien van 2010. de beheersing van autorisaties in SAP vanaf september 2011 is verbeterd.

De beveiliging, de toegangsrechten en de functiescheidingen in Pfister zijn niet toereikend om betrouwbare informatie te genereren. Ook zijn onvoldoende waarborgen getroffen voor een juiste en volledige overdracht van gegevens tussen Pfister en SAP. Vanaf september 2011 is het beheer van de autorisaties in SAP verbeterd. Dat is een belangrijk winstpunt. Omdat de verbetering in september 2011 is doorgevoerd, kan Avalex niet het gehele jaar steunen op de controles binnen SAP. Dit houdt in dat wij net als in 2010 een gegevensgerichte controleaanpak zullen hanteren. Dit is zeer arbeidsintensief, voor Avalex en voor ons. Het is onzeker of door de hoge mate van automatisering van de bedrijfsprocessen binnen Avalex, voldoende controle-informatie kan worden verkregen om de juistheid en volledigheid van de (verdeling) van de omzet c.q. van de verwerkingskosten voor de individuele

Deleted: Een kanttekening


gemeenten te bepalen. Indien dit het geval is, zal dat invloed hebben op ons accountantsoordeel over de jaarrekening 2011 van Avalex.

Volledigheidshalve merken wij op dat wij de werking van de beheersingsmaatregelen in SAP niet hebben getest. Voor ons accountantsoordeel over 2011 is dat niet nodig, immers de opzet en het bestaan van de beheersmaatregelen voldoen niet geheel 2011 aan de daaran te stellen eisen. Wij adviseren wel om de werking van de IT beheersmaatregelen in SAP aanvullend te laten testen. Dat voorkomt dat in 2012 eventueel nieuwe bevindingen en aandachtspunten naar voren kunnen komen die risico‟s inhouden voor de betrouwbaarheid van de managementinformatie 2012 en voor de jaarrekening 2012. Daarnaast raden wij aan om met spoed minimale beveiligingsmaatregelen in Pfister te realiseren.

De belangrijkste bevindingen en openstaande punten per proces Hierna geven wij inzicht in de belangrijkste bevindingen en openstaande punten per proces. Voor het totaaloverzicht van de detailbevindingen en de openstaande punten verwijzen wij naar de bijlagen 1 en 2. Onderwerp Algemeen

Bevinding Avalex heeft begin 2012 de inrichting van de administratie aangepast op een nieuw begrotingsmodel. Dit begrotingsmodel is nog niet door het bestuur goedgekeurd. Het risico is dat het bestuur het begrotingsmodel niet of gedeeltelijk goedkeurt. In dat geval zijn ingrijpende aanpassingen nodig in de inrichting van de administratie.

Avalex heeft geen vastgestelde mandaatregeling op het gebied van Personeel en inkopen. De Gemeenschappelijke regeling legt de bevoegdheid bij het Bestuur, een instructie mandateert deze bevoegdheid naar de directeur. Sinds december 2011 is het Hoofd Personeel ondergemandateerd voor disciplinaire maatregelen, benoeming, schorsing en ontslag. Veel zaken rondom personeel en inkopen zijn nog niet gemandateerd of zijn niet duidelijk belegd. Avalex beschikt niet over vastgelegd beleid ten aanzien van integriteit en ethiek. Personeel

De outputcontrole op door het ADP verwerkte mutaties gebeurt door dezelfde medewerker die de input richting ADP heeft geleverd. Deze functievermenging leidt tot risico‟s voor de juistheid van de personele kosten.

Inkopen

Voor inkopen met betrekking tot het project Ryck, de kostenplaats Directie en de VISAdeclaraties ontbreekt adequate controletechnische functiescheiding. Dit leidt tot risico‟s voor de juistheid van deze kosten.

Inkopen

Uit onze deelwaarneming op de inkoopkosten blijkt dat: 1)

Bij 24 van de 25 facturen geen achterliggende stukken aanwezig zijn. Hierdoor is de

Deleted: Op dit moment zijn de uitkomsten van de EDP-audit op de betrouwbaarheid van de (inrichting van de) financiële administratie nog niet beschikbaar. Wij verwachten dat de eerste bevindingen van het onderzoek naar de inrichting van de autorisatietabellen in maart 2012 beschikbaar komen. Vervolgens zullen de EDP-auditors de opzet en de werking van de geautomatiseerde controles testen in SAP (de financiële administratie) en in Pfister (het afvalweegsysteem). Wij zullen u informeren over de uitkomsten van dit onderzoek.


Onderwerp

Bevinding prestatielevering en de juistheid van de in rekening gebrachte bedragen onzeker. 2)

2 van de 25 facturen geactiveerd hadden moeten worden. De juistheid van de kosten en de volledigheid van de materiele vaste activa is hierdoor niet gewaarborgd.

3)

1 factuur had betrekking op 2010, Het is belangrijk om toe te zien op de juiste toerekening van kosten aan jaren.

4)

Een aantal facturen is betaald zonder dat de facturen in functiescheiding zijn geaccordeerd. Dit brengt risico‟s voor de juistheid van de kosten met zich mee.

5)

Bij 23 van de 25 facturen geen zichtbare interne controle heeft plaatsgevonden op de betaaladvieslijst. Dit leidt tot risico‟s voor de juistheid van de betalingen.

Investeringen

Uit onze deelwaarneming op de investeringen blijkt dat: 1)

3 posten ten onrechte zijn geactiveerd omdat deze het karakter hebben van kosten. Hierdoor zijn de vaste activa op de balans te hoog en de kosten te laag verantwoord.

2)

Bij 2 posten geen onderbouwing/ achterliggende stukken aanwezig zijn ten aanzien van de geactiveerde uren van een consultant. Mogelijk moeten deze posten worden opgenomen als kosten.

3)

Vrijwel voor alle posten de achterliggende stukken ontbreken, waardoor wij niet achteraf zelfstandig de prestatielevering en de juistheid van de kosten kunnen vaststellen.

4)

Uit de interne controle nog vragen open staan over het bestaan van diverse activa.

5)

Er nog vragen openstaan over 2 activeringen (zie tevens punt openstaand hieronder)

6)

Voor alle facturen in de deelwaarneming de investeringsprocedure niet is gevolgd die voorschrijft dat 3 offertes worden opgevraagd. Hierdoor bestaat het risico dat niet tegen de meest gunstige condities in ingekocht.

7)

Voor alle facturen in de deelwaarneming het goedkeuringsbesluit van het MT ontbreekt.

8)

Niet alle investeringen zijn opgenomen in de investeringsbegroting. Het risico bestaat de deze investeringen niet rechtmatig zijn (begrotingsrechtmatigheid).

Opbrengsten

Avalex heeft nog geen interne controle verricht op de omzetstromen. Omdat onze controle uit efficiëntie de interne controle volgt, hebben wij nog controle uitgevoerd op de betrouwbare verantwoording van de opbrengsten.

Rechtmatigheid

De investeringsbegroting is in 2011 overschreden. Dit betekent dat investeringen mogelijk onrechtmatig zijn. Dit dient door Avalex nader te worden onderzocht. Een belangrijke overschrijding van de investeringsbegroting heeft betrekking op SAP. Het Algemeen Bestuur heeft in 2008 een investeringsvoorstel in SAP van bijna € 1 miljoen vastgesteld. Eind 2011


Onderwerp

Bevinding bedragen de investeringen in SAP circa € 3 miljoen. Dit betekent dat de investeringen in SAP mogelijk onrechtmatig zijn.

Rechtmatigheid

Avalex heeft nog niet de interne controle op de rechtmatigheid afgerond. Uit efficiëntie overwegingen volgt onze controle de interne controle. Onder meer vestigen wij uw aandacht op de rechtmatigheid van de kosten die samenhangen met het Mobiliteitsprogramma. Het risico op onrechtmatigheden bestaat. De kosten van het project Ryck bedragen tenminste € 1 miljoen. De uitgaven zijn niet begroot in 2011. Hierdoor worden deze uitgaven in het kader van begrotingsrechtmatigheid als onrechtmatig aangemerkt. De begrotingsonrechtmatigheid heeft invloed op ons accountantsoordeel op het gebied van rechtmatigheid. Tenslotte merken wij op dat de interne controle op de naleving van Europese aanbestedingsregels nog niet is afgerond.

Treasury

De treasury-activiteiten zijn niet gebaseerd op een korte termijn liquiditeitenplanning (looptijd tot één jaar), evenals een meerjarige liquiditeitenplanning met een horizon van ten minste de eerste vier opeenvolgende jaren (art. 4.5 lid 1 Treasurystatuut).

De liquiditeitsanalyse op korte termijn op basis waarvan kasgeldleningen worden aangetrokken vindt onvoldoende frequent plaats. Tevens ontbreekt een formele procedure ten aanzien van liquiditeitsplanning. Het risico op onrechtmatigheden en op ondoelmatige financiering bestaat. Medio 2011 zijn de langlopende financieringen en de vermogensbehoefte op basis van de looptijd van activa wel (eenmalig) gematched. Treasury

Bij het aangaan van kasgeldleningen worden in tegenstelling tot treasurystatuut niet meerdere offertes aangevraagd (art. 5.4 lid 4 en 5 Treasurystatuut). In 2011 is wel een notitie opgesteld die regelt dat 1 offerte van de BNG volstaat. Deze regeling is nog niet goedgekeurd door het bestuur en heeft geen betrekking op de langlopende leningen. Het risico bestaat dat het aantrekken geldleningen niet rechtmatig is.

Treasury

De in 2011 aangetrokken langlopende geldleningen (€ 5 mln en € 10 mln) en diverse kasgeldleningen zijn niet zichtbaar afgestemd op de bestaande financiële positie, de aanwezige leningenportefeuille, een recente liquiditeitenplanningen een actuele rentevisie (art. 4.2 lid 3 Treasurystatuut). Het risico op onrechtmatigheden bestaat.

Medio 2011 heeft echter wel een eenmalige matching plaatsgevonden tussen langlopende financieringen en de vermogensbehoefte op basis van de looptijd van activa. Op basis hiervan zijn de leningen aangetrokken.

Afsluitend

Deleted: uitgevoerd


Uit het voorgaande blijkt dat Avalex in 2011 nog niet in control is. Dat was ook niet de verwachting. Daarvoor is teveel tegelijk nodig om in een tijdsbestek van 1 jaar in control te komen. Wij onderkennen significante tekortkomingen in de interne beheersing in 2011. Deze omstandigheid kan invloed hebben op ons accountantsoordeel over de jaarrekening van Avalex, omdat de tekortkomingen kunnen leiden tot afwijkingen van materieel belang in de financiële overzichten. Het belangrijkste is dat in 2011 de weg naar verbetering duidelijk is ingeslagen. De medewerkers zien dat met succes de eerste verbeterstappen zijn gezet en dat in 2011 een basis is gelegd die het mogelijk maakt om in 2012 beter in control te komen.


3. Bevindingen interim-controle 3.1 Adequate risico-analyse als basis voor de procesinrichting Een goede procesinrichting met voldoende „checks and balances‟ leidt tot betrouwbare administratieve vastleggingen en vormt de basis voor goede interne rapportages en externe verslaggeving. Avalex beschikte in 2010 nog niet over een geformaliseerde risico-analyse die ten grondslag ligt aan de beheersmaatregelen. Eind 2011 is een intern controleplan opgesteld. Het interne controleplan bevat een risico-analyse. Onder risico wordt verstaan het risico op een materiële afwijking in de jaarrekening. Het is positief dat Avalex is gestart met het opzetten van een adequate risico-analyse. De risico-analyse is nog niet volledig. De risicoanalyse is voornamelijk impliciet ingestoken. Per jaarrekeningpost wordt aangegeven of sprake is van een laag, midden of hoog risico. Het is nodig om de risicoanalyse explicieter te maken. Hiervoor kunt u de specifieke aandachtspunten per proces gebruiken die zijn opgenomen in bijlage 3 van het intern controleplan.

3.2 Adequate procesopzet met op de risico-analyse gerichte risico-mitigerende maatregelen Kunnen beschikken over een actuele beschrijving van de administratie organisatie biedt belangrijke voordelen voor de interne beheersing van de organisatie: 

Eenduidige uitvoering van de processen;



Snel inzicht in de verdeling van bevoegdheden en verantwoordelijkheden en de checks en balances in de processen;



Duidelijkheid voor alle bij het proces betrokken medewerkers en eerste stap naar een efficiënte instructie.

Om te kunnen profiteren van deze voordelen moet de beschreven administratieve organisatie in de praktijk worden geïmplementeerd. Avalex onderkent het belang van een toereikend beschreven administratieve organisatie. Eind 2011 is gestart met het beschrijven van de zeven belangrijkste processen binnen Avalex. Deze beschrijvingen zijn een goede eerste aanzet, maar bevatten nog onvoldoende key-controls en overige interne beheersingsmaatregelen om de risico‟s uit de risico-analyse af te dekken.


De beschrijvingen kunnen nog concreter worden gemaakt. Daarnaast bestaat functievermenging tussen de controlerende, beschikkende en registrerende functie. Overigens bestaat deze functievermenging niet in de praktijk. Overige aandachtspunten hierbij zijn het beschrijven van de overige processen en het (laten) opstellen van een Handboek Administratieve Organisatie.

3.3 Verbijzonderde interne controle Eind 2011 heeft Avalex een intern controleplan opgesteld. Door het uitvoeren van het interne controleplan worden eventuele getrouwheids- en rechtmatigheidsfouten en onzekerheden in de informatieverstrekking (zoals tussentijdse managementinformatie, jaarrekening) gesignaleerd. In de laatste weken van december 2011 en de eerste weken van januari zijn werkprogramma‟s opgesteld. Met het opstellen van het interne controleplan en de bijbehorende werkprogramma‟s heeft Avalex een goede basis gelegd om het stelsel van administratieve organisatie en interne beheersing te verbeteren in 2012. Omdat dit het eerste intern controleplan is van Avalex, zijn opmerkingen te maken over de reikwijdte en diepgang. Wij zullen in een overleg met uw hoofd Middelen onze bevindingen nader toelichten en bespreken welke acties nodig zijn voor het verbeteren van het intern controleplan. Op hoofdlijnen zijn onze bevindingen: 1.

In hoofdstuk 5 zijn zeven (significante) financiële bedrijfsprocessen onderkend, te weten: planning & control cyclus, opbrengsten, investeringen, inkoop en aanbesteding, treasury, personeel en binnen alle processen rechtmatigheid. Wij adviseren om het proces opbrengsten nader uit te splitsen in de verschillende omzetstromen. Vanwege de complexe automatiseringsomgeving van Avalex adviseren wij om het proces automatisering op te laten nemen in het interne controleplan.

2.

De naleving van het toetsingskader (rechtmatigheid) met uitzondering van Europees aanbesteden is nog geen onderdeel van de verbijzonderde interne controle. Wij adviseren om de naleving van het toetsingskader rechtmatigheid onderdeel te laten zijn van de verbijzonderde interne controle.

3.

Voor het uitvoeren van verbijzonderde interne controle is het van belang dat de administratieve organisatie en interne beheersing van voldoende kwaliteit zijn om de onderkende risico‟s te beheersen. Avalex heeft nog geen kwalitatief toereikende beschrijving van de administratieve organisatie en interne beheersing. Er is wel een eerste aanzet gemaakt voor het opstellen van procesbeschrijvingen. Mede hierdoor en door diverse leemten in de administratieve organisatie is de verbijzonderde interne controle vooral gegevensgericht ingestoken. Het is van belang om in 2012 de processen verder te verbeteren zodat de interne controle organisatiegericht kan worden uitgevoerd. Dat is efficiënter en maakt vooraf sturen op processen mogelijk, in plaats van achteraf herstellen van fouten.


4.

Nog niet voor alle processen zijn werkprogramma‟s opgesteld en verbijzonderde interne controle uitgevoerd. Avalex heeft aangegeven dat de ontbrekende werkprogramma‟s vóór aanvang van de eindejaarscontrole beschikbaar zijn en volledig zijn uitgevoerd. Daarnaast merken wij op dat in sommige gevallen de „key controls‟ niet of in beperkte mate op werking worden getest. Dit wordt overigens mede veroorzaakt door de gegevensgerichte aanpak.

5.

Wij adviseren u om de materialiteit op een lager bedrag te stellen dan door Avalex gekozen materialiteit. Zo neemt de omvang van het aantal waarnemingen in de verbijzonderde interne controle toe. Na enige tijd en als de uitkomsten van de verbijzonderde interne controle weinig fouten aantoont, kan de materialiteit toenemen en kan het aantal waarnemingen afnemen.

6.

De verbijzonderde interne controle is in 2011 aan het einde van het boekjaar uitgevoerd. Om in 2012 de voordelen van verbijzonderde interne controle volledig te benutten en het zelfsignalerend vermogen te vergroten, raden wij aan om verspreid over het jaar (bijvoorbeeld 1 keer per kwartaal) de verbijzonderde interne controle uit te voeren.

Over het boekjaar 2011 is nog geen verbijzonderde interne controle uitgevoerd op de naleving van het toetsingskader rechtmatigheid. Dit zal achteraf, in 2012, plaatsvinden. Dit vermindert de mogelijkheid van Avalex om gedurende het jaar te anticiperen op rechtmatigheidsissues. Wij adviseren u de interne controle op de rechtmatigheid gedurende het jaar uit te voeren. Een belangrijk onderdeel van rechtmatigheid voor Avalex is het voldoen aan de richtlijnen voor Europees aanbesteden. Wij zien dat Avalex in 2011 zich nog meer bewust is geworden van de verplichtingen van EUaanbesteding. Dit blijkt uit het aanstellen van een centrale inkoper, het Europees aanbesteden van diverse opdrachten en het invoeren van een nieuwe inkoopprocedure (zogenaamde vota‟s). Vanwege de complexiteit van de EU-aanbestedingsregels heeft Avalex eind 2011 een jurist gevraagd om het voor Avalex geldende wetgevingskader inzichtelijk te maken. In augustus 2011 is gestart met de analyse op de crediteuren om vast te stellen of alle opdrachten en combinaties van opdrachten die aanbestedingsplichting zijn, ook daadwerkelijk Europees zijn aanbesteed. Deze analyse is nog niet afgerond. Wij adviseren u de interne controle op de naleving van de EU-aanbestedingsrichtlijnen snel af te ronden en de eventuele bevindingen te communiceren met het bestuur.

3.4 Tussentijdse managementinformatie In onze concept managementletter 2010 hebben wij gerapporteerd dat de tussentijdse managementinformatie onvoldoende betrouwbaar was in verband met onjuiste koppelingen in SAP en het ontbreken van een deugdelijke begroting om een adequate verschillenanalyse te kunnen uitvoeren. Op het gebied van planning & control bestaat in 2011 een duidelijke kwaliteitsverbetering ten opzichte van 2010. Voorbeelden zijn:

Deleted: 3.4 Adequate inrichting van de automatiseringsomgeving¶ Avalex is voor de betrouwbaarheid van de managementinformatie in hoge mate afhankelijk van de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking in SAP en Pfister. De EDP-audit is op het moment van schrijven van deze managementletter nog niet afgerond. Wij verwachten dat de eerste bevindingen van het onderzoek naar de inrichting van de autorisatietabellen in maart 2012 beschikbaar zijn. Na het onderzoek naar de juiste inrichting van de autorisatietabellen zullen de EDPauditors de application controls binnen SAP en Pfister testen. Wij zullen u afzonderlijk informeren over de uitkomsten van dit onderzoek. Volledigheidshalve merken wij wel op dat eventuele gebreken in de automatiseringsomgeving van invloed kunnen zijn op onze controlestrategie en de strekking van het accountantsoordeel in onze controleverklaring. ¶ Deleted: 5


1.

De planning & control cyclus is in 2011 beschreven.

2.

Op de afdeling Finance is onderscheid gemaakt tussen accounting en controlling.

3.

In samenspraak met de gebruikers (management, opdrachtgevers, bestuur) van de tussentijdse informatie heeft Avalex geïnventariseerd wat de specifieke informatiebehoeften zijn. Mede op basis hiervan zijn de tussentijdse rapportages gedurende het jaar verder ontwikkeld.

4.

Elke maand wordt de financiële administratie afgesloten. Er is een planning opgesteld welke werkzaamheden maandelijks uitgevoerd moeten worden om de administratie op een deugdelijke wijze af te sluiten.

5.

Voor elke maand tot en met oktober is een managementrapportage opgesteld in 2011.

Door beperkingen in de capaciteit stagneert de ontwikkeling van de managementinformatie. Op het gebied van tussentijdse managementinformatie merken wij nog het volgende op. 1.

Naar mening van Avalex voldoet de begroting 2011 niet als sturingsinformatie. De begroting is voor onze accountantscontrole geen object van onderzoek. Tekortkomingen in de begroting bemoeilijken de verschillenanalyse en verminderen het zelfsignalerend vermogen. Het verdient aanbeveling om een investeringsbegroting op te nemen in de begroting.

2.

De maandelijkse interne controles zijn onvoldoende zichtbaar gemaakt. Hierdoor kunnen wij niet vaststellen of de interne controles daadwerkelijk zijn uitgevoerd. Avalex is zich hiervan bewust en geeft aan dat door beperkte capaciteit en overige additionele werkzaamheden er onvoldoende tijd is om alle interne controles zichtbaar vast te leggen. De verwachting van het management is dat in 2012 de interne controles wel zichtbaar zullen worden vastgelegd.

3.

Niet in alle gevallen is het gelukt om tijdig de managementrapportages op stellen. Uw management heeft aangegeven dat dit mede wordt veroorzaakt door de complexiteit en het ontbreken van een goed functionerende bedrijfsbureau.

4.

De managementrapportages geven geen prognose voor het resultaat einde boekjaar.

5.

De managementrapportages bevatten een tekstuele toelichting op de verschillen tussen de realisatie 2011 en de realisatie 2010. De analyses zijn inhoudelijk voor verbetering vatbaar.

6.

De managementrapportages kunnen aan informatiewaarde winnen door het opnemen van informatie over rechtmatigheid, liquiditeit, kengetallen en bedrijfsvoering. Avalex is van plan om de managementrapportages in 2012 op deze gebieden uit te breiden.

3.5 Overige bevindingen

Deleted: 6

Blad 14 van 43 20 april 2012 Deleted: 6

3.5.1 Organisatiestructuur In de nieuwe organisatiestructuur is de concern controller niet langer als staffunctie van de directie opgenomen. Daarvoor in de plaats komt een business controller die functioneert onder het hoofd Middelen. De status van deze nieuwe organisatiestructuur is niet duidelijk, omdat de structuur niet is vastgesteld door het bestuur. In de praktijk is in 2011 na het vertrek van de concern controller de functie niet ingevuld. Gezien de huidige problematiek zijn wij van mening dat Avalex wel behoefte heeft aan een concern controller die in een onafhankelijke rol direct rapporteert aan de directie. Deleted: 6

3.5.2 Begrotingsrechtmatigheid Avalex heeft geen goede begroting met een transparante toerekening van kosten aan programma‟s. Dit maakt het lastig om de juistheid en rechtmatigheid van de toerekening van kosten aan te tonen. Mede hierdoor is nog geen verbijzonderde interne controle uitgevoerd op de begrotingsrechtmatigheid van de programma‟s in 2011. Overigens hebben wij wel begrepen dat in 2011 (net als in 2010) de investeringsbegroting is overschreden. Wij adviseren om investeringen expliciet te begroten en de daadwerkelijke investeringen te toetsten aan de begroting om zodoende begrotingsonrechtmatigheden te voorkomen. Investeringen in SAP In 2008 heeft het Algemeen Bestuur het investeringsvoorstel voor de vervanging van de systemen ARIS en Exact door SAP goedgekeurd tot een bedrag van € 966.500. Uit de stukken die wij hebben ontvangen blijkt niet dat nadere investeringsvoorstellen zijn voorgelegd aan het Dagelijks Bestuur en/of het Algemeen Bestuur met betrekking tot de implementatie van SAP. De totale investering in hard- en software bedraagt volgens het conceptjaarverslag 2010 eind 2010 circa € 3,5 miljoen. De totale investering in SAP bedraagt tot en met 2011 in ieder geval circa € 3 miljoen. Er is zodoende sprake van een begrotingsonrechtmatigheid van in ieder geval € 2 miljoen. Het exacte bedrag dient

Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar

nader te worden onderzocht.

Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar

Mobiliteitsprogramma


In de vergadering van het Dagelijks Bestuur d.d. 20 april 2009 is het voorstel besproken van de directie aan het


Dagelijks Bestuur voor de aanbesteding van de „mobiliteitsgarantie voertuigen‟. Volgens de „Aanvulling op voorstel aan het DB‟, betreffende Aanbesteding mobiliteitsgarantie voertuigen van 6 mei 2009 zijn de totale begrote kosten

Formatted: Font: Bold, Font color: Custom Color(RGB(146;212;0)), Do not check spelling or grammar

voor de exploitatie van voertuigen bij outsourcing € 2.226.631. Het is vooralsnog onduidelijk of het Algemeen Bestuur (en tot welk bedrag) heeft besloten tot een begrotingswijziging. Dit moet worden uitgezocht. In de evaluatie van United Quality van 28 september 2011 blijkt dat de kosten voor het mobiliteitsprogramma in 2010 en 2011 circa € 2,9 miljoen zijn. Of en tot welk bedrag sprake is van een begrotingsonrechtmatigheid moet nader worden uitgezocht. Project Ryck

Formatted: Font: Bold, Font color: Custom Color(RGB(146;212;0)), Do not check spelling or grammar Formatted: Font: (Default) Arial, 9 pt, Bold, Font color: Custom Color(RGB(146;212;0))


In de notulen van het Dagelijks Bestuur d.d. 28 maart 2011 is vermeld dat het inzamelconcept „Afval Loont‟ wordt toegelicht. Op basis van de notulen van het Dagelijks Bestuur hebben wij niet kunnen vaststellen of hierbij een begroting is voorgelegd aan het Dagelijks Bestuur en aan het Algemeen Bestuur. Wij hebben wel een begroting van Ryck d.d. 28 maart 2011 ontvangen waarin is vastgelegd dat de totale begrote inkomsten in de pilot € 366.582 bedragen. De totale begrote uitgaven bedragen € 486.160. In deze begroting is een voorlopig negatief resultaat ten bedrage van € 119.578 vermeld. In de derde kwartaalrapportage 2011 aan het Dagelijks Bestuur van Avalex, gedateerd op 6 januari 2012, is over Ryck vermeld: “Kostenstijging Afval loont Het concept “Afval Loont” is in 2011 gestart. Het bedrag van € 751. 735 zijn alle gemaakte kosten omtrent het “Afval Loont”. Op basis van grove selectie uit de financiële administratie hebben wij vastgesteld dat tenminste € 1.015.000 is uitgegeven ten behoeve van het project Ryck. De gerelateerde opbrengsten zijn tenminste € 173.000. Deze uitgaven zijn niet begroot in 2011. Hierdoor worden deze uitgaven in het kader van begrotingsrechtmatigheid als onrechtmatig aangemerkt. Deleted: i

De begrotingsonrechtmatigheden hebben invloed op ons accountantsoordeel op het gebied van rechtmatigheid.

Deleted: eft


Deleted: 6

3.5.3 Overeenkomst met Court Lane Consultants BV Op 27 oktober 2010 heeft Avalex een overeenkomst gesloten met Court Lane Consultants BV (hierna CLC) voor het verrichten van werkzaamheden met betrekking tot het project “Geld voor afval” (project Ryck). In de overeenkomst staat dat CLC - gezien de omvang van de opdracht en het toekomstperspectief als aandeelhouder voor CLC – een korting verleent op haar gebruikelijke tarieven van 50%. De facturatie en betaling van de resterende 50% van de gewerkte uren is afhankelijk van de te nemen besluiten na de pilot. In de overeenkomst worden drie scenario‟s besproken. Wij adviseren u de consequenties van deze afspraken te bepalen voor de verslaggeving. Hierbij geven wij de volgende overwegen:

1.

Bepaal de kans dat de pilot doorgang vindt dan wel afgebroken wordt (risicoanalyse).

2.

Stel vast welke bedragen er over 2011 aan CLC zijn betaald.

3.

Maak een inschatting van het bedrag dat aan naheffing aan Court Lane zal moeten worden betaald.

4.

Vorm indien nodig voor dit bedrag een voorziening in de jaarrekening.

Wij hebben begrepen dat het bestaan van deze overeenkomst niet algemeen bekend was bij het management van Avalex. Het is nodig om nader te onderzoeken of dit voor meer overeenkomsten geldt. Wij adviseren tevens om een registratie van aangegane verplichtingen bij te houden. Een contractenregister kan bijdragen aan het volledige beeld van de aangegane verplichtingen. Deleted: 6

3.5.4 Uitdienstmutatie voormalig concern controller In 2011 is de arbeidsovereenkomst met de concern controller beëindigd. Het personeelsdossier bevatte geen ontslagbrief. Dit is inmiddels hersteld. De vaststellingsovereenkomst is getekend door het hoofd P&O. Volgens de instructie voor de directeur zoals vastgesteld door het bestuur is alleen de directeur bevoegd tot het tekenen van een vaststellingsovereenkomst. Naast de vaststellingsovereenkomst zou Avalex de verplichting hebben tot het betalen van de bovenwettelijke WW. Hiervan zijn geen stukken beschikbaar. Het is onduidelijk welke verplichting Avalex heeft en wat de omvang is van die verplichting. Het is nodig om dit uit te zoeken en de eventuele verplichting op te nemen in de jaarrekening. Mogelijk heeft de uitkering gevolgen voor de WOPT-toelichting in de jaarrekening.

Blad 17 van 43 20 april 2012 Deleted: 6

3.5.5 Dienstverleningsovereenkomst Jaarlijks sluit Avalex dienstverleningsovereenkomsten met de gemeenten. Over 2011 beschikt Avalex nog niet over de door de gemeente ondertekende dienstverleningsovereenkomsten. Wij adviseren om de overeenkomsten - waarin tevens de financiële paragraaf is opgenomen – alsnog te laten ondertekenen. Wij hebben wel vastgesteld dat de ongetekende dienstverleningsovereenkomsten juist zijn verwerkt in SAP en dat de geboekte opslagen ter dekking van overhead en de opslagen voor winst en risico zijn geboekt in SAP in overeenstemming met de vastgestelde opslagpercentages door het Algemeen Bestuur op 3 oktober 2011. Deleted: 6

3.5.6 Overzicht overige gedetailleerde bevindingen Voor het overzicht van de overige gedetailleerde bevindingen verwijzen wij naar bijlage 1.


4. Bevindingen EDP-audit 4.1. Inleiding Formatted: Font: (Default) Arial, 9 pt

Avalex is voor de betrouwbaarheid van de managementinformatie en de jaarrekening in hoge mate afhankelijk van de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking in de financiele administratie (SAP) en in de registratie van de afvalstromen (Pfister). Wij hebben de de opzet van algemene IT beheersmaatregelen van Pfister onderzocht en wij hebben de opzet en het bestaan van autorisaties in SAP beoordeeld. Samengevat zien wij dat:  voor Pfister beperkte verbeteringen zijn doorgevoerd ten aanzien van 2010.  de beheersing van autorisaties in SAP vanaf september 2011 is verbeterd.

Formatted: Normal, No bullets or numbering

Formatted: Font:

In de volgende paragrafen gaan wij nader in op de bevindingen van de EDP-audit voor Pfister, SAP en de interface tussen Pfister en SAP die er voor moet zorgen dat de weeggegevens betrouwbaar worden vertaald naar financiele gegevens in SAP.

4.2 Pfister Op het gebied van rollen en rechten binnen Pfister zijn in 2011 geen aanpassingen doorgevoerd. Voor het wijzigingenbeheer proces geldt dat er geen formele change management procedure voor Pfister is opgesteld. Een wijzigingsregister is niet voorhanden waarin de doorgevoerde wijzigingen in de programmatuur gedocumenteerd zijn. De risico‟s ten aanzien van Pfister zijn ten aanzien van vorig jaar ongewijzigd en zijn als volgt:  Functiescheiding in de primaire vastlegging in Pfister niet is geborgd als gevolg van de ruime toekenning van de rol Super aan gebruikers in Pfister.  Het onmogelijk is om vast te stellen welke gebruiker verantwoordelijk is geweest voor de invoer als gevolg van het feit dat één enkel gebruikersaccount wordt gedeeld door alle weegmeesters.  Het gebruikersaccount voor de testgebruiker zou gebruikt kunnen worden om te testen. Dit is niet wenselijk aangezien het uitvoeren van een test in een productie omgeving kan leiden tot vervuiling van informatie en verstoring van de productie omgeving. Het testaccount is niet gebruikt voor handmatige wegingen.  Niet kan worden gevalideerd of de rechten zijn toegekend conform de eisen en wensen van het management als gevolg van het feit dat een gebruikersrechtenmatrix ontbreekt.  De wachtwoorden van een gebruikersaccount kan door onbevoegden worden geraden en kan onbeperkt worden toegepast voor ongeautoriseerde transacties.  Niet kan worden vastgesteld of aanpassingen in de gebruikersautorisaties of programmatuur geautoriseerd zijn als gevolg van het feit dat vastlegging van de wijzigingsaanvragen ontbreekt. Formatted: Space Before: 12 pt


4.3 Interface controle maatregelen (SAP <-> Pfister) Op het gebied van interfacing en bewaking van foutmeldingen zijn in 2011 aanpassingen doorgevoerd:

Bevinding uit 2010 1. Er zijn geen structurele controlemaatregelen getroffen voor de werking van de interface van SAP naar Pfister. Er is geen controle op juiste en volledige overdracht van informatie (geen checksum, controlegetal, o.i.d. om deze te kunnen controleren). Bestanden met informatie worden volgens de gebruikers normaliter wel ingelezen maar indien informatie ontbreekt kan de doelapplicatie dat niet detecteren.

2.

3.

4.

Er worden geen structurele/periodieke aansluitingen gemaakt tussen de twee systemen Pfister en SAP.

Voor informatie die SAP niet herkent in de interface van Pfister naar SAP bestaat een “Foutenbak”. Deze “Foutenbak” wordt niet structureel gemonitord op basis van een formeel proces. Een groot aantal medewerkers hebben uitgebreide rechten in SAP en kunnen ook interface instellingen aanpassen.

Opvolging 2011 Deze bevinding is ongewijzigd ten opzichte van 2010. De applicatie Pfister verricht geen controle op de verkregen gegevens van SAP. We hebben echter begrepen dat in het proces waarborgen zijn waardoor ontbrekende informatie wordt gedetecteerd. Voor de export van SAP naar Pfister bestaat in SAP een controlelog of de export correct is verlopen.

Deze bevinding is ongewijzigd ten opzichte van 2010. Een Qlikviewrapportage is opgesteld, maar deze is in de testfase. Deze bevinding is in 2011 opgelost. De afvalbak wordt conform de procedure van het inlezen van de wegingen gemonitord en deze handeling is aantoonbaar vastgelegd. Per september 2011 is deze bevinding opgelost.

In de audit van 2011 is aanvullend vastgesteld dat op de netwerk folder die alle input en output bestanden bevat geen toegangsbeveiliging is ingesteld. De bevindingen leiden tot de volgende risico‟s  Informatie wordt overgezet van SAP naar Pfister die onjuist of onvolledig is en dat dit niet tijdig kan worden gedetecteerd. In het geval dat informatie van SAP naar Pfister niet juist is overgezet, kan dit leiden tot het risico dat het bedrijfsproces van Avalex wordt verstoord.  Het risico bestaat dat orders in SAP na overdracht in Pfister worden verwijderd waardoor wegingen in de foutenbak komen.  Medewerkers met uitgebreide rechten konden tot medio 2011 ongeautoriseerde wijzigingen maken aan de instellingen van de interface.  als gevolg van de gebruikers met toegang tot de input en output bestanden handmatige wijzigingen in de data kunnen worden doorgevoerd die leiden tot onbetrouwbare gegevens.

4.4 Integriteit van kritische SAP rapportages rond de afvalstoffenbalans Tijdens de audit van 2010 is geconstateerd dat: •

DVO – Deze rapporten zijn ten tijde van ons onderzoek wat betreft de afvalstoffenhoeveelheden niet standaard beschikbaar in SAP. Rapporten worden ten tijde van ons onderzoek handmatig gemaakt.

•

LMA – Dit rapport komt sinds november 2010 uit SAP. De acceptatietest bestond uit een cijferbeoordeling van de totalen per afvalstroom met de totalen van de maand ervoor. Er is geen testscenario opgesteld of testdocumentatie beschikbaar. Daarnaast worden de rapporten die Stichting LMA terug stuurt aan Avalex niet


periodiek aangesloten op de verstuurde gegevens vanuit SAP. Ook wordt er door Avalex niet vastgesteld of er nog wijzigingen plaats vinden in de afvalstoffenbalans nadat een periode gemeld is aan de Stichting LMA. Hierdoor kan er een verschil ontstaan tussen de administratie van Avalex en de vastlegging bij Stichting LMA. •

CBS – Dit rapport is niet beschikbaar in SAP. Het is ook niet helder wie de CBS rapportage dient te maken binnen Avalex. Ondanks doorverwijzing naar verschillende personen hebben wij geen functionaris aangetroffen die deze rapportage momenteel verzorgt.”

De Financial Reporter verzorgt de CBS rapportage. Op termijn is het de bedoeling dat deze taak wordt overgedragen aan het bedrijfsbureau. Ten aanzien van de LMA rapportage is vastgesteld dat gebruikersacceptatietests zijn verricht. De bevinding ten aanzien van de LMA uit 2010 is daarmee komen te vervallen. Het risico bestaat dat voor de DVO en CBS –rapportage niet is vast te stellen of het rapport is opgebouwd conform de eisen en wensen van de organisatie en fouten bevat omdat het in de rapportages om complexe aansluitingen gaat en de fout-kans door handmatige bewerkingen groter is.

4.5 Geen formele procedures voor fysieke toegang tot Pfister server De sleutel om fysieke toegang te verkrijgen tot de serverruimte ligt bij de receptie en is enkel toegankelijk voor medewerkers van Sogeti en de Senior ICT Medewerker. Er is echter geen fysiek toegangsbeleid met bijbehorende controles en registraties opgesteld. Omdat geen registratie wordt bijgehouden, vindt ook geen periodieke controle plaats op de verkregen fysieke autorisaties. Het ontbreken van een beoordeling op het betreden van de serverruimte door middel van de toegangspas verhoogt het risico dat onbevoegden toegang krijgen tot de serverruimte en (vitale) componenten uit de geautomatiseerde omgeving beschadigen. Door het ontbreken van een periodieke beoordeling van de toegangspasregistraties bestaat het risico dat onbevoegd betreden van de serverruimte niet wordt opgemerkt.

4.6 Opzet en bestaan van autorisaties in SAP Op basis van de eQSmart analyse is het volgende geconstateerd:  Drie accounts van de leveranciers Sogeti en Prologa (PROSUPP, USC-FBEHEER, USC-TBEHEER) gebruiken het SAP_ALL profiel.  Twee van de drie accounts (PROSUPP en USC-TBEHEER) beschikken over een developer key. Er is geen procedure om deze accounts te deactiveren wanneer geen noodzaak is voor het gebruik daarvan. De leveranciers SAP_ALL privileges kunnen beveiligingsmaatregelen in SAP omzeilen. Het risico bestaat dat ongeautoriseerde handelingen worden uitgevoerd met deze gebruikersaccounts in de (stam)gegevens en /of configuratie instellingen van SAP.

4.7 Beveiligingsinstellingen SAP De volgende beveiligingsinstellingen zijn niet conform best practice ingericht:  De parameter rec/enable en rec/client staan niet aan waardoor logging van wijzigingen op tabellen ontbreekt.  De wachtwoordinstellingen dwingen geen complexiteit af. Wel dienen de wachtwoorden minimaal 8 karakters te zijn en om de 34 dagen te worden vervangen. Deze afwijkingen op de best practice zijn ook onder de aandacht gebracht in het door Sogeti opgestelde document “AUTORISATIECONCEPT”. Zonder logging op tabellen bestaat het risico dat mutaties op de tabellen achteraf niet zijn te detecteren en achteraf naar een persoon zijn te herleiden. Dit kan ertoe leiden dat adequate herstelacties niet mogelijk zijn. Dit risico neemt toe door het gebruik van de SAP_ALL accounts door de leverancier.


Het risico bestaat dat door het ontbreken van complexiteitseisen wachtwoorden worden geraden. Dit risico ten aanzien van de wachtwoorden is in combinatie met het gebruik van minimaal 8 karakters en om de 34 dagen wijzigen echter beperkt.

4.8 Gebruik van kritieke systeemtransacties in SAP Op basis van de eQSmart analyse is geconstateerd dat:  De accounts ASTAPEL, KPORTANGER en PKRAAN autorisaties hebben tot het uitvoeren van programma‟s via SA38 en SE38 en toegang tot SE16 voor het samenstellen van rapporten.  De Teamleiders Uitvoering AGORDEAU, , PZONDEROP, RGRAAFF en RKASIUS mogen samen met ASTAPEL transactie SA38 en SE38 gebruiken voor het oproepen van de verlofkaart. Deze autorisaties zijn na de analyse gedeactiveerd omdat blijkt dat het maatwerkrapportage ook via de transactie ZVERLOF opgeroepen kan worden.  Het account BEVERS toegang heeft tot RFC connections, client change option, dictionary acces en SAP debug mode. Dit account is na de analyse verwijderd. Het risico (laag) bestaat dat wanneer gebruikersaccounts kritieke systeemtransacties bezitten, een gebruiker in staat is om buiten de voor hen bedoelde functionaliteit om transacties te verrichten of de configuratie van SAP aan te passen. Het verdient hierbij de vermelding dat het gebruik van deze systeemtransacties gevorderde kennis van SAP vereist. Het risico per transactie is dat ongeautoriseerde handelingen gebeuren als gevolg van:  SA38 en SE38: het uitvoeren van programma‟s en transactiescodes.  SE16: toegang tot tabellen van SAP.  Client change option, dictionary acces, SAP debug mode : aanpassingen in de SAP configuratie  RFC connections. Het op afstand gebruik maken van SAP functionaliteit

4.9 Gevolgen bevindingen EDP-audit voor accountantscontrole 2011 en advies De beveiliging, de toegangsrechten en de functiescheidingen in Pfister zijn niet toereikend om betrouwbare informatie te genereren. Ook zijn onvoldoende waarborgen getroffen voor een juiste en volledige overdracht van gegevens tussen Pfister en SAP. Vanaf september 2011 is het beheer van de autorisaties in SAP verbeterd. Dat is een belangrijk winstpunt. Omdat de verbetering in september 2011 is doorgevoerd, kan Avalex niet het gehele jaar steunen op de controles binnen SAP. Dit houdt in dat wij net als in 2010 een gegevensgerichte controleaanpak zullen hanteren. Dit is zeer arbeidsintensief, voor Avalex en voor ons. Het is onzeker of door de hoge mate van automatisering van de bedrijfsprocessen binnen Avalex, voldoende controle-informatie kan worden verkregen om de juistheid en volledigheid van de (verdeling) van de omzet c.q. van de verwerkingskosten voor de individuele gemeenten te bepalen. Indien dit het geval is, zal dat invloed hebben op ons accountantsoordeel over de jaarrekening 2011 van Avalex. Volledigheidshalve merken wij op dat wij de werking van de beheersingsmaatregelen in SAP niet hebben getest. Voor ons accountantsoordeel over 2011 is dat niet nodig, immers de opzet en het bestaan van de beheersmaatregelen voldoen niet geheel 2011 aan de daaran te stellen eisen. Wij adviseren wel om de werking van de IT beheersmaatregelen in SAP aanvullend te laten testen. Dat voorkomt dat in 2012 eventueel nieuwe bevindingen en aandachtspunten naar voren kunnen komen die risico‟s inhouden voor de betrouwbaarheid van de managementinformatie 2012 en voor de jaarrekening 2012. Daarnaast raden wij aan om met spoed minimale beveiligingsmaatregelen in Pfister te realiseren..

Blad 22 van 43 20 april 2012 Formatted: Font: Arial, 9 pt

5. Follow-up adviezen vorige jaren

Formatted: (Body copy) 2010, Space After: 0 pt, Line spacing: single, No bullets or numbering

Onze rapportages uit voorgaande jaren bevatten diverse verbeteradviezen voor de planning & controlcyclus en het financieel beheer. Voor de status van de openstaande punten en de controlebevindingen en de opvolging van onze adviezen over het boekjaar 2010 verwijzen wij onze Voortgangsrapportage accountantscontrole 2010 van xx xxxx

Deleted: 21

2012. In bijlage 3 bij deze managementletter is de stand van zaken voor alle openstaande aandachtspunten ten tijde

Deleted: februari

van de interim-controle 2011 van onze rapportages van 2009 en eerder vermeld.

6. Jaarrekeningtraject 2010 en 2011 Met uw hoofd Middelen hebben wij afspraken gemaakt over de afwikkeling van de controle van de jaarrekening 2010 en de eindejaarscontrole 2011. De afwikkeling van de openstaande punten uit de interim-controle 2011 zal Avalex mogelijk oppakken in maart. Wij starten de jaarrekeningcontrole 2011 op maandag 2 april 2012. Dan kan in de week van 23 april 2012 het accountantsverslag en de controleverklaring bij de jaarrekeningen 2010 en 2011 worden verstrekt aan het dagelijks bestuur. Dit is een zeer ambitieus tijdpad. Om dit te realiseren is het nodig dat wij bij de start van de controle op 2 april 2012 kunnen beschikken over een volledig gevuld balansdossier, de beantwoording en de opvolging van de openstaande punten van de interim 2011, de jaarrekeningcontrole 2010 en een definitieve concept jaarrekening die door het management van Avalex is beoordeeld. e

Om het jaarrekeningproces vloeiend te laten verlopen stellen wij voor in de 2 helft van maart een voorschouw uit te voeren op het balansdossier. Dit geeft uw organisatie voldoende tijd om eventuele aanpassingen door te voeren en toevoegingen te doen in het balansdossier. Voor het overzicht van de openstaande punten van de interim 2011 verwijzen wij naar bijlage 2. Om het jaarrekeningproces niet in gevaar te laten komen, zullen wij deze openstaande punten afwikkelen in de week voorafgaand aan de start van de jaarrekeningcontrole 2011. Dit houdt in dat Avalex in die week de beantwoording van de openstaande punten zal overhandigen.


7. Tot slot Deze managementletter is in aanwezigheid van de penningmeester op DatumBesprekingManagementletter besproken met de directie en het hoofd middelen. Wij gaan ervan uit met deze managementletter een bijdrage te hebben geleverd aan de verdere ontwikkeling van uw organisatie. Wij zijn graag bereid onze bevindingen mondeling toe te lichten. Hoogachtend, Formatted: English (U.S.)

Deloitte Accountants B.V. Deleted: Deloitte Accountants B.V.

drs. M.E. Dubbelman RA


Bijlagen Bijlage 1 – Detailbevindingen interim-controle 2011 Bijlage 2 – Openstaande punten interim-controle 2011 Bijlage 3 - Follow-up adviezen uit voorgaande jaren 2009 en eerder


Bijlage 1: Detailbevindingen interim-controle Onderwerp

Bevinding

Algemeen Avalex beschikt niet over een formele mandaatregeling op het gebied van Personeel en inkopen. De Gemeenschappelijke regeling legt de bevoegdheid bij het Bestuur, een instructie mandateert deze bevoegdheid naar de directeur. Sinds december 2011 is het Hoofd Personeel ondergemandateerd voor disciplinaire maatregelen, benoeming, schorsing en ontslag. Veel zaken zijn echter nog niet gemandateerd of onduidelijk. Wij adviseren u om één duidelijke, allesomvattende mandaatregeling op te stellen. Personeel

Avalex werkt niet met een adequaat standenregister dat kan worden aangesloten op de salarisadministratie. Er is geen doorlopende nummering van de personele mutaties. Er vindt geen periodieke controle plaats door de leidinggevenden op de formatieoverzichten en er vindt geen controle plaats op de afmutaties (bijvoorbeeld door vergelijking van een urenschrijfsysteem met de salarisadministratie). Als gevolg hiervan kunnen wij de volledigheid van de personele mutaties niet vaststellen.

Reactie Avalex


Onderwerp

Bevinding Het is nodig om als mitigerende controle nog voor het jaarrekeningtraject door afdelingshoofden formatieoverzichten per balansdatum te laten tekenen voor "indienst, juiste omvang contracturen/WTF en werkzaamheden verricht december".

Personeel

Alle mutaties richting ADP worden ingevoerd en gecontroleerd op juiste en volledige verwerking door het ADP door dezelfde medewerker. Deze interne controle wordt zichtbaar gemaakt door een vink of krul te zetten. Hieruit valt achteraf niet vast te stellen wie deze interne controle heeft verricht. Wij adviseren om de interne controles te allen tijde zichtbaar te maken door het zetten van een paraaf.

Personeel

De outputcontrole op door het ADP verwerkte mutaties gebeurt door dezelfde medewerker die de input richting ADP heeft geleverd. Wij adviseren functiescheiding aan te brengen tussen aanlevering van de mutaties aan ADP en controle op de output (juiste en volledige verwerking door ADP)

Personeel

Ten aanzien van het voorgaande punt geldt dat voorheen als mitigerende controle door Avalex werd toegepast een steekproefsgewijze controle door het Hoofd Personeel op de output. Wij hebben echter geconstateerd dat deze controle niet altijd een inhoudelijke controle is aan de hand van de brondocumenten en derhalve niet als mitigerende controle kan dienen.

Reactie Avalex


Onderwerp

Bevinding Het is nodig om nog voor het jaarrekeningtraject middels een steekproef een inhoudelijke controle uit te voeren aan de hand van de brondocumenten en deze controle voor ons zichtbaar te maken.

Personeel

Medewerkers van de afdeling Personeel voeren Bruto-netto controles uit bij aanvang van een kalenderjaar door Avalex opgesteld. Deze interne controle wordt zichtbaar gemaakt door een vink of krul te zetten. Hieruit valt achteraf niet vast te stellen wie deze interne controle heeft verricht. Wij adviseren om de interne controles te allen tijde zichtbaar te maken door het zetten van een paraaf.

Personeel

Er worden tussentijds inmiddels aansluitingen gemaakt tussen de salarisadministratie en de financiële administratie, maar deze aansluitingen worden niet zichtbaar geparafeerd vastgelegd. Wij adviseren om alle interne controles te allen tijde zichtbaar te maken door het zetten van een paraaf.

Personeel

Het autoreglement van Avalex voorziet in 3 categorieën lease auto's. Voor de hoogste categorie geldt geen normbedrag. Een auto kan worden gekozen in overeenstemming met het DB.

Wij hebben ten aanzien de opvolging van de door ons gecontroleerde indienst mutatie 2010 van de directeur geconstateerd dat over de

Reactie Avalex


Onderwerp

Bevinding

Reactie Avalex

autokeuze geen afstemming met het DB heeft plaatsgevonden. Het is nodig om deze afstemming nog te laten plaatsvinden en wij adviseren u in de toekomst zorg te dragen voor meer formele naleving van het autoreglement en deze toetsing zichtbaar vast te leggen. Personeel

Er vindt geen controle plaatsvindt op naleving van het autoreglement (maximaal 15000 privé kilometers per jaar). Wij adviseren in de toekomst zorg te dragen voor meer formele naleving van het autoreglement en deze toetsing zichtbaar vast te leggen.

Inkopen

In diverse eerdere managementletters is al gewezen op het ontbreken van een adequate en toereikende budgethoudersregeling. Wij adviseren de betreffende regeling alsnog op te stellen.

Inkopen

In de praktijk ontbreekt adequate controletechnische functiescheiding voor inkopen betrekking op project Ryck, de kostenplaats Directie en de VISA-declaraties. Het is nodig additionele interne controles uit te voeren.

Inkopen

Bij onze deelwaarneming op de Inkopen hebben wij geconstateerd dat: 1.

Voor 24 van de 25 facturen geen achterliggende stukken aanwezig zijn, waardoor de juistheid van de prestatielevering (p en q) door ons niet kon worden vastgesteld

2.

2 van de 25 facturen geactiveerd hadden moeten worden


Onderwerp

Bevinding

Reactie Avalex

3.

1 factuur betrekking had op 2010

4.

Een aantal facturen geen adequate controletechnische functiescheiding kent

5.

Voor 23 van de 25 facturen geen zichtbare IC heeft plaatsgevonden op de betaaladvieslijst.

Ten aanzien van punt 2 geldt dat de facturen nog geactiveerd zullen moeten worden en ten aanzien van punt 5 geldt dat herstelacties al hebben plaatsgevonden door het Hoofd Middelen. Ten aanzien van punt 1 en 4 is het nodig om herstelacties uit te voeren voor aanvang van het jaarrekeningtraject. Investeringen

Een door de IC van Avalex zelf geconstateerd punt in deze opgestelde AO beschrijving betreft de vraag welke medewerkers allemaal kunnen muteren in de activa administratie. Wij adviseren u dit na te gaan en te beoordelen.

Investeringen

De afdeling Controlling controleert aan de hand van de investeringsfactuur de juiste boeking in de sub administratie activa. Deze controle wordt echter niet zichtbaar gemaakt. Wij adviseren om de interne controles te allen tijde zichtbaar te maken door het zetten van een paraaf.


Onderwerp

Bevinding

Reactie Avalex

Investeringen

Bij onze deelwaarneming op de investeringen hebben wij geconstateerd dat: 1.

3 posten ten onrechte zijn geactiveerd en dienen te worden gecorrigeerd naar de kosten

2.

Van 2 posten geen onderbouwing/ achterliggende stukken aanwezig zijn ten aanzien van de geactiveerde uren van een consultant en daarom dienen te worden gecorrigeerd naar de kosten

3.

vrijwel voor alle posten de achterliggende stukken ontbreken, waardoor de juistheid van de prestatielevering niet door ons kan worden vastgesteld

4.

ten aanzien van de interne controle nog vragen open staan over het vaststellen van het bestaan van diverse activa

5.

er staan nog vragen uit ten aanzien van activeringen op 2 actiefsoorten (zie tevens punt openstaand hieronder)

6.

De investeringsprocedure wordt niet nagevolgd (inzake opvragen 3 offertes) voor alle in de deelwaarneming getrokken posten

7.

Investeringsaanvragen goedgekeurd door MT(-besluit) ontbreken voor alle in de deelwaarneming getrokken posten

Het is nodig dat om herstelacties uit te voeren voor aanvang van het


Onderwerp

Bevinding jaarrekeningtraject.

Investeringen

Bij onze deelwaarneming op de Investeringen Ryck hebben wij geconstateerd dat een aantal posten ten onrechte is geactiveerd. Het is nodig dat om herstelacties uit te voeren voor aanvang van het jaarrekeningtraject.

Investeringen

Ten aanzien van de procedure constateren wij dat niet alle investeringen zijn opgenomen in de investeringsbegroting. Wij adviseren om in het kader van de nieuwe begrotingssystematiek specifieke aandacht te besteden aan een adequate en toereikende investeringsbegroting.

Treasury

De treasury-activiteiten zijn niet gebaseerd op een korte termijn liquiditeitenplanning (looptijd tot één jaar), evenals een meerjarige liquiditeitenplanning met een horizon van ten minste de eerste vier opeenvolgende jaren (art. 4.5 lid 1 Treasurystatuut).

De liquiditeitsanalyse op korte termijn zoals deze wordt opgesteld door de medewerker crediteurenadministratie, op basis waarvan het Hoofd Middelen kasgeldleningen aantrekt, vindt nog te weinig periodiek plaats. Tevens ontbreekt een formele procedure ten aanzien van

Reactie Avalex


Onderwerp

Bevinding liquiditeitsplanning. Medio 2011 heeft overigens wel een eenmalige matching plaatsgevonden tussen langlopende financieringen en de vermogensbehoefte op basis van de looptijd van activa. Wij adviseren u een formele procedure op te zetten ten aanzien van liquiditeitsplanning en de interne controle op deze procedure zichtbaar vast te leggen.

Treasury

Voor het aangaan van kasgeldleningen worden geen meerdere offertes opgevraagd. Volgens het treasurystatuut zou dit wel moeten (art. 5.4 lid 4 en 5 Treasurystatuut) Er is in 2011 wel een notitie opgesteld die stelt dat voortaan 1 offerte op grond van gunstige tarieven van de BNG volstaat en is goedgekeurd door het DB. Deze is echter nog niet door het AB vastgesteld en ziet niet op langlopende leningen.

Het is nodig zo spoedig mogelijk alsnog de notitie, aangepast voor langlopende leningen, te laten goedkeuren door het AB, dan wel het treasury statuut op dit punt aan te passen. Treasury

Het treasurystatuut stamt uit 2010 en is in 2011 niet geactualiseerd. Het statuut is gedurende 2011 getoetst aan het voldoen aan de wet Fido/ Ruddo en geconstateerd is door Avalex dat het statuut niet voldoet en in strijd is met de wet. Avalex heeft in de planning staan om het statuut nog

Reactie Avalex


Onderwerp

Bevinding in 2012 te updaten en te actualiseren.

Het is nodig het treasurystatuut zo spoedig mogelijk te actualiseren. Treasury

De in 2011 aangetrokken langlopende geldleningen ( 5 mln en 10 mln) en kasgeldleningen zijn niet zichtbaar afgestemd op de bestaande financiële positie -aanwezige leningenportefeuille, een recente liquiditeitenplanningen een actuele rentevisie (art. 4.2 lid 3 Treasurystatuut).

Medio 2011 heeft echter wel een eenmalige matching plaatsgevonden tussen langlopende financieringen en de vermogensbehoefte op basis van de looptijd van activa. Op basis hiervan zijn de leningen aangetrokken. Treasury De kasgeldlimiet is in 2011 een aantal keer overschreden, met name in de eerste helft van 2011. Dit dient te worden toegelicht in de jaarrekening 2011..

Reactie Avalex


Bijlage 2: Openstaande punten interim-controle 2011 Onderwerp

Bevinding

Personeel- openstaand ten

Wij hebben geconstateerd dat nog een aantal zaken niet zijn opgepakt in het kader van interne controle. Het betreft:

aanzien van jaarrekeningcontrole

1)

Aansluiting SA-FA per balansdatum

2)

Controle op de WOPT

3)

Rondrekening sociale lasten

4)

Aansluiting door IC Avalex tussen de medewerkers volgens pensioennota pensioenverzekeraar met de medewerkers volgens de personeelsadministratie 2011.

Wij verzoeken U opvolging te geven aan deze zaken voor aanvang van het jaarrekeningtraject 2011. Inkopen- openstaand ten

Wij hebben nog niet kunnen vaststellen dat de lijst van eenzijdig door de directeur ondertekende facturen die aan

aanzien van

penningmeester van het Bestuur zijn aangeboden om mee te tekenen volledig is. Ook hebben wij de ondertekende facturen

jaarrekeningcontrole

nog niet ontvangen.


Onderwerp

Bevinding

Inkopen- openstaand ten

Wij hebben nog niet ontvangen het bewijs van de juiste correctie van de factuur RDW die tijdens de controle 2010 is

aanzien van

aangetroffen. Zie hiertoe tevens het punt onder bijlage 2.

jaarrekeningcontrole Investeringen- openstaand ten aanzien van jaarrekeningcontrole

Wij hebben geconstateerd dat nog een aantal zaken niet zijn opgepakt in het kader van interne controle. Het betreft: 1)

Aansluiting financiële administratie op sub administratie activa per balansdatum

2)

"bewijs" van terechte activeringen opgenomen onder actiefnummers 30375 (renovatie O.G. containers Avalex gebied) en 30586 (renovatie bootcontainers Overlaad D. 2011).

3)

Waardering en activeringen SAP (zie tevens bijlage 2)

4)

Eenzijdig getekende investeringsfacturen Ryck (zie tevens Inkopen- openstaand)

Wij verzoeken U opvolging te geven aan deze zaken voor aanvang van het jaarrekeningtraject 2011. Opbrengsten- openstaand

De VIC op de omzetstromen is nog niet uitgevoerd door Avalex. Wij hebben daarom nog geen interim-werkzaamheden

ten aanzien van

kunnen uitvoeren voor dit proces.


Wij verzoeken U deze interne controles gereed te hebben voor aanvang van het jaarrekeningtraject 2011.

Rechtmatigheid- openstaand

De VIC op rechtmatigheid is nog niet uitgevoerd door Avalex. Wij hebben daarom nog geen interim-werkzaamheden kunnen

ten aanzien van

uitvoeren voor dit proces.


Wij verzoeken U deze interne controles gereed te hebben voor aanvang van het jaarrekeningtraject 2011.


Onderwerp

Bevinding

Rechtmatigheid- openstaand

De VIC op EU aanbestedingen is nog niet uitgevoerd door Avalex. Wij hebben daarom nog geen interim-werkzaamheden

ten aanzien van

kunnen uitvoeren voor dit proces.

jaarrekeningcontrole Rechtmatigheid- openstaand ten aanzien van

Wij verzoeken U deze interne controles gereed te hebben voor aanvang van het jaarrekeningtraject 2011. De begrotingsoverschrijdingen, zowel per programma als voor de investeringen, zijn nog niet door Avalex in kaart gebracht. Wij verzoeken U hieraan opvolging te geven voor aanvang van het jaarrekeningtraject 2011.

jaarrekeningcontrole Treasury- openstaand ten aanzien van jaarrekeningcontrole

De lening overeenkomsten van de 2 in 2011 aangetrokken langlopende geldleningen zijn getekend door de directeur. Het Algemeen Bestuur is bevoegd tot het aangaan van geldleningen tot € 5.000.000 (art 9.1.i GR Avalex). Besluiten over het aangaan van geldleningen boven een bedrag van € 5.000.000 worden bij gekwalificeerde meerderheid van 2/3 (66.67%) van de stemmen genomen (art.13a lid 1c GR Avalex).

De bevoegdheden met betrekking tot het aangaan/ ondertekenen van leningsovereenkomsten zijn daarbij niet opgenomen in het treasurystatuut (welke functionarissen zijn bevoegd om de leningsovereenkomsten te ondertekenen?).

Het is op dit moment niet duidelijk voor ons of er een machtiging bestaat voor de directeur of dat de aangetrokken leningen op dit punt in strijd zijn met de gemeenschappelijke regeling.


Bijlage 3: Follow-up adviezen uit voorgaande jaren 2009 en eerder Onderwerp en verwijzing

Bevinding

Impact

Status in 2011

Voor de aangegane verplichtingen beschikt Avalex niet

Gemiddeld

Dit punt is nog altijd actueel. Avalex is momenteel

eerdere rapportage Proces Inkopen (ML 2008)

over een contractenregister waarin deze allemaal zijn

druk doende met een contractenregister. Dit wordt

opgenomen.

momenteel gevuld. Dat wat al in het register is opgenomen is cf achterliggende contracten. Het register is alleen nog niet volledig gevuld als gevolg van tijd- en capaciteitsproblemen.

Inkoop- en aanbestedingsregels (RVB 2008)

Avalex heeft in afwijking van de financiële beheersverordening nog geen eigen inkoop- en aanbestedingsregels opgesteld. Wij hebben de inkopen en aanbestedingen daarom alleen getoetst aan de

Hoog

Dit punt is nog altijd actueel. Avalex heeft hiertoe advies gevraagd aan een extern bureau. Het advies is uitgebracht, maar er is tot op heden nog geen opdracht gegeven aan dit bureau ten aanzien van de daadwerkelijke uitwerking van het advies. Dit


Onderwerp en verwijzing

Bevinding

Impact

Status in 2011

eerdere rapportage Europese aanbestedingsrichtlijnen. Wij adviseren om in

staat wel gepland in 2012.

overeenstemming met de financiële beheersverordening eigen inkoopbeleid te formuleren.

BTW-verlegd regeling (RVB 2009)

intern binnen Avalex bestaat de vraag of de BTW-

Hoog

George Hagenbeek (Deloitte Belastingadviseurs

verlegd regeling geheel juist is toegepast. Wij hebben

BV) heeft hierover contact gehad met Avalex.

uw directeur geadviseerd hierover contact op te nemen

Avalex heeft aangegeven dat de belastingdienst

met een belastingadviseur.

akkoord is gegaan met de toepassing van de BTWverlegd regeling. De bevestiging van de belastingdienst hebben wij echter nog niet ontvangen.

Normenkader (RVB 2009)

De basis voor de rechtmatigheidscontrole wordt

Gemiddeld

Punt is nog steeds actueel. Interne controle op

gevormd door het normenkader, dat onderdeel vormt

rechtmatigheid dient nog te worden uitgevoerd over

van het controleprotocol dat bij Avalex jaarlijks wordt

2011.

vastgesteld. B ij onze controle hebben wij geconstateerd dat het normenkader voor 2009 niet

Avalex wil in de tweede helft van 2012 alle weten

volledig was. Zo waren de mantelovereenkomst en de

regelgeving en al het kader duidelijk in kaart

dienstverleningsovereenkomsten die Avalex jaarlijks

brengen en dan op basis daarvan in 1 keer een

met de deelnemende gemeenten afsluit niet

geheel nieuw en compleet normenkader vaststellen.



Bevinding

Impact

Status in 2011

eerdere rapportage opgenomen in het normenkader. Zij zijn uiteindelijk wel gecontroleerd. Wij adviseren u voor het vaststellen van het controleprotocol 2010 het normenkader kritisch door te nemen en vast te stellen dat dit zowel juist als volledig is. Gemiddeld

Aanbesteding 2B-diensten

Avalex heeft in 2009 een totaalbedrag ad € 1.850.000

(RVB 2009)

besteed aan uitzendkrachten, projectmanagement en

rechtmatigheid dient nog te worden uitgevoerd over

overig inhuur externen. Deze diensten betreffen

2011.

Punt is nog steeds actueel. Interne controle op

zogenaamde 2B diensten. Bij een 2B-dienst hoeft een aanbestedende dienst slechts een verlicht regime Bao

Avalex stelt dat intern de meningen verschillen ten

na te leven, tenzij sprake is van grensoverschrijdend

aanzien van aanbestedingsplicht en dat tevens de

belang. In het laatste geval kunnen op grond van

mening van Deloitte over wat het begrip 2b diensten

jurisprudentie nadere bekendmakingseisen gelden (An

nu eigenlijk inhoudt verschilt van wat andere

Post-arrest). Het verlichte Bao-regime houdt onder

“experts” hierover zeggen. Daarom wil men nog in

meer in dat de gunning uiterlijk 48 dagen na gunning

2012 door een extern bureau duidelijk laten

gemeld dient te worden aan de Europese Commissie.

definiëren wat nu onder de aanbestedingsplicht

Avalex heeft verzuimd om binnen 48 dagen de gunning

dient te vallen.

te melden aan de Commissie. Het niet-naleven van de meldingsplicht binnen 48 dagen wordt gezien als een procedurefout. Er is dan wel sprake van onrechtmatig



Bevinding

Impact

Status in 2011

eerdere rapportage handelen, maar er is geen financiële sanctie. Om die reden geldt het niet-naleven van de meldingsplichtniet als een rechtmatigheidsfout. De accountant dient de constatering wel op te nemen in zijn rapport van bevindingen. Gemiddeld

Afwijkingen van

Volgens het normenkader dient Avalex de eigen

verordeningen (RVB 2009)

financiële verordening (gebaseerd op artikel 212 van de

Punt is nog steeds actueel. Interne controle op rechtmatigheid dient nog te worden uitgevoerd over

Gemeentewet) na te komen. In een aantal gevallen

2011.

heeft dit in 2009 niet plaatsgevonden.

Onduidelijkheden

Bij de beoordeling van een aantal documenten zijn wij

verordeningen (RVB 2009)

op de volgende onduidelijkhedengestuit:

Gemiddeld

Punt is nog steeds actueel. Interne controle op rechtmatigheid dient nog te worden uitgevoerd over 2011. Zie tevens eerder aangehaalde punt ten

• In het normenkader behorend bij het controleprotocol wordt als interne regel genoemdverordening 213a inzake doelmatigheids- en doeltreffendheidsonderzoeken. Ons ismeegedeeld dat Avalex niet over een dergelijke verordening beschikt. Voor eengemeenschappelijke regeling is een dergelijke

aanzien van het normenkader/



Bevinding

Impact

Status in 2011

eerdere rapportage regeling ook niet verplicht. Wij adviseren u het normenkader op dit onderdeel aan te passen. • Volgens artikel 9 lidi onder k is het Algemeen Bestuur belast met en bevoegd tot het vaststellen van de tarieven. De tarieven zijn voor 2009 vastgesteld door de directeur, maar niet formeel bekrachtigd door het AB. De tarieven zijn overigens wel gebruikt in de door het AB vastgestelde begroting over 2009, waardoor indirect wel goedkeuring heeft plaatsgevonden. Oprichting BV (RVB 2009) Begin 2010 is de oprichting van Avalex BV formeel tot stand gekomen. In deze BV zullen de bedrijfsmatige activiteiten van Avalex worden ondergebracht. Wij maken u erop attent dat de BV onder andere verslaggevingsregels (BW2 Titel 9) valt dan de gemeenschappelijke regeling (BBV). Aangezien de cijfers van de BV niet geconsolideerd mogen worden in de cijfers van de gemeenschappelijke regeling zal een ander beeld ontstaan van vermogen en resultaat dan

Gemiddeld

Punt is nog altijd actueel. Het enige dat is opgesteld is een oprichtingsakte.



Bevinding

eerdere rapportage voorheen. Wij adviseren u goede formele vastleggingen te maken over de verhoudingen tussende gemeenschappelijke regeling en de BV, bijvoorbeeld in de vorm van een managementcontract en bijvoorbeeld leningovereenkomsten. Daarnaast adviseren wij u om goede afspraken te makenover de informatievoorziening vanuit de BV, zodat deze activiteiten niet buiten uw gezichtsveld blijven.

Impact

Status in 2011


Gemeenschappelijke regeling Reinigingsbedrijf Avalex. Managementletter 2011

Recommend Documents