1.

Inregelen van wachtwoordinstellingen uit het wachtwoordbeleid in de informatiesystemen.

2.

Periodiek de gebruikers van applicaties en IT systemen reviewen op juistheid. Let op rechten, maar ook op relevantie.

3.

Wachtwoorden van standaard accounts wijzigen.

4.

Frauderisico’s in de VIC rapportages aan de organisatie en het college expliciet benoemen.

5.

Subsidie verkrijgingen: betrek bij aanvraag en/of toekenning een P&C medewerker. Voorkom dat subsidievoorwaarden niet zijn nageleefd.

6.

Dossiervorming SiSa, bouwleges, subsidieverstrekkingen, verbonden partijen en subsidiebaten, overheadkosten, intern evalueren en aanpassen werkprogramma’s VIC.

7.

Grote subsidierelaties betrekken in het toezicht op verbonden partijen.

9.

Geborgd moet zijn dat iedere functionaris wordt bereikt met het integriteitsprogramma.

10.

De taakomschrijving van de auditcommissie moet worden aangepast, zeker op het gebied van fraude en integriteit.

11.

De verplichting van gemeenten om uitkeringsgerechtigden een maatregel op te leggen wanneer zij niet zijn ingeschreven bij het UWV moet door Zaanstad beter worden nageleefd.

13.

De informatievoorziening t.a.v. de grondexploitaties die nu nog in het MPG is opgenomen zou (ook) in de jaarrekening moeten worden opgenomen.

16.

Om de overzichtelijkheid te vergroten en de administratieve lasten te beperken moet worden onderzocht of het aantal bestemmingsreserves beperkt kan worden.

17.

Verbeter de interne beheersing om minder afhankelijk te worden van de productieverantwoordingen van zorgaanbieders.

18.

Om de getrouwheid en rechtmatigheid van uitgaven beter te kunnen beoordelen moet u gedurende het jaar meer en/of betere controles verrichten op de bestedingen in het sociaal domein.

19.

Om te kunnen steunen op soft controls is het noodzakelijk dat hiervoor voldoende registratie en documentatie aanwezig is.

20.

Om de getrouwheid en rechtmatigheid van  PGB-betalingen te kunnen beoordelen moet Zaanstad aanvullende interne controles uitvoeren op de prestatielevering.

22.

Er moet tijdig worden geanticipeerd op de wijziging in de maximering in de bezoldiging van topfunctionarissen (WNT-3).

23.

Voer periodieke kastellingen uit volg eventuele verschillen direct op.

24.

Er dient nog een analyse plaats te vinden in hoeverre de nieuw te vormen voorziening Riolen (bijdrage toekomstige vervangingsinvesteringen) binnen de spelregels van het BBV past.

25.

Processen voor inkomende subsidies moeten consequenter worden nageleefd en de subsidiedossiers moeten beter op orde zijn.

27.

Voor wat betreft materiële vaste activa moet ook aandacht geschonken worden (op roulatiebasis) aan de controle op kleinere objecten.

28.

Wij vragen aandacht voor de kwaliteit van het balansdossier, de jaarrekening en de interne kwaliteitstoetsing in het primaire proces.

30.

Om de omvang van jaarstukken te beperken kan gekozen worden voor het belichten van de afwijkingen ten opzichte van de begroting in plaats van de beschrijving van de activiteiten en de behaalde resultaten.

31.

De interne procedures en registraties v.w.b. externe inhuur (geldigheid raamcontracten, SNA-keurmerk) moeten beter worden nageleefd.

Het integriteitsprogramma omvat een aantal preventieve maatregelen: overleggen van de verklaring omtrent het gedrag (VOG), afleggen van de ambtseed, volgen van de training Morele Oordeelsvorming kennis nemen van de gedragscode.  

Dit is geborgd door de kwartaalbijeenkomsten rond WNT met PSA, Kaders en Regie en P&O-juridisch adviseur en P-control, waarin in alle bijeenkomsten de ontwikkelingen rond de WNT besproken worden en vastgelegd in verslaglegging.

Dit is een eis vanuit het BBV en wordt dus in Jaarrekening opgenomen. De mate van detaillering is echter vrij. Dit komt in gecomprimeerde vorm in de paragraaf Grondbeleid, en voor een  toelichting wordt verwezen naar het MPG.

In 2019 heeft de gemeente beschikking over resultaten van zorgtrajecten en de cliënttevredenheid. Dit draagt bij aan het vaststellen van de rechtmatigheid van de levering.  

- Transformatie naar effectiever jeugdstelsel

- Integraal plan over verschillende levensgebieden: één gezin, één plan en één regisseur

- Systeem sturen op resultaat – wordt geïmplementeerd.

- Beter monitoren op het berichtenverkeer – met name start zorg bericht ijw305 en einde zorg bericht ijw307

• Meer aandacht voor de controle  op woonplaatsbeginsel. Er wordt ook gekeken of het mogelijk is en wenselijk om de controlestappen in het proces vast te leggen.
• -Er wordt gewerkt aan beheersmaatregelen om het risico op onjuiste vaststelling van zorgindicatie voor specialistische jeugdzorg te beperken en om meer grip op het jeugdproces te krijgen.
• - In 2019 wordt AO beschrijving van het proces uitkeringen uitgewerkt. Hierbij wordt een risicoanalyse opgesteld waarin de beheersmaatregelen worden beschreven om de geïdentificeerde risico’s af te dekken.

1.

Bij de betaling van reguliere crediteuren wordt het hashtotaal dat door de financiële administratie wordt gegenereerd, aangesloten op het hashtotaaldat door de bank wordt berekend. Bij de salarisbetalingen wordt deze aansluiting niet gemaakt (2017). In 2018 blijktuit onze werkzaamheden dat deze controle bevinding is opgevolgd.

2.

De periodieke controle op uitgaande betalingen vindt niet plaats zoals in de procedurebeschrijving is opgenomen (2017).

3.

Er wordt niet gemonitord of alle inkopen boven de €50.000 worden gemeld bij de afdeling Inkoop.

4.

Het contractenregister is nog niet volledig in gebruik.

5.

Medewerkers van de salarisadministratie kunnen zowel mutaties in Youforce invoeren als autoriseren. Iedere maand controleren de medewerkers salarisadministratie de verwerkte mutaties via een mutatieverslag. Deze controle wordt echter gedaan door dezelfde persoon. Zichtbare functiescheiding tussen autorisatie en controle ontbreekt.

6.

Er is geen procedurebeschrijving opgesteld met betrekking tot de WNT.

7.

De registratie van subsidieaanvragen is niet centraal vastgelegd. Formeel is dit wel de bedoeling maar dit wordt niet door alle afdelingen goed nageleefd.

8.

In 2016 en 2017 hebben wij geconstateerd dat subsidiedossiers van inkomende subsidies niet altijd volledig zijn. Bij onze controlewerkzaamheden in 2018 hebben wij deze constatering niet meer gedaan.

9.

De kennis met betrekking tot derivaten is bij de gemeente bij weinig mensen beschikbaar. De verwerking van derivaten en daaraan gerelateerde hedge accounting is een onderwerp accounting is een onderwerp waar wij tijdens de jaarrekeningcontrole aandacht aan besteden.

10.

Er is in 2018 een procedurebeschrijving inclusief risicoanalyse opgesteld voor het beheren van de Basisadministratie Adressen en Gebouwen (BAG). Voor de processen heffen, innen en muteren van belastingaanslagen is deze er niet.

11.

Wanneer er een verzoek om toewijzing binnenkomt, wordt deze door een ambtenaar gecontroleerd en geaccordeerd in Jeugd4Gem. Er wordt niet vastgelegd welke controles er worden verricht bij deze accordering. Hierdoor is het niet zichtbaar of er een controle op het woonplaatsbeginsel heeft plaatsgevonden.

12.

Uit gesprekken met ambtenaren die betrokken zijn in het Jeugdproces hebben wij vernomen dat bij de vaststelling van zorgindicaties voor specialistische jeugdzorg vaak een te zware zorgindicatie geïndiceerd wordt door de zorgaanbieder. Er is onvoldoende beleid binnen de gemeente om tegenstrijdige belangen tussen zorgaanbieder en gemeente te creëren.

13.

De gemeente is bezig met het borgen van de prestatielevering van zorg in het proces van interne beheersing. De levering wordt nog niet formeel vastgelegd waardoor wij de werking niet kunnen vaststellen.

14.

Er is geen procedurebeschrijving inclusief risicoanalyse aanwezig voor de processen rondom sociale uitkeringen.

15.

Er is beperkte documentatie aanwezig dat de prestatielevering met betrekking tot het bestedingsdoel van subsidie is vastgesteld.

16.

Vorig jaar hebben we aan u gerapporteerd dat de wachtwoordvereisten van Gouw en SSD niet geheel in lijn zijn met de best practice, op het gebied van periodiek wijzigen en lock-out. We hebben vast gesteld dat er voor Gouw een maximale ouderdom van het wachtwoord is ingesteld, maar andere instellingen zoals lock-out en complexiteit ontbreken. Voor SSD hebben we vastgesteld dat er sprake is van een wachtzin, die minimale lengte en complexiteit afdwingt, maar maximale ouderdom of lock-out niet.

We hebben begrepen dat de opties voor het wijzigen van het beleid beperkt zijn en de gemeente hierin afhankelijk is van de leveranciers.

17.

We hebben geconstateerd dat de database accounts van EnterpriseOne, SSD en Gouw geen sterk wachtwoord afdwingen. Deze wachtwoorden hoeven onder andere niet gewijzigd te worden en kunnen ongelimiteerd worden hergebruikt. We begrijpen dat het voor EnterpriseOne op advies van de leveranciers niet aan te raden is om de wachtwoorden van de systeemuser aan te scherpen.

18.

Wij hebben door middel van tooling uw EnterpriseOne, SSD en Gouw database geanalyseerd en hebben daarbij een aantal observaties geconstateerd:

•generieke accounts met toegang tot de database;

•generieke accounts met toegang tot de database en risicovolle rechten op tabellen in de database;

•accounts met direct toegekende rechten buiten een rol;

•generieke accounts met toegang tot de database en risicovolle rechten op systeemniveau met betrekking tot alle tabellen;

•generieke accounts met toegang tot de database en risicovolle rechten op systeemniveau met betrekking tot gebruikersbeheer;

•generieke accounts met toegang tot de database en risicovolle rechten op systeemniveau met direct toegekende rechten buiten een rol;

•generieke accounts met Administrator toegang tot de database;

•veel rechten toekend aan Public role, die geldt voor alle accounts met toegang tot de database;

•logging(audittrail) niet ingeschakeld.

19.

We hebben in opzet begrepen dat er een beheerst proces wordt gehanteerd voor wijzigingen op Jeugd4Gem, echter het centrale proces wordt niet gevolgd. De werkzaamheden om dit proces in werking vast te stellen zijn nog onderhanden. In opzet hebben we begrepen dat de formalisatie van gebruikersbeheer is gestart. We hebben vastgesteld dat aanknopingspunten in autorisatiebeheer (achteraf) niet inzichtelijk te maken zijn.

Daarnaast hebben we vastgesteld dat het vastleggen van afspraken en verantwoordelijkheden waaronder continuïteit (bijvoorbeeld in de vorm van een SLA) nog onderhanden is. Aanknopingspunten rondom de beheersing van de database kunnen vooralsnog niet inzichtelijk gemaakt worden.

1.

Opgevolgd met terugwerkende kracht over 2017

2.

Aangescherpt voor 2018 en verder.

3.

De aanmelding van de inkooptrajecten vinden mondeling, via aanmeldformulier of via e–mail plaats. In 2018 is een inkoopanalist gestart. Deze inkoopanalist heeft als rol om een gemeente-brede spendanalyse uit te voeren en te rapporteren over de bevindingen. Per 2019 zal er jaarlijks gescreend worden op de uitgaven binnen de verschillende categorieën.

4.

De contractenbank bestaat uit verschillende elementen. Zaanstad heeft wel een ingerichte contractenbank op de aanbestede (raam)overeenkomsten en deze is ook in gebruik. Hiernaast wordt binnen het financiële systeem gewerkt met een inkooporderformulier waarmee financiële verplichtingen worden vastgelegd. Het gebruik hiervan is niet volledig. Momenteel zijn we bij A&I bezig met een inventarisatie over het gebruik van deze formulieren per domein.

5.

Het procesvoorstel is aangeleverd aan de accountant. In de SA wordt volgens dit aangescherpte proces gewerkt.

6.

Er is nog geen definitieve procedurebeschrijving opgesteld. Wel is de werkwijze zo dat de juiste en volledige verantwoording van de WNT geborgd wordt in het kwartaaloverleg.

Vooralsnog wordt de juiste en volledige verantwoording van de WNT geborgd door een zgn. ‘WNT-overleg’ waarin de relevante ontwikkelingen worden besproken en kaders worden vastgesteld. Dit overleg vindt 4 keer per jaar plaats. Bij dit overleg zijn verschillende disciplines betrokken, te weten:

-           Medewerker Kaderstelling & strategie;

-           Medewerker P&O (salarisadministratie);

-           Medewerker P&O (juridische zaken);

-           Medewerker Business control

De WNT verantwoording in het kader van de jaarrekening wordt door (P-control P&O) opgesteld en hierbij wordt een vast proces gevolgd. Hiervoor wordt  een uitvraag gedaan aan de personeels- salarisadministratie om de benodigde gegevens aan te leveren. Uitgangspunt vormt de Uitvoeringsregeling WNT (i.s.m. de overige bijbehorende stukken als de wet zelf). Daarnaast vindt afstemming plaats met de coördinator - oplevering van de jaarrekening (financieel specialist) en met een medewerker van Kaderstelling & Strategie/Auditing.

7.

De registratie van alle grote subsidies wordt centraal vastgelegd in Mozard. Het kan incidenteel gebeuren dat een afdeling die een kleine subsidie aanvraagt (bijvoorbeeld A&O fonds) niet

bekend is met dit proces en daardoor niet wordt vastgelegd.

8.

Proces inzake volledigheid subsidiedossiers is aangescherpt in 2018 en verder.

9.

Zaanstad een treasurycommissie aangesteld om de kennis te verspreiden en te borgen. Hiernaast is één medewerkster van Kaders & regie ingewerkt op dit onderdeel en volgt een relevante opleiding. Zaanstad heeft daarnaast juist iemand extern ingehuurd die lid is van de auditcommissie met treasury-kennis. Ook dit lid is sinds lange tijd betrokken bij treasury.

10.

De procedure is opgenomen in het belastingsysteem van Gouw. Wat ons betreft is dit een goedlopend proces. De accountant geeft er zelf een lage prioriteit aan, dus op korte termijn nemen wij hier korte termijn nemen wij hier geen actie op.

11.

Op basis van deze bevinding zal worden gekeken of het mogelijk en wenselijk is de controlestappen in het proces vast teleggen.

12.

Er wordt volop gewerkt aan beheersingsmaatregelen om dit proces beter onder controle te krijgen. Een voorbeeld hiervan is een weegtafel waar alle verwijzingen naar segment C worden getoetst door de gezamenlijke jeugdteams en gemeente. Binnenkort wordt de  raad geïnformeerd over de laatste ontwikkelingen en beheersingsmaatregelen in de specialistische jeugdzorg (zie ook RIB van december 2018 en presentatie in Zaanstad Beraad van 24 januari 2019).

13.

In 2019 werken we aan sturen op resultaat waardoor straks op zorgtraject moet kunnen worden vastgesteld of de vooraf geformuleerde resultaten zijn gehaald en of cliënten tevreden zijn.

14.

Voor het proces uitkeringen zijn inderdaad geen recente procesbeschrijvingen beschikbaar. Alle processen Maatschappelijke Ondersteuning waaronder het proces uitkeringen worden momenteel in kaart gebracht. Voor dit onderdeel streven we naar afronding in het eerste halfjaar van 2019.

15.

Per 1 januari 2019 is de nieuwe Algemene Subsidie Verordening (ASV) in werking getreden waarbij concrete eisen aan de verantwoording van de activiteiten zijn gesteld (zie bijvoorbeeld artikel 15 en 16 van deze verordening).

Verder worden de beleidsmedewerkers erop gewezen gespreksverslagen met de subsidieontvangers vast te leggen in het zaaksysteem van Mozard.

Tevens is beschikbaar een uitvoeringsovereenkomst bij subsidietoekenningen > €50.000. Hierin staan specifieke afspraken opgenomen. Bij de gesprekken die de beleidsmedewerkers met de instellingen hebben, dient dit ter sprake te komen. Ook bij een verantwoording dient hier naar gekeken te worden. Uitkomsten worden ook vastgelegd in Mozard.

16.

In de nieuwe versie van Gouw die binnenkort geïnstalleerd wordt is een nieuwe module aanwezig genaamd keycloak waarin autorisatie en SSO conform de BIG standaard plaatsvinden.  Deze module zal in Q1 2019 in gebruik genomen worden.

17.

Deze bevinding is juist en ook (applicatie-technisch) niet te wijzigen. Het betreft hier service-accounts van de applicatie, geen eindgebruiker-of beheeraccounts.

18.

Deze vragenzijn nog in onderzoek bij functioneel beheer en DBA en worden op korte termijn beantwoord.

19.

De bevindingen zijn juist maar er is de afgelopen periode gewerkt aan verbetering. Inmiddels is een contract getekend met QNH. Nu zijn we in gesprek over een SLA dat eind van het jaar afgerond moet zijn.