Nota van verantwoording n.a.v. Managementletter 2014 Vastgesteld in DT-MO: 2 maart 2014 vastgesteld in college: 3 maart 2015
*15-0095598* 15-0095598
nota van verantwoording managementletter 2014
D15-00 109 81
1
Inhoudsopgave Onderwerpen managementletter 2014: .............................................................. 3 1 1.2.2. WMO: integrale controle verzamelfacturen ..................................... 3 2 1.2.3. Aansluiting subsidiebesch. met fin. Adm. ontbreekt ...................... 3 3 1.2.4. Foutieve verhoging jeugdsubsidies achteraf rechtgezet ................. 4 4 1.2.5. Borgen van volledigheid parkeergelden .......................................... 4 5 1.2.6. Vaststellen van leveringen of diensten bij inkopen ......................... 5 6 1.2.7. Een verplichtingenadm. meer dan een verplichte administratie. .... 5 7 1.4. Doorontwikkeling verbijzonderde interne controle ............................ 6 8 1.5. EDP audit ........................................................................................... 6 9 1.6. Transparantie in de organisatie ......................................................... 7 Evaluatie van de impact van recente ontwikkelingen ......................................... 7 10 2.1. Actualisatie grondexploitatie ............................................................. 7 11 2.2. Financiële risico’s decentralisaties ..................................................... 7 12 2.2. Decentralisatie: informatievoorziening en factuurverwerking ........... 8 13 2.4. Wet Markt en Overheid ...................................................................... 9 14 2.5. Invoering Vpb (Wet Vennootschapsbelasting) ................................... 9 15 2.7. Cyber security raakt de hele organisatie ...........................................10 16 2.8. Data beveiliging is een belangrijk goed! ...........................................11
nota van verantwoording managementletter 2014
D15-00 109 82
2
Waalwijk, 25 februari 2015. Onderwerp: Nota van verantwoording n.a.v. managementletter 2014. De accountant heeft in de tweede helft van 2014 een interim-controle uitgevoerd voor de gemeente Waalwijk. De interim-controle heeft geresulteerd in de managementletter 2014, die 16 januari 2014 aan het college van B&W is verzonden. In deze nota van verantwoording zijn de bevindingen / adviezen van de accountant opgesomd, waarbij per advies door de functionele afdeling een reactie is opgenomen. Onderwerpen managementletter 2014: Nr. 1
Onderwerp:
Afdeling:
1.2.2. WMO: integrale controle verzamelfacturen
PBZ
Bevinding/advies. Het is binnen gemeente Waalwijk niet mogelijk om de verzamelfacturen geautomatiseerd aan te sluiten met de afgegeven WMO beschikkingen. Gemeente Waalwijk beschikt over de applicatie 'digitale zorgfactuur', maar doordat basisgegevens in de applicatie niet zijn ingevoerd werkt de applicatie niet effectief. Op dit moment kiest u ervoor om de uitbetaling op basis van steekproeven uit te voeren. Het risico bestaat dat de gemeente voor zorg betaalt die niet beschikt en/of geleverd is. Daarbij zal de stroom aan verzamelfacturen significant toenemen per 1 januari 2015 als gevolg van de decentralisaties. Wij adviseren u digitale afstemming van verzamelfacturen en afgegeven beschikkingen zo snel mogelijk te borgen in de organisatie. De werkgroep bedrijfsvoering onderzoekt de mogelijkheden tot borging van de digitale afstemming van de facturen. Voor de jaarrekening 2014 zullen wij met u in overleg treden om de totale omvang van de steekproef te bepalen, zodat het risico in voldoende mate gemitigeerd kan worden. Oplossingsrichting/aanpak. In 2014 is de Wmo onderdeel geweest van het interne controleproces. Het doel is om in 2015 het gehele proces van declaratie tot betaling geautomatiseerd te laten verlopen. Dit gaat dan via de zogenaamde iWmo en iJW standaarden binnen het gegevensknooppunt. Applicaties (en de inrichtingen daarvan) zijn hier reeds op voorbereid. Dit werkt momenteel nog niet vlekkeloos, maar in de loop van 2015 mag dit geen probleem meer zijn. Bestaande leveranciers (hulpmiddelen en hulp bij het huishouden) gaan we vervolgens ook verplichten op deze manier te declareren, zodat een aansluiting beschikking / betaling voortaan gewaarborgd is. Door invoering van deze nieuwe werkwijze wordt ook een koppeling gemaakt tussen beschikkingen/toekenningsbesluiten en declaraties van zorginstellingen. Tijdens de ontwikkelperiode en implementatie van de software zal door middel van steekproeven worden nagegaan of de declaraties correct zijn.
Nr.
Onderwerp:
Afdeling:
2 1.2.3. Aansluiting subsidiebesch. met fin. Adm. ontbreekt
RSO
Bevinding/advies. De aansluiting tussen de subsidiebeschikkingen en de financiële administratie wordt niet structureel opgesteld. Dit wordt veroorzaakt door het ontbreken van een subsidieadministratie. De kans bestaat dat de subsidies niet juist zijn verwerkt in de financiële administratie, waardoor er mogelijke sprake kan zijn van een onrechtmatige uitstroom van middelen. Wij bevelen u aan om een adequate subsidieadministratie te implementeren, zodat op elk gewenst moment een aansluiting kan worden gemaakt tussen de subsidieadministratie nota van verantwoording managementletter 2014
D15-00 109 83
3
en de financiële administratie. In 2015 richt u de applicatie CORSA in, zodat de aansluiting met de financiële administratie gemakkelijk op te stellen is. De afdeling interne controle heeft inmiddels voor de jeugdsportsubsidies de aansluiting opgesteld. Voor welzijnssubsidies is deze nagenoeg afgerond. Oplossingsrichting/aanpak. Er is wel een subsidieadministratie alleen geen apart subsidieadministratiesysteem. Om zaken zo eenvoudig en goed mogelijk te regelen, willen we gebruik maken van het bestaande Corsa-systeem in plaats van weer een ander systeem in te richten. Ook uit Corsa kunnen subsidieoverzichten worden gedraaid. Hierin hebben we in 2014 al geëxperimenteerd en voor 2015 is er een aparte subsidie-case in Corsa geïmplementeerd. Ook hebben we een betere koppeling met de financiële administratie gewaarborgd door voortaan de kostenplaats en kostensoort in de subsidiebeschikkingen op te nemen en door betaalopdrachten voortaan digitaal in plaats van fysiek uit te zetten. Op deze wijze kan een sluitende analyse worden gemaakt tussen Corsa (subsidieadministratie/”systeem”) en de financiële administratie.
Nr.
Onderwerp:
Afdeling:
3 1.2.4. Foutieve verhoging jeugdsubsidies achteraf rechtgezet
RSO
Bevinding/advies. De jeugdsubsidies waren initieel foutief verhoogd (12% in plaats van 2%). Inmiddels heeft het college deze 12% achteraf goedgekeurd en is er geen onrechtmatigheidsfout meer. Het risico bestaat dat meerdere invoerfouten zijn doorgevoerd. In het najaar heeft de afdeling interne controle vastgesteld dat de overige verhogingen juist zijn verwerkt. Wel is het nog nodig te beoordelen of de invoercontrole bij subsidieverhogingen voldoende effectief zijn, om fouten in de toekomst te voorkomen. Oplossingsrichting/aanpak. Interne Controle en de vakafdeling hebben inmiddels afdoende maatregelen doorgevoerd.
Nr. 4
Onderwerp:
Afdeling:
1.2.5. Borgen van volledigheid parkeergelden
OBV
Bevinding/advies. De gemeente heeft de exploitatie van parkeerbeheer uitbesteed aan een externe organisatie: P1. De afspraken met P1 zijn vastgelegd in een contract en SLA (Service Level Agreement). De afdeling openbare ruimte ontvangt van P1 maandelijks overzichten. Na het verantwoordingsjaar dient P1 een verantwoording inclusief controleverklaring in. De controleverklaring van 2013 bevat echter een oordeelonthouding op het aspect volledigheid van de opbrengsten. Het risico bestaat dat de parkeeropbrengsten niet volledig worden verantwoord in de jaarrekening van de gemeente Waalwijk. Wij adviseren u de mogelijkheden te onderzoeken voor het opvragen van een ISAE 3402 verklaring waarin de accountant van P1 rapporteert over de opzet, bestaan en werking van de procedures of dat de gemeente zelf onderzoek uitvoert naar de volledigheid van de parkeergelden door middel van een cijferanalyse. Oplossingsrichting/aanpak. Aan de accountant van P1, BDO accountants, zal een verklaring worden gevraagd om inzicht te krijgen “in hoe de volledigheid en juistheid van de parkeergelden door middel van de accountantscontrole wordt gewaarborgd”. nota van verantwoording managementletter 2014
D15-00 109 84
4
Nr.
Onderwerp:
Afdeling:
5 1.2.6. Vaststellen van leveringen of diensten bij inkopen
FIN
Bevinding/advies. De gemeente Waalwijk heeft het mandaat tot vaststellen van levering of dienst bij inkopen neergelegd bij de budgethouder. De paraaf bij autorisatie van een factuur staat gelijk aan het paraferen voor de levering en er wordt verondersteld dat de budgethouder controle heeft uitgevoerd op deze levering. Het risico bestaat dat leveringen niet bedrijfsmatig zijn of dat leveringen niet hebben plaatsgevonden wanneer de budgethouder tevens de besteller is. Wij adviseren u om bij de interne controle op de autorisatie van de facturen het element levering te betrekken. Daarbij adviseren wij bij het digitaal autoriseren van facturen het accepteren van de levering of dienst zichtbaar te maken. De afdeling inkoop heeft een centrale rol in het inkoopproces bij de selectie van offertes en leverancierskeuzes. De gemeente werkt ook met raamcontracten, daardoor wordt het risico wel beperkt. Oplossingsrichting/aanpak. Vanaf 1 januari 2014 voert de gemeente Waalwijk de administratie via het financieel systeem CiVision Middelen. Bij de inrichting van het systeem is de door het college vastgestelde regeling Budgethouders leidend geweest. Dit betekent dat de budgethouder gerechtigd is om via digitale weg de factuur betaalbaar te stellen. In de meeste gevallen komt de factuur eerst terecht bij de zogenaamde Prestatieakkoordverklaarder (PAV-er) (voorheen budgetbeheerder). De PAV-er heeft tot taak om te boordelen of de factuur overeenkomt met hetgeen geleverd is (aantallen, prijs en eventueel andere condities). Een budgethouder/PAV kan de opdrachten laten lopen via de verplichtingenadministratie dan wel houdt daar zelf een administratie van bij. Onlangs heeft het college besloten de verplichtingenadministratie niet verplicht in te stellen. Na een gegeven akkoord door de PAV-er, keurt de budgethouder de factuur pas goed. Door middel van een digitale paraaf (wordt gelogd in de administratie) van de PAV-er wordt daarmee de acceptatie van de levering zichtbaar gemaakt.
Nr.
Onderwerp:
Afdeling:
6 1.2.7. Een verplichtingenadm. meer dan een verplichte administratie.
CNC
Bevinding/advies. Binnen de gemeente is het gebruik van de verplichtingenadministratie facultatief gemaakt. Wij zijn van mening dat een goed ingerichte verplichtingenadministratie een meerwaarde voor de interne beheersing kan zijn mits het ook een administratieve lastendruk bij de budgethouders kan weghalen. Belangrijk is de koppeling tussen ontvangen facturen en ingelegde verplichtingen. Oplossingsrichting/aanpak. Het college heeft 13 januari m.b.t. het registeren van financiële verplichtingen het navolgende besloten: Het college besluit, 1. de REGELING BUDGETHOUDERS GEMEENTE WAALWIJK 2012 artikel 8 lid 1 en REGELING BUDGETHOUDERSCHAP DIRECTIEPROJECTEN artikel 6 lid 1 m.b.t. het vastleggen van verplichtingen en de “handleiding verplichtingenadministratie” te wijzigen waarbij het verplicht vastleggen van verplichtingen wordt gewijzigd in de mogelijkheid tot het vastleggen van verplichtingen op verzoek van de budgethouder; 2. De gewijzigde REGELING BUDGETHOUDERS GEMEENTE WAALWIJK 2012 vast testellen; nota van verantwoording managementletter 2014
D15-00 109 85
5
De gewijzigde REGELING BUDGETHOUDERSCHAP DIRECTIEPROJECTEN vast te stellen. De intentie van het besluit is om te komen tot een adequate verplichtingenadministratie met voorkoming van onnodige administratielastendruk.
Nr. 7
Onderwerp:
Afdeling:
1.4. Doorontwikkeling verbijzonderde interne controle
CNC/IC
Bevinding/advies. De afdeling interne controle wil de toegevoegde waarde voor de gemeente vergroten en de werkzaamheden efficiënter gaan uitvoeren. Hierbij geven wij u een aantal handvatten mee: » Borg de beheersingsmaatregelen zoveel mogelijk in de reguliere processen, zodat het uitvoeren van gegevensgerichte deelwaarnemingen door de afdeling interne controle niet noodzakelijk is. » Het inrichten van de verbandscontroles in de reguliere processen. Bijvoorbeeld aansluitingen maken met de financiële administratie en de verbandscontrole op OZB opbrengsten. » Gebruik voor het inrichten van de beheersmaatregelen zoveel mogelijk de Geautomatiseerde omgeving. Bijvoorbeeld het inrichten van verplichte velden en workflows. » Data-analyse biedt de mogelijkheid te selecteren op uitzonderingen in processen en stromen, waardoor de controle efficiënter ingericht kan worden. Oplossingsrichting/aanpak. De handvatten die de accountant aandraagt aan Interne controle om de toegevoegde waarde te vergroten en de werkzaamheden efficiënter uit te gaan voeren, neemt IC ter harte. We willen de volgende opmerkingen maken bij de handvatten: 1. Beheersingsmaatregelen borgen in de reguliere processen: Bij de interne controle op een proces starten we altijd met een inventarisatie van de belangrijkste risico’s binnen het proces, de maatregelen waarmee de risico’s afgedekt worden en een beoordeling door IC of de maatregelen voldoende in het proces zijn geborgd. Voor de meeste processen geldt dat de maatregelen voldoende zijn ingebouwd in de processen. Dit handvat past IC dus reeds toe. 2. Inrichten van verbandscontroles in de reguliere processen: Bij de interne controle van de processen voert IC, daar waar van toepassing, altijd een verbandscontrole of volledigheidscontrole uit. Bij sommige processen wordt dit uitgevoerd door de betreffende afdeling, echter meestal alleen door IC. Ons streven is dit op termijn in de reguliere processen onder te brengen, echter vanwege capaciteitsproblemen hebben we dit nog niet kunnen doorvoeren. Wij zullen dit echter wel blijven benadrukken in onze rapportages. 3. Gebruik voor het inrichten van de beheersmaatregelen zoveel mogelijk geautomatiseerde omgeving: Dit zullen we meenemen bij onze controles. 4. Data-analyse geeft de mogelijkheid te selecteren op uitzonderingen in processen: Dit zullen we meenemen bij onze controles.
Nr. 8
Onderwerp: 1.5. EDP audit
Afdeling: FIN
Bevinding/advies. De EDP-audit moet voor 2014 nog plaatsvinden. Hierover vindt op dit moment nog afstemming plaats met de gemeente. Wanneer de afspraken geformaliseerd zijn, zullen wij deze werkzaamheden oppakken en u hierover rapporteren. nota van verantwoording managementletter 2014
D15-00 109 86
6
Oplossingsrichting/aanpak. Op 29 januari 2015 is de EDP-audit uitgevoerd.
Nr. 9
Onderwerp:
Afdeling:
1.6. Transparantie in de organisatie
CNC
Bevinding/advies. Bevindingen met betrekking tot de cultuur en het gedrag binnen uw organisatie. Deze bevindingen zijn gebaseerd op tastbare observaties. We hebben de volgende observaties die we graag met u delen: « Organisatie is zich bewust van de toegevoegde waarde van een verbijzonderde audit functie. « Verantwoording op speerpunten in het beleid hebben een prominente plaats in rapportages. » De griffie vormt een zichtbare schakel tussen college en raad. » De gemeente heeft een eigen gedragscode en integriteitsreglement. Oplossingsrichting/aanpak. De voorbije jaren is fors ingezet op voormelde zaken en dat heeft geleid tot hetgeen door de accountant is geconstateerd. Het management en P&C hebben hiervoor permanent aandacht en in de afdelingsoverleggen wordt hier frequent over gesproken.
Evaluatie van de impact van recente ontwikkelingen
Nr. 10
Onderwerp:
Afdeling: RSO
2.1. Actualisatie grondexploitatie
Bevinding/advies. Via de projectenrapportage uit het najaarsbericht informeert u de raad over de stand van zaken in de grondexploitatieprojecten. Dit betreft een actualisatie op hoofdlijn van de grondexploitatieprojecten. Bij het opstellen van de jaarrekening rekent u eenmaal per jaar alle effecten door in de exploitaties. Om de grip op projecten te vergroten en om de raad tijdig te kunnen informeren en te laten besluiten over wijzigingen adviseren wij u dit tweemaal per jaar te doen. Een andere mogelijkheid is om in het projectenrapport de financiële impact in een grotere mate van detail uit te werken. Oplossingsrichting/aanpak. Indien aan de orde zal in de projectenrapportage op substantiële financiële afwijkingen worden gerapporteerd. Daarnaast wordt in 2015 de gehele P&C-cyclus opnieuw gestroomlijnd (methode Barneveld wordt momenteel onderzocht) en voormelde problematiek wordt daarin meegenomen.
Nr. 11
Onderwerp:
Afdeling:
2.2. Financiële risico’s decentralisaties
CNC
Bevinding/advies. Onze kernboodschap is dat de risicoparagraaf op dit moment nog onvoldoende inzicht geeft in de risico's en omvang. Veel gemeenten worstelen op dit moment met de nota van verantwoording managementletter 2014
D15-00 109 87
7
invulling van de risicoparagraaf, veelal wordt een extern adviesbureau gevraagd om risico's te kwalificeren en kwantificeren. Het is aan te bevelen om binnen de risicoparagraaf een aparte paragraaf te hanteren voor de decentralisaties met onderdelen zoals: » inschattingen van te behalen kortingen aan de kostenkant (P); » onvolledige historische gegevens/schattingen van zorgaanbod (Q); » inschattingen over verlaging zorgzwaarte, vermindering zorgaanbod door nieuwe wijze van werken; » bedrijfsvoering (ICT, ingeboekte efficiency in de uitvoering). Oplossingsrichting/aanpak. Per transitie is er een deelbegroting opgemaakt en vastgesteld door de gemeenteraad. Tevens zijn er per transitie risicokaarten gemaakt. Wij zijn het met u eens dat de omvang van de risico’s op dit moment lastig is in te schatten. Er zijn nog veel onzekerheden zoals: » Ontwikkelingen in aantallen hulpvragen, ook omdat de gemeente verplicht is bepaalde vormen van ondersteuning te verlenen, maar niet zelf de indicering daarvoor regelt (o.a. huisartsen, jeugdbescherming, jeugdreclassering). » De beschikbare financiële middelen ten opzichte van de verplichte continuering en levering van zorg op het gewenste kwaliteitsniveau (overgangsrecht). « Het betreft open eind regelingen en daarmee bestaat het risico, dat het aantal gehonoreerde aanvragen niet in overeenstemming is met het beschikbare budget. » Rijkskortingen worden al toegepast, terwijl de beleidsaanpassingen om deze kortingen op te vangen deels pas op termijn effect hebben. De risico's worden bij de Jeugdwet zo goed mogelijk opgevangen door een regionaal solidariteitsprincipe en door de reservering van een risicoreserve. Bij de nieuwe Wmo is er ook een risicoreserve gevormd. Daarnaast worden de ontwikkelingen met betrekking tot de hulpvragen en de uitgaven nauwlettend gemonitord. Verder beperkt de gemeente de financiële risico's door zelf een rol te vervullen bij de toegang tot het sociale domein. Periodiek worden de realisatiecijfers gevolgd zowel lokaal als regionaal. Indien de realisatiecijfers hiertoe aanleiding geven zal een begrotingsaanpassing plaatsvinden door middel van het voor- dan wel najaarsbericht.
Nr.
Onderwerp:
Afdeling:
12 2.2. Decentralisatie: informatievoorziening en factuurverwerking
RSO
Bevinding/advies. Gegeven de nog bestaande onzekerheden is het van groot belang dat de gemeente op korte termijn, mede in het licht van de noodzakelijke voortgang, meerdere scenario's uitwerkt en bovendien ervoor zorg draagt dat in het implementatietraject voldoende mogelijkheden worden ingebouwd om bij te sturen (kostenflexibiliteit) en bovendien wordt zorggedragen voor vroegtijdige, specifieke stuurinformatie over de voortgang van de decentralisaties in hun onderlinge samenhang, bij voorkeur langs de lijnen van het hiervoor genoemde uitgewerkte plannen. Daarnaast is het van belang om benodigde management en sturingsinformatie te ontwikkelen. Op dit moment bent u bezig de rapportagebehoefte vanuit de transities in te regelen in de P&C cyclus. Voor de gemeente is het ook belangrijk dat de factuurverwerking die bij de nieuwe stroom hoort ook tijdig ingericht is. Vanaf 1 januari 2015 zal deze stroom in belang exponentieel toenemen en is een geautomatiseerde match tussen beschikkingen en factuurregels van zeer groot belang. Oplossingsrichting/aanpak. Over aansluiting beschikking factuur is al e.e.a. opgenomen bij nr. 1. Er wordt nota van verantwoording managementletter 2014
D15-00 109 88
8
momenteel gewerkt aan het genereren en verkrijgen van management en stuurinformatie. De primaire zaken worden voor het financieel inzicht op zeer korte termijn in een rapportage vervat om het management en het bestuur te informeren. Het gaat hierbij om de lokale en regionale in- en uitgaven op cliëntniveau (PxQ). Hiervoor is capaciteit toegevoegd aan het uitvoerend team. Bovendien is er m.b.t. ‘monitoring’ een werkgroep aan de slag die e.e.a. uitwerkt. De werkgroep ontwikkelt de monitoring verder door op diverse terreinen zoals de beleidsmonitor sociaal domein voor de horizontale verantwoording (inwoners) en verantwoording aan de gemeenteraad. Het clientervaringsonderzoek naar o.a. tevredenheid, bejegening en het behalen van de gestelde doelen en resultaten.
Nr. 13
Onderwerp:
Afdeling:
2.4. Wet Markt en Overheid
CNC
Bevinding/advies. Veel gemeenten proberen het bestaande beleid voort te zetten (en daarmee de huidige tarieven te handhaven) door activiteiten die economisch van aard zijn het predicaat 'algemeen belang' te geven en laten deze activiteiten door de gemeenteraad vrijstellen. Deze handelswijze is onder het vergrootglas komen te liggen van het publiek en de toezichthouder. Aanbeveling De notitie WMenO is in september door de raad vastgesteld. Wij adviseren u vast te stellen in hoeverre is voldaan aan de vereisten voor het verklaren van algemeen belang conform bijlage A.2. Oplossingsrichting/aanpak. De notitie is op basis van grondige voorbereiding tot stand gekomen en er is weloverwogen over besloten nadat het voornemen tot het aanwijzen van activiteiten in het algemeen belang voor inspraak was vrijgegeven.
Nr. 14
Onderwerp:
Afdeling:
2.5. Invoering Vpb (Wet Vennootschapsbelasting)
FIN
Bevinding/advies. Welke impact kan het wetsvoorstel hebben? De wijziging raakt gemeente Waalwijk direct, maar ook private rechtspersonen waarin zij deelneemt of anderszins (bijvoorbeeld bestuurlijk) mee gelieerd zijn. Naar nu in het algemeen wordt verwacht zal er forse impact kunnen optreden ten aanzien van (o.a.): « grond- en vastgoedbedrijven; » vervoersactiviteiten; « exploitatie van bijzonder accommodaties zoals zwembaden; » dienstverlening buiten de eigen kring; « allerlei samenwerkingsverbanden bijvoorbeeld op het gebied van afval, ICT; » financieringsactiviteiten. Vrijstellingen Hoewel het wetsvoorstel voorziet in een aantal belangrijke vrijstellingen zoals de interne, de overheidstaak en de samenwerkingsverbandvrijstelling, zullen, ook als die vrijstellingen van toepassing zijn, de administratie- en compliance verplichtingen fors nota van verantwoording managementletter 2014
D15-00 109 89
9
toenemen. Dit heeft onder andere te maken met de wijze waarop deze vrijstellingen nu zijn vormgegeven. Aanbeveling Vele partijen zijn nu echt gestart met opleidingen en inventarisaties om zo Vpb kennis op te bouwen en grip te krijgen op de mogelijke impact voor onder andere begrotingen en plannen. Een bijzonder punt van aandacht vormt de identificatie en allocatie van de voor de Vpb in aanmerking te nemen opbrengsten en kosten als ook waar relevant het opstellen van een openingsbalans. Tot slot is het ook van belang tijdig bewustzijn te creëren binnen uw organisatie en na te denken over vragen als wie verantwoordelijk is voor welke taken en wat de eventuele veranderingen zijn ten aanzien van de interne organisatie en processen. Oplossingsrichting/aanpak. Inmiddels is een plan van aanpak vastgesteld om de Vennootschapsbelasting (Vpb)per 1 januari 2016 bij de gemeente Waalwijk te implementeren met als uiteindelijk doel om op 1 januari 2016 de openingsbalans voor de Vpb gereed te hebben. In het plan van aanpak zijn alle aspecten opgenomen die de accountant aanbeveelt. Het college en zo nodig de raad zullen tijdig geïnformeerd worden dan wel voorstellen voorgelegd krijgen over de gevolgen van deze wettelijke maatregel.
Nr. 15
Onderwerp:
Afdeling:
2.7. Cyber security raakt de hele organisatie
HII
Bevinding/advies. Cyber security is geen IT-uitdaging (meer) - het is een gemeente brede aangelegenheid. In uw organisatie zien we de volgende kwetsbaarheden: » het vermogen om prioriteiten te stellen in wat er beveiligd moet worden; » de identificatie van de belangrijkste risico's en dreigingen; » het omgaan met afhankelijkheid van externen (connecties); » het creëren van bewustzijn bij mensen; » het op orde krijgen van het technologische fundament; » het omgaan met onverwachte cyberincidenten en -crises. Oplossingsrichting/aanpak. Gemeente Waalwijk onderkent dat Cyber security als onderdeel van het thema ‘informatieveiligheid’ niet slechts een IT-uitdaging is maar een gemeente brede aangelegenheid. Binnen onze organisatie is al een aantal belangrijke stappen gezet op het gebied van informatiebeveiliging, zoals: Waalwijk is sinds april 2014 aangesloten bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Het DigiD ICT-beveiligingsassessment 2014 op de SIM-webomgeving is medio 2014 met positief resultaat afgesloten. Jaarlijks worden door verschillende externe partijen preventieve penetratietesten uitgevoerd op de beveiligingsstaat van de koppelingen die Waalwijk heeft met Internet. In 2014 is een Uitwijkvoorziening voor ICT-calamiteiten gerealiseerd. Echter, hiermee zijn we er nog lang niet en om nu ‘informatieveiligheid’ naar een hoger plan te brengen heeft het DTMO op 15-9-2014 besloten dat onze organisatie conform de zogenaamde Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) gaat werken. De BIG zal daarbij als normenkader gelden en planmatig ingevoerd worden. Het plan van aanpak voor de implementatie van de BIG is op 15-12-2014 door het DTMO vastgesteld. Ook bovengenoemde kwetsbaarheden zijn onderdeel van de BIG. De uitvoering van dit nota van verantwoording managementletter 2014
D15-00 109 810
1 0
plan van aanpak zal spoedig projectmatig worden opgepakt door de ‘chief information security officer (CISO)’ die gepositioneerd wordt bij de Concernstaf. De werving- en selectieprocedure van deze nieuwe functionaris is opgestart. De CISO is o.a. verantwoordelijk voor het actueel houden van het informatie-beveiligingsbeleid, de implementatie van de BIG, het adviseren van de organisatie over informatiebeveiliging, adviseren bij de diverse audits (o.a. DigiD), rapporteren aan management, etc.
Nr. 16
Onderwerp:
Afdeling:
2.8. Data beveiliging is een belangrijk goed!
CNC
Bevinding/advies. Het heroverwegen van privacy is essentieel om gelijke tred te houden met de huidige veranderende realiteit. Organisaties moeten hun privacy benadering opnieuw evalueren en inzicht verkrijgen in de nieuwe bedreigingen en mogelijkheden die een digitale wereld met zich mee brengt. Zowel de EU als individuele landen formuleren strengere wet- en regelgeving om te waarborgen dat de privacy van hun inwoners beschermd wordt. Oplossingsrichting/aanpak. Er is inmiddels besloten tot het aanstellen van een informatiemanager/beveiligingsfunctionaris die risico's bewaakt, implementeren Baseline Informatie Beveiliging gemeenten en investeren in bewustwording bij medewerkers. Daarnaast is er een risicokaart aangemaakt teneinde permanent oog te hebben voor de risico’s en de financiële gevolgen die hieraan zijn verbonden.
Drs. E. de Laat Directeur Bedrijfsvoering/Concerncontroller Gemeente Waalwijk
nota van verantwoording managementletter 2014
D15-00 109 811
1 1
