Ga naar boven

Control en rechtmatigheid

In het Verslag van bevindingen 2017 heeft de interne audit functie gerapporteerd op basis van de uitgevoerde verbijzonderde interne controle over het 2017. Daarin staat ook de voortgang op de verbeterpunten. Het algemene beeld is dat er nog veel verbeterpunten open staan, maar dat er merkbare verbetering zit in de opvolging van de aanbevelingen. De externe accountant heeft de bevindingen van de interne audit functie in haar verslag van bevindingen bevestigd. Beide stukken zijn aan de raad aangeboden.

Onze organisatie is structureel bezig met het opvolgen van verbeterpunten in de interne beheersing. Elk halfjaar wordt de stand van zaken en de voortgang daarin getoetst. De interne audit functie rapporteert daar twee keer per jaar uitgebreid en in detail over. De externe accountant doet dat eveneens, meer of hoofdlijnen. We blijven benadrukken dat we een lerende organisatie willen zijn, waaraan kritische controles en rapportages ten aanzien van onze bedrijfsvoeringsprocessen belangrijke bijdragen leveren de organisatie te verbeteren.

Een belangrijk aandachtspunt is het zogenaamde afsluitproces. Dat is het proces om te komen tot afdoende dossiervorming voor het opmaken van de jaarstukken. Voor het tweede jaar op rij is het afsluitproces en de samenwerking daarin met de externe accountant niet goed verlopen. De organisatie en de accountant stellen steeds hogere eisen aan juistheid, volledigheid en de mate van transparantie en navolgbaarheid. De evaluatie van dit proces doen wij, mede op verzoek van de Commissie voor de Rekeningen, met een deel van de commissie en met de externe accountant. Om het proces te verbeteren hebben we samen met Servicepunt71 een plan van aanpak opgesteld. Dat plan delen wij met uw raad.

Zoals wij in de Eerste Bestuursrapportage 2018 al meldden, ligt net als voorgaande jaren de nadruk op de tien met de raad afgesproken belangrijkste focusgebieden, waarvan de meeste aandacht uitgaat naar de fiscale processen (Tax Control Framework), en de processen Europees aanbesteden, IT-beveiliging en inkomende subsidies.

Fiscale processen: belangrijke stappen zijn gezet om processen in kaart te brengen en beheersmaatregelen te definiëren en het goed onderbouwd vastleggen van de manier waarop we met BTW verrekening omgaan. De fiscale advisering op projecten is op orde.

Europees Aanbesteden: de focus heeft de laatste jaren gelegen op het voorkomen van rechtmatigheidsfouten. In 2017 zijn nog nauwelijks nieuwe fouten ontstaan. Veruit de meeste fouten zijn fouten die in het verleden zijn ontstaan, maar nog doorlopen in de toekomst. Wij streven naar nihil nieuwe fouten, en daarnaast besteden we aandacht aan het verhogen van de doelmatigheid en effectiviteit van de inkopen.

IT-beveiliging: het afgelopen jaar zijn de risico's op het gebied van logische toegangsbeveiliging en wijzigingen beheer verminderd door goede werkprocessen. Dit zetten we voort. Daarnaast bereiden we de centralisatie van functioneel beheer verder voor, waardoor andermaal een verbetering in professioneel werken kan worden bereikt. Voor maatregelen op het gebied van bescherming persoonsgegevens zie hieronder in aparte alinea.

Inkomende subsidies: blijvend punt van aandacht om administratie goed in te richten voor een adequate verantwoording voor de ontvangen subsidies. Daarnaast speelt de tijdige signalering vaak een rol. Procesafspraken zijn gemaakt: we moeten alert zijn op het consequent nakomen van die afspraken.

In het najaar brengt de interne auditfunctie de managementletter 2018 uit, met daarin de bevindingen van de interne controle over het eerste halfjaar 2018. Daarbij wordt ook en vooral gekeken naar en gerapporteerd over de opvolging van de eerder genoemde verbeterpunten.

Algemene verordening gegevensbescherming (AVG) – opbouw privacy organisatie

Op 25 mei 2018 is de Europese Algemene verordening gegevensbescherming (AVG) van kracht geworden. Daarmee is de huidige Wet bescherming persoonsgegevens (Wbp) komen te vervallen. De AVG voegt een aantal verplichte maatregelen en aanscherpingen toe aan de bestaande bepalingen die gericht zijn op het beschermen van de persoonsgegevens (privacy) van – in het geval van een gemeente – inwoners, zakelijke relaties en medewerkers.

De gemeente Leiden treft hiertoe in samenwerking met de gemeenten Leiderdorp, Oegstgeest, Zoeterwoude en Servicepunt71 de nodige organisatorische en technische maatregelen. De gemeente heeft per 25 mei 2018 voorzien in de primaire vereisten vanuit de AVG. De verplichte aanstelling van een (regionale) Functionaris Gegevensbescherming was al sinds november 2016 gerealiseerd.

De gemeente Leiden beschikt over een register van verwerkingsactiviteiten. Dit register biedt inzicht in en levert een verantwoording van werkprocessen waarin persoonsgegevens worden verwerkt. Aan de samenstelling van dit register is naast de inzet vanuit de gemeente tevens bijgedragen door een hiervoor in regionaal verband (binnen verkregen budget) aangetrokken externe capaciteit. Dit register zal de komende periode verder worden verbeterd en verfijnd.
Ook in de toekomst zullen we veel aandacht besteden aan training en voorlichting. Het landelijke beeld is dat het leeuwendeel van datalekken voortvloeit uit onbewust onzorgvuldig menselijk handelen.

In 2018 en 2019 zullen werkprocessen en verwerkersovereenkomsten van alle domeinen binnen de gemeente herzien moeten worden. Verwacht wordt dat door het toegenomen privacy-bewustzijn – zowel maatschappelijk als binnen onze organisatie – en de praktijkervaring met de AVG als kaderwetgeving, voortschrijdend inzicht zal ontstaan met betrekking tot de inrichting werkprocessen en applicaties. De omvang van de aan privacy gerelateerde werkzaamheden zal daarom structureel toenemen.