Gemeente Heemstede Managementletter Rapportage naar aanleiding van de interim-controle 2014
4 november 2014
Ernst & Young Accountants LLP Cross Towers, Antonio Vivaldistraat 150 1083 HP Amsterdam Postbus 7883 1008 AB Amsterdam
Tel: +31 88 407 10 00 Fax: +31 88 407 10 05 ey.com
VERTROUWELIJK College van Burgemeester en Wethouders van de gemeente Heemstede Postbus 352 2100 AJ HEEMSTEDE
Amsterdam, 4 november 2014
139.SvdV.evm
Managementletter tussentijdse controle 2014 Geacht College, Met genoegen presenteren wij u hierbij onze managementletter 2014. Zoals u van ons gewend bent, geeft deze rapportage een beeld van uw organisatie en de gerealiseerde vooruitgang in 2014. In ons dienstverleningsplan heeft uw raad ons de opdracht verstrekt om de jaarrekening 2014 van uw gemeente te controleren. Onze tussentijdse bevindingen rapporteren wij door middel van deze managementletter. In deze rapportage beperken wij ons tot de bevindingen en mogelijke verbeterpunten in de bedrijfsvoering en processen die wij hebben onderzocht in het kader van de controle van de jaarrekening en die naar onze mening van belang zijn voor het management en het college. Dit heeft tot doel vanuit onze natuurlijke adviesfunctie een bijdrage te leveren aan het zelf controlerend vermogen van uw organisatie.
Wij hebben onze conceptbevindingen toegelicht en besproken met de ambtelijke organisatie de portefeuillehouder Financiën. Tot het geven van een nadere toelichting zijn wij gaarne bereid. Hoogachtend, Ernst & Young Accountants LLP
w.g. drs. S.M. van der Ven RA
w.g. R. Ellermeijer RA
Ernst & Young Accountants LLP is een limited liability partnership opgericht naar het recht van Engeland en Wales en geregistreerd bij Companies House onder registratienummer OC335594. In relatie tot Ernst & Young Accountants LLP wordt de term partner gebruikt voor een (vertegenwoordiger van een) vennoot van Ernst & Young Accountants LLP. Ernst & Young Accountants LLP is statutair gevestigd te Lambeth Palace Road 1, London SE1 7EU, Verenigd Koninkrijk, heeft haar hoofdvestiging aan Boompjes 258, 3011 XZ Rotterdam, Nederland en is geregistreerd bij de Kamer van Koophandel Rotterdam onder nummer 24432944. Op onze werkzaamheden zijn algemene voorwaarden van toepassing, waarin een beperking van de aansprakelijkheid is opgenomen.
Inhoudsopgave 1
Bestuurlijke samenvatting
3
1.1 1.2
Algemeen beeld Bestuurlijke aandachtspunten
4 5
2
Waar staat de gemeente?
7
2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9
Procesbeoordeling en bedrijfsvoeringsmonitor Interne controle en verbijzonderde interne controle Inkoop- en aanbestedingsbeleid Omgevingsvergunningen Personeel SISA Beheersing verbonden partijen ICT Subsidieverstrekkingen
8 10 13 14 15 16 17 17 18
Is uw gemeente klaar voor de toekomst?
19
3
3.1 3.2 3.3 3.4 3.5 3.6
Aandachtspunten jaarrekeningcontrole Decentralisaties Actuele ontwikkelingen belastingen Ontwikkelingen BBV Overige ontwikkelingen Controleverklaring nieuwe stijl
20 22 23 23 23 24
Bijlagen 1 2 3
Opvolging en status aanbevelingen voorgaande jaren Opvolging en status aanbevelingen voorgaande jaren IT-audit Reikwijdte en controleaanpak
27 30 34
Pagina 2
Sectie 1
2013 Bestuurlijke samenvatting
1 Wat zijn onze belangrijkste bevindingen en aanbevelingen? 1.1 Algemeen beeld Continue aandacht voor versterking interne beheersing blijft noodzakelijk
Ons beeld van Heemstede is dat de organisatie ‘in control’ is als het gaat om de interne beheersing en daar ook op alle niveaus in de organisatie adequaat aandacht voor heeft. Verbeterpunten worden tijdig en effectief opgepakt. (zie ook bijlage 1), waarbij de aandachtpunten genoemd in de deze managementletter zijn bedoeld ter verdere versterking op de beheersmaatregelen die aanwezig zijn. Naast de feitelijke toetsing van de processen, spelen daarbij ook de zogenaamde ‘soft control’, als houding, bewustzijn en gedrag een grote rol. Wij constateren dat aan deze aspecten in de organisatie veel aandacht wordt besteed. Dit is onder andere zichtbaar in de manier waarop discussies plaatsvinden over door te voeren verbeteringen en aandachtgebieden, de open cultuur en communicatie en aandacht voor integriteit. Dit draagt bij aan een constructieve en effectieve samenwerking. Desondanks hebben wij bij enkele processen, te weten het verstrekken van omgevingsvergunning, subsidieverstrekkingen en sociale uitkeringen, geconstateerd dat in vergelijking met voorgaand jaar aanvullende aandachtspunten zijn ontstaan in de beheersorganisatie. Deze punten zijn in de managementletter in hoofdstuk 2 nader toegelicht
Omgeving rondom gemeente volop in beweging
De decentrale overheden in Nederland zijn volop in beweging. Enerzijds worden wettelijke taken vanuit de rijksoverheid gedecentraliseerd naar gemeenten en worden taken ten aanzien van de jeugdzorg van de provincies overgeheveld naar de gemeenten. Anderzijds komt nieuwe wet- en regelgeving, zoals de Wet Markt en overheid en de invoering van de plicht tot vennootschapsbelasting op de decentrale overheden af. De gemeente Heemstede volgt de ontwikkelingen nauwgezet en heeft een hoge prioriteit toegekend aan de decentralisaties en samenwerking in regio, waarvan de ICT-samenwerking met Bloemendaal een voorbeeld is. In het kader van de Wet Markt en Overheid zijn de activiteiten benoemd en is het besluit genomen om bepaalde activiteiten als algemeen belang te kwalificeren.
Begroting nieuwe stijl vergroot de leesbaarheid en voorziet in informatiebehoefte op verschillende niveaus.
Ook de economische omgeving is nog steeds volop in beweging. Ondanks het lichte economisch herstel, resulteert de economische crisis van de afgelopen jaren in een verhoogd risico voor waardering van activa en verbonden partijen en blijft druk op de financiën groot. De bezuinigingstaakstellingen uit voorgaande jaren zijn gerealiseerd in de begroting 2015 (en meerjarenbegroting 2016-2018), waarbij voor een deel ook een onttrekking wordt gedaan aan de algemene reserves. In afstemming met de raad is de toegankelijkheid en leesbaarheid van de begroting vergroot door een nieuwe interactieve, digitale opzet. De lezer kan hierdoor zelf navigeren op hoofdlijnen, maar is ook in staat om desgewenst detailinformatie te raadplegen en zijn verwijzingen naar de relevante beleidsnota’s opgenomen.
Pagina 4
1 Wat zijn onze belangrijkste bevindingen en aanbevelingen? 1.1 Algemeen beeld Hogere eisen te stellen aan Verbijzonderde Interne Controle
Wij merken op dat de regelgeving ten aanzien van het effectief kunnen gebruik van een interne auditfunctie (waaronder de VIC-functie wordt gezien) in het afgelopen jaar is aangescherpt. Deze aanscherping ziet toe op de deskundigheid, objectiviteit en onafhankelijkheid van de toetsers, alsmede op het systeem van interne kwaliteitstoetsing op het dossier. In paragraaf 2.2. van deze managementletter gaan wij hier nader op in. Met name ten aanzien van de deskundigheid en kwaliteitsborging met betrekking tot permanente opleiding en een inhoudelijke toetsing op de werkzaamheden van de IC-toetsers zijn de eisen aangescherpt. Voor Heemstede is dit voor een belangrijk deel al geborgd in de organisatie. Wel hebben wij enkele kanttekeningen geplaatst bij de aanpak binnen de VIC. De VIC richt zich met name op de getrouwheid en rechtmatigheid van de routinematige processen. Voor de toekomst adviseren wij in de uitvoering en mate van diepgang van de werkzaamheden nog beter aan te sluiten op de hogere risicogebieden. Hierbij denken wij aan aansluiting op de intern onderkende risico’s zoals opgenomen in de risicoparagraaf.
Uw processen zijn in de basis goed op orde
Eind september/begin oktober 2014, hebben wij de interim-controle uitgevoerd. Daarbij hebben wij de opzet van de administratieve organisatie in overleg met de procesverantwoordelijken geactualiseerd om een duidelijk beeld te krijgen van de organisatie van de gemeente Heemstede in 2014. Voor de toetsing op de werking van de in de administratieve organisatie opgenomen interne controlemaatregelen hebben wij voor zover mogelijk (en voor zover gereed) gebruik gemaakt van de intern uitgevoerde verbijzonderde interne controle (hierna VIC) werkzaamheden. Wij concluderen dat de processen in de basis goed zijn ingericht, maar op een aantal punten nog voor verbetering vatbaar zijn. Dit ziet met name toe op versterking van de interne controle in de lijn, daar waar nu werkzaamheden voor de deel door de VIC zijn overgenomen. In dit stadium van het jaar zijn nog niet alle werkzaamheden van de VIC uitgevoerd. De finale uitkomsten na afronding van de werkzaamheden zullen begin 2015 beschikbaar zijn. Om bijsturing gedurende het jaar mogelijk te maken is de VIC in 2014 eerder gepland en uitgevoerd. Wij zien van mening dat de werkzaamheden nog verder naar voren kunnen worden gehaald en bij voorkeur in december volledig zijn afgerond. Hiermee wordt de mogelijkheid gecreëerd om bij bijzonderheden vanuit de VIC nog aanvullende maatregelen te treffen voor de jaarrekeningcontrole en het controleplan voor het komende jaar op punten aan te scherpen.
Verbetering zijn mogelijk
De belangrijkste procesbevindingen
Ten aanzien van uw procesbeheersing zien wij een aantal verbeterpunten. Wij vragen met name uw aandacht voor de volgende zaken, welke wij in hoofdstuk 2 nader uitwerken: ► nadere toetsing van de volledigheid op de naleving van het inkoop- en aanbestedingsbeleid; ► vastlegging van de analyse bij jaareinden aangaande de uitkomsten van de toetsing in het kader van het beheer van verbonden partijen en waarborgen/garanties; ► verder ontwikkelen van de VIC functie en het zelf controlerend vermogen, mede als gevolg van de aangescherpte regelgeving; ► zichtbaarheid van interne controles voor de processen subsidieverstrekkingen en omgevingsvergunningen in de lijnorganisatie zijn voor betering vatbaar; ► opstellen van risicoanalyses voor SiSa-regelingen. Pagina 5
1 Bestuurlijke samenvatting 1.2 Aandachtspunten Bestuurlijke aandachtspunten
Naast de speerpunten die wij vanuit de auditcommissie zullen meekrijgen, zijn wij gewend om vanuit onze natuurlijke adviesfunctie u mee te nemen in onze visie ten aanzien van de belangrijkste aandachtspunten. Wij onderkennen de volgende bestuurlijke aandachtspunten: 1 Decentralisaties; 2 Samenwerking in de regio.
Transitie decentralisaties ligt op schema
In afgelopen periode is veel tijd besteed aan de transitie met betrekking tot de 3 decentralisaties. Het beleid en de verordening zijn binnen de wettelijke termijn vastgesteld en de inkoopcontracten, met name ten aanzien van de zorg, zijn afgesloten. De komende maanden zal nog veel werk verzet moeten worden van de vertaling van het beleid naar de uitvoering en concretisering van de beheersorganisatie. Ons beeld is dat Heemstede in samenwerking met de regio gemeenten op koers ligt om de veranderingen op tijd door te voeren. Daarbij zal 2015 een overgangsjaar zijn, waarbij de aantallen van de jeugdzorg voor het eerst volledig duidelijk worden en ervaringen worden opgedaan of de uitvoering van het beleid past binnen de financiële kaders. Op basis van het inzicht in de rijksmiddelen, afspraken vanuit de afgesloten contracten en de inschatting van de aantallen, bestaat de verwachting dat de invoering budgettair neutraal kan plaatsvinden. Voor de inrichting van de beheersorganisatie vragen wij vooral aandacht voor de toetsing op de geleverde prestaties, waarbij ook een goede klachtenregistratie en –afhandeling van belang zijn.
Samenwerking in de regio
Op zeer veel terreinen bestaan inmiddels samenwerkingsvormen in de regio, die met de transitie vanuit de decentralisaties en samenwerking met de gemeente Bloemendaal verder zijn geïntensiveerd. Ook als gevolg van de Participatiewet zullen nieuwe samenwerkingsvormen ontstaan. De samenwerking met gemeente Bloemendaal op het gebied van de IT heeft geleid tot een lichte gemeenschappelijke regeling, waarbij het personeel op de loonlijst van de betreffende gemeenten blijft staan. Verder vindt kennisdeling op andere aspecten van de bedrijfsvoering plaats. Ons beeld is dat Heemstede een duidelijke regierol vervult in de samenwerkingsverbanden en daarbij oog heeft voor de governance structuur (taken, bevoegdheden, mandatering en verantwoording) aan de voorkant als het gaat om het volledig uitbesteden van taken en de inrichting van de controlfunctie vanuit de gemeente (o.a. eisen en wensen ten aanzien van de informatiebehoefte en –voorziening en de tijdigheid). Wij blijven hier ook de aandacht voor vragen.
Aandachtpunten voor de jaarrekeningcontrole
Voor de jaarrekeningcontrole hebben wij de volgende aandachtpunten onderkend: ► waardering van de debiteuren sociale zaken; ► actualisatie van beheerplannen en het effect hiervan op de gevormde voorzieningen; ► analyse en verantwoordingsinformatie inzake verbonden partijen en afgegeven waarborgen en garanties; ► toets op de volledigheid van aanbestedingen; ► risicoanalyses van SiSa-regelingen; ► wijzigingen in het BBV. Pagina 6
Sectie 2
Waar staat de gemeente?
2 Waar staat de gemeente? 2.1 Procesbeoordeling en bedrijfsvoeringsmonitor Uw processen zijn in de basis goed op orde, met enkele punten ter verbetering
De gemeente Heemstede heeft haar zaken goed op orde wat betreft de inrichting van de administratieve organisatie van de processen, met enkele aandachtspunten ter verbetering. Uit onze interim-controle, waarbij wij de werking van de interne controlemaatregelen hebben getoetst, komt eenzelfde beeld naar voren. Wij hebben in het kader van de jaarrekeningcontrole 2014 de volgende significante processen beoordeeld: ► Inkoop en aanbesteden (incl. betalingsverkeer) ► Personeel en salarissen ► Gemeentelijke belastingen (uitbesteed) ► Burgerzaken ► Omgevingsvergunningen ► Parkeeropbrengsten ► Subsidieverstrekkingen ► Sociale uitkeringen ► WMO ► Administratie en Planning & Control ► Begrotingswijzigingen ► Verbonden partijen ► ICT Ons beeld ten aanzien van de bovenstaande processen hebben wij gevisualiseerd om u in één oogopslag een beeld te geven van de mate waarin de processen binnen de gemeente op orde zijn. Wij noemen dit onze bedrijfsvoeringsmonitor. Deze is op de volgende pagina opgenomen. Ten aanzien van de verbeter-mogelijkheden met betrekking tot met name die processen die wij nog als “geel” classificeren, gaan wij verder in dit hoofdstuk in meer detail op in. Ook daar waar wij hebben geconstateerd dat de mate van control enigszins achteruit is gegaan in vergelijking met voorgaand jaar hebben wij dit nader toegelicht. Daarnaast gaan wij nader in op het proces personeel, aangezien de gemeente per 1 januari 2015 overgaat naar een andere externe salarisverwerker en wij hierover op voorhand de belangrijkste aandachtspunten met de organisatie willen delen.
Pagina 8
2 Waar staat de gemeente?
Rood
Het proces voldoet niet aan de te stellen eisen. Veel aandachtspunten voor verbetering.
Oranje
Het proces voldoet voor een belangrijk deel niet aan te stellen eisen. Meerdere aandachtspunten voor verbetering.
Geel
Het proces voldoet nagenoeg geheel aan de te stellen eisen. Enkele aandachtspunten ter verbetering.
Groen
Het proces voldoet geheel aan de te stellen eisen. Beperkte ruimte tot verbetering.
Pagina 9
2 Waar staat de gemeente? 2.2 Interne controle en verbijzonderde interne controle Aanscherping wet- en regelgeving met betrekking tot het gebruik maken van de werkzaamheden van interne audit
Voor onze controle maken wij voor zover mogelijk gebruik van de uitgevoerde verbijzonderde interne controle. Hierop is de Nederlandse Controlestandaard 610 Gebruikmaken van de werkzaamheden van interne auditors van toepassing. Deze standaard is het afgelopen jaar aangescherpt. De standaard houdt onder meer in dat wij de voor ons relevante, door de interne controleurs uitgevoerde werkzaamheden evalueren en testen om ons ervan te overtuigen, dat de werkzaamheden toereikend zijn voor onze doelstelling en om vast te stellen welke werkzaamheden onze eigen professionals moeten uitvoeren. Daarnaast stelt deze standaard eisen aan de kwaliteit en inrichting van de interne controle afdeling voor wat betreft: ► Objectiviteit: dit heeft onder meer betrekking op de positie van de interne controlefunctionarissen (los van de organisatie/ het primaire proces) en het rechtstreeks rapporteren van bevindingen aan de hoogste leiding. Met andere woorden: zijn de interne controlefunctionarissen voldoende onafhankelijk en kunnen zijn hun werkzaamheden uitvoeren zonder enige belemmering, belangenconflict en/of beïnvloeding van anderen die de professionele oordeelsvorming aantasten. ► Deskundigheid: dit heeft betrekking op het verkrijgen en onderhouden van kennis en vaardigheden van de interne controlefunctionarissen teneinde de werkzaamheden op het vereiste niveau uit te voeren, inclusief de vereiste opleiding, ervaring en begeleiding. ► Systematische en gedisciplineerde aanpak: hierbij gaat het erom of de afdeling een systematische en gedisciplineerde benadering heeft waaronder het toepassen van een systeem van kwaliteitsbeheersing.
De gemeente Heemstede voldoet in belangrijke mate aan de hogere eisen
De mate waarin wij gebruik kunnen maken van de werkzaamheden van de VIC-functie is afhankelijk van de beoordeling op de bovengenoemde criteria. De VIC-functie is binnen Heemstede primair belegd bij twee medewerkers, waarbij één medewerker verantwoordelijke is voor sociale zaken en de WMO en de andere medewerker voor de overige processen. In onze controle hebben wij de objectiviteit en deskundigheid nader gedocumenteerd. Een punt van aandacht betreft het systeem van kwaliteitsbeheersing en de mate (en continuïteit) van deskundigheid. Het systeem van kwaliteitsbeheersing is voor een belangrijk deel geborgd door de afstemming van de werkzaamheden en frequente terugkoppeling van de bevindingen met Financiën. De rapportage vanuit de VIC komt daarbij in samenwerking met Financiën tot staan, waarbij aandacht is voor de weging van de bevindingen. Daarbij merken wij op dat bevindingen uit voorgaande jaren worden omgezet in concrete aandachtpunten in de uitvoering van de VIC, waarbij ook een terugkoppeling met de lijnorganisatie van belang is. In de afgelopen jaren is hierbij het zelf controlerend vermogen van de organisatie vergroot. Om van een volwaardige VICfunctie te kunnen spreken is het van belang dat intern ook een toetsing plaatsvindt op de uitvoering van de werkzaamheden. Wij adviseren om het interne proces van kwaliteitsborging nader vast te leggen waarin ook de beoordeling van de uitkomsten van de werkzaamheden van de VIC is benoemd. Pagina 10
2 Waar staat de gemeente? 2.2 Interne controle en verbijzonderde interne controle (vervolg) Interne controle goed ingebed binnen de organisatie
Controle eerste half jaar uitgevoerd
Tijdens onze interim-controle hebben wij kennis genomen van de opzet van uw administratieve organisatie en de daarin opgenomen maatregelen van interne controle. De uitvoering van de interne controle is primair bij de (proces)medewerkers in de lijn belegd. In de tweede lijn vinden de verbijzonderde interne controles plaats door de interne controleurs. Deze inbedding van de interne controle in de eerste en tweede lijn achten wij een goede methodiek, teneinde het zelf controlerend vermogen van de organisatie te vergroten, met de opmerking zoals hiervoor opgenomen dat hogere eisen gesteld worden aan de VICfunctie. De uitvoering van de werkzaamheden van de VIC liggen nagenoeg op planning. Een aantal controles zijn nog niet uitgevoerd doordat de gegevens pas op een later tijdstip in het jaar beschikbaar komen of doordat de planning van de uitvoering op een later moment is besloten. De finale uitkomsten na afronding van de werkzaamheden zullen begin 2015 beschikbaar zijn. Om bijsturing gedurende het jaar mogelijk te maken is de VIC in 2014 eerder gepland en uitgevoerd. Wij zien van mening dat de werkzaamheden nog verder naar voren kunnen worden gehaald en bij voorkeur in december volledig zijn afgerond. Hiermee wordt de mogelijkheid gecreëerd om bij bijzonderheden vanuit de VIC nog aanvullende maatregelen te treffen voor de jaarrekeningcontrole en het controleplan voor het komende jaar op punten aan te scherpen. Over de belangrijkste controlebevindingen die uit deze controlewerkzaamheden voortvloeien, rapporteren wij u in de volgende paragrafen. Tevens merken wij op dat toetsing van interne beheersmaatregelen voor ICT vooralsnog geen onderdeel maken van de verbijzonderde interne controle. Wij adviseren om in de toekomst ook de beheersmaatregelen rondom de ICT en geautomatiseerde controles in de VIC te betrekken.
KeyControlDashboard en aansluiting met de AO/IC te actualiseren
Wij merken op dat er vanuit de VIC niet jaarlijks wordt geëvalueerd of de AO/IC, zoals deze in de lijnorganisatie wordt uitgevoerd, in opzet ongewijzigd is gebleven en aansluit op de beheersmaatregelen (processtappen) zoals deze zijn opgenomen in het KeyControlDashboard (hierna KCD). Hierbij bestaat het risico dat de AO/IC en het KCD niet op elkaar aansluiten en dat de toetsing vanuit de VIC niet efficiënt en effectief wordt ingezet. Wij hebben vastgesteld dat verschillende beheersmaatregelen (processtappen) zijn opgenomen in het dashboard welke niet in de lijnorganisatie worden zichtbaar worden uitgevoerd en die ook niet worden getoetst vanuit de VIC. Hierdoor is het KCD deels vervuild met processtappen waar niets mee wordt gedaan. Wij adviseren u om jaarlijks vanuit de VIC de AO/IC in de lijnorganisatie in opzet en bestaan te beoordelen en te documenteren in een lijncontrole. Wij adviseren u om, tegelijkertijd met de beoordeling van de AO/IC de beheersmaatregelen in het KCD te actualiseren en daarbij niet bestaande en/of verouderde beheersmaatregelen te verwijderen. Pagina 11
2 Waar staat de gemeente? 2.2 Interne controle en verbijzonderde interne controle (vervolg) Beheersmaatregelen inzake serviceorganisaties
Voor de processen personeel en parkeren zijn beheersmaatregelen geïdentificeerd welke ingaan op de juiste, volledige en tijdige verwerking van informatie door serviceorganisaties. Voor personeel betreft dit de serviceorganisatie Centric, voor parkeren betreft dit Waysis/TMC en Servicehuis Parkeer- en Verblijfrechten. De serviceorganisaties verstrekken jaarlijks een rapportage welke inzicht geeft inzake de juiste, volledige en tijdige verwerking van informatie en of de geïdentificeerde risico’s voldoende worden afgedekt. De beoordeling op deze rapportages, en of daarmee de risico’s welke zijn geïdentificeerd worden ondervangen, is de verantwoordelijkheid van de gemeente. Wij constateren dat de toetsing van de rapportage is uitgevoerd vanuit de VIC en dat deze niet in de lijnorganisatie wordt uitgevoerd en gedocumenteerd. Daarnaast hebben wij geconstateerd dat de opgenomen rapportages in het KCD de rapportages uit 2013 betreffen en hiermee nog geen zekerheid geven omtrent de beheersing in 2014. Wij adviseren u om de beoordeling, en zichtbare vastlegging daarvan, van de rapportages van de serviceorganisaties in de lijnorganisatie te beleggen en vanuit de VIC op de naleving te laten toetsen. Voor de jaarrekeningcontrole 2014 is het belang dat ook de rapportages over 2014 in de beoordeling worden meegenomen.
Pagina 12
2 Waar staat de gemeente? 2.3 Inkoop- en aanbestedingen Inkoop- en aanbestedingsproces
Aandachtspunt jaarrekeningcontrole EY en Heemstede
Het inkoop- en aanbestedingsproces is vanuit de integrale management verantwoordelijkheid decentraal bij de budgetverantwoordelijke belegd. Dit houdt in dat zij primair verantwoordelijk zijn het naleven van de juiste aanbestedingsprocedure. Europese aanbestedingen worden daarbij altijd begeleid door Stichting Rijk, alleen is aan de voorkant van het proces niet gewaarborgd dat alle inkopen de juiste procedure doorlopen. De aandachtspunten uit voorgaande jaren zijn opgenomen in bijlage 1. Dit risico wordt in belangrijke mate gemitigeerd door de het frequente overleg dat plaatsvindt met de inkoopbevoegden en de directie, alsmede het periodieke overleg dat plaatsvindt met Stichting Rijk. De Een goed functionerend contractenregister/verplichtingenadministratie met een toetsing van de juiste aanbestedingsprocedure aan de voorkant zijn mogelijkheden om de volledigheid van de naleving van het aanbestedingsbeleid te waarborgen. Binnen de gemeente Heemstede is de toetsing op de volledigheid van de juiste aanbestedingsprocedures aan de achterkant georganiseerd door middel van een crediteurenanalyse. Deze analyse wordt uitgevoerd door de VIC-medewerker. Bij deze analyse wordt op basis van alle crediteurenbetalingen in het jaar en vergelijking met toetsingen op aanbestedingen die in voorgaande jaren al zijn beoordeeld, de populatie bepaald die nader beoordeeld dient te worden. Uit deze populatie worden 25 aanbestedingen geselecteerd, waarvan de interne beheersingsmaatregelen en de juiste naleving van de aanbestedingsprocedure wordt getoetst. Deze controle gaat alleen in op de juistheid en rechtmatigheid van de aanbestedingen. Aangezien de analyse een gegevensgerichte controle betreft die achteraf plaatsvindt is een deelwaarneming van 25 niet zonder meer toereikend om over de gehele inkooppopulatie een uitspraak te doen. Voor de jaarrekeningcontrole zullen nagaan hoeveel aanvullende dossiers getoetst dienen te worden op de naleving van de juiste aanbestedingsprocedure om een uitspraak te kunnen doen over de volledige populatie. Gezien de al reeds uitgevoerde werkzaamheden vanuit de VIC (hoge dekking van aanbestedingsdossiers, analyse wel/niet aanbesteding plichtige crediteuren), is de verwachting dat aanvullende werkzaamheden beperkt zullen zijn. Wij zullen begin 2015 in samenwerking met de VIC medewerker de exacte omvang kortsluiten. Uit de controle van de VIC komen geen financiële onrechtmatigheden naar voren. Bij de deelwaarneming van 20 dossiers in het eerste deel van de VIC blijkt dat bij 1 dossier een kanttekening is geplaatst. De kanttekening ziet toe op het feit dat de gunning is ondertekend door een functionaris welke de bevoegdheid niet had gezien de hoogte van de opdrachtwaarde. Wij adviseren u om in de rapportage altijd een duidelijk onderscheid te maken tussen bevindingen omtrent financiële onrechtmatigheden en bevindingen omtrent onzorgvuldigheden en ook de terugkoppeling met de directie en herstelacties (indien nodig) te benoemen, te monitoren en af te documenteren in het KCD. Pagina 13
2 Waar staat de gemeente? 2.3 Inkoop- en aanbestedingen (vervolg) Digitale autorisatie facturen
Eind 2013 is overgegaan op het digitaal verwerken en autoriseren van inkoopfacturen. Gedurende 2014 heeft de medewerker van de VIC geconstateerd dat de invoer en daarna de controle op de verwerking van facturen door eenzelfde medewerker van de financiële administratie is uitgevoerd en heeft vastgesteld dat dit meerdere malen heeft plaatsgevonden. Van de 19 uitgevoerde waarnemingen in 2014 heeft dit bij 4 waarnemingen plaatsgevonden. In de oude situatie vond invoercontrole plaats door een tweede medewerker van de financiële administratie op de juistheid van de boeking van de factuur en werd periodiek controle uitgevoerd op invoerverslagen van crediteuren. Deze controle is nu vervangen door een geautomatiseerde workflow in de applicatie. De controle wordt echter binnen de applicatie niet afgedwongen, waardoor het risico van invoerfouten is toegenomen. Wij adviseren u maatregelen te treffen om ervoor zorg te dragen dat na invoer en autorisatie van een factuur een andere medewerker de invoer en autorisatie controleert alvorens de verwerking in de financiële administratie definitief plaatsvindt.
2.4 Omgevingsvergunningen Proces behoeft aandacht
Bevindingen 2014
In 2013 hebben wij onze aandachtspunten en adviezen gegeven ten aanzien van het proces. Deze aandachtpunten en adviezen zijn terug te vinden in bijlage 1. Het betreft hier met name de zichtbare toets op de bouwsom en de periodieke analyse/aansluiting tussen Mozard en de financiële administratie. De afdeling heeft in samenwerking met ICT de applicatie Mozard voor de omgevingsvergunningen verder ontwikkeld en uitgebreid gedurende 2014. Hierbij is nog geen invulling gegeven aan de eerder door ons gerapporteerde tekortkomingen. Wij hebben geconstateerd dat in januari 2014 een omgevingsvergunning is afgegeven, waarvoor onterecht nog geen leges in rekening zijn gebracht. Deze bevinding heeft relatie met onze aanbeveling om periodiek een aansluiting te maken tussen Mozard en de financiële administratie en daarmee de beheersing op de volledigheid van de baten te waarborgen en ook zichtbaar vast te leggen. De aansluiting tussen Mozard en de financiële administratie heeft gedurende 2014 nog niet plaatsgevonden. Hierbij is op te merken dat er vanuit Gemeentelijke Belastingen Kennemerland Zuid (GBKZ) nog geen journaalposten zijn aangeleverd waarmee de wekelijkse opleggingen vanuit de afdeling bij Heemstede gecontroleerd kunnen worden. Dit is een tussenstap tussen Mozard en de financiële administratie, waarbij de analyse/aansluiting vanuit Mozard en aanleveringen van op te leggen leges naar GBKZ de aandacht verdient. De aanlevering vanuit GBKZ dient spoedig te worden ontvangen om de aansluitingen te kunnen maken en te starten met de genoemde werkzaamheden. Pagina 14
2 Waar staat de gemeente? 2.5 Personeel Wijziging in serviceorganisatie per 1 januari 2015
Controle op doorgevoerde wijzigingen personeelsbestand bij salarisverwerker
Per 1 januari 2015 zal worden overgestapt naar een nieuwe serviceorganisatie voor de salarisverwerking (van Centric naar RAET). Ten aanzien van deze overstap willen wij u graag aan de voorkant informeren over aandachtspunten om mee te nemen in de verdere uitrol en voorbereidingen naar de daadwerkelijke overstap. Deze aandachtspunten gaan niet in op de inhoudelijke aspecten en voorwaarden van de serviceorganisatie zelf (deze afwegingen zijn tijdens de aanbesteding al beoordeeld), maar op de minimale interne controlemaatregelen die verwachten in dit transitieproces om zodoende achteraf aanvullende werkzaamheden te voorkomen. ► Zichtbare controle op overzetten/overnemen van brongegevens uit Centric naar RAET op basis van 4 ogen principe; ► In november en december zal in RAET ‘schaduw’ gedraaid worden en de output vanuit Centric en RAET vergeleken worden. Wij bedrukken de zichtbare vastlegging van deze controlewerkzaamheden, inclusief de opvolging bij afwijkingen. ► Zichtbare controle op de juiste invoer en toepassing van premiepercentage. ► Zelfstandig uitvoeren van enkele bruto-netto berekeningen. ► Juiste toewijzing en inrichting van bevoegdheden bij RAET met betrekking tot het doorvoeren van wijzigingen. ► Opzet en bestaan van de ‘nieuwe’ AO/IC te beoordelen en deze vast te leggen in de lijncontrole. Bij de uitvoering van onze interim-controle hebben wij geconstateerd dat de invoer en controle op doorgevoerde wijzigingen zichtbaar wordt uitgevoerd, maar dat hierbij niet altijd het 4-ogen principe is toegepast. In totaal zijn drie medewerkers bevoegd om wijzigingen door te voeren, waarbij de controle door één van de andere medewerkers dient plaats te vinden. In voorkomende gevallen heeft de controle en invoer door dezelfde persoon plaatsgevonden. Wij adviseren toe te zien op de naleving van het 4-ogen principe.
Pagina 15
2 Waar staat de gemeente? 2.6 SiSa Verantwoording
Risicoanalyse per regeling aandachtspunt om inzichtelijk te maken
De gemeente Heemstede dient voor het boekjaar 2014 op grond van wettelijk voorschrift voor een aantal specifieke uitkeringen de verantwoordingsinformatie hieromtrent op te nemen in een bijlage bij de jaarrekening, waarvoor het te hanteren model door het ministerie van Bzk is voorgeschreven. Dit in het kader van Single information en Single audit (SiSa). Het aantal regelingen waarover de gemeente verantwoording dient af te leggen bedraagt zes, waarvan vijf regelingen binnen sociale zaken. Een juiste administratieve organisatie en interne beheersing van het proces draagt bij aan een tijdige en betrouwbare informatievoorziening en verantwoording betreffende de onder SiSa vallende regelingen. De gemeente onderkent het belang hiervan en neemt de SiSa-regelingen al grotendeels mee in de toetsing vanuit de VIC voor de SiSaregelingen in het kader van sociale zaken. De uitvoeringsregeling verkeer en vervoer wordt nog niet gedurende het jaar binnen de VIC getoetst, aangezien de informatie voor een juiste en volledige verantwoording pas later in het jaar beschikbaar komt. Het zwaartepunt van de werkzaamheden op de rechtmatige besteding vindt hierdoor inherent pas laat plaats. De interne beheersing rondom SiSa-regelingen is nog niet structureel ingebed als het gaat om aspecten als het opstellen/ beoordelen van de risicoanalyse per regeling, de toereikendheid van de opzet van de administratieve organisatie en het uitvoeren van een lijncontrole. Voor regelingen met een omvang > € 125.000 is de gemeente verplicht om deze werkzaamheden zelf uit te voeren en vast te leggen. Deze bevinding is gelijk aan vorig jaar, zie hiertoe ook bijlage 1 bij deze managementletter. Wij adviseren om voor de verschillende regelingen een risicoanalyse op te stellen waarin de beheersingsmaatregelen om de risico’s te mitigeren expliciet zijn benoemd. Voor de jaarrekeningcontrole 2014 zullen er vanuit EY audittemplates beschikbaar worden gesteld welke de organisatie verdere handvaten zullen geven ter voorbereiding op de controle van de SiSa-bijlage bij de jaarrekeningcontrole.
Pagina 16
2 Waar staat de gemeente? 2.7 Beheersing verbonden partijen Beheersing van verbonden partijen
Vanuit de begroting 2015 hebben wij vastgesteld dat de vereiste informatie van de verbonden partijen is opgenomen. Hiermee laat de gemeente Heemstede zien dat de beheersing van de verbonden partijen doorlopend de aandacht heeft. De beheersing kenmerkt zich nog als een proces met een incidenteel karakter, waarbij de mate van diepgang en toetsing is afgestemd op het risicoprofiel. Het aantal verbonden partijen waar de gemeente Heemstede een relatief groter risico loopt, is beperkt en de beheersing en huidige verantwoording binnen de begroting- en jaarrekeningcyclus wordt toereikend geacht. In dit kader is het ook van belang om de afhankelijkheid van de verbonden partij in ogenschouw te nemen. De mate van diepgang en invulling van de regie en toezichthoudende rol leidt tot maatwerk per verbonden partij. De invulling van de rol van de gemeente kan in de vastlegging nog nader worden geconcretiseerd. Wij adviseren u om in het kader van de jaarrekeningcontrole de uitkomsten vanuit de beoordeling van de verantwoordingsinformatie per verbonden partij in een korte rapportage inzichtelijk te maken, waarbij een conclusie wordt getrokken over de waardering van de verbonden partij en/of eventuele verplichtingen voor de gemeente.
2.8 ICT Goede opvolging voorgaande jaren
In samenspraak met het hoofd ICT en de applicatiebeheerders hebben wij begin 2014 de aanbevelingen vanuit voorgaande jaren besproken en de onderhanden zijnde opvolgingen hiervan vastgesteld met detailwerkzaamheden. Dit hebben wij gerapporteerd in het Verslag van Bevindingen 2013. Wij hebben de opvolging van de managementletter punten in het kader van de IT-audit werkzaamheden uiteengezet in bijlage 2. De daadwerkelijk verdere uitvoering en handhaving gedurende 2014 zullen wij begin 2015 beoordelen, in samenwerking met onze IT collega’s, en de uitkomsten hiervan meenemen in het verslag van bevindingen 2014.
Pagina 17
2 Waar staat de gemeente? 2.9 Subsidieverstrekkingen Naleving subsidieverordening en interne controle daarop in de lijnorganisatie
Ten aanzien van het proces subsidieverstrekking heeft de VIC-medewerker bij de uitvoering een tweetal bevindingen geconstateerd: 1) Bij het vaststellen van een subsidie over 2013 in 2014 is een aanvullend bedrag van € 410,45 beschikbaar gesteld en via een vaststellingsbeschikking kenbaar gemaakt aan de subsidieontvanger. Doordat het definitieve subsidiebedrag niet binnen de begroting blijft, had de brief getekend moeten worden door de gemeentesecretaris en de burgemeester. Dit is niet gebeurd. Deze bevinding is besproken met de afdeling en alertheid zal verder worden verscherpt. 2) Bij het vaststellen van een subsidie over 2013 in 2014 heeft een behandelend ambtenaar van Welzijnszaken beoordeelt of de verantwoordingsstukken (financieel verslag en activiteitenverslag) volledig en tijdig zijn ingediend. Het jaarverslag over 2013 was echter 1 maand te laat ingediend. Uit de nadere analyse blijkt dat het later indienen van het jaarverslag in een periodiek overleg met de betreffende instelling was overeengekomen. Het is van belang om dergelijke afspraken, waarbij wordt afgeweken van de subsidieverordening beter in het subsidie dossier vast te leggen. Ten aanzien van bovenstaande bevindingen merken wij op dat de vastlegging inzake het voldoen aan de subsidieverordening, en eventuele gestelde voorwaarden in de verleningsbeschikking, bij zowel subsidieaanvragen als subsidievaststellingen in de lijnorganisatie onvoldoende zichtbaar plaats vindt. De uitgevoerde werkzaamheden van de VIC zijn op dit punt te zien als vervanging van de werkzaamheden welke in de lijnorganisatie niet zichtbaar worden uitgevoerd. Wij adviseren u om de vastlegging inzake het voldoen aan de subsidieverordening, en eventuele gestelde voorwaarden door de gemeente in de verleningsbeschikking, bij zowel subsidieaanvragen als subsidievaststellingen zichtbaar te laten vastleggen door de lijnorganisatie.
Pagina 18
Sectie 3
Is uw gemeente klaar voor de toekomst?
3 Is uw gemeente klaar voor de toekomst? 3.1 Aandachtspunten jaarrekeningcontrole Algemeen
Waardering debiteuren sociale zaken
Onderbouwing voorziening onderhoud woningen en gebouwen
Voorziening onderhoud wegen
In dit hoofdstuk staan wij stil bij een aantal aandachtspunten voor het boekjaar 2014 die naar onze mening bijzondere aandacht dienen te hebben bij het opmaken van de jaarrekening en volgen vanuit deze managementletter en ons verslag van bevindingen bij de jaarrekening 2013, dit betreffen: ► waardering van de debiteuren sociale zaken; ► actualisatie van beheerplannen en het effect hiervan op de gevormde voorzieningen; ► analyse en verantwoordingsinformatie inzake verbonden partijen en afgegeven waarborgen en garanties; ► toets op de volledigheid van aanbestedingen; ► risicoanalyses van SiSa-regelingen; ► wijzigingen in het BBV. Voor de bepaling van de voorziening voor dubieuze debiteuren inzake sociale zaken geldt dat voor bepaalde categorieën van debiteuren een vaste systematiek op basis van percentages consistent wordt toegepast. Wij adviseren de gemeente om de gehanteerde systematiek en schatting omtrent de oninbaarheid te evalueren op basis van de werkelijk gerealiseerde afboekingen en deze analyse bij de jaarrekeningcontrole beschikbaar te hebben. In 2010 is het onderhoudsplan voor het laatst geactualiseerd en vastgesteld voor de komende 10 jaar. De werkelijke uitgaven ten opzichte van het plan worden niet op objectniveau geregistreerd, hetgeen de tussentijdse toetsing op de toereikendheid van de voorziening bemoeilijkt. Daarnaast hebben zich wijzigingen voorgedaan ten opzichte van het oorspronkelijke plan, met name ten aanzien van de centrale huisvesting, waarvan onderhoudskosten hoger zijn en werkzaamheden eerder dan gepland zijn uitgevoerd. Wij adviseren om jaarlijks op basis van de gerealiseerde bestedingen in vergelijking met het 10-jarig onderhoudsplan te beoordelen of het verloop en de omvang van de onderhoudsvoorziening nog bijstelling behoeft. De voorziening onderhoud wegen is in 2007 ingesteld om grote schommelingen in het onderhoud van de wegen op te vangen. Hiertoe wordt op basis van een 15-jarig onderhoudsplan jaarlijks een bedrag van circa € 1,1 miljoen gestort in de voorziening. In 2013 is als taakstelling vanuit de bezuinigingen € 125.000 minder gedoteerd dan oorspronkelijk in de plannen was opgenomen. Onttrekkingen ten laste van de voorziening zijn op basis van besluitvorming onderbouwd. Wij adviseren de werkelijke uitgaven ten opzichte van de oorspronkelijke planvorming tussentijds te evalueren en vast te stellen of de lagere dotatie aan de voorziening op basis van het gewenste onderhoudsniveau ook inkomende jaren nog tot voldoende dekking vanuit de voorziening leidt.
Pagina 20
3 Is uw gemeente klaar voor de toekomst? 3.1 Aandachtspunten jaarrekeningcontrole (vervolg) Actualisatie overige beheersplannen in 2014
Voorziening en reserve onderwijshuisvesting
Voor de voorziening onderhoud bruggen en beschoeiingen is jaarlijks een bedrag gedoteerd op basis van globale ramingen om grote fluctuaties in het onderhoud te nivelleren. In 2014 zal hier voor het eerst door een extern bureau een meerjarenonderhoudsprogramma worden opgesteld. Voor de voorziening baggerplan geldt dat het onderliggende plan afliep in 2012. In 2014 zal een nieuw baggerplan worden opgesteld, waarin actuele ramingen worden opgenomen. Wij adviseren de effecten van de actualisatie van de beheerplannen inzichtelijk te maken. Ultimo 2013 is de omvang van de voorziening en reserve kapitaallastenhuisvesting onderwijs respectievelijk € 0,8 miljoen en € 1,5 miljoen. Op het gebied van de onderwijshuisvestiging gaat per 1 januari 2015 het nodige wijzigen. Er vindt overheveling plaats van het gemeentefonds naar de lumpsum financiering funderend onderwijs. Daarnaast geldt dat de onderhoudsplicht en bekostiging voor de buitenkant van scholen voor primair onderwijs overgaat van de gemeente naar de schoolbesturen. De financiële consequenties hiervan zijn waren nog niet bekend ten tijde van het afwikkelen van de jaarrekeningcontrole 2013. In 2014 zijn de onduidelijkheden weggenomen en zijn de verantwoordelijkheden voor de gemeenten duidelijk geworden. Wij adviseren u daarom om de posities in de voorzieningen en reserves te actualiseren naar de feiten zoals deze nu bekend zijn.
Pagina 21
3 Is uw gemeente klaar voor de toekomst? 3.2 Decentralisaties Heemstede ligt op schema
Vertaling van beleid naar de uitvoering en inrichting van de beheersorganisatie vormt de uitdaging voor de komende maanden
De voorbereidingen op een succesvolle invoering van de 3 decentralisaties zijn in volle gang en vormt een intensief traject dat in de komende maanden verder geoperationaliseerd gaat worden. Het meerjarig beleidsplan sociaal domein alsmede de nieuwe verordeningen zijn op 30 oktober vastgesteld. Het beleid is in gezamenlijkheid met de gemeenten Bloemendaal en Haarlemmerliede en Spaarnwoude opgesteld. Doel van de decentralisatie is om zorg en ondersteuning nog dichter bij de mensen te organiseren en meer gebruik te maken van de eigen kracht en verantwoordelijkheden van burgers. Individuele contracten zijn gesloten met circa 70 zorgaanbieders voor wat betreft de WMO en jeugdgezondheidszorg. Ook de invoering van de nieuwe Participatiewet is in het beleidsplan opgenomen. Voor wat betreft de toegang zal in belangrijke mate gebruik gemaakt worden van het bestaande WMO-loket en het Centrum voor Jeugd en Gezin, alsmede IASZ, dat ook nu al in regionaal verband is opgezet. De invoering van de decentralisaties is zeer complex en omgeven door onzekerheden en risico’s, niet in de laatste plaats door de grillige besluitvorming door het Rijk en de grote mate van samenwerking met zorgaanbieders, SW-bedrijven en regionale samenwerking met andere gemeenten. In de afgelopen periode zijn veel inspanningen geleverd op het gebied van: ► Ontwikkeling van beleid ► Voorbereiding van de interne organisatie ► Inkoop, sturing en bekostiging ► Samenwerking in de regio ► Communicatie De komende periode zal in het teken staan om de beoogde samenwerkingen en inkopen te operationaliseren en interne procedures op de nieuwe situatie aan te passen. Ondanks dat er meer zicht is op de financiële middelen uit oogpunt van de baten blijft de onzekerheid hoog ten aanzien van de te verwachten uitgaven. De werkelijke aantallen vanuit de zorg zullen eerst na 1 januari 2015 beschikbaar zijn. Desondanks bestaat er een redelijk goed beeld en inschatting van het aantal zorgklanten en bestaat de verwachting dat de dienstverleningen op basis van de thans beschikbare middelen budgetneutraal kan worden ingevoerd. Daarbij geldt dat voor 2015 voor de Jeugdzorg uit het oogpunt van risicobeperking en solidariteit gewerkt wordt met totaalvolumes en beschikbaar budget voor 8 gemeenten in de regio’s IJmond en Zuid-Kennemerland. Voor 2016 wordt een objectief verdeelmodel ingevoerd dat voor de gemeente zowel voor- als nadelig uit kan werken. De opgave voor het sociaal domein is dan ook meerjarig en de periode 2015-2016 is hierbij aangemerkt als een overgangsperiode. Op basis van de door ons beoordeelde rapportages is ons beeld daarbij is dat Heemstede zorgt draagt voor een adequate informatievoorziening aan de raad en de financiële effecten en daarbij behorende risico’s benoemt. Bij de jaarrekeningcontrole 2015 zullen in overleg met onder andere de programmamanager Sociaal Domein, een nader beeld vormen van de voortgang van de implementatie, de financiële effecten en inrichting van de interne beheersing. Pagina 22
3 Is uw gemeente klaar voor de toekomst? 3.3 Actuele ontwikkelingen belastingen Vennootschapsbelastingplicht per 1 januari 2016
Op Prinsjesdag is het wetvoorstel ingediend om ondernemingsactiviteiten van overheden vanaf 1 januari 2016 te belasten met vennootschapsbelasting. Dit heeft consequenties voor de inrichting van de financiële administratie voor de gemeente Heemstede en haar verbonden partijen. Deze richten zich onder ander op de het kunnen onderscheiden van de belastingplichtige activiteiten, het opstellen van fiscale openingsbalansen, de toerekening van kosten en opbrengsten met mogelijke verschillen tussen de fiscale en commerciële verwerkingswijze. Wij adviseren de periode tot 1 januari 2016 te benutten om de impact van vennootschapsbelastingplicht en de gevolgen voor de administratieve organisatie in kaart te brengen. Wij hebben vastgesteld dat de impact van de vennootschapsbelasting binnen de gemeente Heemstede onder de aandacht is en de verdere uitwerkingen op de agenda staan.
3.4 Ontwikkelingen BBV Ontwikkelingen BBV
In 2013 heeft de wetgever een aantal wijzigingen aan het BBV doorgevoerd. Deze wijzigingen zijn veelal van formele aard en zijn van kracht vanaf het begrotingsjaar 2014. Wellicht ten overvloede wijzen wij u onderstaand op de belangrijkste wijzigingen: ► Benaming van Programmarekening is aangepast in 'Overzicht van baten en lasten‘; ► Wijziging term 'gerealiseerde resultaat voor bestemmen' in 'gerealiseerde totaal van saldo van baten en lasten‘; ► Wijziging term 'gerealiseerd resultaat na bestemmen' in 'gerealiseerde resultaat‘; ► Benaming paragraaf 'Weerstandsvermogen' is aangepast in 'Weerstandsvermogen en risicobeheersing‘; ► Uitbreiding van de informatie in de Paragraaf Verbonden partijen met: Naam en vestigingsplaats, het openbaar belang dat op deze wijze wordt behartigd', veranderingen die zich gedurende het begrotingsjaar in het belang dat de gemeente in de verbonden partij heeft, het eigen vermogen en het vreemd vermogen van de verbonden partij aan het begin en aan het einde van het begrotingsjaar, resultaat van de verbonden partij; ► Overzicht van incidentele baten en lasten per programma, waarbij per programma ten minste de belangrijkste posten afzonderlijk worden gespecificeerd en de overige posten als een totaalbedrag kunnen worden opgenomen; ► Toevoeging van het onderdeel Investeringen met economisch nut met 'Investeringen met economisch nut, waarvoor ter bestrijding van de kosten een heffing kan worden geheven‘; ► In de toelichting op de jaarrekening dient een rapportage opgenomen te worden waarin op kwartaalbasis wordt gerapporteerd in welke mate de drempelbedragen in het kader van het verplicht schatkistbankieren wordt benut.
3.5 Overige ontwikkelingen Overige belangrijke ontwikkelingen zijn de ingevoerde Wet Markt en Overheid, verwachte vernieuwing van de BBV, de nieuwe Europese aanbestedingsregels (2016), ingrijpende veranderingen in de omgevingswetgeving (2018), Informatie voor derden, aanpassingen Wet Normering Topinkomens (2015). Over de effecten en de gevolgen zullen wij u in september nader informeren door middel van onze brochure actuele ontwikkelingen. Pagina 23
3 Is uw gemeente klaar voor de toekomst? 3.6 Controleverklaring nieuwe stijl De relevantie en informatiewaarde van de controleverklaring heeft de afgelopen jaren veel ter discussie gestaan. Zowel accountants, gebruikers maar zeker ook overheden en toezichthouders spelen een actieve rol in deze discussie. De maatschappij verwacht van de accountant meer transparante informatie maar ook dat de accountant explicieter is over de toekomst. Daarnaast wordt de huidige controleverklaring als te standaard en te technisch ervaren. Voor de IAASB, de wereldwijde accountantsorganisatie, die de International Standards on Auditing uitgeeft, waaraan de Nederlandse controlestandaarden direct zijn ontleend, is deze brede maatschappelijke discussie aanleiding geweest om prioriteit te geven aan het ontwikkelen van een nieuwe controleverklaring, die tegemoet komt aan de wensen van gebruikers, toezichthouders en het maatschappelijk verkeer voor het verkrijgen van meer informatie, maar die rekening houdt met de belangen van verstrekkers. In de controleverklaring nieuwe stijl zal meer informatie worden gegeven en transparant verslag worden gedaan van de belangrijkste risico’s zoals deze zijn onderkend in de controle en de wijze waarop deze zijn gecontroleerd. In Nederland gaan de ontwikkelingen sneller. Het NBA, de Nederlandse Beroepsorganisatie voor Accountants, zal de nieuwe controleverklaring in 2014 reeds verplichtstellen. Deze verplichtstelling zal gelden voor alle organisaties van openbaar belang (oob's). Daarmee wordt de nieuwe verklaring verplicht voor alle controles bij organisaties die aan een beurs genoteerde effecten hebben uitgegeven, banken en verzekeraars. Ook binnen de Public Sector zijn de ontwikkelingen van de controleverklaring nieuwe stijl reeds zichtbaar. Zo geldt dat een opzet voor de controleverklaring nieuwe stijl ook reeds is opgenomen in het concept controleprotocol OCW/EZ 2014 dat geldt voor het verslagjaar 2014. De belangrijkste verandering is het opnemen van de kernpunten van de controle (‘key audit matters’). Kernpunten zijn de meest belangrijke punten die de accountant met de Raad, Raad van Toezicht en/of de auditcommissie heeft besproken. Vanzelfsprekend betreft dit specifieke informatie over de gecontroleerde organisatie. Kernpunten kunnen betrekking hebben op belangrijke risico’s die de accountant heeft onderkend bij de controle van de jaarrekening, bijvoorbeeld ten aanzien van waardering grondexploitaties, voorzieningen, rechtmatigheid of andere schattingsposten waarbij de waardering complex en in hoge mate subjectief is, maar bijvoorbeeld ook op bijzondere problemen die zich tijdens de controle hebben voorgedaan of omstandigheden die de accountant aanleiding hebben gegeven om de controle-aanpak gedurende het traject te wijzigen, bijvoorbeeld als gevolg van een belangrijke tekortkoming in de interne beheersing van de organisatie.
Pagina 24
3 Is uw gemeente klaar voor de toekomst? 3.6 Controleverklaring nieuwe stijl Een andere in het oog springende verandering is het in de controleverklaring rapporteren over de overwegingen over de continuïteitsveronderstelling, waarbij de accountant aangeeft dat de keuze van het management om going concern grondslagen te hanteren terecht is en dat hij geen ernstige onzekerheden heeft onderkend. Andere belangrijke veranderingen hebben betrekking op de prominente plaats van het oordeel, helemaal aan het begin, een bevestiging van de accountant dat de onafhankelijkheidsvoorschriften zijn nageleefd en een verbeterde beschrijving van de verantwoordelijkheden van de accountant. Ook zal in de controleverklaring nieuwe stijl meer informatie worden verstrekt over de wijze waarop de controle is opgezet. Met bovenstaande aanpassingen wordt invulling gegeven aan een meer organisatie specifieke controleverklaring. Met deze opzet geeft de accountant meer verantwoording en toelichting over de specifieke aspecten en aandachtspunten tijdens de controle.
Pagina 25
Bijlage 1
Opvolging en status aanbevelingen voorgaande jaren
Opvolging en status aanbevelingen voorgaande jaren Bijlage 1 Proces
Bevinding/Aanbeveling
Status
Inkoop en aanbesteden
Wij adviseren u om een centraal contractenregister op te zetten. Vanuit dit contactenregister kan worden bepaald op welke moment, welke contracten opnieuw aanbesteed moeten worden. Op deze wijze wordt de volledigheid van de aan te besteden contracten gewaarborgd.
Onderhanden vanaf 2013.
Inkoop en aanbesteden
Wij adviseren specifiek aandacht te besteden aan de gevolgde procedure na 1 april en vóór de periode van ingebruikname van de herziene interne aanbestedingsregels teneinde ook over deze periode het voldoen aan wet- en regelgeving te waarborgen.
Opgevolgd bij de jaarrekening 2013 en maakt nu structureel deel uit van de beoordeling in de VIC.
Inkoop en aanbesteden
Wij adviseren voor eigen aanbestedingen ook toe te zien op de naleving van het aangescherpte procedure handboek. Wij geven in overweging om Stichting RIJK ook bij nationale en meervoudige onderhandse aanbestedingen verplicht te consulteren.
Toetsing op de naleving procedure handboek structureel opgenomen in de VIC. Stichting RIJK wordt wisselend geconsulteerd. Wij zien dit punt als afgedaan in 2014.
De verbijzonderde interne controlewerkzaamheden ten aanzien van de toetsing van de naleving van het inkoopbeleid zijn voor een deel uitgevoerd. De controle heeft plaatsgevonden op een aantal in 2012 uitgevoerde aanbestedingen. De werkzaamheden ter waarborging van de volledigheid van de aanbestedingen zijn nog niet uitgevoerd.
Toetsing juistheid en rechtmatigheid maakt structureel deel uit van de VIC vanaf 2014. Inzake de volledigheid van de aanbestedingen verwijzen wij naar hoofdstuk 2.3 van deze managementletter.
Wij adviseren u in het proces maatregelen te treffen die de toetsing op de hoogte van de bouwsom en de controle daarop (4 ogen principe) beter zichtbaar maakt.
Nog niet opgevolgd. Eveneens bevinding voor 2014. Met de organisatie wordt in overleg getreden over de wijze waarop deze interne controle beter zichtbaar kan worden vastgelegd.
Wij adviseren u om eind 2013 vanuit Mozard alle aanvragen te herleiden (in samenwerking met ICT om de volledigheid van de aanvragen vanuit Mozart vast te stellen) en daarbij aan te geven welke aanvragen hebben geleid tot legesvrije vergunningen en welke hebben geleid tot verleende vergunningen en bijbehorende leges. De omgevingsvergunningen met opgelegde leges dienen zichtbaar te zijn aangesloten met de verantwoording van GBKZ en de verantwoording in de financiële administratie.
Voor de jaarrekening 2013 is deze analyse gemaakt. Deze analyse zal tevens voor de jaarrekening 2014 vereist zijn. Wij raden aan om deze controle structureel in de lijn en periodiek te laten plaatsvinden, of een andere werkwijze, waardoor de volledigheid van de baten wordt gewaarborgd.
Inkoop en aanbesteden
Omgevingsvergunningen
Omgevingsvergunningen
Pagina 27
Opvolging en status aanbevelingen voorgaande jaren (vervolg) Bijlage 1 Proces
Parkeeropbrengsten
SiSa
Verbonden partijen
Bevinding/Aanbeveling
Status
Wij adviseren u om de zogenoemde ISAE3402-verklaring te ontvangen van Parkfolio waardoor er meer zekerheid kan worden verkregen omtrent de opgaven van Parkfolio en de daarmee samenhangende volledigheid van de parkeeromzet van de gemeente.
Opgevolgd bij de jaarrekening 2013. Eveneens benodigd voor de jaarrekeningcontrole 2014.
Wij adviseren voor SiSa-regelingen buiten het sociale domein meer tijdig gedurende het jaar de risicoanalyse uit te voeren en de lijncontrole te documenteren.
Besproken met de organisatie, maar gezien de tijdige en juiste aanlevering vanuit de verantwoordelijken ten tijde van de jaarrekeningcontrole, blijft dit een eigen planning en verantwoordelijkheid voor de verantwoordelijken.
Wij geven in overweging om de risicoanalyse en het proces rondom de beheersing van verbonden partijen te formaliseren, zodat hiermee vastligt met welke mate en diepgang en op welke wijze taken en verantwoordelijkheden van de verschillende betrokken medewerkers zijn belegd en welke beheersingsmaatregelen zijn getroffen in het kader van de beheersing.
De paragraaf verbonden partijen is in de begroting 2015 voorzien van de benodigde informatie. Daarnaast is het risicoprofiel beoordeeld en wordt de periodieke verantwoordingsinformatie toereikend geacht.
Verder hebben wij geadviseerd in hoofdstuk 2.2 om deze beoordeling structureel door de lijnorganisatie te laten uitvoeren en te documenteren en vanuit de VIC hierop te toetsen.
Pagina 28
Bijlage 2
Opvolging en status aanbevelingen voorgaande jaren ITaudit
Opvolging en status aanbevelingen voorgaande jaren IT-audit Bijlage 2 Proces
Bevinding/Aanbeveling
Beveiliging DigiD
Naar aanleiding van beveiligingsincidenten rondom DigiNotar en DigiD is in 2012 het beveiligingsassessment rondom DigiD aangekondigd. Inmiddels is enige tijd verstreken en zijn diverse gemeenten en leveranciers van gemeentelijke websites gestart met het inventariseren van de impact van de norm van Logius. Ernst & Young maakte onderdeel uit van de pilot die door VNG en KING is georganiseerd om de impact van de norm te bepalen en is sindsdien actief betrokken bij diverse gemeenten en gemeentelijke leveranciers. We zien echter dat inspanningen momenteel nog achterblijven wat het risico met zich meebrengt dat gemeenten niet tijdig een assessment hebben laten uitvoeren. Wij adviseren u op korte termijn de IST situatie te bepalen om vast te stellen waar u momenteel staat. Op die manier heeft u nog ruim de tijd eventuele verbeteringen door te voeren, voordat u zich laat toetsen tegen de norm. Ten aanzien van dit finale assessment adviseren wij u op korte termijn afspraken te maken met uw auditor.
Invoer IBAN
Uiterlijk 1 februari 2014 moeten deze standaarden ingevoerd zijn. Het Nationaal Forum voor de SEPA-migratie constateert dat publieke instellingen, in tegenstelling tot elders in Europa waar publieke instellingen een voorbeeldfunctie vervullen, niet vroeg overgaan. Met name gemeenten zullen een extra inspanning moeten verrichten voor de overgang op IBAN, die momenteel nog erg achterblijft. Uit de migratiemonitor blijkt dat een substantieel deel van de gemeenten zijn planning nog moet bepalen. Wij willen u graag wijzen op de naderende deadline en het belang om de planning ten aanzien van de IBAN implementatie te bepalen.
Informatiebeveiliging
Wij bevelen aan een informatiebeveiligingsbeleid op te stellen dat aansluit op de behoeften van de gemeente ten aanzien van privacybescherming, continuïteit, vertrouwelijkheid en betrouwbaarheid van informatie. Het informatiebeveiligingsbeleid is gebaseerd op een risicoanalyse. Door het uitvoeren van een risicoanalyse kunnen de belangrijkste risico’s ten aanzien van informatiebeveiliging in kaart worden gebracht. De geïdentificeerde risico’s veranderen echter continue. Het is daarom van belang dat u als gemeente meebeweegt met de risico’s door deze periodiek te herzien. Hierdoor ontstaat een continu proces van opstellen, in gebruik nemen, verifiëren en aanpassen van maatregelen. Hierdoor bent u als gemeente zelf in staat de risico’s ten aanzien van informatiebeveiliging tot een minimum te beperken.
Status
Opgevolgd
Opgevolgd
Opgevolgd
Pagina 30
Opvolging en status aanbevelingen voorgaande jaren IT-audit (vervolg) Bijlage 2 Proces
Bevinding/Aanbeveling
Status De beslissing is genomen om dit punt in 2014 op te volgen.
Wachtwoordinstellingen (netwerkomgeving)
De eerste laag van toegang tot de informatiesystemen binnen de gemeente Heemstede is de netwerkomgeving (Active Directory). Wij hebben geconstateerd dat binnen de netwerkomgeving voor gebruikers een aantal sterke wachtwoordrestricties zijn ingericht. Zo is een gebruiker verplicht het wachtwoord eens in de 60 dagen te wijzigen en mag het niet gelijk zijn aan de voorgaande acht wachtwoorden. Echter worden geen eisen gesteld aan de complexiteit van het wachtwoord, waardoor het risico bestaat dat het wachtwoord makkelijk te raden of te hacken is. Wij bevelen u aan complexiteit van het wachtwoord op netwerkniveau te vereisen (combinatie van letters, hoofdletters en cijfers). Om toegang te verkrijgen tot Civision szwNet moeten medewerkers met een gebruikersnaam en wachtwoord inloggen. Het wachtwoord moet voldoen aan een aantal restricties, maar de gebruiker is niet verplicht om het wachtwoord periodiek te wijzigen. Als gevolg van tekortkomingen in de ingerichte wachtwoordrestricties bestaat het risico op intern misbruik van gebruikersaccounts en ongewenste toegang tot uitkeringsgegevens. Naar wij hebben begrepen bestaat de mogelijkheid om Single Sign On (SSO) voor Civision szwNet te implementeren. Wij bevelen u aan SSO te implementeren mits dit op de juiste wijze wordt ingericht. Bij de inrichting van SSO is het van belang dat de tekortkoming in de wachtwoordpolicy van het netwerk wordt opgelost. Wij bevelen tevens aan om te borgen dat procedures zijn opgesteld voor accounts die zijn uitgezonderd op SSO (bijvoorbeeld service of testaccounts).
Wij hebben vernomen dat passende opvolging is gegeven aan onze aanbeveling. In 2013 is de Single Sign on functionaliteit voor de applicatie Civiosn szwNet geïmplementeerd. Wel willen wij benadrukken dat de wachtwoordinstellingen van de netwerkomgeving verder aanscherpt dienen te worden door het afdwingen van wachtwoordcomplexiteit (zie ook wachtwoordinstellingen (netwerkomgeving))
Wachtwoordinstellingen (Civision szwNet)
Autorisaties szwNet
Wij hebben vastgesteld dat de controller en een generiek systeembeheer account ten onrechte beschikken over alle rechten binnen Civision szwNet. Het risico bestaat dat onrechtmatige mutaties worden doorgevoerd of dat functiescheiding kan worden doorbroken. Wij bevelen aan alle toegekende autorisaties periodiek te beoordelen en te borgen dat rechten in de applicaties conform het “need-to-know” principe zijn ingericht.
Opgevolgd
Pagina 31
Opvolging en status aanbevelingen voorgaande jaren IT-audit (vervolg) Bijlage 2 Proces
Toegang tot de database van szwNet
Wijzigingsbeheer
Bevinding/Aanbeveling
Status
Wij hebben geconstateerd dat de applicatie en systeembeheerders toegang hebben tot de database van Civision szwNet. De applicatie -en systeembeheerders van de gemeente Heemstede maken hiervoor gebruik van hetzelfde generieke databaseaccount. Mutaties die worden doorgevoerd met dit generieke account kunnen niet naar een medewerker worden herleid. Als gevolg hiervan kan in het geval van een incident niet met zekerheid worden vastgesteld welke medewerker de betreffende mutatie heeft doorgevoerd. Wij bevelen u aan om voor toegang tot de database persoonsgebonden accounts te hanteren. Voor generieke accounts binnen databases, applicaties en netwerken bevelen wij aan het wachtwoord te wijzigen en op te slaan in bijvoorbeeld een kluis zodat het alleen in noodgevallen kan worden geraadpleegd.
Voor meerdere databases en applicatie heeft een inventarisatie plaatsgevonden. In 2014 zal de inrichting zodanig worden aangepast dat mutaties tussen wijzigingen in programmatuur en wijzigingen door beheerders eenduidig te traceren zijn.
Voor het doorvoeren van wijzigingen binnen Civision szwNet zoals patches en releases wordt geen formeel proces gehanteerd. De verantwoordelijkheid ten aanzien van wijzigingen is belegd bij de applicatiebeheerder. Wij hebben begrepen dat de applicatiebeheerder een impactanalyse uitvoert door de update scripts van de wijziging inhoudelijk te beoordelen. Vervolgens wordt een testomgeving opgezet waar een aantal gebruikers testwerkzaamheden op uitvoert. Op dit moment wordt geen standaard testscript gehanteerd en worden resultaten van de uitgevoerde testwerkzaamheden niet gedocumenteerd. Als gevolg hiervan bestaat het risico dat belangrijke functionaliteiten en processen niet worden getest en hierdoor fouten in de programmatuur niet tijdig worden opgemerkt. Dit heeft als mogelijk gevolg dat verstoringen ontstaan.
Wij hebben vernomen dat passende opvolging is gegeven aan onze aanbeveling. Wij hebben vernomen dat het aantal functioneel beheerders van de applicatie Civision szwNet is uitgebreid naar twee functionarissen. Om te waarborgen dat het functioneel beheer op een gestandaardiseerde wijze wordt uitgevoerd, zijn afspraken gemaakt over de wijze waarop werkzaamheden worden uitgevoerd en gedocumenteerd.
Wij bevelen u aan om het proces voor wijzigingen verder te professionaliseren en de stappen te documenteren zodanig dat: ► een voorgestelde wijziging moet worden geautoriseerd door bijvoorbeeld de leidinggevende of de eigenaar van de applicatie; ► het proces en bijbehorende verantwoordelijke worden beschreven (zoals testen in een testomgeving en functiescheiding binnen het wijzigingsproces); ► gestructureerd wordt getest aan de hand van een testplan/testscript en dat resultaten hiervan worden vastgelegd; ► het testscript minimaal de belangrijkste functionaliteiten en processen bevat en wordt uitgebreid indien wijzigingen in specifieke delen van de programmatuur worden doorgevoerd; ► een nieuwe versie op basis van de schriftelijke testresultaten wordt geaccepteerd.
Pagina 32
Bijlage 3
Reikwijdte en controleaanpak
Reikwijdte en controleaanpak Bijlage 3 Reikwijdte werkzaamheden In het kader van de door de raad aan ons verstrekte opdracht tot controle van de jaarrekening 2014 van de gemeente Heemstede brengen wij u hierbij verslag uit van de belangrijkste bevindingen en aanbevelingen naar aanleiding van de tussentijdse controlewerkzaamheden die wij onlangs hebben uitgevoerd. Bij de jaarrekeningcontrole maken wij mede gebruik van de administratieve organisatie en het daarvan deel uitmakende systeem van interne controle van uw gemeente. In dit verband hebben wij de opzet en bestaan van de administratieve organisatie op een aantal door ons noodzakelijk geachte punten onderzocht. Wij wijzen u erop dat onze controle niet was gericht op het vormen van een oordeel over de administratieve organisatie als zodanig. De in deze managementletter opgenomen bevindingen kunnen dan ook niet als limitatief worden beschouwd. Onze werkzaamheden zijn erop gericht een oordeel te kunnen geven over de jaarrekening 2014 van de gemeente Heemstede. Ze zijn niet primair gericht op het opsporen van fraudes of onregelmatigheden in uw organisatie. De bevindingen in deze brief zijn daarom beperkt tot de punten die voortvloeien uit de door ons uitgevoerde werkzaamheden. Indien onze werkzaamheden aanwijzingen hebben opgeleverd voor opgetreden fraudes of onregelmatigheden, dan hebben wij u daarover onmiddellijk gerapporteerd. Bij onze controlewerkzaamheden hebben wij als uitgangspunt de door de raad vastgestelde toleranties gehanteerd. De raad heeft ons daarbij opgedragen om bij onze oordeelsvorming en rapportering uit te gaan van de hierna vermelde goedkeurings- en rapporteringstolerantie. Goedkeuringstolerantie
Goedkeurend
Beperking
Oordeelsonthouding
Afkeurend
Fouten in de jaarrekening (% lasten)
≤ 1%
>1% < 3%
–
≥ 3%
Onzekerheden in de controle (% lasten)
≤ 3%
>3% < 10%
≥ 10%
-
Op basis van de primaire begroting 2014 van de gemeente Heemstede betekenen bovengenoemde percentages dat een totaalbedrag aan fouten in de jaarrekening van € 438.000 en een totaal van onzekerheden van € 1.314.000 miljoen de goedkeurende strekking van de controleverklaring niet zullen aantasten. De rapporteringstolerantie is, zoals met u overeengekomen, gesteld op € 219.000 (0,5% van de goedkeuringstolerantie). Pagina 34
Reikwijdte en controleaanpak (vervolg) Bijlage 3 Reikwijdte werkzaamheden Onze controle richt zich tevens op de getrouwheid en rechtmatigheid van de informatie in de SiSa-bijlage van de jaarrekening. Voor SiSa gelden specifiek voorgeschreven rapporteringstoleranties die lager zijn dan uw rapporteringstolerantie van € 219.000. Wij passen deze voorgeschreven SiSa-toleranties eveneens op correcte wijze toe.
Controleaanpak In overeenstemming met de wet resulteert onze accountantscontrole in het afgeven van een controleverklaring zowel met betrekking tot de rechtmatigheid van het financieel beheer (worden de financiële beheershandelingen conform de van toepassing zijnde wet- en regelgeving verricht) als met betrekking tot de getrouwheid (het getrouwe beeld van de financiële positie en het saldo van de baten en lasten). Onze controle valt globaal uiteen in een tweetal momenten. Bij de tussentijdse controle is de focus gericht op het toetsen van de door ons als significant aangemerkte processen binnen de gemeente Heemstede terwijl bij de eindejaarscontrole de posten in de jaarrekening centraal staan. De identificatie van de significante processen vindt plaats op basis van risicoanalyse. Bij onze tussentijdse controle hebben wij, voor zover mogelijk, de opzet van deze processen in kaart gebracht (hoe is de administratieve organisatie en de interne controle ingericht?) en vervolgens het bestaan van deze processen vastgesteld (worden de procedures zoals beschreven ook in de praktijk gebracht?). Om uiteindelijk te kunnen steunen op de interne controlemaatregelen zoals die in de processen zijn opgenomen, dienen wij ten slotte vast te stellen dat deze maatregelen gedurende het gehele jaar hebben gewerkt (het toetsen van de werking). Hierbij steunen wij op de interne controlewerkzaamheden zoals deze door uw interne controleurs worden uitgevoerd. De werkzaamheden zijn momenteel onderhanden. In deze managementletter rapporteren wij u de status hiervan. Op het moment dat de interne controlewerkzaamheden zijn afgerond, voeren wij hierop een review uit en signaleren wij eventuele tekortkomingen. In het verslag van bevindingen naar aanleiding van de jaarrekeningcontrole komen de (eventueel) hieruit voortvloeiende significante bevindingen aan bod.
Pagina 35
