Gemeente Nieuwegein Accountantsverslag 2011 Rapportage aan de Raad
Ernst & Young Accountants LLP Euclideslaan 1 3584 BL UTRECHT Postbus 3053 3502 GB UTRECHT Tel.: +31 (0) 88 – 40 70669 Fax: +31 (0) 88 – 40 73030 www.ey.nl
VERTROUWELIJK Aan de Raad van de gemeente Nieuwegein Postbus 9900 1201 GM NIEUWEGEIN
Utrecht, 10 mei 2012
Kenmerk: AD/hu-8TVCAF
Geachte leden van de Raad, In aansluiting op onze controle van de jaarrekening 2011 van de gemeente Nieuwegein, brengen wij hierbij verslag uit over de uitkomsten van deze controle. Wij willen u als opdrachtgever met dit verslag zo goed mogelijk informeren en ondersteunen in de uitoefening van uw kaderstellende en controlerende functie. Dit verslag sluit aan op de afspraken die wij met u hebben gemaakt en die zijn vastgelegd in uw opdrachtbevestiging. De onderwerpen die in dit verslag aan de orde komen hebben onderdeel uitgemaakt van onze overwegingen bij de bepaling van de aard, het tijdstip van uitvoering en de diepgang van de controlemaatregelen die zijn toegepast bij de uitvoering van de controle van de jaarrekening. De in dit verslag opgenomen bevindingen doen geen afbreuk aan ons goedkeurend oordeel over de getrouwheid en rechtmatigheid van de jaarrekening 2011. Wij stellen het op prijs bijgevoegd verslag nader aan u toe te lichten of eventuele vragen hierover van u te beantwoorden. Een afschrift van dit verslag is toegezonden aan het College van Burgemeester en Wethouders. Hoogachtend, Ernst & Young Accountants LLP
drs. A. Doppenberg RA Senior Manager
drs. J.M.A. Drost RA Partner
Ernst & Young Accountants LLP is een limited liability partnership gevestigd in Engeland en Wales met registratienummer OC335594. In relatie tot Ernst & Young Accountants LLP wordt de term partner gebruikt voor een (vertegenwoordiger van een) vennoot van Ernst & Young Accountants LLP. Ernst & Young Accountants LLP is statutair gevestigd te Lambeth Palace Road 1, London SE1 7EU, Verenigd Koninkrijk, heeft haar hoofdvestiging aan Boompjes 258, 3011 XZ Rotterdam, Nederland en is geregistreerd bij de Kamer van Koophandel Rotterdam onder nummer 24432944. Op onze werkzaamheden zijn algemene voorwaarden van toepassing, waarin een beperking van de aansprakelijkheid is opgenomen. Deze algemene voorwaarden zijn gedeponeerd bij de Kamer van Koophandel Rotterdam en zijn in te zien op www.ey.nl.
Inhoudsopgave 1 1.1 1.2 1.3 1.4
Bestuurlijke samenvatting Controleverklaring bij de jaarrekening 2011 Het resultaat over 2011 en de financiële positie per 31 december 2011 De informatiewaarde van de jaarstukken 2011 Samenvatting bevindingen tussentijdse controle 2011 en follow-up
1 1 1 2 2
2 2.1 2.2 2.3 2.4
Hoe hebben wij de controle ingericht? Wat is de reikwijdte van onze opdracht Onze controleaanpak in het kort De met u afgesproken goedkeurings- en rapporteringstoleranties Verplichtingen inzake Single information en Single audit (SiSa)
4 4 4 4 5
3 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13
Wat zijn de uitkomsten van onze controle? Onze verklaring is goedkeurend Belangrijkste bevindingen in het kader van rechtmatigheid Het resultaat nader geanalyseerd Huidig weerstandsvermogen is van voldoende omvang Analyse van de financieringsstructuur Aandachtspunten vanuit het controle overleg Bouwgrondexploitaties Niet in exploitatie genomen gronden Waardering deelneming N.V. Sportinrichting Debiteurenvoorziening Afschrijving Binnenstad Onderhoudsvoorziening Centrum voor Jeugd en Gezin (CJG)
6 6 6 8 8 9 10 10 10 10 11 11 11 11
4
Bevindingen controle verantwoording in het kader van SiSa
12
5
Informatie uit hoofde van onze functie als controlerend accountant
13
1
Bestuurlijke samenvatting
In dit hoofdstuk geven wij kort onze bestuurlijk belangrijkste conclusies naar aanleiding van de door ons uitgevoerde controle van de jaarrekening 2011 weer. In de laatste paragraaf van dit hoofdstuk zijn de belangrijkste bevindingen en aanbevelingen opgenomen van de uitgevoerde tussentijdse controle 2011.
1.1
Controleverklaring bij de jaarrekening 2011
Wij hebben het College van Burgemeester en Wethouders van uw gemeente gemachtigd onze controleverklaring d.d. 10 mei 2012 bij de jaarrekening 2011 van uw gemeente op te nemen. Onze oordelen zoals opgenomen in deze controleverklaring zijn als volgt: Aspect
Oordeel
Getrouwheid
Goedkeurend
Rechtmatigheid
Goedkeurend
Hierbij zijn wij ervan uitgegaan dat de Raad de voorliggende jaarrekening ongewijzigd vaststelt. Indien er nog wijzigingen worden aangebracht in de definitieve vorm van de jaarrekening dienen wij deze te beoordelen alvorens onze controleverklaring hierbij mag worden opgenomen. De goedkeurende strekking van de controleverklaring voor zowel het getrouwheids- als het rechtmatigheidsoordeel betekent dat de jaarrekening met een redelijke mate van zekerheid geen fouten of onzekerheden bevat die in totaliteit de voor de jaarrekeningcontrole gehanteerde goedkeuringstolerantie overschrijden.
1.2
Het resultaat over 2011 en de financiële positie per 31 december 2011
Het resultaat over 2011 na bestemming bedraagt € 2,2 miljoen positief ten opzichte van een (bijgestelde) sluitende begroting. In de jaarrekening is een toereikende analyse opgenomen van de afwijkingen in de realisatie ten opzichte van de begroting. Het totaal van de reserves en voorzieningen volgens de balans ultimo 2011 bedraagt, rekening houdend met het nog te bestemmen resultaat over 2011, € 127,2 miljoen. Dit betekent een daling van circa € 5,2 miljoen ten opzichte van 2010. Voor een goede beoordeling van de financiële positie dienen ook de niet uit de balans blijkende (financiële) risico’s in ogenschouw te worden genomen. De belangrijkste financiële risico’s die de gemeente loopt zijn toegelicht in de paragraaf weerstandsvermogen van het jaarverslag. Op basis van het weerstandsvermogen van de gemeente, rekening houdend met de totale reservepositie, het huidige financiële beleid en de in de risicoparagraaf omschreven risico’s zijn wij van mening dat de financiële positie van de gemeente Nieuwegein naar de stand van eind 2011 ruim voldoende is.
Pagina 2
1.3
De informatiewaarde van de jaarstukken 2011
Wij zijn van mening dat de jaarstukken - gegeven de inrichting van de programmarekening - een goed inzicht geven in het gerealiseerde resultaat over het jaar 2011 en de financiële positie per 31 december 2011. Daarnaast wordt inzicht gegeven in de financiële afwijkingen die ten opzichte van de door uw Raad goedgekeurde begroting bestaan. Conform de hiervoor geldende voorschriften is door ons nagegaan of het jaarverslag de minimale wettelijke voorgeschreven informatie bevat en of de inhoud van dit verslag geen tegenstrijdigheden bevat met de door ons gecontroleerde jaarrekening. Op grond hiervan hebben wij vastgesteld dat de inhoud van het jaarverslag niet in strijd is met de jaarrekening.
1.4
Samenvatting bevindingen tussentijdse controle 2011 en follow-up
In onze rapportage d.d. 31 januari 2012 aan het College van Burgemeester en Wethouders zijn onze bevindingen weergegeven naar aanleiding van onze tussentijdse controle bij uw gemeente. Wij hebben ons gedurende deze controle in het bijzonder gericht op de administratieve organisatie en de daarin opgenomen maatregelen van interne controle (AO/IC). Wij zijn van mening dat de administratieve organisatie en de daarin opgenomen maatregelen van interne controle op hoofdlijnen voldoen aan de daaraan te stellen eisen. Hiermee is een goede basis gelegd voor een betrouwbare informatievoorziening. Wij hebben kennis genomen van de reactie van het management op onze managementletter. In onderstaande tabel rapporteren wij de belangrijkste aanbevelingen waaraan wij een hoge prioriteit hebben toegekend en geven wij de opvolging c.q. status weer: Bevinding
Opvolging
Grondexploitatie/Projectbeheersing Wij hebben het College van Burgemeester en Wethouders geadviseerd om de grondexploitaties tijdig te actualiseren, waarbij bij de grondexploitatieberekeningen gebruik wordt gemaakt van actuele en consistent toegepaste uitgangspunten, veronderstellingen en variabelen.
Wij hebben vastgesteld dat de grondexploitaties tijdig zijn geactualiseerd. Wij concluderen dat de gehanteerde uitgangspunten, veronderstellingen en variabelen aanvaardbaar zijn.
Single information, Single audit (SiSa) Gezien de omvang, vereiste diepgang van de werkzaamheden alsmede de afhankelijkheid van derden is het zaak om hiervoor een planning op te stellen, vooraf tijdig goede afspraken te maken en de realisatie hiervan te monitoren. Wij hebben het College van Burgemeester en Wethouders geadviseerd hierin te voorzien.
Wij hebben vastgesteld dat de planning van het SISA dossier alsmede de uitvoering van zichtbare interne controle op onderdelen ter verbetering vatbaar is. Verdere versterking is nog mogelijk door onder andere het sterker sturen door de afdelingen op gemaakte afspraken en de waarborging van de volledigheid van het SiSa dossier.
Verplichtingenadministratie Wij adviseren om per jaareinde aanvullende werkzaamheden uit te voeren ter verkrijging van inzicht in de volledigheid van de verplichtingen. In de jaarrekening 2011 dienen alle verplichtingen > € 15.000 (waarbij reeds de prestatie door de derde is verricht) te zijn opgenomen.
De verplichtingen zijn geanalyseerd. Een nadere detaillering van de informatie en vastlegging daarvan blijft een belangrijk intern aandachtspunt.
Bevinding
Opvolging
Rechtmatigheid Wij adviseren u voor het opstellen van de jaarrekening de resterende werkzaamheden uit te voeren. Hierbij is het van belang bij de processen Aanbestedingen, WMO en Riool- en Afvalstoffenheffing aanvullende werkzaamheden uit te voeren ter verkrijging van voldoende zekerheid over de getrouwheid en rechtmatigheid. Daarnaast vragen wij uw aandacht voor de niet uitgevoerde controles zoals Personeel, Verstrekte Subsidies en
De interne rechtmatigheidtoetsing binnen de gemeente Nieuwegein heeft voor het opstellen van de jaarrekening plaatsgevonden. Een nadere detaillering van de informatie en vastlegging daarvan blijft een belangrijk intern aandachtspunt.
Pagina 3
Belastingen. Inkomende subsidies Wij adviseren u dat ten behoeve van de jaarrekeningcontrole het noodzakelijk is om per (materiële) ontvangen subsidie een specificatie gereed te hebben (inclusief een analyse en een rechtmatigheidsoordeel). Reserve Grondbedrijf De reserve Grondbedrijf dient op basis van de verslaggevingsvoorschriften (Besluit Begroting en Verantwoording) minimaal naar € 0 gebracht te worden voor de jaarrekening 2011.
Afwaardering Galecop-Galecopperzoom Ten behoeve van de jaarrekening 2011 is het nodig om de hoogte van de voorziening voor het project Galecop-Galecopperzoom te beoordelen op aanvaardbaarheid.
Proces opstellen jaarrekening Wij bevelen u aan tijdig de op te leveren stukken ten behoeve van het balansdossier te labellen aan verantwoordelijken en de voortgang van aanlevering strak te monitoren. Op deze wijze kan de jaarrekeningcontrole op efficiënte wijze worden uitgevoerd. In februari 2012 zal een voorgesprek plaatsvinden om eventuele issues in de jaarrekening vroegtijdig af te stemmen.
De inkomende subsidies zijn geanalyseerd. Een nadere detaillering van de informatie en vastlegging daarvan blijft een belangrijk intern aandachtspunt. De reserve Grondbedrijf bedraagt ultimo 2011 € 94.000 negatief. In 2012 zal het tekort worden aangevuld door het afsluiten van grondexploitaties met een positief resultaat. Gezien de omvang en de aanvulling in 2012 heeft deze fout in de jaarrekening geen invloed op de verklaring bij de jaarrekening. De beoordeling heeft niet plaatsgevonden. Handhaving onder de huidige regelgeving is toegestaan. Op basis van nieuwe regelgeving zal bij het opstellen van de jaarrekening 2012 de aanvaardbaarheid opnieuw beoordeeld dienen te worden. In maart heeft een voorbespreking plaatsgevonden. De aanlevering van de jaarrekening heeft gefaseerd en in meerdere versies plaatsgevonden. Oplevering van de onderliggende stukken ten behoeve van het balansdossier vanuit de afdelingen is nog sterk voor verbetering vatbaar (onderliggende documentatie en gedetailleerde analyses). Tevens is voorafgaand aan onze controle geen inhoudelijke beoordeling (inclusief analyse) van het dossier uitgevoerd.
Pagina 4
2
Hoe hebben wij de controle ingericht?
2.1
Wat is de reikwijdte van onze opdracht
Conform de aan ons verleende opdracht hebben wij de jaarrekening 2011 van de gemeente Nieuwegein gecontroleerd. Deze jaarrekening is onder verantwoordelijkheid van het College van Burgemeester en Wethouders opgesteld. Het is onze verantwoordelijkheid een oordeel te geven over de jaarrekening, als bedoeld in artikel 213, tweede lid, van de Gemeentewet. Wij hebben onze controle verricht in overeenstemming met Nederlands recht, waaronder het Besluit Accountantscontrole Decentrale Overheden (BADO) en het door de raad vastgestelde controleprotocol. Dienovereenkomstig zijn wij verplicht te voldoen aan de voor ons geldende gedragsnormen en zijn wij gehouden onze controle zodanig te plannen en uit te voeren dat een redelijke mate van zekerheid wordt verkregen dat de jaarrekening geen afwijkingen van materieel belang bevat. De planning en uitvoering van onze controle en de daaraan gerelateerde werkzaamheden zijn met name gericht op: — het geven van feedback aan het College van Burgemeester en Wethouders over onze bevindingen betreffende de interne beheersing van bedrijfsprocessen en de kwaliteit van de verbijzonderde interne controle; — beoordeling van het jaarverslag; — controle van de jaarrekening; — het afgeven van een controleverklaring bij de jaarrekening; — ondersteunen van de controlerende rol van de gemeenteraad door het uitbrengen van een verslag van bevindingen. In onze tussentijdse rapportage van 31 januari 2012, gericht aan het College van Burgemeester en Wethouders, hebben wij invulling gegeven aan het eerste onderwerp. In deze rapportage geven wij invulling aan de overige onderwerpen.
2.2
Onze controleaanpak in het kort
Onze controle omvat het uitvoeren van werkzaamheden ter verkrijging van controle-informatie over de bedragen en de toelichtingen in de jaarrekening. De keuze van de uit te voeren werkzaamheden is afhankelijk van de professionele oordeelsvorming van de accountant. Hierbij zijn onder meer begrepen de beoordeling van de risico’s van afwijkingen van materieel belang als gevolg van fraude of fouten. In die beoordeling neemt de accountant in aanmerking het voor het opmaken van en getrouw weergeven in de jaarrekening van zowel de baten en lasten als de activa en passiva, alsmede het voor de naleving van de wet- en regelgeving relevante interne beheersingssysteem. De beoordeling heeft het doel een verantwoorde keuze te kunnen maken van de controlewerkzaamheden die onder de gegeven omstandigheden adequaat zijn. Tevens omvat een controle onder meer een evaluatie van de aanvaardbaarheid van de toegepaste grondslagen voor financiële verslaggeving, van de redelijkheid van schattingen die het College van Burgemeester en Wethouders van de gemeente heeft gemaakt en een evaluatie van het algehele beeld van de jaarrekening. Wij zijn van mening dat de door ons verkregen controle-informatie voldoende en geschikt is als basis voor ons oordeel.
2.3
De met u afgesproken goedkeurings- en rapporteringstoleranties
Op grond van het Besluit Accountantscontrole Decentrale Overheden (BADO) stelt de raad de goedkeuringstolerantie vast die de accountant bij zijn jaarrekeningcontrole dient te hanteren. Het normenkader en de goedkeuringstolerantie zijn vastgesteld door het College van Burgemeester en Wethouders en vervolgens ter kennisgeving gebracht van de raad. U heeft ons voor het boekjaar 2011 opgedragen om bij onze oordeelsvorming uit te gaan van de hierna vermelde goedkeuringstolerantie: Goedkeuringstolerantie
Goedkeurend
Beperking
Oordeelonthouding
Afkeurend
Pagina 5
Fouten in de jaarrekening (% lasten inclusief mutaties in de reserves)
≤ 1%
> 1% - < 3%
—
≥ 3%
Onzekerheden in de controle (% lasten inclusief mutaties in de reserves)
≤ 3%
> 3% - < 10%
≥ 10%
—
Het totaal van de lasten in de jaarrekening 2011 inclusief mutaties in de reserves bedraagt € 230,9 miljoen. De goedkeuringstolerantie bedraagt derhalve voor fouten afgerond € 2,3 miljoen (1%) en voor onzekerheden € 6,9 miljoen (3%). Er is sprake van een fout indien transacties niet in overeenstemming met de regelgeving zijn verantwoord. Een onzekerheid betreft het onvoldoende beschikbaar hebben van informatie ter vaststelling van de rechtmatigheid en/of getrouwheid van de transactie. Als de goedkeuringstolerantie niet wordt overschreden, kan een goedkeurende controleverklaring worden afgegeven. Deze goedkeuringstolerantie is een kwantitatief criterium, de uiteindelijke oordeelsvorming is echter altijd een combinatie van kwalitatieve en kwantitatieve afwegingen. Over de rapporteringstolerantie, dit is de maatstaf die geldt voor het rapporteren van fouten en onzekerheden in dit verslag, zijn geen specifieke afspraken gemaakt met de raad.
2.4
Verplichtingen inzake Single information en Single audit (SiSa)
Uw gemeente is op grond van wettelijk voorschrift verplicht de verantwoordingsinformatie voor de met name benoemde specifieke uitkeringen hieromtrent op te nemen in een bijlage bij de jaarrekening op basis van een door het Ministerie van BZK voorgeschreven model. Bij de controle van deze bijlage betrekken wij de door het Ministerie van BZK hiervoor gegeven aanwijzingen (Circulaire Single Information Single Audit 2011, waarin onder andere opgenomen de Nota verwachtingen accountantscontrole 2011). De hierbij geconstateerde fouten en onzekerheden dienen op grond van het BADO in het verslag van bevindingen te worden opgenomen indien de navolgende rapporteringstolerantie per specifieke uitkering wordt overschreden: — € 10.000 indien de omvangbasis kleiner dan of gelijk aan € 100.000 is; — 10% indien de omvangbasis groter dan € 100.000 en kleiner dan of gelijk aan € 1.000.000 is; — € 100.000 indien de omvangbasis groter dan € 1.000.000 is.
Pagina 6
3
Wat zijn de uitkomsten van onze controle?
In dit hoofdstuk behandelen wij de uitkomsten van onze werkzaamheden naar aanleiding van de controle van de jaarrekening.
3.1
Onze verklaring is goedkeurend
Aandachtsgebied
Conclusie
De jaarrekening is getrouw
Wij hebben bij de jaarrekening van de gemeente Nieuwegein een goedkeurende controleverklaring afgegeven met betrekking tot de getrouwheid. Dit betekent dat het jaarverslag en de jaarrekening 2011 zijn ingericht in overeenstemming met het BBV en de in de programmarekening opgenomen balans en toelichting en rekening van baten en lasten een getrouwe weergave zijn van de financiële positie en baten en lasten van de gemeente Nieuwegein.
De jaarrekening is rechtmatig
Wij hebben bij de jaarrekening van de gemeente Nieuwegein een goedkeurende verklaring afgegeven met betrekking tot de rechtmatigheid. Dit betekent dat de baten en lasten en balansmutaties in de jaarrekening 2011 in overeenstemming zijn met de door de raad vastgestelde wet- en regelgeving.
Jaarverslag niet strijdig met jaarrekening
De jaarrekening en het jaarverslag dienen te worden opgemaakt in overeenstemming met het BBV. Wij hebben vastgesteld dat de jaarrekening 2011 van uw organisatie geen materiële afwijkingen vertoont ten opzichte van de voorschriften van het BBV. Daarnaast is door ons nagegaan of het jaarverslag de minimale wettelijke voorgeschreven informatie bevat en of de inhoud van dit verslag geen tegenstrijdigheden bevat met de door ons gecontroleerde jaarrekening. Wij hebben vastgesteld dat de inhoud van het jaarverslag niet strijdig is met de jaarrekening.
Belangrijke voorwaarde: ongewijzigde vaststelling
Wij zijn er bij ons oordeel van uitgegaan dat de raad de nu overlegde jaarrekening ongewijzigd vaststelt. Indien er nog wijzigingen worden aangebracht in de definitieve vorm van de jaarrekening dienen wij deze te beoordelen alvorens onze controleverklaring hierbij mag worden opgenomen.
3.2
Belangrijkste bevindingen in het kader van rechtmatigheid
Door ons is een goedkeurend oordeel verstrekt ten aanzien van rechtmatigheid binnen de jaarrekening van de gemeente Nieuwegein. De belangrijkste conclusies naar aanleiding hiervan zijn: Aandachtgebied
Conclusie
Interne organisatie van het rechtmatigheidbeheer
Wij zijn van mening dat de gemeente Nieuwegein voor het
Pagina 7
Aandachtgebied
Conclusie boekjaar 2011 een deugdelijk rechtmatigheidonderzoek heeft uitgevoerd. De werking van deze maatregelen is met voldoende diepgang getoetst door daartoe aangewezen medewerkers binnen de diverse afdelingen van de gemeente.
De begrotingsverschillen zijn goed toegelicht
In de toelichting op de programmarekening 2011 zijn de belangrijkste financiële afwijkingen ten opzichte van de bijgestelde begroting weergegeven. Voorts worden in het jaarverslag de (overige) begrotingsoverschrijdingen op adequate wijze toegelicht in de financiële verantwoording per programma. De overschrijdingen ten opzichte van de begrote lasten zijn door het College van Burgemeester en Wethouders toereikend toegelicht in de programmarekening.
Niet financiële beheershandelingen vallen buiten de scope van onze rechtmatigheidscontrole
Handelingen en beslissingen van niet-financiële aard vallen buiten de scope van de rechtmatigheidscontrole door de accountant. De accountant toetst deze handelingen en beslissingen niet inhoudelijk door gegevensgericht onderzoek. Volstaan wordt in dit kader met het beoordelen van het interne systeem van risicoafwegingen. Binnen dit systeem moeten voorwaarden zijn geschapen om risico’s goed te kunnen beoordelen en in de tijd te kunnen volgen.
Declaraties van bestuurders
Wij hebben bij de controle op de declaraties van de bestuurders (inclusief directie) geen bijzonderheden geconstateerd.
Pagina 8
3.3
Het resultaat nader geanalyseerd
Het resultaat over 2011 na bestemming bedraagt € 2,3 miljoen voordelig ten opzichte van een (bijgestelde) sluitende begroting. Dit resultaat laat zich als volgt nader verklaren: Bedragen x € 1.000 Totale lasten Totale baten Resultaat vóór bestemming Mutaties in reserves
Gewijzigde begroting 180.175 172.000 8.1758.157
Rekening 2011 157.506 152.186 5.3207.593
Afwijking 22.669 19.8142.855 564
18-
2.273
2.291-
Resultaat na bestemming
Wij verwijzen naar het onderdeel “Financieel verslag” van het jaarverslag en de jaarrekening 2011 voor een verdere gedetailleerde verklaring van de aard en reden van deze afwijkingen ten opzichte van de begroting.
3.4
Huidig weerstandsvermogen is van voldoende omvang
Het eigen vermogen bedraagt per jaareinde 2011 volgens de jaarrekening, inclusief het nog te bestemmen resultaat boekjaar ad € 111,6 miljoen, en heeft zich gedurende 2011 als volgt ontwikkeld: Bedragen x € 1.000 Saldo 1 januari 2011 Bestemming resultaat 2010 Stortingen 2011 ten laste van resultaat Onttrekkingen 2011 ten laste van resultaat Nog te bestemmen resultaat 2011 Saldo 31 december 2011
Algemene Reserves 81.991 1.102 64.132
Egalisatie Bestemmings- Onverdeeld reserves Reserves Resultaat 2.240 29.605 3.164 112.073 3.164934 4.250
67.558-
415-
8.956-
79.667
2.748
26.972
Totaal 117.000 69.316 76.929-
2.274 2.274
2.274 111.661
Uit bovenvermeld overzicht blijkt onder andere dat per saldo € 76,9 miljoen gedurende 2011 is onttrokken aan de reserves (exclusief resultaatsbestemming). In de begroting na wijziging werd er van uitgegaan dat per saldo € 75,4 miljoen aan de reserves zou worden onttrokken. Wij hebben vastgesteld dat alle mutaties in de reserves zijn gebaseerd op besluitvorming van de raad.
Pagina 9
Het totaal aan financieel vertaalde (maximale) risico’s bedraagt € 35,8 miljoen, waarbij de belangrijkste risico’s (boven de € 1,5 miljoen) zijn: Maximaal risico (* € 1 miljoen)
Grondexploitatie Parkeerexploitatie Bouw en exploitatie theater Gemeentelijke bijdrage Sociale Werkvoorziening Toename uitkeringen WWB
7,8 5,8 3,2 2,4 2,0
De beschikbare structurele weerstandscapaciteit bedraagt momenteel € 37,0 miljoen. Het weerstandsvermogen is naar de stand van eind 2011 ruim voldoende.
3.5
Analyse van de financieringsstructuur
Bij onze controle zijn wij ook nader ingegaan op de financieringsstructuur. In navolgend overzicht zijn de verstrekte leningen versus de aangetrokken leningen opgenomen. Bedragen x € 1.000 Leningen u/ g Liquide middelen Leningen o/ g kortlopende kredietverplichtingen Saldo
2011
2010
2009
1.683 168 134.50010.984-
2.668 180 89.7291.595-
4.806 4.622 54.752398-
143.633-
88.476-
45.722-
Ten opzichte van 2010 is het financieringstekort verder gestegen naar € 144 miljoen. De rentelasten bedragen over 2011 € 4,3 miljoen (2010 € 2,8 miljoen). De invulling van de huidige financieringsstructuur valt binnen de wettelijke normen. In de paragraaf Financiering is een analyse van de financieringsstructuur opgenomen. De rentelasten zullen naar waarschijnlijkheid in 2012 verder toenemen door het verder oplopen van de leningen o/g en de verwachte stijging van de rente. De invulling van de huidige financieringsstructuur valt binnen de wettelijke normen. Gezien de toekomstige ontwikkelingen zoals de verdere bezuinigingen vragen wij uw aandacht voor de verdere toename van de leningen en de financieringskosten. Wij benadrukken het belang van het verder vorm geven aan het werkkapitaalbeheer zoals het frequent opstellen van een liquiditeitenoverzicht (inclusief analyse).
Pagina 10
3.6
Aandachtspunten vanuit het controle overleg
Vanuit het controle-overleg hebben wij de opdracht gekregen om extra aandacht te besteden aan de volgende speerpunten:
— — —
Budgethoudersregeling Verplichtingenadministratie ICT-beveiliging
In onze managementletter hebben wij reeds gerapporteerd over onze aanbevelingen hieromtrent. In bijlage 1 van dit verslag zijn de betreffende passages uit de managementletter (inclusief reactie management) voor de volledigheid nogmaals opgenomen.
3.7
Bouwgrondexploitaties
De ontwikkeling van grondexploitaties is een risicovolle taak van de gemeente, waarbij de gemeente optreedt als ontwikkelaar en grote investeringen doet in gronden en projecten. In het kader van het sturen en beheersen van dergelijke (grote) projecten is het van belang dat de raad voldoende sturing- en verantwoordingsinformatie heeft om prioriteiten te stellen, keuzes te maken en te kunnen bijsturen. De huidige economische ontwikkelingen hebben hun weerslag op de nog te realiseren activiteiten van het Grondbedrijf. Ten behoeve van de jaarrekening 2011 is in overeenstemming met voorgeschreven verslaggevingsregels per deelcomplex een actualisatie en doorrekening op lange termijn uitgevoerd. Het totaal aan onderhanden werk bedraagt € 114 miljoen (2010 € 118 miljoen) en de voorziening voor verlieslatende complexen € 86,8 miljoen (2010 € 86,6 miljoen). De meest materiële projecten zijn Binnenstad, Het Klooster en Nieuw Vreeswijk. Op basis van onze gesprekken en de door ons gecontroleerde documentatie stellen wij vast dat de uitkomsten hiervan voldoende toereikend in functiescheiding tussen management, planeconoom, projectleiders en externe deskundigen tot stand zijn gekomen en dat de effecten van de economische teruggang op lopende én toekomstige bouwgrondexploitaties zijn betrokken in deze jaarlijkse herijking.
3.8
Niet in exploitatie genomen gronden
Naast de diverse grondexploitatieprojecten is binnen uw gemeente sprake van één niet in exploitatie genomen grond namelijk Galecopperzoom met een totale boekwaarde van € 18,5 miljoen, waarvan € 9,9 miljoen voorzien. Op basis van de herziene notitie Grondexploitatie van de Commissie BBV geldt dat de waardering van Niet In Exploitatie Genomen Gronden (hierna: NIEGG’s) in voldoende mate onderbouwd moet worden. Gegeven het hoge(re) risicoprofiel ten aanzien van de waardering van NIEGG’s dient voldoende aandacht te worden besteed aan de hoogte van de boekwaarde in combinatie met de vraag of dit in de toekomst kan worden terugverdiend. Het BBV schrijft tevens voor dat ten aanzien van NIEGG’s een reëel en stellig voornemen dient te bestaan dat deze in de nabije toekomst zullen worden geëxploiteerd. Ons is medegedeeld dat er momenteel geen Raadsbesluit aanwezig is waaruit blijkt of en wanneer de niet in exploitatie genomen grond in exploitatie genomen gaat worden. Op basis van de herziene notitie Grondexploitatie adviseren wij u de realisatietermijnen te concretiseren en de waarde te beoordelen.
3.9
Waardering deelneming N.V. Sportinrichting
De deelneming N.V. Sportinrichting is in 1995 opgericht waarbij de gemeente € 13,6 miljoen als kapitaal heeft ingebracht. De boekwaarde bedraagt per jaareinde 2011 € 10,7 miljoen. Het verschil tussen beide waarden betreft de verliezen in de periode 1995 tot en met 2011. Het Besluit Begroting en Verantwoording schrijft voor dat de deelneming gewaardeerd dient te worden tegen verkrijgingsprijs of duurzame lagere marktwaarde. Het jaarlijks verwerken van het verlies van de N.V. Sportinrichting is daarmee niet toegestaan.
Pagina 11
Een adequate berekening van de waarde van de deelneming is momenteel niet voorhanden. Uit deze berekening dient te blijken of de waarde duurzaam lager is dan het oorspronkelijk gestorte kapitaal. Indien dit zo is dient voor het verschil een waardecorrectie doorgevoerd te worden. Aangezien de waardering van de deelneming gelijk is aan het eigen vermogen van de N.V. Sportinrichting ultimo 2010 hebben wij geen aanwijzing dat de waarde duurzaam lager is dan de huidige boekwaarde.
3.10 Debiteurenvoorziening Bij de waardering van het saldo van de kortlopende vorderingen in de programmarekening van de gemeente dient rekening te worden gehouden met eventuele oninbaarheid. Deze voorziening is bepaald op basis van de “dynamische methode” (in hoofdzaak de vorderingen uit hoofde van belastingen en sociale zaken). Dit houdt in dat naar gelang de ouderdom een toenemend vast percentage van het openstaande debiteurensaldo wordt voorzien. Om de voorziening voor dubieuze debiteuren zo realistisch mogelijk te kunnen vaststellen dienen de gehanteerde percentages bij de dynamische methode op basis van werkelijke gegevens te worden vastgesteld. Wij adviseren u jaarlijks de gehanteerde percentages te toetsen op basis van de werkelijke oninbaarheid van de vorderingen.
3.11 Afschrijving Binnenstad In principe worden de materiële vaste activa binnen de gemeente Nieuwegein lineair afgeschreven. Er is een uitzondering gemaakt voor de investeringen in de Binnenstad. Deze investeringen worden op basis van annuïteiten afgeschreven. Bij de lineaire methode zijn de jaarlijkse afschrijvingslasten gelijk. De afschrijvingslasten worden bij annuïtaire verwerking ieder jaar hoger. Beide methoden zijn binnen het Besluit Begroting en Verantwoording toegestaan. Aangezien de Raad de uitzondering heeft goedgekeurd is er geen sprake van een foutieve verwerking. Wij benadrukken echter dat vanuit de regelgeving een voorkeur is uitgesproken voor een consistente gedragslijn in het hanteren van afschrijvingsmethodes. Hierop zullen wij ook jaarlijks toetsen.
3.12 Onderhoudsvoorziening Vanuit het Besluit Begroting en Verantwoording wordt een aantal eisen gesteld aan het vormen van voorzieningen. Voorzieningen die gevormd worden ten behoeve van de egalisatie van kosten over een langere periode dienen onderbouwd te zijn met een onderhoudsplan. Tevens wordt gesteld dat kosten van groot onderhoud alleen dan ten laste van een gevormde voorziening kunnen worden gebracht, indien er een recent beheerplan van het desbetreffende kapitaalgoed aanwezig is. Wij hebben vastgesteld dat binnen uw gemeente de benodigde onderbouwing voorhanden is. Verdere verbetering van de analyse van de voorziening in de jaarrekening ten opzichte van activiteiten opgenomen in de onderhoudsplannen is echter wenselijk. Dit geldt tevens voor het zichtbaar aansluiten van de standen volgens de plannen en de opgenomen onderhoudsvoorzieningen in de jaarrekening.
3.13 Centrum voor Jeugd en Gezin (CJG) Voor de uitvoering van het Centrum voor Jeugd en Gezin is over de periode 2008 tot en met 2011 door het Rijk een voorschot verstrekt waarover aan het eind van de periode (bij de jaarrekening 2011) dient te worden afgerekend. Indien minder is uitgegeven dan is bevoorschot dient het verschil terugbetaald te worden aan het Rijk. Op basis van de reeds ingediende verantwoordingen dient in dit kader rekening te worden gehouden met een terugbetaling aan het Rijk van € 0,5 miljoen over de periode tot en met 2011. Door het Ministerie van BZK is onderzocht dat de voorwaarden van de regeling voor Centrum voor Jeugd en Gezin door de gemeenten in de periode 2008 tot en met 2010 te strikt zijn geïnterpreteerd met als gevolg dat een deel van de bestedingen in voorgaande jaren ten onrechte niet als subsidiabel werd aangemerkt. De verwachting is dat alsnog een gedeelte van de BDU CJG uitgaven over de periode 2008 tot en met 2010 subsidiabel zijn. Recent is hiervoor een intern onderzoek gestart. Aangezien er nog geen inzicht is in de aanvullende declaratie is de verplichting van € 0,5 miljoen voorzichtigheidshalve gehandhaafd in de jaarrekening 2011.
Pagina 12
4
Bevindingen controle verantwoording in het kader van SiSa
Wij hebben de in de SiSa-bijlage van de jaarrekening genoemde specifieke uitkeringen gecontroleerd met inachtneming van de Nota verwachtingen accountantscontrole 2011. Op grond van ons onderzoek hebben wij bij de navolgende specifieke uitkeringen (geen) fouten en/of onzekerheden geconstateerd die de voor SiSa geldende rapporteringstolerantie overschrijden.
Nr
Specifieke uitkering of overig
Fout of onzekerheid
Financiële omvang
Toelichting
C6
Wet Inburgering (Wi)
-
-
n.v.t.
D2
Onderwijsachterstandenbeleid niet-GSB (OAB)
-
-
n.v.t.
D5
Regeling verbetering binnenklimaat primair onderwijs 2009
-
-
n.v.t.
D6
Wet Educatie Beroepsonderwijs (WEB)
-
-
n.v.t.
D9
Onderwijsachterstandenbeleid 2011-2014 (OAB)
-
-
n.v.t.
-
-
n.v.t.
E3
Subsidieregeling sanering verkeerslawaai (inclusief bestrijding spoorweglawaai)
G1C1
Wet sociale werkvoorziening (Wsw) Gemeente deel 2011
-
-
n.v.t.
Wet sociale werkvoorziening (Wsw) Gemeenten (inclusief WGR) totaal 2010
-
-
n.v.t.
G1C2
-
-
n.v.t.
G2
Gebundelde uitkering (WWB+WIJ+IOAW+IOAZ+levensonderhoud beginnende zelfstandigen Bbz 2004+WWIK Besluit bijstandsverlening zelfstandigen 2004 (exclusief levensonderhoud beginnende zelfstandigen)
-
-
n.v.t.
G3 G5
Wet Participatiebudget (WPB)
-
-
n.v.t.
G6
Schuldhulpverlening
-
-
n.v.t.
H10
Brede doeluitkering Centra voor Jeugd en Gezin (BDU CJG)
-
-
n.v.t.
Op grond van de Nota verwachtingen accountantscontrole kan de controle voor de in de bijlage bij de jaarrekening opgenomen indicatoren “zonder financiële vaststelling” beperkt blijven tot het beoordelen van de deugdelijke totstandkoming ervan. Dit onderzoek heeft niet geleid tot bevindingen waarvan vermelding in dit verslag noodzakelijk wordt geacht. Het is overigens verplicht de bovenstaande tabel op te nemen, ook als er geen bevindingen zijn geconstateerd. De SiSa-bijlage dient door uw gemeente samen met een aantal andere verplicht voorgeschreven verantwoordingsstukken voor 15 juli 2012 elektronisch bij het CBS te worden aangeleverd. In de bijlage bij dit rapport zijn de bevindingen nogmaals opgenomen ten behoeve van verzending naar het CBS.
Pagina 13
5
Informatie uit hoofde van onze functie als controlerend accountant
In onderstaand schema hebben wij een aantal onderwerpen opgenomen die u als raad behulpzaam kunnen zijn bij het invullen van uw controlerende rol. Aandachtsgebied
Mededeling
Algemeen aanvaarde controlestandaarden Onze controle is verricht in overeenstemming met Nederlands recht waaronder het Besluit Accountantscontrole Decentrale Overheden. Dit betekent dat een redelijke mate van zekerheid wordt verkregen dat de jaarrekening geen onjuistheden van materieel belang bevat. Onderdeel van onze controle is het uitvoeren van een evaluatie van de interne beheersingsmaatregelen teneinde de mate en diepgang van onze testwerkzaamheden te plannen.
Bij de jaarrekening 2011 hebben wij een goedkeurende controleverklaring afgegeven op het gebied van de getrouwheid en een goedkeurend oordeel voor wat betreft de rechtmatigheid.
Belangrijke verslaggevinggrondslagen Wij beoordelen de keuze van en de wijzigingen in belangrijke verslaggevinggrondslagen en controleren de toepassing van het Besluit Begroting en Verantwoording provincies en gemeenten (BBV).
Er hebben zich in 2011 geen belangrijke wijzigingen voorgedaan in de gehanteerde verslaggevinggrondslagen. De in 2011 doorgevoerde wijzigingen in het BBV zijn, voor zover van toepassing, op toereikende wijze geïmplementeerd.
Onze mening over de gehanteerde waarderingsgrondslagen en naleving van wettelijke bepalingen en richtlijnen voor de financiële verslaggeving Wij bespreken met het College van Burgemeester en Wethouders en het management de kwaliteit en niet alleen de aanvaardbaarheid van de gehanteerde waarderingsgrondslagen, de consistente toepassing daarvan, alsmede de duidelijkheid en volledigheid van de jaarverslaggeving.
De gekozen waarderingsgrondslagen zijn aanvaardbaar en consistent toegepast met betrekking tot de significante jaarrekeningposten en bijzondere transacties. Dit geldt tevens voor het tijdstip waarop die transacties hebben plaatsgevonden, de periode waarin zij zijn verantwoord en de desbetreffende toelichtingen in de jaarrekening.
In deze bespreking komen tevens zaken aan de orde die een significante invloed hebben op de kwaliteit van de jaarverslaggeving, zoals: — nieuwe of gewijzigde waarderingsgrondslagen; — schattingen, beoordelingen en onzekerheden; — bijzondere transacties; — waarderingsgrondslagen met betrekking tot significante jaarrekeningposten, inclusief het tijdstip waarop transacties plaatsvinden en de periode waarin die worden verantwoord.
Verschillen van inzicht met het management over administratieve- en verslaggevingkwesties
Er waren geen verschillen van inzicht met het college en het management over de waarderingsgrondslagen, de financiële administratie, de verslaggeving of onze controlewerkzaamheden.
Beoordelingen en schattingen van het management Voor het opstellen van de jaarrekening moeten vaak schattingen worden gemaakt. Bepaalde schattingen zijn van bijzonder belang door hun invloed op de jaarrekening en de waarschijnlijkheid dat
Wij onderschrijven de schattingen en de wijze waarop deze worden gemaakt door het management en het college.
Pagina 14
Aandachtsgebied
Mededeling
toekomstige gebeurtenissen significant afwijken van de verwachtingen van het college en het management.
Volledigheid verplichtingen, claims, risico’s en garanties De gemeente Nieuwegein gaat gedurende een boekjaar tal van transacties aan. Het overgrote deel van deze transacties heeft zijn weerslag in de financiële administratie. Een deel van de door uw gemeente in 2011 aangegane transacties heeft geen weerslag in de financiële administratie over 2011, terwijl hieruit wel financiële consequenties kunnen volgen. Als voorbeeld in dit kader noemen wij afgesloten contracten en aansprakelijkheidstellingen.
Aangezien wij als accountant niet in staat zijn vast te stellen dat alle niet uit de administratie blijkende relevante verplichtingen, risico’s en garanties volledig en juist in de jaarrekening zijn verwerkt, hebben wij het college gevraagd schriftelijk te bevestigen dat bij het opmaken van de jaarrekening alle relevante (en bekende) feiten en omstandigheden zijn betrokken. Wij hebben deze bevestiging d.d. 10 mei 2012 ontvangen.
Werking van de interne beheersingsmaatregelen (waaronder de continuïteit en betrouwbaarheid) van de geautomatiseerde gegevensverwerking In het kader van de controle van de jaarrekening brengt de accountant verslag uit omtrent zijn bevindingen met betrekking tot de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking. Onze controle was niet primair gericht op het doen van een uitspraak omtrent de continuïteit en betrouwbaarheid van (delen van) de geautomatiseerde gegevensverwerking en wij hebben daartoe ook geen opdracht van het management ontvangen.
De jaarrekeningcontrole heeft geen tekortkomingen in de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking aan het licht gebracht.
Pagina 15
Aandachtsgebied
Mededeling
Overige informatie in documenten die de gecontroleerde jaarrekening bevatten
Uit hoofde van onze wettelijke controletaak hebben wij alleen de jaarrekening gecontroleerd. Het jaarverslag is door ons beoordeeld op mogelijke tegenstrijdigheden met de jaarrekening.
Materiële fouten, fraudes en illegale handelingen
Hoewel hierop niet specifiek gericht, hebben onze controlewerkzaamheden het afgelopen jaar geen materiële fouten, fraudes of andere illegale handelingen, uitgevoerd door het college, het management of andere werknemers, aan het licht gebracht.
Onze onafhankelijkheid Onafhankelijkheid is naast deskundigheid een van de pijlers van onze beroepsuitoefening. Wij hechten aan onze reputatie op het gebied van deskundigheid en onafhankelijkheid.
Wij voldoen op alle punten aan de onafhankelijkheidsregelgeving die op ons van toepassing is.
Wij kennen een groot aantal maatregelen, vastgelegd in een continu geactualiseerde database, die de onafhankelijkheid dienen te waarborgen. Periodiek wordt de naleving van interne en externe onafhankelijkheidsvoorschriften beoordeeld, bijvoorbeeld ten aanzien van potentieel conflicterende diensten en de financiële onafhankelijkheid. Onze professionals moeten jaarlijks hun onafhankelijkheid bevestigen.
WOPT Op grond van de Wet Openbaarmaking uit Publieke middelen gefinancierde Topinkomens (“WOPT”) moeten beloningen, waaronder voorzieningen ten behoeve van toekomstige beloningen (zoals ontslaguitkeringen en pensioen), in de jaarrekening worden vermeld als deze de gemiddelde ministersbeloning (voor 2011 vastgesteld op € 193.000) te boven gaan.
In onze controle is geen overschrijding van deze norm geconstateerd, derhalve heeft de gemeente Nieuwegein voldaan aan de WOPT.
Pagina 16
Bijlage 1: Speerpunten Controle-overleg Budgethoudersregeling Binnen de gemeente Nieuwegein zijn de (budget) verantwoordelijkheden vastgelegd in de “Regeling Budgethouderschap 2010”. In deze regeling zijn onder meer expliciete afspraken gemaakt over de registratie van:
— — —
Verplichtingen; Aanbestedingen; Inhuur derden.
De naleving van deze vereisten is voor verbetering vatbaar. Wij hebben vastgesteld dat aanbestedingen en de inhuur van derden niet in alle gevallen wordt geregistreerd zoals is voorgeschreven in de regeling. Tevens is vanuit de interne rechtmatigheidscontroles vastgesteld (zie paragraaf 3.3) dat er bij aanbestedingen onrechtmatigheden zijn geconstateerd en dat adequate documentatie van de aanbestedingen ontbreekt. Onze bevindingen inzake de verplichtingenadministratie zijn nader uitgewerkt in de volgende paragraaf. Aanbeveling Wij adviseren u toe te zien op een strikte toepassing van de registratie van de voornoemde punten uit de “Regeling Budgethouderschap 2010”. Hierbij is het wenselijk de huidige rechtmatigheidscontrole verder te intensiveren van tweemaal per jaar naar minimaal vier maal per jaar en de steekproefomvang op dit punt uit te breiden. Reactie Management: Wij bevestigen het beeld dat uit de interim-controle en de interne controles naar voren is gekomen en concluderen dat de naleving van en controle op de budgethouderschapregeling kan worden verbeterd. Wij zijn voornemens de controles in de uitvoering van de budgethoudersregeling in het algemeen en in de verschillende deelprocessen in het bijzonder, te weten aanbestedingen en verplichtingenadministratie, te verbeteren en de interne controle op de uitvoering van de budgethouderschapsregeling frequenter (minimaal één keer per kwartaal) uit te voeren. (Actie: Concern control)
Pagina 17
Verplichtingen worden niet (volledig) vastgelegd in de administratie, waardoor onvoldoende inzicht bestaat in de budgetrealisatie Een belangrijk instrument bij het adequaat uitvoeren van budgetbeheer is het registreren van de rechten en verplichtingen. Door rechten en verplichtingen immers systematisch vast te leggen wordt inzicht verkregen in de realisatie van c.q. het beslag op begrotingsposten. Daarnaast helpt een rechten- en verplichtingenadministratie bij de bepaling van de liquiditeitspositie. In de budgethoudersregeling is vastgelegd dat verplichtingen > € 30.000 geregistreerd dienen te worden. De verplichtingen binnen de gemeente Nieuwegein worden niet structureel vastgelegd. Hierdoor bestaat nog onvoldoende inzicht in de financiële realisatie en wordt het uitvoeren van adequaat budgetbeheer bemoeilijkt. Aanbeveling Wij onderschrijven uw acties om de registratie van de verplichtingen verder te verbeteren. Tevens geven wij u in overweging om de minimale hoogte beter te laten aansluiten met de grenzen voor het toelichten van afwijkingen in de reguliere rapportages (jaarrekening € 20.000 en tussentijdse rapportages € 5.000). Gezien de omvang van uw gemeente is een minimale grens van € 15.000 à € 20.000 gangbaar. Daarnaast zal het verlagen van de grens het bewustzijn in de organisatie voor het structureel registreren van de verplichtingen verbeteren. Reactie Management Er is gekozen voor deze ondergrens van € 30.000 om aan te sluiten bij het minimale aanbestedingsbedrag. Daarnaast geldt dit bedrag ook voor het meetekenen van facturen door de directie. Wij nemen in overweging de budgethoudersregeling aan te passen en het bedrag te verlagen naar € 15.000 of € 10.000 (Actie: hoofd Financiën).
ICT-beveiliging Inleiding In het kader van de jaarrekeningcontrole 2011 bij de gemeente Nieuwegein hebben wij een beoordeling uitgevoerd op de geautomatiseerde omgeving. Hierbij hebben wij gekeken naar het wijzigingsbeheer en de logische toegangsbeveiliging van de applicaties GWS4all, HIS@all en Key2Financiën. Ook zijn wij nagegaan welke maatregelen de organisatie heeft ingericht ter waarborging van de continuïteit van de gegevensverwerking. Onze belangrijkste bevindingen hebben wij onderstaand opgenomen.
Formalisering van het wijzigingsbeheer is nodig Wijzigingsbeheer heeft als doel dat wijzigingen op een beheerste wijze worden vastgelegd, geëvalueerd, geautoriseerd, getest en geïmplementeerd. Dit vormt zodoende een belangrijke randvoorwaarde om betrouwbare gegevensverwerking te realiseren. In het kader van het proces wijzigingsbeheer hebben wij geconstateerd dat geen formele wijzigingsbeheerprocedure is opgesteld. Wel hebben wij geconstateerd dat voor alle applicaties testwerkzaamheden worden uitgevoerd. Van het testen vinden echter geen vastleggingen plaats. Het formele akkoord om een wijziging over te zetten naar de productieomgeving wordt niet vastgelegd. Het niet doorvoeren van wijzigingen aan de hand van een procedure en het niet documenteren van de testresultaten en goedkeuringen van wijzigingen, vergroten het risico dat fouten optreden in de geautomatiseerde gegevensverwerking na het in gebruik nemen van nieuwe of gewijzigde software. Het niet documenteren van de testresultaten en goedkeuringen van wijzigingen maken het proces daarbij slecht controleerbaar. Aanbeveling
Pagina 18
Wij bevelen aan een procedure voor het wijzigingsbeheer op te stellen en te implementeren. Deze procedure dient minimaal de volgende aspecten te bevatten: – de wijze van registreren van wijzigingsverzoeken; – het indienen van wijzigingsverzoeken; – het beoordelen en goedkeuren van wijzigingen in het Change Advisory Board; – het testen van wijzigingen; – het accorderen van wijzigingen; – de vastlegging van alle hiervoor genoemde aspecten. Wij hebben vastgesteld dat binnen de gemeente Nieuwegein de applicatie TopDesk wordt gehanteerd. Wij adviseren u na te gaan in hoeverre het mogelijk is de vastleggingen met betrekking tot wijzigingsbeheer, te registreren als ook te bewaken met TopDesk. Reactie Management In brede zin is Change Management ingesteld, er is een CAB. Dit geldt echter vooral voor nieuwe aanvragen waarbij een zware rol voor Automatisering en Informatisering is weggelegd. Bij bestaande applicaties waarbij een functioneel applicatiebeheerder is aangesteld, komen de wijzigingsverzoeken rechtstreeks in behandeling bij Automatisering en worden gemeld via TopDesk. Deze worden in de tweede lijn door systeembeheerders in samenwerking met de functioneel applicatiebeheerder uitgevoerd en in een testomgeving getest. Pas na akkoord van de functioneel applicatiebeheerder wordt een en ander in productie genomen. Dus wordt elke wijziging als incident geregistreerd in Topdesk, zodat dit gepland kan worden doorgezet en bewaakt naar en door de betrokken specialist bij Automatisering. Onduidelijk is of er ook achteraf inzicht is in alle doorgevoerde wijzigingen. (Actie: hoofd Support)
Vastleggen uitvoering proces rondom logische toegangsbeveiliging belangrijk aandachtspunt Het doel van logische toegangsbeveiliging is het zorg dragen dat toegang tot de applicaties is beperkt tot daartoe geautoriseerde personen en dat rechten in de applicaties conform het “need-to-know” principe zijn ingericht.
Gebruikersbeheer In het kader van het proces logische toegangsbeveiliging hebben wij geconstateerd dat binnen de gemeente Nieuwegein geen gedocumenteerde procedure aanwezig is voor het aanmaken, muteren en verwijderen van gebruikeraccounts binnen de door ons beoordeelde applicaties. Tevens hebben wij vastgesteld dat de verzoeken tot het aanmaken, muteren en verwijderen van een gebruikeraccount niet worden gedocumenteerd.
Pagina 19
Op basis van deze bevindingen bestaat het risico dat gebruikers ten onrechte dan wel met teveel autorisaties in de systemen en applicaties zijn aangemaakt. Ook bestaat het risico dat gebruikers onterecht te lang in de applicaties aanwezig zijn. Dit kan leiden tot ongewenste functievermenging of tot onbedoelde toegang tot privacygevoelige gegevens. Aanbeveling Wij bevelen u aan een procedure in te richten voor het toekennen, intrekken en muteren van gebruikers(rechten) in de applicaties. Hierbij moet minimaal worden aangegeven welke rechten iemand moet krijgen en worden geaccordeerd door een leidinggevende. Hierbij zou, net als bij het wijzigingsbeheer, gebruik gemaakt kunnen worden van TopDesk. Reactie Management: Rechten tot een (kern)applicatie worden alleen verleend door de functioneel applicatiebeheerders na aanvraag/goedkeuring hiervoor door het betrokken afdelingshoofd. Alleen functioneel applicatiebeheerders kunnen toegangsrechten geven of intrekken. In principe is het wel mogelijk dat medewerkers te lang of te veel rechten hebben bij functiewijziging of vertrek. Dit zal worden aangescherpt. In de tussentijd is het risico laag, omdat binnen het betrokken systeem aan de medewerker geen transacties worden aangeboden en sowieso toegang tot computersystemen bij uitdiensttreding direct wordt afgekapt. Medewerkers met vergaande rechten zijn altijd direct in beeld bij de applicatiebeheerders. Dit leggen wij nu niet vast in TopDesk. TopDesk wordt enkel gebruikt om incidenten en verzoeken richting Automatisering vast te leggen en te bewaken. De functioneel applicatiebeheerders hebben hun eigen –gescheiden– verantwoordelijkheden. Toegangsrechten van decentrale applicaties laten zich slecht vastleggen in TopDesk. Regelmatige interne auditing door onze Information Security, Risk & Telecom Manager moeten hierin voorzien. Nog later kan invoering van Identity Life Cycle Management (ILCM) overwogen worden. (Actie: hoofd Support)
Wachtwoordvereisten Wij hebben vastgesteld dat binnen de door ons beoordeelde applicaties onvoldoende eisen worden gesteld aan de gehanteerde wachtwoorden. Het risico van het niet hanteren van adequate wachtwoordinstellingen is dat gebruikers ongeautoriseerd toegang krijgen tot de applicatie. Bovendien heeft het onvoldoende frequent wijzigen van wachtwoorden als risico dat (oud) medewerkers van de gemeente op de hoogte zijn van elkaars wachtwoorden en daarmee onbedoelde handelingen kunnen uitvoeren in applicaties. Aanbeveling Wij bevelen aan om de wachtwoordinstellingen voor alle applicaties aan te passen naar minimaal de volgende instellingen: — wachtwoord minimaal 6 karakters; — verplicht periodiek wijzigen wachtwoord om de 90 dagen; — de voorgaande 10 wachtwoorden mogen niet hergebruikt worden; — na 3 foutieve inlogpogingen wordt het account geblokkeerd; — wachtwoord wijzigen na de eerste keer inloggen. Reactie Management We gaan in 2012 het wachtwoordbeleid voor applicaties brengen op het niveau van het inloggen op de pc-systemen zelf, dat wel aan bovenstaande voorwaarden voldoet. (Actie: hoofd Support)
Onwenselijke functievermenging bij applicatiebeheerders door het ontbreken van verschillende inlognamen In de huidige situatie is het zo dat nagenoeg elke afdeling een eigen applicatiebeheerder heeft, die onbeperkte bevoegdheden binnen het geautomatiseerde systeem bezit. Bij een aantal afdelingen, zoals afdeling Personeel en Organisatie en de afdeling Belastingen, zijn deze applicatiebeheerders ook belast met operationele werkzaamheden. Hierdoor bestaat een, uit controletechnisch oogpunt, ongewenste vermenging van functies, waarbij het toezicht op de applicatiebeheerders beperkt is.
Pagina 20
Aanbeveling Wij raden u aan maatregelen te treffen ter voorkoming van de voornoemde functievermenging. Hierbij kunt u denken aan separate inlognamen voor de operationele werkzaamheden en de werkzaamheden uit hoofde van het applicatiebeheer. Reactie Management Er zal een inventarisatie moeten plaatsvinden welke functies dit betreft en een regeling moeten worden opgesteld om deze functies gescheiden te houden. (Actie: hoofd Support)