Aan algemeen bestuur 29 april 2015 VOORSTEL Datum 7 april 2015 Portefeuillehouder V. Doorn, T. Klip-Martin Documentnummer 668031 Programma Bestuur en belasting Projectnummer Afdeling Bedrijfskundige Ondersteuning Bijlage(n) 1 Wat is fraude? 2 Tabel risico s en beheermaatregelen 1. Voorstel aan ab Voorgesteld wordt om: de conclusie en aanbevelingen van de frauderisicoanalyse te onderschrijven; te bevestigen dat de gehanteerde aanpak voldoet/past bij de bestuurlijke verantwoordelijkheid (zie paragraaf 3). 2. Bestuurlijke aanleiding en vraag Naar aanleiding van de (interim)controle 2013 gaf de accountant aan dat het proces van interne beheersing voldoet en dat binnen het waterschap op een constructieve wijze wordt gewerkt aan de verdere ontwikkeling van de interne (financiële) beheersing. De accountant vroeg wel aandacht voor een periodieke zichtbare frauderisicoanalyse en voor vastleggingen (notulen, bedrijfsplannen etc.) die laten blijken dat het bestuur en de directie belang hechten aan het vermijden en ontdekken van fraude. Aanleiding voor deze extra aandacht voor fraude zijn de huidige economische ontwikkelingen, die kunnen leiden tot verhoogde prikkels of gelegenheden tot het doen van of meewerken aan fraude. Daarnaast ontvingen wij in oktober 2014 een brief van het ministerie van Binnenlandse Zaken inzake integriteit en kwetsbare processen. Aanleiding hiervoor is berichtgeving in de media over mogelijke onregelmatigheden rond de uitvoering van aanbestedingen op het terrein van ICT bij de overheid. Het ministerie roept daarom op om een risicoanalyse uit te voeren en daarbij de nodige aandacht te besteden aan kwetsbaarheden rond inkoop- en aanbestedingsprocedures.
Pagina 2 van 6 Integriteit en fraude zijn nauw met elkaar verbonden: fraude betreft altijd een integriteitschending, maar een schending van een regel of norm betekent niet per definitie dat er ook is gefraudeerd. In dit voorstel beschrijven wij de theoretische achtergronden van fraude (bijlage 1) en welke beheersmaatregelen het waterschap heeft genomen om fraude tegen te gaan. Daarnaast is een verbijzonderde interne controle uitgevoerd, waarvan de bevindingen zijn opgenomen in bijlage 2. In een eerder stadium heeft de accountant deze frauderisicoanalyse beoordeeld. De accountant heeft aangegeven dat de opzet voor de analyse prima is en dat de documentatie een goede aanzet betreft waarbij een koppeling wordt gemaakt tussen de theorie en de praktijk. De inventarisatie van de risico s in bijlage 2 is op hun verzoek uitgebreid met een aantal risico s. 3. Bestuurlijke risico s/positionering/mandatering De primaire verantwoordelijkheid voor integriteit en het voorkomen en ontdekken van fraude en onjuistheden ligt bij de organen belast met governance en bij de leiding van de organisatie. De achtergrond hiervan is dat in de huidige maatschappij toezichthouders (het algemeen bestuur), het college van dijkgraaf en heemraden en het management moeten kunnen aantonen dat hun organisatie integer is en dat een op de organisatie toegesneden risicomanagementsysteem aanwezig is. Via een frauderisicoanalyse en het toepassen en implementeren van een integriteitsbeleid kan hieraan worden tegemoet gekomen. 4. Uitgangspunten/eerdere besluiten Integriteitsbeleid, vastgesteld door het algemeen bestuur op 25 juni 2014 Controleverordening Waterschap Vallei en Veluwe 2013 Regeling financieel beheer Waterschap Vallei en Veluwe 2013 5. Analyse 5.1. Huidige beheersmaatregelen De beheersmaatregelen ter preventie van fraude uit bijlage 1 worden puntsgewijs getoetst aan de praktijk binnen waterschap Vallei en Veluwe. 1. Risicomanagement In meerdere processen binnen het waterschap wordt aandacht besteed aan risicomanagement.
Pagina 3 van 6 Binnen de grote projecten zoals energiefabrieken, Ruimte voor de Rivier en dijkverbetering wordt risicomanagement structureel en expliciet toegepast. Bij de kleinere projecten wordt in standaarddocumenten een risicoparagraaf opgenomen, (bijv. projectopdrachten en bestuursvoorstellen). Met de organisatieontwikkelingen maakt de afdeling Projectrealisatie de transitie naar Integraal Projectmanagement (IPM) en wordt risicobeheersing eenduidig belegd. Risicomanagement als aandachtsgebied is vastgelegd in het Beleid weerstandsvermogen, reserves en voorzieningen, dat in 2012 is vastgesteld door het algemeen bestuur. In dat verband heeft een inventarisatie plaatsgevonden van de grotere risico s met financiële gevolgen. In 2015 is een herijking gepland van de inventarisatie. Ook binnen assetmanagement (op dit moment in een pilotfase), certificering en procesgericht werken wordt aandacht besteed aan risicobeheersing. Een centrale organisatiebrede, integrale risico-inventarisatie ontbreekt nog. Frauderisico maakt op dit moment nog geen vast onderdeel uit van de inventarisatie. De concerncontroller neemt hiervoor in 2015 actie. 2. Integriteitsbeleid In juni 2014 is het integriteitsbeleid vastgesteld. Het beleid wordt vergezeld door een ambtelijk programma waarin de aandacht voor en de dialoog over integriteit gestructureerd wordt. Het programma start in het najaar 2014 en heeft een looptijd van twee jaar met een (stilzwijgende) verlenging van steeds een jaar. Voor bestuurders wordt een programma op maat georganiseerd. 3. Soft controls a. Helderheid: Het waterschap heeft regels en richtlijnen opgesteld, zoals de mandaatregeling en de gedragscode. Elke medewerker confirmeert zich aan de geldende regels. Dit gebeurt aan de hand van de eed of belofte die medewerkers en bestuurders afleggen. Medewerkers, die niet in dienst zijn van het waterschap (bijv. stagiaires en inhuurkrachten) ondertekenen een verklaring dat zij de integriteitregels zullen naleven. b. Voorbeeldgedrag: Tijdens de periodieke introductiebijeenkomst voor nieuwe medewerkers wordt aandacht besteed aan integriteit en wordt een presentatie verzorgd door een lid van de directie. Een andere vorm van voorbeeldgedrag is dat een leidinggevende tijdens afwezigheid niet zijn wachtwoorden afgeeft, maar een bevoegde medewerker formeel laat autoriseren in de betreffende systemen. Alleen op deze manier kunnen functiescheidingen gewaarborgd worden en geeft de leidinggevende het belang van functiescheidingen aan.
Pagina 4 van 6 c. Zichtbaarheid: Het waterschap kenmerkt zich door een open en transparante cultuur. Dit vertaalt zich onder andere in het feit dat alle medewerkers toegang hebben tot het elektronisch archief. Doordat alle uitgaande opdrachten schriftelijk worden vastgelegd in het elektronisch archief, werkt dit verhogend op de ervaren detectiekans. d. Bespreekbaarheid: Binnen het waterschap bestaat de cultuur om dilemma s te bespreken. Verder heeft het waterschap een klokkenluiderregeling. De mogelijkheid bestaat een vermoeden van integriteitschending te bespreken met een interne vertrouwenspersoon. e. Handhaving: In het integriteitsbeleid is afgesproken het waterschap aangifte bij de politie doet in geval van overtreding van de wet. 4. Hard controls In de meest kwetsbare processen en functies zijn beheersmaatregelen getroffen zoals werkinstructies en functiescheiding. Deze zijn opgenomen in de procesbeschrijvingen. In bijlage 2 zijn per frauderisico de betreffende beheersmaatregelen benoemd. Het waterschap beschikt over een duidelijke (onder)mandaatregeling. De mandatering van financiële bevoegdheden wordt door team financiën periodiek aangesloten met de mandatering in het financieel systeem. In het auditplan 2014 zijn de processen opgenomen die periodiek worden getoetst op kwaliteit, rechtmatigheid en getrouwheid. In het kader van frauderisico zijn de volgende audits van belang: inkoop en aanbesteding personele lasten treasury subsidies specifieke projectaudits Periodiek wordt gecontroleerd op gebruik van middelen van het waterschap. Zo controleert team financiën de facturen van de NS business card steekproefsgewijs op gebruik in het weekend. De facturen van mobiele telefonie worden door de afdeling IM op hoofdlijnen gecontroleerd op grote afwijkingen. Naast de genoemde detectieve beheersmaatregelen vinden er ook diverse preventieve beheersmaatregelen plaats om het frauderisico te mitigeren.
Pagina 5 van 6 De meest gangbare voorbeelden zijn de fysieke toegangsbeveiliging, administratieve blokkades door middel van een juiste combinatie van gebruiker en wachtwoord, applicatie begrenzingen door middel van functiescheidingen en/of limieten. De opzet, het bestaan en de werking van de deze beheersmaatregelen worden periodiek gecontroleerd door de accountant. 5.2. Bevindingen verbijzonderde interne controle In bijlage 2 is een inventarisatie van de grootste frauderisico s opgenomen en de bijbehorende beheersmaatregelen. Uitgangspunt bij de inventarisatie zijn kwetsbare processen en functies, zoals beschreven in paragraaf 4.4 van het integriteitsbeleid. De volgende risicovolle activiteiten/processen zijn benoemd: vergunningen personeels- en salarisadministratie inkoop, aannemersselectie, gunning verstrekte subsidies betalingsverkeer/creditcard beheer netwerk/automatisering opbrengsten verslaggeving Per risico is met de betreffende collega gesproken over de getroffen beheersmaatregelen en vastgesteld dat deze maatregelen daadwerkelijk worden toegepast. Daarnaast is een aantal aanvullende controles uitgevoerd. De detail bevindingen zijn in bijlage 2 vermeld. In het algemeen kan worden gesteld dat over de risico s wordt nagedacht en beheersmaatregelen worden getroffen. De beheersmaatregelen zijn toereikend en worden daadwerkelijk toegepast. Ten aanzien van beheer netwerk/automatisering is het beveiligingsbeleid goed uitgewerkt, maar voor medewerkers die uit dienst treden dienen aanvullende beheersmaatregelen te worden getroffen om te waarborgen dat toegang tot het netwerk wordt geblokkeerd. Dit is reeds onderkend en beheersmaatregelen worden ontworpen. Bij het proces inkoop/gunning is geconstateerd dat in een enkel geval geen onafhankelijke medewerker van team p&c aanwezig was bij het openen van offertes. Hieraan is inmiddels aandacht besteed en dit wordt in 2015 bewaakt. 6. Conclusie en aanbevelingen Wij concluderen dat de interne beheersing binnen waterschap Vallei en Veluwe met betrekking tot fraude, integriteit en belangenverstrengeling voldoet.
Pagina 6 van 6 Er zijn voldoende preventieve en detectieve beheersmaatregelen getroffen om de elementen van fraude (druk, gelegenheid en rationalisatie) naar een acceptabel niveau te mitigeren. Om de interne beheersing verder te optimaliseren doen wij de volgende aanbevelingen: Op meerdere plekken in de organisatie wordt aandacht besteed aan risicobeheersing. Frauderisico maakt hiervan geen vast onderdeel uit. Om te voorkomen dat (fraude) risico s tussen wal en schip vallen, is aan te raden om op concernniveau de belangrijkste risico s inzichtelijk te maken. De concerncontroller neemt hiervoor in 2015 actie. Vanaf 2015 de beheersing van het frauderisico meenemen in het jaarlijkse auditplan. De bevindingen worden gerapporteerd aan het bestuur. Bij de inventarisatie van onderwerpen voor het auditplan 2015 is frauderisico inmiddels meegenomen in de gesprekken met het management. 7. Ondertekening dijkgraaf en heemraden, mr. G.P. Dalhuisen secretaris drs. T. Klip-Martin dijkgraaf 8. Besluit bestuur