Aan de Raad van de gemeente Purmerend t.a.v. de heer J.N. Wijmenga, secretaris Auditcommissie Purmerend Purmersteenweg 42 1441 DM PURMEREND Haarlem, 15 november 2017 Reg.nr. : 1007193/215/382/3151 Betreft : Boardletter n.a.v. de tussentijdse controle 2017 gemeente Purmerend Geacht heer Wijmenga, Ingevolge onze algemene controleopdracht hebben wij onlangs de interim-controle bij de gemeente Purmerend afgerond. Hierbij doen wij u de Boardletter 2017 toekomen. In deze rapportage brengen wij op hoofdlijnen verslag uit van onze bevindingen. Bij de interimcontrole maken wij mede gebruik van de over de maanden januari juli 2017 uitgevoerde verbijzonderde interne controles. Onze bevindingen strekken zich uit tot medio oktober 2017. De interim controle is op een prettige wijze en in een constructieve samenwerking verlopen. Tot het geven van een nadere toelichting zijn wij graag bereid. Wij vertrouwen erop u met het vorenstaande van dienst te zijn geweest. Met vriendelijke groet, Ipa-Acon Assurance B.V. mr. drs. J.C. Olij RA Bijlage: Boardletter n.a.v. tussentijdse controle 2017 gemeente Purmerend
BOARDLETTER INZAKE INTERIM-CONTROLE 2017 GEMEENTE PURMEREND
INHOUDSOPGAVE PAGINA 1 SAMENVATTING RECHTMATIGHEID EN INTERNE BEHEERSING... 1 1.1 Inleiding... 1 1.2 Verbijzonderde interne controles... 1 1.3 Algemene indruk nieuwe taken sociaal domein... 1 2 INTERNE BEHEERSING ALGEMEEN... 2 2.1 Ontwikkelingen organisatie en financieel beheer... 2 2.2 Resultaten VIC 1 e halfjaar 2017... 2 3 BEVINDINGEN INTERNE CONTROLE EN RECHTMATIGHEIDSBEHEER... 2 3.1 Participatiewet BUIG en overige regelingen... 2 3.2 Status vaststelling verstrekte subsidies... 2 3.3 Inkopen/facturen en betalingen... 3 3.4 Contractenbeheer en verplichtingenadministratie of -registratie... 3 3.5 Aanbestedingen en externe inhuur... 3 4 STAND VAN ZAKEN SOCIAAL DOMEIN... 4 4.1 Algemene indruk is positief... 4 4.2 Suites4 Sociaal domein... 4 4.3 Voorlopige conclusie rechtmatigheid sociaal domein... 4 5 AUTOMATISERING... 4 6 ONTWIKKELINGEN WET- EN REGELGEVING... 5 6.1 ENSIA... 5 6.2 Wijzigingen Wnt... 6 6.3 Fiscale ontwikkelingen... 6 7 SAMENVATTING EN CONCLUSIE... 6
Aan de Raad van de gemeente Purmerend Purmersteenweg 42 1441 DM PURMEREND Haarlem, 14 november 2017 Reg.nr. : 1007193/215/382/3151 Betreft : Boardletter n.a.v. tussentijdse controle 2017 gemeente Purmerend Geacht leden van de Raad, Ingevolge de aan ons verleende opdracht hebben wij in oktober 2017 voor de tweede keer een interim-controle uitgevoerd bij uw gemeente. In deze rapportage (boardletter) brengen wij op hoofdlijnen verslag uit van onze werkzaamheden. 1 SAMENVATTING RECHTMATIGHEID EN INTERNE BEHEERSING 1.1 Inleiding Wij hebben bij de interim-controle aandacht besteed aan de interne beheersing en rechtmatigheid, inclusief de stand van zaken rondom de verbijzonderde interne controles (VIC) alsmede overige activiteiten die van belang zijn voor een (kwalitatieve) verbetering van de bedrijfsvoering bij de gemeente Purmerend (en mede t.b.v. de gemeente Beemster). Vanzelfsprekend hebben wij de stand van zaken in het kader van de nieuwe taken in het sociaal domein en de gevolgen van deze nieuwe wetgeving voor uw gemeente bij de interim-controle betrokken. 1.2 Verbijzonderde interne controles Wij hebben geconstateerd dat de verbijzonderde interne controles (VIC) ten tijde van de interim controle conform de planning zijn uitgevoerd tot en met het 2 e kwartaal 2017. Bij de eindejaarscontrole zullen wij de resterende werkzaamheden reviewen en de overall-resultaten meewegen bij onze oordeelsvorming inzake getrouwheid en rechtmatigheid. Wij hebben geconstateerd dat de verbijzonderde interne controles voor het 2 e halfjaar zijn 2017 gepland en inmiddels zijn opgestart. 1.3 Algemene indruk nieuwe taken sociaal domein We hebben vastgesteld dat uw gemeente de implementatie van de nieuwe taken inzake de wmo en jeugdzorg in de afgelopen periode goed heeft opgepakt. We zien dat de IT-systemen (m.n. Suites4 sociaal domein) hiervoor zijn ingericht en in algemene zin naar behoren functioneren. Aan de andere kant constateren we dat, bijvoorbeeld, koppelingen tussen verschillende systemen nog de aandacht vergen. Een en ander geldt ook voor de interne controles op transacties die via deze applicatie worden door geboekt naar de financiële administratie en de BNG betaalmodule.
2 INTERNE BEHEERSING ALGEMEEN 2.1 Ontwikkelingen organisatie en financieel beheer We zijn van mening dat de interne beheersing van de gemeente met betrekking tot de administraties en de (reguliere) processen toereikend is, een en ander passend bij de aard en omvang van de organisatie. We constateren ook dat de interne organisatie in beweging is en dat verbeteringen resp. aanpassingen mogelijk zijn. Enkele kanttekeningen op basis van onze gesprekken en indrukken bij uw gemeente zijn: de positie van de VIC in de organisatie in relatie tot de onafhankelijkheid en de nieuwe aanpak voor 2018 e.v.; De implementatie van de gewijzigde bepalingen BBV in de financiële verordening ex. art. 212 op de organisatie, i.c. de begroting 2017, heeft plaatsgevonden (de geactualiseerde financiële verordening 2017 is inmiddels ook vastgesteld door de raad); Niet alle procesbeschrijvingen zijn geheel actueel en behoeft nog aandacht. 2.2 Resultaten VIC 1 e halfjaar 2017 Het VIC-plan is voldoende robuust, maar dat het plan dient nog verder te worden uitgewerkt. We denken dan bijvoorbeeld aan overwegingen inzake de aanpak en methodiek voor het bepalen van de selecties van de deelwaarnemingen en een zichtbare resp. duidelijkere afweging in omvang en diepgang tussen de verschillende processen. Een positieve ontwikkeling is dat in juli 2017 een internal auditor is aangetrokken die wordt belast met de planning, uitvoering/begeleiding en rapportage van de VIC. We constateren dat deze verbeterslag logischerwijs nog geen effect heeft gehad voor de VIC over het 1 e halfjaar 2017. Bij de verschillende processen hebben wij verbeterpunten aangereikt. 3 BEVINDINGEN INTERNE CONTROLE EN RECHTMATIGHEIDSBEHEER In dit hoofdstuk geven wij op hoofdlijnen onze belangrijkste bevindingen en aandachtspunten weer. 3.1 Participatiewet BUIG en overige regelingen Bij de gemeente Purmerend voeren medewerkers van de afdeling Welzijn de BUIG administratie uit (d.w.z. Wwb, Ioaz en de Ioaw 1 ). Omdat deze wettelijke taken onderdeel uit maken van de SiSa systematiek hebben de sociale uitkeringen hierdoor mede onze specifieke aandacht. We hebben vastgesteld dat op basis van de (ten dele geactualiseerde) werkprocessen inzake de BUIG in beperkte mate bevindingen zijn geconstateerd. De bevindingen hadden betrekking op de uitvoering van de IOAW. Uit de analyse van de (financiële) fouten en onzekerheden inclusief het aanvullende onderzoek, bleek dat de fouten in omvang beperkt en incidenteel van karakter waren. Wij hebben voorts enkele adviezen gegeven met het doel de interne controle op dit proces te verbeteren. 3.2 Status vaststelling verstrekte subsidies Van de grofweg 80 (materiële) subsidieverleningen 2016 zijn er medio oktober 2017 nog 9 subsidies niet vastgesteld. Uit de dossiers blijkt wel dat in de meeste gevallen uitstel is aangevraagd en 1 De Participatiewet betreft overigens nog meerdere regelingen zoals de bijzondere bijstand, schuldhulpverlening, reintegratie (loonkostensubsidie). De gemeente Purmerend heeft de gesubsidieerde arbeid (vh. wsw) uitbesteed aan Baanstede. De uitvoering van (een deel van) de regeling G2 en G3 (d.i. de BBZ) is uitbesteed aan Bureau Halte Werk te Alkmaar. 2
verleend, of dat de eindafrekening in behandeling is bij de vakafdeling. We zullen bij de eindejaarscontrole kennis nemen van de stand van zaken. 3.3 Inkopen/facturen en betalingen In het financiële pakket (Decade) is nog geen sprake van een geautomatiseerde en afgedwongen - 4-ogen principe bij de mutatie van stamgegevens crediteuren (de NAW en bankrekeningnummers). De mutaties m.b.t. stamgegevens worden door een medewerker handmatig integraal gecontroleerd aan de hand van de onderliggende documenten en bescheiden. Deze controle is zeer gedegen, maar kost wel de nodige inzet. Bij het proces betalingen zijn geen afwijkingen geconstateerd. 3.4 Contractenbeheer en verplichtingenadministratie of -registratie We constateren dat op dit moment nog geen sprake is van een integrale verplichtingenadministratie of -registratie. In Decade wordt de mogelijkheid geboden om bij een binnenkomende factuur een koppeling te maken met de verplichting; ook is het mogelijk om het contract dat ten grondslag ligt van de verplichting hieraan digitaal te koppelen. Decade geeft verder de mogelijkheid als een verplichting volledig is besteed een inkomende factuur ten laste van deze verplichting niet door te boeken (de applicatiebeheerder kan deze functionaliteit aanzetten door een vinkje te plaatsen). Kortom, de gemeente beschikt al over de nodige tools om de interne bewaking op de budgetten verder aan te laten scherpen. We hebben het college en het T hiervoor de aandacht gevraagd. 3.5 Aanbestedingen en externe inhuur Het blijft lastig, mede vanwege het gekozen organisatiemodel, overall inzicht te verkrijgen in de omvang en aard van de aanbestedingen. Dat betekent ook dat de VIC de controles feitelijk achteraf uitvoert door middel van de spend-analyses (we kijken dan aan de hand van crediteuren na of er mogelijk prestaties zijn verricht die hadden moeten worden aanbesteed). Het risico is dat de gemeente te laat ontdekt dat had moeten worden aanbesteed volgens de Europese aanbestedingsregels. Externe inhuur Als vacatures nog niet, of niet meteen kunnen worden ingevuld, vindt veelal externe inhuur plaats. In de praktijk constateren wij dat als de vacature nog niet is ingevuld, de externe inhuur wordt verlengd (geen nieuwe aanbestedingsprocedure, immers dat is veelal niet praktisch). Wij begrijpen het standpunt van de gemeente. Maar door het meerdere keren verlengen, zeker in combinatie van een hoog uurtarief, komt ook de Europese aanbestedingsdrempel voor diensten in zicht of wordt mogelijk overschreden. Bij de onderzochte besluitvormingsdocumentatie en contracten zien wij geen directe betrokkenheid van de inkoop coördinator. Ons is ook niet duidelijk op welke wijze de reële inkoopbehoefte is bepaald; wat de overwegingen zijn geweest om niet (Europees) aan te besteden. Overigens is ook de versoepeling, de 2B levering per 1 juli 2016, vervallen waardoor het volledige regime van toepassing is. 3
4 STAND VAN ZAKEN SOCIAAL DOMEIN 4.1 Algemene indruk is positief Wij hebben de opzet en het bestaan van de ten aanzien van de processen Wmo en Jeugdzorg zoals ingericht bij de gemeente Purmerend beoordeeld. De gemeente is bij met de declaraties, de meeste zorgleveranciers leveren hun declaraties inmiddels ook aan via het Gegevensknooppunt (GGK). Maar er zijn nog steeds enkele grotere zorgleverinstellingen die in 2017 niet op deze wijze kunnen aanleveren en derhalve nog voorschotten krijgen uitbetaald. Ook de leverancier van de Wmo hulpmiddelen levert facturen aan buiten het GGK om. Naar wij hebben begrepen werkt uw gemeente met deze leverancier wel aan een oplossing voor het volgende boekjaar. 4.2 Suites4 Sociaal domein Gemeente Purmerend maakt gebruik van een Centric applicatie voor het Sociaal domein. In deze applicatie zijn er aparte onderdelen ingericht voor de dossiervorming en de verwerking van de declaraties voor de Wmo, de jeugdzorg en voor de sociale uitkeringen. Declaraties ingediend via het gegevensknooppunt worden dagelijks binnengehaald en ingelezen in Suites. Bij de verwerking van de betalingen (via batches) en vanwege het ontbreken van directe koppelingen tussen de applicaties gaan er nog best veel zaken handmatig. Bijvoorbeeld meldingen via e- mailverkeer, batches die gereed staan op interne lokale schijven, de hulpmiddelen wmo. Dat kost niet alleen tijd, maar leidt tevens tot een verhoogd risico op fouten. Naar wij hebben begrepen is Centric bezig om bij de volgende updates hiervoor technische aanpassingen door te voeren. 4.3 Voorlopige conclusie rechtmatigheid sociaal domein Er zijn ook voor 2017 (resterende) onzekerheden die van belang kunnen zijn voor ons oordeel inzake de rechtmatigheid en getrouwheid. We denken dan aan de verantwoording van de SVB inzake de Pgb s. De gemeente en ook wij zijn afhankelijk van het oordeel van de accountant van de SVB. Verder zullen wij kennis nemen van de verantwoordingen 2017 van de zorginstellingen inclusief de controleverklaringen daarbij. Voorts is nog bijzonder aandachtspunt hoe de gemeente Purmerend omgaat met de rechtmatigheid van zorgleveringen van instellingen onder de grens waarvoor een controleverklaring nodig is (leveringen onder de 125.000,-). We hebben hierover met uw medewerkers gesproken en adviseren om bijvoorbeeld op basis van de ervaringen c.q. signalen deelwaarnemingen uit te laten voeren op een aantal van deze kleinere zorgleveranciers. Het verdient aanbeveling om dit op te pakken in regio-verband. 5 AUTOMATISERING Wij hebben ten behoeve van de beoordeling van de stand van zaken met betrekking tot de geautomatiseerde gegevensverwerking een IT-vragenlijst ter actualisering toegezonden. In de kern gaat het er om kennis te verkrijgen inzake de beheersrisico s die van invloed zijn op de jaarrekening 2017 van de gemeente Purmerend. Belangrijke aspecten zijn het wijzigingsbeheer, de continuïteit en de beveiliging. Medio april 2017 heeft onze IT-auditor zijn werkzaamheden afgerond en hierover gerapporteerd. 4
We zullen, voor zover relevant, voor de jaarrekeningcontrole over de automatisering nader rapporteren in het accountantsrapport 2017. 6 ONTWIKKELINGEN WET- EN REGELGEVING 6.1 ENSIA Volgens ENSIA (een samenwerkingsverband van diverse ministeries en gemeenten) krijgt het gemeentebestuur meer inzicht in de stand van zaken van de informatieveiligheid en kan beter sturen op informatieveiligheid. Het gemeentebestuur legt verantwoording over de informatieveiligheid af aan de gemeenteraad. De departementen en toezichthouders maken voor dat deel waarvoor zij verantwoordelijk zijn, gebruik van de informatie die in het gemeentelijke verantwoordingsproces naar voren komt. Zelfevaluatie tool Via de online ENSIA tool is er een zelfevaluatie vragenlijst beschikbaar voor de informatiebeveiliging over de volle breedte van de BIG met inbegrip van de specifieke normen op het gebied van informatiebeveiliging van de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWI-net). In vergelijking met de huidige situatie wordt het aantal vragen over informatieveiligheid met ca. 15% gereduceerd. De verantwoording sluit aan op de gemeentelijke planning- en controlcyclus. Eén moment, via een gemeentelijke coördinator ENSIA Een (gemeentelijk) coördinator draagt zorg voor het invullen en aanleveren zelfevaluatie vragenlijst met een peildatum van 31 december 2017 alsmede voor het inleveren van de antwoorden die nodig zijn voor zelfevaluatie BRP en PUN op de peildatum van 30 september 2017. Dat betekent het inleveren van alle antwoorden die nodig zijn voor de zelfevaluatie over de volle breedte van de BIG (dus met inbegrip van de zelfevaluatie DigiD, SUWI-net, BAG en BGT) ten behoeve van de horizontale verantwoording informatieveiligheid aan de gemeenteraad. Tenslotte dient de gemeente een collegeverklaring informatiebeveiliging en het assurance rapport ondertekend door een bevoegd IT-auditor te uploaden voor 1 mei 2018. Afstemming IT-audit en accountantscontrole Gezien bovengenoemde ontwikkelingen en omwille van een efficiënte controle heeft u ons gevraagd indien uw gemeente aan een externe IT-auditor opdracht verleent voor deze werkzaamheden (i.h.k.v. ENSIA) tevens de beoordeling van de opzet en werking van de general IT controls in de belangrijkste applicaties (Decade, 20/20 Vision, Suites) hierin kan meenemen. Hiermee wordt voorkomen dat dubbel werk moet worden uitgevoerd. Als randvoorwaarde is natuurlijk wel vereist dat de opzet, uitvoering en het delen van de bevindingen aan de accountant vooraf is afgestemd met desbetreffende IT-auditor en de gemeente. 5
6.2 Wijzigingen Wnt Per 1 juli 2017 is de Evaluatiewet Wnt in werking getreden. De Wnt is ook van toepassing op de gemeente Purmerend. Samengevat zijn dit de belangrijkste gevolgen: het verbod op het verstrekken van winstdelingen, bonussen of andere vormen van de variabel beloningen aan topfunctionarissen vervalt. Variabele beloning is toegestaan vanaf et boekjaar 2017, zolang de beloning in totaal onder het toepasselijke bezoldigingsmaximum blijft; Niet alleen uitkeringen die rechtstreeks, dwingend en eenduidig voortvloeien uit een algemeen verbindend verklaarde cao of een wettelijk voorschrift zijn uitgezonderd van de normering van de ontslaguitkering, maar ook uitkeringen die voortvloeien uit niet algemeen verbindend verklaarde cao s of andere collectieve regelingen. Het moet daarbij gaan om regelingen met een collectief karakter waarop de individuele topfunctionaris geen invloed heeft; Tenslotte blijft een topfunctionaris die tenminste twaalf maanden een topfunctie heeft vervuld en vervolgens een niet-topfunctie gaat vervullen bij dezelfde instelling nog vier jaar aangemerkt als topfunctionaris. Het begrip gewezen topfunctionaris vervalt. WNT-instellingen vermelden gewezen topfunctionarissen voor het laatst in de WNT-verantwoording over kalenderjaar 2017. 6.3 Fiscale ontwikkelingen In het kader van Horizontaal toezicht (HT) is uw gemeente bezig met de voorbereidingen hiervan. Het voordeel van HT is dat de Belastingdienst in beginsel geen boekenonderzoek bij de gemeente meer zal uitvoeren. Op moment dat HT kan worden toegepast dient de gemeente haar verantwoordelijkheid te nemen door interne controles uit te voeren op de processen waarbij belastingregels van toepassing zijn (dat zal ook in een convenant met de Belastingdienst expliciet worden vastgelegd). In het kader van de voorbereiding wordt er op basis van een control framework gewerkt. Er zullen ook gesprekken plaatsvinden met de Belastingdienst waarbij de opzet van de interne controles en de verwachtingen worden besproken. We hebben geadviseerd om de interne controles op de verschillende belastingen (BTW, loonbelasting en vennootschapsbelasting) t.z.t. als onderdeel op te laten nemen in het VIC-plan. 7 SAMENVATTING EN CONCLUSIE Uit onze werkzaamheden tot en met de interim zijn geen bevindingen gebleken, waar mogelijk bij de eindejaarscontrole de voorgeschreven toleranties al overschreden (dreigen te) worden. Wel zijn er onzekerheden. Dit komt onder meer omdat VIC-werkzaamheden over de 2 e helft van 2017 nog niet zijn afgerond, maar ook het feit dat wij en uw gemeente voor de verantwoording van de bestedingen in het kader van de Wmo en Jeugdzorg (inclusief de Pgb s) afhankelijk zijn van de aanlevering van de productieverantwoordingen en controleverklaringen van de zorgleveranciers. Wij hopen u met vorenstaande van dienst te zijn geweest en zijn graag tot een nadere toelichting bereid. Hoogachtend, Ipa-Acon Assurance B.V. mr. drs. J.C. Olij RA 6