Intern Controleplan 2018 gemeente Heemstede

1.1 Aanleiding

Het college is verplicht (cf. art. 212/213 van de Gemeentewet) zorg te dragen voor de interne toetsing van de getrouwheid van de informatieverstrekking en de rechtmatigheid van financiële beheershandelingen. Om hier invulling aan te geven wordt jaarlijks een intern controleplan opgesteld.

De uitvoering van dit plan valt onder verantwoordelijkheid van de afdeling financiën en de intergemeentelijke afdeling sociale zaken (IASZ).

Een goed opgezette interne controle is een belangrijke pijler waarop de gemeente Heemstede in het kader van planning en control moet kunnen steunen. Niet alleen voor wat betreft het controleren en signaleren van tekortkomingen in de uitvoering, maar zeker ook voor het bijsturen en het afleggen van verantwoording.

1.2 Doel van het intern controleplan

Het plan geeft een beeld van de financiële beheersing van de gemeentelijke organisatie.

Het is een leidraad voor de organisatie om te waarborgen dat financiële beheershandelingen getrouw en rechtmatig door de daartoe bevoegde personen worden uitgevoerd.

Het is van belang dat deze interne controles zichtbaar (in de vorm van bewijs) worden vastgelegd, intern voor management én extern voor de accountant. De accountant maakt bij haar controlewerkzaamheden ook gebruik van de verantwoordingsfunctie van het intern controleplan.

De resultaten uit interne controles geven informatie over in hoeverre de gemeente Heemstede beheersing heeft over de bedrijfsvoering, ofwel ‘ín control’ is. Het oordeel over de mate waarin een organisatie in ‘control’ is, wordt vaak gebaseerd op de volgende pijlers.

1. Heldere kaders (doelstellingen en randvoorwaarden).

Hieronder vallen de programmabegroting en de verordeningen ex art. 212, 213, 213a gemeentewet;

2. Goede kwaliteit van tussentijdse informatievoorziening.

Betrouwbare tussentijdse informatie is essentieel om de (financiële) ontwikkeling naar aanleiding van de uitgevoerde activiteiten van de gemeente tijdig in beeld te krijgen en te spiegelen aan de begroting;

3. Goede opzet en beschrijving van de administratieve organisatie en interne controle (AO/IC).

Deze beschrijvingen bevatten in bijzonder de essentiële functiescheidingen en de maatregelen van interne controle binnen de processen. Ook valt hieronder de budgethoudersregeling en de mandaatregeling;

4. Risicomanagement.

Hieronder valt de wettelijk verplichte paragraaf weerstandvermogen en risicobeheersing zoals opgenomen in de begroting en jaarrekening;

5. Interne controle (IC).

Dit is de interne controle binnen de processen op de vakafdelingen (in de lijn);

6. Verbijzonderde interne controle (VIC).

Het sluitstuk van ‘control’ vormt de verbijzonderde controle, waarbij wordt vastgesteld of:

- in opzet sprake is van een goede AO / IC (punt 3)

- de processen worden uitgevoerd conform de beschreven opzet

- de interne controlemaatregelen (punt 5) worden uitgevoerd conform de gestelde kwaliteitseisen.

In dit controleplan zullen we ons beperken tot de beschrijvingen van de administratieve organisatie en interne controle (punt 3 AO/IC) en het sluitstuk van “control”, de verbijzonderde interne controle (punt 6 VIC). In bijlage 1 is een planning van werkprocessen van de VIC opgenomen en in bijlage 2 een planning opgenomen van de actualisatie van de AO/IC beschrijvingen.

1.3 Doel van (verbijzonderde) interne controle

Interne Controle heeft als doel om onvolkomenheden in de procesbeheersing en de uitvoering tijdig op te sporen en te corrigeren. Feitelijk moet de interne beheersing (interne controle) geborgd zijn in de lijn, dus in de processen. Wanneer de procesbeheersing in de lijn goed op orde en inzichtelijk is, voorkomt dit veel onnodig controlewerk achteraf en kan worden volstaan met verbijzonderde interne controle. Reparatie achteraf kost meer tijd dan een goede beheersing vooraf.

Verbijzonderde interne controle is het buiten de lijn van de afdeling vaststellen of de interne controlemaatregelen (controle binnen de processen) zijn uitgevoerd en voldoende hebben gewerkt. Met behulp van de verbijzonderde interne controle wordt op een onafhankelijke wijze de naleving van interne controlemaatregelen door de afdelingen getoetst. Toetsing van de naleving van de interne controle met gebruik van de verbijzonderd interne controle is voornamelijk gericht op processen met financiële risico’s.

De verbijzonderde interne controle wordt uitgevoerd om:

• te waarborgen dat onze organisatie rechtmatig werkt volgens de wet en/of onze eigen verordeningen;

• te waarborgen dat de in de administratie/jaarrekening opgenomen gegevens juist, tijdig en

volledig zijn verantwoord;

• te waarborgen dat de baten en lasten en de balansmutaties die in de administratie/jaarrekening worden verantwoord in overeenstemming met wetten en overige regels tot stand zijn gekomen;

• te waarborgen dat wij onze processen beheersen en financiële risico’s voldoende zijn afgedekt door adequate beheersmaatregelen;

• te waarborgen dat de interne beheersmaatregelen werken;

• te waarborgen dat we onze financiële middelen beheersen;

• aanbevelingen te kunnen geven voor het verbeteren van de kwaliteit van de processen;

• de externe accountantscontrole voor te bereiden c.q. te ondersteunen.

2.1 Wettelijk kader (wet- en regelgeving)

Het wettelijk kader voor de interne controle is geregeld in:

Externe kaders:

• Gemeentewet

• Besluit Accountantscontrole Decentrale overheden (BADO)

• Besluit begroting en verantwoording (BBV)

• Kadernota rechtmatigheid

Interne kaders:

• Controleprotocol 2016 t/m 2018

• Normenkader 2018

• Interne wet- en regelgeving

2.2 Samenhang (verbijzonderde) interne controle en externe accountantscontrole

Een doelstelling van het controleplan is een maximale aansluiting te realiseren tussen de uitgevoerde (verbijzonderde) interne controlewerkzaamheden en de door de accountant te verrichten (externe) controlewerkzaamheden. Daarom is het belangrijk om onze accountant als adviseur hierbij te betrekken, waarbij u als college wel uw eigen verantwoordelijkheid blijft houden.

Volgens de Controle en Overige Standaarden (ook wel COS genoemd) toetst de accountant jaarlijks de kwaliteit van de opzet, de invoering (het bestaan), en de werking van de belangrijkste interne controlemaatregelen voor alle significante financiële bedrijfsprocessen.

Hier maakt de accountant gebruik van de intern uitgevoerde en vastgelegde verbijzonderde interne controles. De significante bedrijfsprocessen worden in paragraaf 4.1 nader uitgewerkt.

Het intern controleplan 2018 sluit aan op het controleprotocol accountantscontrole jaarrekening 2016 t/m 2018 gemeente Heemstede. Het controleprotocol heeft als doel nadere aanwijzingen te geven aan de accountant over de reikwijdte van de accountantscontrole en de daarbij te hanteren goedkeurings- en rapporteringstoleranties.

3.1 College

Het college is verplicht (cf art.2012/213 van de gemeentewet) zorg te dragen voor de interne toetsing van de getrouwheid en de rechtmatigheid van de jaarrekening, en voor het daaraan ten grondslag liggende (financiële) beheer. Het college legt verantwoording af aan de Raad over de uitvoering en adequate vastlegging hiervan. Het college dient zodanige maatregelen te treffen dat de rechtmatigheid van de algehele uitvoering gewaarborgd is. Een van die maatregelen is het laten opstellen van een intern controleplan. Het college geeft bij de jaarrekening een schriftelijke bevestiging af aan de accountant waarin het de juiste en volledige informatieverstrekking verklaart voor zaken die in het kader van de getrouwheid en rechtmatigheid van belang kunnen zijn.

3.2 Raad

De opdrachtverstrekking aan de accountant vindt plaats door de Raad.

In het Besluit Accountantscontrole Decentrale Overheden is vastgelegd wat deze controle minimaal behelst. De Raad stelt in het controleprotocol het normenkader en de goedkeurings- en rapportagetoleranties vast. De Raad stelt de jaarrekening vast. Daarbij heeft de Raad de mogelijkheid om met betrekking tot bepaalde onrechtmatigheden een indemniteitsprocedure ¹ te starten. Indien onrechtmatigheden voortkomen uit eigen regelgeving heeft de Raad de bevoegdheid om bij

voldoende uitleg deze onrechtmatige handelingen achteraf te sanctioneren. Indien de regel goed is maar de naleving onvoldoende dan is de Raad verantwoordelijk om het college op te dragen maatregelen te nemen die een adequate naleving verzekeren.

3.3 Accountant

De accountant controleert de jaarrekening en verstrekt een verklaring waarin hij een oordeel geeft over het getrouwe beeld en de rechtmatigheid. De accountant is verantwoordelijk voor een degelijke en begrijpelijke onderbouwing van zijn oordeel in het verslag van bevindingen. Daarnaast rapporteert de accountant aan de raad zijn constateringen in een Managementletter en een Rapport van

Bevindingen. De accountant maakt hiervoor gebruik van het intern controleplan.

3.4 Proceseigenaren AO/IC

Het is de doelstelling om de verantwoordelijkheid voor administratieve organisatie en interne

beheersing (interne controle) te borgen op de vakafdelingen. Per significant bedrijfsproces is een proceseigenaar aangewezen. In het controleplan is opgenomen dat de AO/IC beschrijvingen van alle significante bedrijfsprocessen elke 4 jaar wordt geactualiseerd. Onder verantwoordelijkheid van de proceseigenaar worden in 2018 weer een aantal beschrijvingen geactualiseerd.

3.5 Uitvoerders verbijzonderde interne controle (VIC)

De uitvoering van de verbijzonderde interne controles van de Participatiewet, de Wmo voorzieningen en de Jeugdwet (bijlage 1 punt 20 t/m 23) vindt plaats onder verantwoordelijkheid van de Intergemeentelijke Afdeling Sociale Zaken. De overige verbijzonderde interne controles vinden plaats onder verantwoordelijkheid van de afdeling Financiën. In het intern controleplan 2018 zijn ook opgenomen de actualisaties van de AO/IC beschrijvingen (zie bijlage 2). De AO beschrijvingen Sociale Zaken maken geen onderdeel uit van dit plan.

¹ De indemniteitsprocedure is een procedure waar de raad het college vraagt bepaalde zaken rond onrechtmatigheden nader uit te leggen en/of verbetervoorstellen te doen. Deze procedure vindt vaak zijn aanleiding in de accountantsverklaring en verslag van bevindingen. De procedure kan echter bij iedere soort accountantsverklaring worden gestart; dus ook bij een goedkeurende verklaring. De procedure heeft geen gevolgen voor de uitgebrachte accountantsverklaring of het verslag van bevindingen. Het is alleen bij financiële onrechtmatigheden mogelijk een indemniteitsprocedure te starten.

4.1 Werkprogramma’s per significant bedrijfsproces

Per significant bedrijfsproces zijn in het pakket Key Control Dashboard werkprogramma’s met checklists (de key controls) opgesteld die basis zijn voor de verbijzonderde interne controles.

Een bedrijfsproces is een afgebakend geheel van eenduidige maatregelen van administratieve organisatie en interne controle. Een bedrijfsproces kan dus op verschillende afdelingen betrekking hebben. Voor 2018 zijn (net als voor 2017) de volgende bedrijfsprocessen als significant aangemerkt.

1. Inkoop en aanbesteding (incl. betalingsverkeer)

2. Personeel

3. Subsidieverstrekkingen

4. Omgevingsvergunningen

5. Parkeren

6. Begraafrechten

7. Burgerzaken

8. Gemeentelijke belastingen (uitbesteed)

9. Administratie en planning & control

10. Treasury

11. Verantwoording projecten met provinciale subsidie

20. Participatiewet

21. Wmo voorzieningen

22. Jeugdwet

23. SiSa regelingen

Het toetsen (verbijzonderde interne controle) van de significante bedrijfsprocessen op kwaliteit van opzet, bestaan en werking van de interne controle zijn procesgerichte controles.

Naast deze procesgerichte controles moeten ook altijd gegevensgerichte controles worden uitgevoerd. Hierbij wordt aan de hand van documentatie en de financiële administratie vastgesteld of de gecontroleerde euro of post getrouw en/of rechtmatig is.

Voor de uitvoering van de verbijzonderde interne controles is in bijlage 1 per significant bedrijfsproces een planning gemaakt van de in 2018 uit te voeren werkzaamheden.

Voor het actualiseren van de AO/IC beschrijvingen is in bijlage 2 een planning opgenomen.

4.2 Op wat voor criteria wordt getoetst

Voor de interne controles worden onderstaande criteria betrokken.

De criteria 1 t/m 6 hebben naast rechtmatigheid ook betrekking op getrouwheid.

De criteria 7 t/m 9 zijn aanvullende criteria die alleen betrekking hebben op de rechtmatigheid.

Voor de controle van het begrotingscriterium wordt gesteund op de reguliere planning en controlcyclus met inachtneming van de regels vermeld in het controleprotocol.

Bij de planning en controlcycli wordt de realisatie van de kredieten beoordeeld.

Als overschrijdingen worden geconstateerd voert de interne controleur aanvullende controlewerkzaamheden uit naar de oorzaak van de overschrijding. Indien de gemeenteraad de overschrijding autoriseert is er geen sprake van een (begrotings)rechtmatigheidsfout.

De controle van het begrotingscriterium is opgenomen in de activiteitenplanning in bijlage 1.

Misbruik en oneigenlijk gebruik criterium

Van de verordeningen opgenomen in het normenkader wordt jaarlijks een risico-analyse opgesteld hoe hoog het risico op misbruik en oneigenlijk gebruik (verder M&O) is.

Vervolgens wordt een inventarisatie gemaakt welke M&O bepalingen in de verordeningen zijn opgenomen om deze risico’s te verminderen en hoe hier in de praktijk mee wordt omgegaan.

Als blijkt dat onvoldoende M&O bepalingen in de verordeningen zijn opgenomen om het risico te verminderen, of dat de M&O bepalingen niet worden nageleefd, dan wordt dit gerapporteerd aan het managementteam. Het managementteam kan besluiten het risico te accepteren of de verordening te wijzigen. De controle van het M&O criterium is opgenomen in de activiteitenplanning (zie bijlage 1).

4.3 Omvang van de controlewerkzaamheden en foutenevaluatie

De verbijzonderde interne controle op de werking van de interne controlemaatregelen in de lijn gebeurt door deelwaarnemingen. Het aantal deelwaarnemingen per proces is afhankelijk van de

frequentie dat een bepaalde beheersmaatregel in de lijn wordt uitgevoerd.

In de tabel zijn de aantallen deelwaarnemingen weergegeven:

De aantallen voor de deelwaarneming worden aselect via een bepaalde methodiek vastgesteld.

Bijvoorbeeld elke 25e factuur of via een programma.

Als bij het toetsen fouten worden ontdekt wordt het aantal deelwaarnemingen verhoogd.

De verhoging is afhankelijk van de aard van de fout. Indien bij de aanvullende deelwaarnemingen weer fouten worden geconstateerd, dan kan er sprake zijn van een niet/onvoldoende functionerende interne controle. Dit kan leiden tot een gegevensgerichte controle, waarbij omvangrijke steekproeven moeten worden getrokken. De aantallen voor de gegevensgerichte controle moeten in overleg met de accountant worden bepaald met als kader de in het controleprotocol opgenomen goedkeuringstoleranties.

Wanneer een proces in opzet niet voldoet om een procesgerichte controle uit te voeren, moeten aanvullende gegevensgerichte controles worden uitgevoerd. Deze gegevensgerichte controles moeten specifiek gemaakt worden. Dit zal in overleg met de accountant plaatsvinden naar aanleiding van de interim-controle 2018.

Als fouten worden geconstateerd dient eerst te worden vastgesteld of het financiële fouten of niet-financiële fouten betreffen. Niet financiële fouten zijn wel aandachtspunten voor de AO/IC en worden gerapporteerd, maar worden niet meegenomen in de foutenevaluatie.

Geconstateerde financiële fouten kunnen in twee categorieën worden ingedeeld:

Structurele fouten; dit zijn fouten waarvan de oorzaak bekend is, zodat de financiële gevolgen zijn door te rekenen en te herstellen. Als die analyse van de gevolgen van de gevonden foutoorzaak voldoende fouten boven tafel haalt, is extrapolatie niet meer nodig.

Incidentele fouten; deze fouten zijn van dien aard dat ze verder niet in de massa voorkomen.

In feite zijn het structurele fouten die zich eenmalig voordoen. Aangetoond moet worden dat de oorzaak van de fout zodanig van aard is dat deze ook daadwerkelijk verder niet meer voorkomt.

Extrapolatie is niet nodig.

Er wordt altijd uitgezocht hoe de fout is ontstaan. Dit kan bijvoorbeeld door het uitvoeren van een aanvullende steekproef of het inkaderen van de massa waarin de fout kan plaatsvinden.

Als de fout is ontstaan in het boekjaar waarover verantwoording wordt afgelegd dan kan deze worden hersteld. Indien de fout wordt geconstateerd in een volgend boekjaar, dan moet na het herstellen van de fout deze alsnog worden meegenomen in de foutenevaluatie.

Indien de extrapolatie van incidentele fouten leidt tot een onacceptabel grote financiële (hoger dan de tolerantie) fout, dan wordt aanvullend onderzoek uitgevoerd. De steekproef wordt uitgebreid op het aspect van de geconstateerde fout. Bijvoorbeeld als de inkomsten foutief worden gekort behoeft alleen de steekproef te worden uitgebreid op het onderdeel inkomsten korting.

Geconstateerde onrechtmatigheden kunnen worden hersteld door de gemeenteraad of het college. De volgende methodes zijn beschikbaar:

De gemeenteraad is bevoegd een voorwaarde buitenwerking te stellen. Deze voorwaarde heeft dan geen interne en externe werking en leidt dan niet tot een rechtmatigheidsfout.

De gemeenteraad is bevoegd een werkwijze goed te keuren. Bijvoorbeeld indien subsidieaanvragen niet tijdig zijn ingediend maar toch zijn behandeld, kan de gemeenteraad besluiten dat dit rechtmatig is. Deze procedure heet de indemniteitsprocedure.

Op basis van een hardheidsclausule kan het college bevoegd zijn per geval een onrechtmatigheid goed te keuren. Het college kan dit alleen voor specifieke gevallen en mag niet een gehele massa goedkeuren, dit recht is voorbehouden aan de raad.

4.4 Single information Single audit (SiSa)

In de jaarrekening wordt een zogenoemde SiSa bijlage toegevoegd waarin verantwoording wordt gedaan van de SiSa uitkeringen (2017: 2 stuks). SiSa uitkeringen zijn specifieke doeluitkeringen die wij als gemeente ontvangen van rijk of provincies.

De interne controles van deze specifieke uitkeringen zijn opgenomen in de significante bedrijfs-processen. De uitkomsten van de controles van deze specifieke uitkeringen vallen binnen de totale goedkeurings-en rapporteringstoleranties van de gemeente Heemstede zoals opgenomen in het controleprotocol accountantscontrole jaarrekening 2016 t/m 2018 gemeente Heemstede.

De omvang van de bestedingen / subsidie is leidend voor de uit te voeren werkzaamheden.

Risico-analyseSiSa

De accountant start voorafgaand aan een jaarrekeningcontrole met een risicoanalyse.

De accountant kan volstaan met één risicoanalyse SiSa waarin alle specifieke uitkeringen worden meegenomen. Een risicoanalyse houdt in dat de accountant vaststelt of de gemeente voldoende maatregelen heeft getroffen om onder andere de wet en regelgeving uit te voeren.

Hierbij houdt hij rekening met de bevindingen uit voorgaande jaren, nieuwe ontwikkelingen in het verantwoordingsjaar en de financiële omvang. In 2018 zullen wij, net als in 2017, ook intern risicoanalyses SiSa opstellen en afhankelijk hiervan onze interne controle op deze risicoanalyse gaan inrichten. Dit is ook opgenomen in de activiteitenplanning in bijlage 1.

Deelwaarneming SiSa

Een deelwaarneming houdt in dat de accountant en/of de gemeente beoordeelt of een post conform de voorschriften in wet- en regelgeving is uitgevoerd en verantwoord.

Als de omvang van de bestedingen van een specifieke SiSa uitkering ≥ € 125.000, dan zal de accountant een deelwaarneming uit moeten voeren. Indien deze deelwaarneming leidt tot een bevinding, dan kan dit voor de accountant en/of gemeente aanleiding zijn extra werkzaamheden (steekproeven) voor de oordeelvorming uit te (laten) voeren.

Afhankelijk van de eigen opgestelde risicoanalyses zullen intern voor de SiSa regelingen waarvan de bestedingen ≥ € 125.000 eigen deelwaarneming(en) worden uitgevoerd. Dit is ook opgenomen in de activiteitenplanning in bijlage 1.

5.1 Hoe wordt gerapporteerd

Voor de verbijzonderde interne controle wordt bij Heemstede gebruik gemaakt van de web-based applicatie Key Control dashboard van het bedrijf Yellowtail. Deze applicatie heeft het bedrijf Yellowtail samen ontwikkeld met EY.

Binnen dit Key Control Dashboard is per gemeenteproces duidelijk welke controles worden verwacht en per controle is zichtbaar hoeveel waarnemingen (controles) uitgevoerd moeten worden.

Doordat een gemeente zijn uitgevoerde controles hierin op een eenduidige wijze gecentraliseerd kan vastleggen, is een actueel inzicht in prestaties mogelijk.

Prestatiemeters en kleuring geven rechtstreeks inzicht op het resultaat van de interne controle.

Wat het Key Control Dashboard uniek maakt, los van de procesgerichte benadering van de interne controle en de uitgebreide rapportagefunctionaliteit, is dat het Dashboard via een beveiligde internetverbinding toegankelijk is voor de accountant. Deze toegang op afstand vergemakkelijkt de communicatie met de accountant en maakt controle op afstand mogelijk.

5.2 Wanneer en aan wie wordt gerapporteerd

De voortgang en bevindingen van het controleplan worden 2 maal per jaar aan het Directieoverleg (DO) gerapporteerd. Via de managementletter wordt het college van B&W op de hoogte gehouden van de voortgang en bevindingen van het controleplan.

BIJLAGEN

Bijlage 1: Planning activiteiten Intern Controle Plan 2018

Bijlage 2: Meerjarenoverzicht actualisatie AO beschrijvingen 2018-2021

Vastgesteld bij collegebesluit van 30 januari 2018.