| Organisatie | Kaag en Braassem |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Nota Misbruik en oneigenlijk gebruik beleid 2023 ev |
| Citeertitel | Nota Misbruik & Oneigenlijk gerbuik beleid 2023 ev |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp | Nota Misbruik & Oneigenlijk gerbuik beleid 2023 ev |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 19-03-2024 | nieuwe regeling | 27-02-2024 | 623710 |
1. Inleiding en aanleiding voor de Nota M&O-beleid
1.1. Contextuele achtergrondontwikkelingen bepalend voor de Nota M&O-beleid
Met de landelijk verplichte invoering van de rechtmatigheidsverantwoording vanaf het verslagjaar 2023 blijft het college weliswaar nog steeds verantwoordelijk voor de getrouwheid van de (financiële) informatie¬verstrekking én financiële rechtmatigheid van de financiële beheershandelingen die aan de baten, lasten en balansmutaties van de jaarrekening ten grondslag liggen, maar moet elk college in haar jaarstukken expliciet verantwoording afleggen over het financieel rechtmatig handelen van de gemeente door opname van een tweetal nieuwe aanvullende stukken, namelijk:
Wat verder ook veranderd is dat de externe accountant van de raad vanaf het verslagjaar 2023 in zijn accountantscontroleverklaring géén aparte oordeel meer geeft over de financiële rechtmatigheid, maar hierin slechts één getrouwheidsoordeel geeft over in hoeverre:
de jaarrekening (bestaande uit de balans, het overzicht van baten en lasten inclusief de toelichting op beide, de SiSa-verantwoordingsbijlage 1
en de nieuwe Reachtsmatigheidsverantwoording van het college) in overeenstemming met de geldende verslaggevingsregels (o.a. het BBV2 , de SiSa-voorschriften en de lokale Financiële verordening) een getrouw beeld geeft, én
Het bovenstaande is hieronder gevisualiseerd weergegeven.
Mede door deze wetswijziging heeft de raad van gemeente Kaag en Braassem op 18 december 2023 de Visie op Control 2023ev middels het 3L-interne risicobeheersingsmodel (afgekort als VOC-3LM) vastgesteld.
Deze is gebaseerd op de haar per 3 juli 2023 vastgestelde korte en lange termijn gemeentelijke ambitieniveau met betrekking tot de gemeentelijke interne (risico)beheersing en de (rechtmatigheids)verantwoording door het college daarover, namelijk:
Het gemeentelijke ambitieniveau met betrekking tot de interne (risico)beheersing en de collegeverantwoording daarover voor de verslagjaren 2023 t/m 2028 vooralsnog te beperken tot voldoening aan de wettelijk gestelde getrouwheids- en financiële rechtmatigheidseisen, waaronder de opname in de jaarstukken van de wettelijk voorgeschreven:
intern onderbouwde én met de Verbijzonderde Interne Controles intern gecontroleerde Rechtmatigheids-verantwoording in de jaarrekening die gericht is op rapportering van de ontdekte financiële rechtsmatigheidsfouten en -onduidelijkheden bij de voor de jaarrekening financieel kritische processen die de door de raad vastgestelde rechtmatigheidsverantwoordingsgrens van 1% van de totale lasten inclusief reservedotaties overschrijden; én
intern onderbouwde extra collegetoelichting als onderdeel van de Bedrijfsvoeringsparagraaf die ingaat op de kwaliteit van de interne beheersingsorganisatie. Het college zal hierin een toelichting geven op c.q. ingaan op de getroffen en/of te treffen interne beheersmaatregelen ter voorkoming in de toekomst van:
Als de interne (risico)beheersing van de gemeentelijke processen en systemen qua getrouwheid en financiële rechtmatigheid in de gemeente Kaag en Braassem geoptimaliseerd is, en meer ervaring met de Rechtmatigheids-verantwoording vanaf het verslagjaar 2023 is opgedaan, heeft onze gemeente als toekomstige ambitie om de wettelijke verplichte Rechtmatigheidsverantwoording vrijwillig vanaf het verslagjaar 2029 uit te breiden naar een bredere ‘In Control Statement’. Hiermee zal het college naast de verantwoording over de waarborging van de financiële rechtmatigheid en getrouwheid (zie punt 1 hierboven) ook vanaf het verslagjaar 2029 verantwoording afleggen over de mate van waarborging van de doelmatigheid en doeltreffendheid binnen de gemeentelijke organisatie van Kaag en Braassem.
Verder schrijft artikel 212 van de Gemeentewet (GW) voor dat de raad bij verordening de uitgangspunten vaststelt voor het financiële beleid, het financiële beheer, en de inrichting van de financiële organisatie. Deze financiële verordening ex GW212 moet waarborgen dat de gemeente voldoet aan de eisen van rechtmatigheid, verantwoording en controle.
1.2. Aanleiding voor de Nota M&O-beleid
Uitgaande van deze wettelijke verplichting vanuit GW212 enerzijds en uitgaande van de door de raad vastgestelde hierop naadloos aansluitende VOC-3LM anderzijds, heeft onze raad op 18 december 2023 deze wettelijk verplichte lokale Financiële verordening 2023 ex GW212 hierop aansluitend geactualiseerd.
Onze financiële verordening 2023 ex GW212 vormt daarmee enerzijds vanaf het begrotings-/verslagjaar 2023 de lokale kaders voor de wijze en diepgang van de opstelling door het college van de begrotingen, de tussenrapportages en de jaarstukken (waaronder ook de Rechtmatigheidsverantwoording en de Bedrijfsvoeringsparagraaf is opgenomen).
Anderzijds vormt deze financiële verordening een deel van de lokale kaders voor de (verbijzonderde) interne controles, die conform artikel 26 van dezelfde verordening door of namens het college jaarlijks systematisch en verplicht moeten worden uitgevoerd om intern als gemeente zelf:
1.de getrouwheid van de (financiële) informatieverstrekking vast te stellen.
Dit omvat derhalve de (verbijzonderde) interne controles gericht op de vaststelling:
van de getrouwheid van de jaarrekening (bestaande uit de balans, het overzicht van baten en lasten inclusief de toelichting op beide, de SiSa-verantwoordingsbijlage en de nieuwe Rechtmatigheidsverantwoording van het college) in overeenstemming met de geldende verslaggevingsregels (zoals o.a. het BBV, de SiSa-voorschriften, de lokale Financiële verordening 2023 ex GW212 en de VOC-3LM), én
2. de financiële rechtmatigheid van de financiële beheershandelingen die ten grondslag liggen aan de baten, lasten en balansmutaties van de jaarrekening vanuit de kritische processen vast te stellen.
Uitgaande van de met de raad middels dezelfde financiële verordening afgesproken:
rapport het college afhankelijk van de omvang van de al dan niet met de (verbijzonderde) interne controles ontdekte financiële rechtmatigheidsfouten en -onduidelijkheden daarover in de Rechtmatigheidsverantwoording en/of in de extra collegetoelichting als onderdeel van de Bedrijfsvoeringsparagraaf.
De bovenstaande begrippen ‘getrouwheid’ (bestaande uit deelcomponenten c.q. -criteria 1 t/m 6) en ‘financiëlerechtmatigheid’ (bestaande uit deelcomponenten c.q. -criteria 1 t/m 9), de overlap en het verschil tussen deze begrippen
zijn in de landelijke ‘Kadernota rechtmatigheid 2023 geactualiseerd (versie november 2023)’ van de commissie BBV concreet gemaakt met behulp van de onderstaande 9 soorten deelcriteria, waarbij de criteria 7 t/m 9 aanvullende oftewel specifieke financiële rechtmatigheidscriteria zijn, namelijk:
In de jaarstukken legt het college verantwoording af over de 6 criteria van ‘getrouwheid’ resp. over alle 9 criteria van ‘financiële rechtmatigheid’, namelijk:
De criteria 1 t/m 6, die betrekking hebben op ‘getrouwheid’ en óók onderdeel zijn van ‘financiële rechtmatigheid’, komen tot uitdrukking in de balans, het overzicht van baten en lasten en de toelichting op beide als onderdeel van de jaarrekening. Hiermee legt het college verantwoording af over de getrouwheid en deels over de eerste 6 criteria/onderdelen van de financiële rechtmatigheid die overlap tonen met de getrouwheid.
De 3 aanvullende specifieke financiële rechtmatigheidscriteria (criteria 7 t/m 9) komen tot uitdrukking in de door het college af te leggen Rechtmatigheidsverantwoording en/of in de Bedrijfsvoeringsparagraaf.
Uitgaande van de met de raad middels de Financiële verordening 2023 ex GW212 afgesproken:
rapport het college afhankelijk van de omvang van de al dan niet met de (verbijzonderde) interne controles ontdekte specifieke financiële rechtmatigheidsfouten en -onduidelijkheden daarover namelijk in de Rechtmatigheidsverantwoording en/of in de extra collegetoelichting als onderdeel van de Bedrijfsvoeringsparagraaf.
Het in de hierboven gepresenteerd tabel ‘geel’ gearceerde 9e criterium van Misbruik & Oneigenlijk gebruik (M&O) is dus één van de 9 financiële rechtmatigheidscriteria dat met de gemeentelijke interne beheersingsorganisatie beheerst moet worden en waarop tijdens de (verbijzonderde) interne controles van de kritische processen getoetst moet worden.
Ook is dit M&O-criterium één van de 3 specifieke financiële rechtmatigheidscriteria (criteria 7 t/m 9) waarover het college bij afwijkingen op de hierboven vermelde wijze in de Rechtmatigheidsverantwoording en/of de Bedrijfsvoeringsparagraaf specifiek verantwoording moet afleggen.
Het M&O-thema vormt dus een belangrijk onderdeel van zowel de interne beheersing, de (verbijzonderde) interne controles alsook van de verantwoording van onze gemeente
In artikel 25 en 30 van onze financiële verordening is derhalve opgenomen dat het college zorg moet dragen voor resp. verantwoordelijk is voor het (bepalen en vastleggen van) beleid en interne regels voor het voorkomen van misbruik en oneigenlijk gebruik van gemeentelijke overheidsregelingen en eigendommen, opdat aan de eisen van rechtmatigheid, controle en verantwoording wordt voldaan.
Verder is in artikel 30 lid 1 van dezelfde verordening het M&O-criterium nader aangeduid als het criterium van financiële rechtmatigheid, dat betrekking heeft op het voorkomen én detecteren en corrigeren van misbruik en oneigenlijk gebruik van overheidsgelden (lees: gemeentelijke regelingen) en gemeentelijke eigendommen bij financiële beheershandelingen.
Daarom vormt onze financiële verordening tenslotte de lokale overkoepelende kaders voor de verantwoordelijkheid c.q. opdrachtverplichting van ons college voor het M&O, als zogenaamde 3e component van de specifieke financiële rechtmatigheid die intern beheerst, met (verbijzonderde) interne controles gecontroleerd en waarover specifiek verantwoording afgelegd moet worden.
In het kader van deze collegeverplichting en in het licht van de invoering van de rechtmatigheidsverantwoordingwet vanaf het verslagjaar 2023, beveelt de commissie BBV het opstellen en vaststellen van een lokale overkoepelende Nota M&O-beleid aan in de landelijke ‘Kadernota rechtmatigheid 2023 geactualiseerd’.
Ten behoeve van het voorkomen van c.q. ontdekken en herstellen van ontdekte misbruik en oneigenlijk gebruik bij financiële beheershandelingen binnen en rondom de van toepassing zijnde specifieke (gemeentelijke) overheidsregelingen, processen en eigendommen bevat zo’n overkoepelende Nota M&O-beleid het gemeente breed toe te passen algemeen M&O-beleidskader, dat ingaat op de hierbij te hanteren scope, begrippen, definities, doelstellingen, uitgangspunten, rolverdeling, mogelijke (soorten) risicobeheersmaatregelen, onderkende risicogebieden met daarbij de toe te passen intensiteit van het M&O-beleid, afwegingskaders bij geconstateerde M&O-afwijkingen, rapportage- en verantwoordings-wijze.
De daadwerkelijke nadere uitwerking en toepassing van dit algemeen M&O-beleidskader vindt feitelijk plaats in de van toepassing zijnde specifieke (gemeentelijke) overheidsregelingen, eigendommen, processen en de hierbij behorende AO/IB-procesbeschrijvingen. Hoe de mix van concreet getroffen M&O-risicobeheersmaatregelen hierbij eruit ziet, wordt dus bepaald door een beleidsmatige keuze, gebaseerd op een M&O-risicoafweging en een kosten/baten-(risicodekking)-analyse aan de hand van dit gemeente breed toe te passen algemeen M&O-beleidskader, zoals dat opgenomen is in deze overkoepelende Nota M&O-beleid van ons college.
Zo’n overkoepelende Nota M&O-beleid was en is nog steeds niet wettelijk verplicht gesteld, maar wordt in het kader van een effectieve interne (risico)beheersing, (verbijzonderde) interne controle en verantwoording sterk aanbevolen.
Echter, de daadwerkelijke uitwerking van zo’n algemeen kaderstellende Nota M&O-beleid in de vorm van (een mix van) concreet getroffen effectieve M&O-risicobeheersmaatregelen binnen en rondom de toepasselijke specifieke (gemeentelijke) overheidsregelingen, processen en eigendommen (zie artikel 25 en 30 van onze financiële verordening), maar ook de (verbijzonderde) interne controles op de opzet, het bestaan en de werking van deze M&O-risicobeheersmaatregelen was en is nog steeds altijd wettelijk verplicht gesteld (zie artikel 26 van onze financiële verordening en de landelijke ‘Kadernota Rechtmatigheid geactualiseerd’).
Met deze lokale, algemeen kaderstellende en overkoepelende ‘Nota M&O-beleid 2023ev van gemeente Kaag en Braassem’ wordt - conform de aanbevelingen van de commissie BBV - met ingang van het verslagjaar 2023 meerjarig en beleidsmatig invulling gegeven aan de in artikel 25 en 30 van onze financiële verordening genoemde opdrachtverplichting van ons college ten aanzien van het voorkomen van c.q. ontdekken en herstellen van ontdekte misbruik en oneigenlijk gebruik.
1.3. (Leeswijzer) algemeen kaderstellende en overkoepelende Nota M&O-beleid
Deze lokale, algemeen kaderstellende en overkoepelende Nota M&O-beleid is opgesteld om het gemeente breed toe te passen algemeen M&O-beleid meerjarig vast te leggen ten aanzien van het voorkomen van c.q. ontdekken en herstellen van ontdekte misbruik en oneigenlijk gebruik bij financiële beheershandelingen binnen en rondom de van toepassing zijnde specifieke (gemeentelijke) overheidsregelingen, processen en eigendommen.
Hierin wordt ingegaan op de hierbij gemeente breed te hanteren:
Deze overkoepelende Nota M&O-beleid is van belang voor een effectieve interne (risico)beheersing van, (verbijzonderde) interne controle op en verantwoording over misbruik en oneigenlijk gebruik bij financiële beheershandelingen binnen en rondom de van toepassing zijnde specifieke (gemeentelijke) overheidsregelingen, processen en eigendommen.
Het biedt een gemeente breed toe te passen algemeen M&O-beleidskader voor het onderkennen van specifieke M&O-risico’s, benoemt welke M&O-risicogebieden al zijn onderkend, gaat in op hoe en met welk intensiteit (basis, gematigd tot streng) deze risico’s in de (proces)uitvoeringspraktijk afgedekt kunnen worden met welke soorten effectieve M&O-risicobeheers¬maatregelen, gaat in op de toe te passen afwegingskaders bij geconstateerde M&O-afwijkingen en de wijze van rapportering en verantwoording hieromtrent.
De daadwerkelijke nadere uitwerking en toepassing van dit algemeen M&O-beleidskader vindt feitelijk plaats in de van toepassing zijnde specifieke (gemeentelijke) overheidsregelingen, eigendommen, processen en de hierbij behorende AO/IB-procesbeschrijvingen.
Uitgaande van de door de raad vastgestelde ‘VOC-3LM’ en de hierop aansluitend uitgevoerde scope-bepaling voor de (verbijzonderde) interne controle van het verslagjaar 2023, zijn vervolgens vanuit de bij deze (V)IC-scopebepaling onderkende verschillende soorten processen/(gemeentelijke) overheidsregelingen de onderstaande M&O-risicogevoelige gebieden (processen/(gemeentelijke) overheidsregelingen) bij onze gemeente onderkend, namelijk:
De meeste (gemeentelijke) overheidsregelingen zijn gebonden aan wettelijke eisen en minimumnormen voor het nemen van risicobeheersmaat¬regelen ter bestrijding van fraude en misbruik.
Vanuit M&O-beheersingsoptiek is het dus mogelijk om daar aanvullende specifieke M&O-risicobeheers¬maatregelen aan toe te voegen op basis van dit algemeen M&O-beleidskader.
Hoe de mix van concreet getroffen specifieke (aanvullende) M&O-risicobeheersmaatregelen per proces/(gemeentelijke) overheidsregeling eruit ziet, wordt dus bepaald door een beleidsmatige keuze, gebaseerd op een M&O-risicoafweging en een kosten/baten-(risicodekking)-analyse aan de hand van dit gemeente breed toe te passen algemeen M&O-beleidskader.
Als aanvulling op deze specifieke Nota M&O-beleid bevat de ‘Nota Integraal Risicomanagement & Weerstandsvermogen-beleid’ aanvullende algemene richtlijnen met betrekking tot:
2. Scope van c.q. te hanteren begrippen en definities in de Nota M&O-beleid
2.1. Scope van de Nota M&O-beleid
De scope van deze Nota M&O-beleid is gericht op het uiteenzetten van het gemeente breed toe te passen algemeen M&O-beleidskader vanaf het verslagjaar 2023 ten aanzien van het voorkomen van c.q. ontdekken en herstellen van ontdekte externe Misbruik en Oneigenlijk gebruik bij financiële beheershandelingen binnen en rondom de van toepassing zijnde specifieke (gemeentelijke) overheidsregelingen, processen en eigendommen van de gemeente Kaag en Braassem.
Afbakening van de scope van deze Nota M&O-beleid:
Dit M&O-beleid ziet sec toe op de publiekrechtelijke taakuitoefening van de gemeente. Privaatrechtelijk handelingen, zoals de aan- en verkoop c.q. de aan- en verhuur van vastgoed en gronden en het oneigenlijk gebruik van gemeentelijke gronden, vormt geen onderdeel van dit M&O-beleid aangezien het geen (gemeentelijke) overheidsregelingen betreft.
Ook de verbonden partijen die zelf eindverantwoordelijk zijn voor hun eigen M&O-beleid ten aanzien van hun eigen (gemeentelijke) overheidsregelingen vallen buiten de scope van dit M&O-beleid. Deze partijen zijn namelijk zelf eindverantwoordelijk voor hun eigen M&O-beleid i.c. en ondergaan onafhankelijk van de gemeente Kaag en Braassem een zelfstandige accountantsjaarrekeningcontrole. Onze gemeente ontvangt van deze verbonden partijen overigens wel een accountantscontroleverklaring ten aanzien van hun jaarrekening.
Uitzondering hierop vormen de gelieerde externe (beleids)uitvoerende partijen die namens onze gemeente (gemeentelijke) overheidsregelingen verstrekken resp. gemeentelijke belastingen heffen en/of kwijtschelden, waarbij de aldaar (mogelijk) optredende financiële rechtmatigheidsafwijkingen (zo ook de M&O-afwijkingen) met betrekking tot deze (geld)stromen doorwerking hebben op de financiële rechtmatigheid van de jaarstukken van onze gemeente.
Derhalve vallen interne regelingen met sec een interne doorwerking binnen de gemeente niet onder de scope en werking van dit M&O-beleid. Interne regelingen worden wat betreft eventueel misbruik of oneigenlijk gebruik resp. fraude onder het gemeentelijke integriteitsbeleid resp. het gemeentelijke fraudebeleid geschaard.
2.2. M&O-begrippen en -definities i.r.t. tot Integriteit, Fraude, Ondermijning, Privacy- en Informatie-bescherming
Hieronder is de relatie tussen externe Misbruik en Oneigenlijk gebruik vanuit dit M&O-beleid met Integriteit(sbeleidskader) en Fraude(beleid) gevisualiseerd samengevat weergegeven:
In lijn met de landelijke ‘Kadernota rechtmatigheid 2023 geactualiseerd’ van de commissie BBV worden hierbij de volgende begrippen en definities gehanteerd.
is het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van gegevens door een derde belanghebbende buiten de gemeentelijke organisatie (burger, bedrijf, instelling, organisatie etc.) met als bewuste doel ten onrechte:
Bij Misbruik is er dus intern vanuit de eigen gemeentelijke organisatie geen persoon opzettelijk betrokken om bewust voordeel hierbij te behalen en is er altijd sprake van het financiële onrechtmatig gebruik door een derde van een regeling/faciliteit die de (gemeentelijke) overheid biedt. Bij Misbruik is er dus sprake van een bewuste misleiding door een derde om een onrechtmatig of onwettig voordeel hiermee te behalen. Er is dus sprake van een onrechtmatig of onwettig handelen door een externe.
Bij het bestrijden van misbruik passen interne M&O-risicobeheersmaatregelen zoals misbruikpreventie, handhaving, misbruik opsporing en sancties.
Oneigenlijk gebruik door externe derden
Het door het aangaan van rechtshandelingen, al dan niet gecombineerd met feitelijke handelingen, door een derde belanghebbende buiten de gemeentelijke organisatie (burger, bedrijf, instelling, organisatie etc.):
in overeenstemming met de bewoordingen van de regelgeving maar in strijd met het doel en de strekking daarvan.
Bij Oneigenlijk gebruik wordt door een derde belanghebbende buiten de gemeentelijke organisatie feitelijk gehandeld in overeenstemming met de vigerende wet- en regelgeving. Er is dus geen sprake van een onrechtmatig of onwettig handelen door een externe. Wel is er sprake van het in strijd handelen met het doel en de strekking van de wet- en regelgeving.
Dit vereist dat de vigerende wet- en regelgeving duidelijk is, aangepast is aan actuele gewijzigde omstandigheden en te handhaven is, zodat deze zijn beoogde doel(groep) en strekking bereikt. De zogenaamde ’mazen’ van de regelgeving moeten dus zo snel mogelijk worden aangepast en/of duidelijker worden toegelicht.
Bij bestrijding van oneigenlijk gebruik passen interne M&O-risicobeheersmaatregelen zoals handhaving, voorlichting, analyse toepassen en actualisering wet- en regelgeving naar de gewijzigde omstandigheden.
M&O-gevoeligheden c.q. -risicogebieden
(Gemeentelijke) overheidsregelingen en de daarbij behorende wet- en regelgeving, processen of onderdelen daarvan, die het risico op misbruik en oneigenlijk gebruik met zich meedragen en waarbij sprake is van afhankelijkheid van gegevens die derden aan de gemeente verstrekken.
Het - in deze lokale, algemeen kaderstellende en overkoepelende Nota M&O op basis van artikel 25 en 30 van onze Financiële verordening 2023 ex GW212 opgenomen - gemeente breed toe te passen algemeen M&O-beleid van onze gemeente ten aanzien van het voorkomen van c.q. ontdekken en herstellen van ontdekte misbruik en oneigenlijk gebruik bij financiële beheershandelingen binnen en rondom de van toepassing zijnde specifieke (gemeentelijke) overheidsregelingen, processen en eigendommen.
De daadwerkelijke nadere uitwerking en toepassing van het algemeen M&O-beleid in en bij de specifieke (gemeentelijke) overheidsregelingen, eigendommen, processen en de hierbij behorende AO/IB-procesbeschrijvingen.
De meeste (gemeentelijke) overheidsregelingen zijn gebonden aan wettelijke eisen en minimumnormen voor het nemen van risicobeheersmaatregelen ter bestrijding van fraude en misbruik.
Vanuit M&O is het dus mogelijk om daar aanvullende specifieke M&O-risicobeheersmaatregelen aan toe te voegen op basis van het algemeen M&O-beleidskader.
Een periodiek (minimaal 1 x per jaar) uit te voeren risicoanalyse gericht op risico’s ten aanzien van misbruik en oneigenlijk gebruik bij financiële beheershandelingen binnen en rondom de van toepassing zijnde specifieke (gemeentelijke) overheidsregelingen en de daarbij behorende wet- en regelgeving, processen en eigendommen.
is een goede persoonlijke eigenschap van een persoon wat inhoudt dat deze betrokkene eerlijk, oprecht en niet omkoopbaar is en dat deze zich vasthoudt aan de nomen en waarden, ook als deze van buitenaf onder druk staan.
Onze gemeente onderkent dat de praktische uitwerking van het voorkomen van c.q. ontdekken en herstellen van ontdekte misbruik en oneigenlijk gebruik in belangrijke mate staat of valt met de integriteit van eigen gemeentelijke toezichthouders, bestuurders, management, ambtenaren en ingezet extern personeel. Niet integer handelen, kan namelijk leiden tot misbruik en oneigenlijk gebruik. Ons gemeentelijke integriteitsbeleid(skader) heeft dus raakvlakken en mogelijke gevolgen voor de mate interne fraude resp. externe misbruik en oneigenlijk gebruik door derden.
Intern gericht zijn al diverse Integriteit-risicobeheersingsmaatregelen binnen onze gemeente genomen, zoals:
de voorschreven af te leggen ‘Ambtseed/Belofte’ door B&W-leden, met toezicht belaste personen, management en ambtenaren resp. de verplicht te ondertekenen ‘Integriteits- en geheimhoudingsverklaring’ door ingezet extern personeel waarin ook regels ten aanzien van vertrouwelijk omgaan met gevoelige informatie staan,
Extern gericht zijn onder meer de ‘Wet Bibob’, de ‘Beleidsregel Integriteit en Overeenkomsten (BIO) gemeente Kaag en Braassem 2018’, en de ‘Beleidslijn 2012 voor de toepassing van de Wet Bevordering integriteitbeoordelingen door het openbaar bestuur (Bibob) in de gemeente Kaag en Braassem’ als Integriteit-risicobeheersingsmaatregelen aan te merken.
Onze gemeente is feitelijk niet verantwoordelijk voor het niet-integer handelen van een derde belanghebbende buiten de gemeentelijke organisatie (burger, bedrijf, instelling, organisatie etc.), maar wil duidelijk niet hieraan meewerken.
Met deze wet- en regelgeving heeft de gemeente een (preventief) bestuursrechtelijk instrument om een (gevraagde) nieuwe beschikking, vergunning en/of andersoortig besluit te weigeren resp. een bestaande in te trekken, als er twijfel bestaat over de integriteit van de (aanvragende) externe betrokkene.
Hiermee kan de gemeente dus voorkomen of tegengaan dat haar beschikking, vergunning of andersoortig besluit wordt misbruikt bij het plegen van strafbare feiten door deze externe betrokkene.
De toepassing van Wet Bibob is bij onze gemeente uitgewerkt in de bovenstaande vastgestelde gemeentelijke Bibob-beleidslijn en -beleidsregel. Deze zijn van toepassing op beschikkingen, vergunningen en/of andersoortige besluiten met betrekking tot onder meer horeca- en seksinrichtingen, escortbedrijven, coffeeshops (alcoholvrije bedrijven) en speelautomatenhallen.
is een opzettelijke handeling verricht door één of meerdere leden van de eigen gemeentelijke organisatie (raadsleden en andere met toezicht belaste personen, B&W-leden, management, ambtenaren, intern ingezet extern personeel etc.), al dan niet samen met derden, waarbij gebruik wordt gemaakt van misleiding teneinde zelf als gemeentelijke organisatielid een onrechtmatig of onwettig voordeel (financieel of in natura) hierdoor te behalen.
Fraude is dus intern gericht. Een voorbeeld daarvan is het opstellen en/of betalen van valse facturen waarbij één of meerdere personen binnen de gemeente bewust betrokken zijn.
Het college als eindverantwoordelijke en de ambtelijke organisatie (1e lijn proceseigenaren primair, de 2e lijn Interne Controle secundair en de 3e lijn Verbijzonderde Interne Controle secundair) zijn gezamenlijk verantwoordelijk voor het voorkomen van risico’s op c.q. ontdekken en herstellen van ontdekte afwijkingen/onvolkomenheden ten aanzien van getrouwheid, financiële rechtmatigheid (waaronder M&O), maar ook ten aanzien van onder meer fraude (zie de VOC-3LM).
De (verbijzonderde) interne controles in de 2e en 3e lijn zijn
- primair gericht op de controle van getrouwheid en financiële rechtmatigheid waaronder het M&O-criterium valt
(zie artikel 25, 30 en 26 van onze Financiële verordening 2023 ex GW212 en de landelijke ‘Kadernota Rechtmatigheid geactualiseerd’), en
- secundair gericht op onder meer de beoordeling van de opzet, het bestaan en de werking van de interne (risico)-beheersmaatregelen met betrekking tot de beveiliging van middelen (activa en waarden) tegen fraude (zie de VOC-3LM en het Verbijzonderde Interne Controle-masterplan 2023-2028 en de hiervan afgeleide jaarlijkse VIC-jaarplannen met ingang van het verslagjaar 2023).
De externe accountantscontrole van de reguliere gemeentelijke jaarstukken in de 4e lijn is
- primair gericht op de controle van getrouwheid, en
- secundair gericht op de beoordeling van de opzet, het bestaan en de werking van de interne (risico)beheersmaatregelen met betrekking tot de beveiliging van middelen (activa en waarden) tegen fraude (zie onder meer het Controleprotocol 2023 behorende bij de lokale Controleverordening 2023 ex GW213).
Ten aanzien van fraude omvatten deze secundair gerichte (verbijzonderde) interne controle- resp. accountantscontrole-werkzaamheden:
qua opzet toereikende interne fraude-risicobeheersmaatregelen heeft getroffen ten aanzien van de voor de jaarrekening kritische processen (waarmee diverse gemeentelijke taken en (gemeentelijke) overheidsregelingen door de eigen gemeentelijke organisatie intern zelf of namens haar door gelieerde externe partijen worden uitgevoerd) en de daarbij behorende AO/IB-procesbeschrijvingen,
in het geval van concrete aanwijzingen, signalen en vermoedens van fraude, ongeacht de omvang van de vermoede fraude, ondernemen van concrete vervolgonderzoekacties specifiek gericht op het vaststellen of er daadwerkelijk sprake is van fraude en zo ja wat de aard, oorzaak, frequentie (incident of structureel) en gevolgen daarvan, maar ook wie er hierbij betrokken, zijn geweest.
Dit gezegd hebbende, is het vaststellen of dat er daadwerkelijk sprake is van fraude vaak lastig. Dit komt doordat fraude gepaard gaat met opgezette plannen om de fraude te verhullen, zoals valsheid in geschrifte, het opzettelijk nalaten om transacties vast te leggen of het opzettelijk aan de controleur bewust verkeerd voorstellen van zaken.
Samenspanning binnen de gemeentelijke organisatie of met derde partijen, maar ook de bewuste doorbreking door management en andere organisatieleden van één of meer componenten van het interne beheersingssysteem in en rondom de processen (zoals controle-technische functiescheiding, het niet volgen van procedures etc.) vanwege fraude, maakt het onderzoek tot het vaststellen of dat er daadwerkelijk sprake is van fraude nog lastiger.
Kwalitatieve materiele onvolkomenheden als gevolg van onder meer fraude worden ongeacht hun kwantitatieve financiële omvang meegewogen in het getrouwheidsoordeel van de accountantscontroleverklaring en worden altijd gemeld in het ‘accountantsverslag van bevindingen’.
Vanaf het verslagjaar 2022 zijn accountants bovendien verplicht om in de accountantscontroleverklaring te rapporteren over de mate van interne gemeentelijke beheersing van onder meer fraude(risico’s) en de betrouwbaarheid en continuïteit van de gegevensverstrekking.
Aangezien onvolkomenheden (fouten of onzekerheden) als gevolg van fraude, ongeacht de financiële omvang daarvan, een onderdeel zijn van de getrouwheidsverklaring van de externe accountant, worden deze onvolkomenheden vanuit de optiek van financieel rechtmatigheid daarom niet opgenomen in de Rechtmatigheidsverantwoording van het college en/of de extra collegetoelichting als onderdeel van de Bedrijfsvoeringsparagraaf die ingaat op de kwaliteit van de interne beheersingsorganisatie.
Als de gemeente de financiële gevolgen van fraude (fouten of onzekerheden) namelijk op een getrouwe wijze in de jaarrekening heeft verwerkt/hersteld (door bijvoorbeeld de opname van een terugvordering van de geleden (gevolg)schade met eventuele bijkomende kosten), dan kan deze fraude-onvolkomenheid, ongeacht de financiële omvang daarvan, vrijwillig door het college toegelicht worden in de Bedrijfsvoeringsparagraaf van de jaarstukken waarbij ook ingegaan kan worden op de getroffen en/of te treffen interne fraude-risicobeheersmaatregelen ter voorkoming daarvan in de toekomst.
betreft het vermengen van boven en onderwereld met als doel als criminele organisatie een voordeel te verkrijgen. Denk hierbij bijvoorbeeld aan geweld, chantage of intimidatie om bepaalde zaken door de gemeentelijke organisatie gedaan te krijgen. Ondermijning is ook een vorm van niet-integer handelen en kan leiden tot fraude als daarbij ook interne organisatieleden betrokken raken en daarbij door misleiding op een onrechtmatige wijze tevens voordeel behalen, maar is zeker geen synoniem. Ondermijning is te bestrijden met onder meer het toepassen van Wet Bibob-maatregelen en valt buiten deze Nota M&O-beleid.
Interne misbruik en oneigenlijk gebruik van binnen de gemeente beschikbare informatiedata door schending van privacybeschermings- en informatiebeveiligingsregels
Naast externe misbruik en oneigenlijk gebruik van (gemeentelijke) overheidsregelingen (in geld en natura) door derde belanghebbenden, kan er ook sprake zijn van interne misbruik en oneigenlijk gebruik van binnen de gemeente beschikbare informatiedata door schending van wet- en regelgeving ten aanzien van privacybescherming en informatiebeveiliging.
Dit kan inbreuk op privacy betreffen met identiteitsfraude als meest vergaande vorm waardoor eventueel externe misbruik kan worden gemaakt bij het benutten van (gemeentelijke) overheidsregelingen door het zich voordoen als een ander persoon. Het kan dus hierbij gaan om het lekken van vertrouwelijke informatie of persoonsgegevens.
Algemene Verordening Gegevensbescherming (AVG)
Om gegevens van de inwoners binnen Europa beter te beschermen, is er vanaf 25 mei 2018 een nieuwe Europese privacywet van kracht, namelijk de Algemene Verordening Gegevensbescherming (AVG) waarmee de Wet Bescherming Persoonsgegevens is vervangen.
De AVG legt vast dat persoonsgegevens alleen verzameld en bewaard mogen worden als (en zo lang) dat strikt noodzakelijk is voor de (gemeentelijke) taakuitoefening. Voorbeelden van persoonsgegevens zijn: naam, adres, geboortedatum, BSN, medische informatie en geloofsovertuiging.
We moeten in dit kader als gemeente een register bijhouden met een beschrijving van alle processen en de persoonsgegevens die daarin verwerkt worden en de daarbij geconstateerde (privacy)data-lekken.
Afspraken met andere organisaties leggen we vast in een Verwerkersovereenkomst.
Er is verder een procedure die wordt gevolgd bij constatering van een mogelijke (privacy)data-lek. Deze lekken moeten namelijk adequaat worden geregistreerd, beoordeeld en afgehandeld met al dan niet als gevolg een melding aan de Autoriteit Persoonsgegevens en/of de betrokkene personen waarvan de gegevens zijn gelekt.
Het risico op het ontstaan van data-lekken wordt verder beperkt door de autorisatie-mandaatstructuur en de borging van deze general IT-controls bij de betreffende applicaties.
Om dit nog meer te borgen in onze gemeentelijke organisatie is er een lokale Privacy-beleid- en -reglement opgesteld en is - in samenwerking met de gemeente Alphen aan den Rijn - een privacy-team actief dat bestaat uit de Functionaris Gegevensbescherming (FG), de Privacy Officer (PO) en de Chief Information Security Officer (CISO).
De CISO richt zich op (de implementatie van) de beveiliging van alle waardevolle informatie van de organisatie.
De FG ziet toe op naleving van privacywet- en regelgeving waarvan een passend beveiligingsniveau met betrekking tot persoonsgegevens onderdeel van uit maakt.
Baseline Informatiebeveiliging Overheid (BIO) en Eenduidige Normatiek Single Information Audit (ENSIA)
Informatiebeveiliging is de verzamelnaam voor de te hanteren ICT-informatiebeveiligingsprocessen en te treffen technische en organisatorische ICT-risicobeheersmaatregelen die ingericht c.q. getroffen moeten worden om de betrouwbaarheid, vertrouwelijkheid en continuïteit van de gebruikte informatiesystemen en de daarin opgeslagen datagegevens bij de gemeentelijke processen te beschermen tegen misbruik en oneigenlijk gebruik. Kernpunten daarbij zijn betrouwbaarheid
(= getrouwheid oftewel integriteit), vertrouwelijkheid en continuïteit (= beschikbaarheid) van persoonsgegevens en andere informatie.
Hierbij is de BIO, die vanaf 1 januari 2020 van kracht is, het belangrijkste landelijke normenkader voor onze gemeente. De BIO is namelijk het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Hiermee is dus één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid ontstaan, gebaseerd op de internationaal erkende en actuele ISO-normatiek.
Onze lokale uitwerking van dit BIO-kader is vastgelegd in het gezamenlijk ‘Strategisch Gemeentelijk Informatiebeveiligings-beleid Alphen aan den Rijn en Kaag en Braassem 2022-2026’.
Onze ICT-dienstverlening en de informatiebeveiliging daarvan is grotendeels uitbesteed aan de ‘BVO ICT Alphen aan den Rijn’, deels aan de landelijke ‘Bank Nederlandse Gemeenten BNG’ (Online BNG-bankapplicatie) en aan de externe softwareleverancier ‘Centric’ (diverse Centric Key2-applicaties en het Centric Motion Pro salarisverwerkingspakket waarover we als gemeente jaarlijks een IT-assurancerapport van hun auditors krijgen).
Onze gemeente verantwoordt zich jaarlijks over de kwaliteit van haar informatiebeveiliging oftewel de mate van lokaal doorgevoerde landelijke BIO-eisen bij de door onze gemeente gebruikte ICT-systemen. Dit geschikt parallel en op een:
de jaarlijks af te leggen ENSIA-collegeverantwoordingsrapportage voorzien van een IT-assurancerapport over de getrouwheid van deze verantwoording ten aanzien van de lokaal gebruikte landelijke Digid- en Suwinet-systemen specifiek: Onder leiding van onze gezamenlijke ENSIA-coördinator en de hierbij als toetser optredende gezamenlijke CISO (beide werkzaam bij gemeente Alphen aan den Rijn) wordt deze verantwoording met input van diverse informatie-systeemeigenaren in een voor ons toebedeeld ENSIA-portaal van het landelijke ENSIA-systeem opgesteld.
De opgestelde jaarlijkse ENSIA-collegeverantwoording wordt vervolgens voorzien van een IT-assurancerapport met betrekking tot de getrouwheid van de hierin opgenomen verantwoordingsinformatie inzake de Digid- en Suwinet-systemen specifiek. De opdrachtverstrekking aan deze IT-auditor geschiedt in gezamenlijkheid met gemeente Alphen aan den Rijn.
Deze ICT-systeemapplicaties en de daarin opgenomen informatie is van belang voor onder meer de interne toetsing in de 1e lijn, de (verbijzonderde) interne controle in de 2e en 3e lijn, maar ook voor de accountantscontrole in de 4e lijn die specifiek gericht zijn op de toetsing/controle van de door derde belanghebbende verstrekte gegevens in het kader van mogelijk externe misbruik en oneigenlijk gebruik bij diverse (gemeentelijke) overheidsregelingen en de daarbij behorende regelgevingen en processen.
Verder toetst de externe accountant in het kader van de reguliere jaarrekeningcontrole resp. de (verbijzonderde) interne controle tijdens de procesgerichte controles de opzet, het bestaan en werking van de geautomatiseerde applicatie-controls die ingebouwd zijn in de meest jaarrekening-kritische applicaties vanuit financieel oogpunt, en secundair ook de opzet, het bestaan en de werking van de general IT-controls gericht op de beveiliging (= getrouwheid oftewel integriteit) en continuïteit (= beschikbaarheid) van de interne en externe informatieverstrekking(systemen) die nodig zijn voor sturing en bijsturing maar ook voor de betrouwbare informatieverstrekking en verantwoording over de financiële beheershandelingen middels de jaarrekening.
Tot slot wordt veel gedaan aan het intern stimuleren van bewustwording ten aanzien van (privacy)gegevensbescherming.
3. Doelstellingen, redenen en uitgangspunten van Nota M&O-beleid en rolverdeling hierbij
3.1. Doelstellingen algemeen M&O-beleidskader
Het doel van het M&O-beleid is het voorkomen van c.q. ontdekken en herstellen (inclusief bestraffen) van ontdekte misbruik en oneigenlijk gebruik bij financiële beheershandelingen binnen en rondom de van toepassing zijnde specifieke (gemeentelijke) overheidsregelingen en de daarbij behorende wet- en regelgeving, processen en eigendommen.
Het doel is dus tweeledig, namelijk:
Het door middel van (aanvullende) repressieve risicogerichte M&O-risicobeheersmaatregelen tussentijds en achteraf controleren c.q. evalueren van de werking van deze (gemeentelijke) overheidsregelingen, en zo nodig het tijdig bijstellen van deze (gemeentelijke) overheidsregelingen en de daarbij behorende regelgeving, processen en AO/IB-procesbeschrijvingen om oneigenlijk gebruik in het vervolg te voorkomen resp. het herstellen van of zelfs met sancties bestraffen van ontdekte misbruik (repressief beleid).
De meeste (gemeentelijke) overheidsregelingen zijn al gebonden aan wettelijke eisen en minimumnormen voor het nemen van risicobeheersmaatregelen ter bestrijding van Fraude en Misbruik.
Vanuit M&O-beheersingsoptiek is het dus mogelijk om daar aanvullende specifieke M&O-risicobeheersmaatregelen per (gemeentelijke) overheidsregeling aan toe te voegen op basis van dit algemeen M&O-beleidskader.
Als aanvulling op deze specifieke Nota M&O-beleid bevat de ‘Nota Integraal Risicomanagement & Weerstandsvermogen-beleid’ algemene richtlijnen met betrekking tot:
3.2. Redenen tot opstelling van het algemeen M&O-beleidskader
Redenen voor opstelling van dit algemeen M&O-beleidskader zijn:
Met dit lokale M&O-beleidskader wordt - conform de aanbevelingen van de commissie BBV - met ingang van het verslagjaar 2023 meerjarig en beleidsmatig invulling gegeven aan de in artikel 25 en 30 van onze financiële verordening genoemde opdrachtverplichting van ons college ten aanzien van het voorkomen van c.q. ontdekken en herstellen van ontdekte misbruik en oneigenlijk gebruik.
Het M&O-criterium is één van de 9 financiële rechtmatigheidscriteria dat met de gemeentelijke interne beheersings-organisatie beheerst moet worden door het treffen van (een mix van) concrete effectieve M&O-risicobeheersmaat-regelen binnen en rondom de toepasselijke specifieke gemeentelijke) overheidsregelingen en de daarbij behorende regelgeving, processen, AO/IB-procesbeschrijvingen en eigendommen (zie artikel 25 en 30 van onze financiële verordening en de VOC-3LM).
Het algemeen M&O-beleidskader draagt ook bij aan een zorgvuldige aantoonbare M&O-risicoafweging van welke (aanvullende) specifieke M&O-risicobeheersmaatregelen en controles, gezien de spelende M&O-risico’s, noodzakelijk en tegelijkertijd doeltreffend zijn, afgezet tegen de inspanning die het kost (zogenaamde kosten/baten-(risicodekking)-analyse). M&O-risicobeheersmaatregelen die veel geld en energie kosten, maar slechts beperkt (financieel) nut opleveren, kunnen daarmee worden voorkomen.
De betrouwbaarheid van door derden verstrekte gegevens kan niet in alle gevallen worden gegarandeerd via reguliere (verbijzonderde) interne controle-instrumenten. Deze instrumenten reiken in veel gevallen niet verder dan de grenzen van de eigen organisatie. Bij de controle op gegevens van derden zijn specifieke M&O-risicobeheersmaatregelen gewenst waartoe deze nota algemene M&O-beleidsrichtlijnen en -kaders geeft.
De werking van M&O-risicobeheersmaatregelen en (verbijzonderde) interne controle is voor een belangrijk deel afhankelijk van de integriteit van eigen gemeentelijke organisatieleden. Het is mogelijk dat in en bij contacten tussen interne organisatieleden en (externe) belanghebbenden bestaande procedures en (verbijzonderde) interne controles onvoldoende effectief zijn. Het is dan ook goed om in aanvulling op de reguliere risicobeheersmaatregelen alert te zijn op deze M&O-risico’s. Dit M&O-beleidskader draagt bij aan het herkennen van zwakke plekken in de Administratieve organisatie en Interne beheersmaatregelen (AO/IB) ten aanzien van specifiek de M&O-risico’s.
De meeste (gemeentelijke) overheidsregelingen zijn gebonden aan wettelijke eisen en minimumnormen voor het nemen van risicobeheersmaatregelen ter bestrijding van Fraude en Misbruik. Vanuit M&O-beheersingsoptiek is het dus mogelijk om op een uniforme en weldoordachte systematische wijze daar aanvullende specifieke M&O-risicobeheersmaatregelen per (gemeentelijke) overheidsregeling aan toe te voegen op basis van dit algemeen M&O-beleidskader.
Op dit moment zijn de getroffen (aanvullende) M&O-risicobeheersmaatregelen ten aanzien van deze (gemeentelijke) overheidsregelingen, die voortvloeien vanuit de landelijke wet- en regelgeving en de lokale gemeentelijke regelgeving, nog niet of niet goed (zichtbaar) ingebed in de daarbij bijbehorende AO/IB-procesbeschrijvingen en processen.
Het doel van de gemeente Kaag en Braassem is in 2024 en verder invulling te geven aan het opstellen van adequate AO/IB-procesbeschrijvingen voor primair de voor de jaarrekening kritische processen en de daarbij behorende (gemeentelijke) overheidsregelingen. Deze AO/IB-procesbeschrijvingen met de daarin opgenomen al dan niet geautomatiseerde interne risicobeheersmaatregelen in en rondom de processen en de bijbehorende (gemeentelijke) overheidsregelingen moeten minimaal:
adequaat in de 6W+H-vorm3 beschreven en in het centrale AO/IB-proces-vastleggingstool Engage zijn opgenomen, én
3.3. Uitgangspunten M&O-beleid
In Kaag en Braassem zijn de volgende algemene uitgangspunten van toepassing op het algemeen M&O-beleid:
Een eventueel mogelijk misbruik wordt na melding of signalering daarvan zo snel mogelijk (nader)onderzocht door de verantwoordelijk medewerker, en het geconstateerde misbruik wordt zo (snel) mogelijk op een rechtmatige en getrouwe wijze hersteld waarbij het financieel voordeel weggenomen wordt en indien mogelijk een sanctieboete wordt opgelegd.
Elk 1e lijn proceseigenaar (= clustermanager oftewel risico-eigenaar) van het proces, waar de betreffende (gemeentelijke) overheidsregeling wordt uitgevoerd, is primair verantwoordelijk voor het tijdig (laten) treffen van adequate passende (aanvullende) M&O-risicobeheersmaatregelen ten aanzien van misbruik en oneigenlijk gebruik in het betreffende proces, maar ook verantwoordelijk voor de adequate en actuele vastlegging hiervan in de daarbij behorende AO/IB-procesbeschrijving, regelgeving en regeling.
M&O-risicobeheersmaatregelen worden ingezet op basis van een minimaal jaarlijks uit te voeren c.q. hieraan voorafgaande M&O-analyse van de risico’s en na afweging van de kosten/de baten hierbij. Bij een groot M&O-risico-impact (risico-kans x risico-effect/bedrag) worden extra aanvullende specifieke M&O-risicobeheersmaatregelen (waaronder controles) ingebouwd.
Om te waarborgen dat het algemeen M&O-beleid aansluit op actuele wet- en regelgeving en op de opgedane ervaringen met betrekking tot M&O-risicobeheersmaatregelen en -controles, is de intentie deze Nota M&O-beleid minimaal eens in de vier jaar te vernieuwen. Afhankelijk van de ontwikkelingen kan het overigens eerder worden geactualiseerd.
3.4. Rollen en verantwoordelijkheden in het kader van M&O
Wettelijke eisen en minimumnormen verbinden aan de meeste (gemeentelijke) overheidsregelingen de verplichting om risicobeheersmaatregelen ter bestrijding van fraude en misbruik te treffen. Dat zijn voorgeschreven risicobeheers-maatregelen vanuit landelijke wet- en regelgeving die sowieso moeten worden ingezet.
Daarnaast zijn er extra aanvullende M&O-risicobeheersmaatregelen denkbaar die het risico van misbruik en oneigenlijk gebruik verder kunnen terugdringen tot een aanvaardbaar niveau. Deze aanvullende extra M&O-risicobeheersmaatregelen worden alleen daar ingezet waar het M&O-risico dit vraagt in combinatie met een hieraan voorafgaand kosten/baten-(risicodekking)-analyse op basis van onder meer deze Nota M&O-beleid en de algemene richtlijnen vanuit de ‘Nota Integraal Risicomanagement & Weerstandsvermogenbeleid’.
De rollen en verantwoordelijkheden i.c. zijn in lijn met de inrichtingsprincipes van onze organisatie en met de rollen benoemd in de door de raad vastgestelde VOC-3LM.
Het college vervult een kaderstellende rol door dit algemeen M&O-beleidskader en de periodieke actualisaties daarvan vast te stellen.
De 1e lijn proceseigenaar (= clustermanager oftewel risico-eigenaar) van het proces, waar de betreffende (gemeentelijke) overheidsregeling wordt uitgevoerd, is primair verantwoordelijk voor het tijdig (laten) treffen van adequate passende (aanvullende) specifieke M&O-risicobeheersmaatregelen ten aanzien van misbruik en oneigenlijk gebruik in het desbetreffende proces, maar ook verantwoordelijk voor de adequate en actuele vastlegging hiervan in de daarbij behorende AO/IB-procesbeschrijving en regelgeving en regeling. Dit gebeurt aan de hand van onder meer de jaarlijkse door hen uit te voeren M&O-risicoanalyses, bevindingen vanuit onder meer de eigen interne beleid- en maatregelen-evaluaties, de eigen interne kwaliteit(scontrole)-toetsingen in het proces voorafgaand aan de besluitvorming, de tussentijds en achteraf uitgevoerde (verbijzonderde) interne controles van de 2e en 3e lijn en de externe accountantscontroles van de 4e lijn.
De 2e lijn IC en 3e lijn VIC is verantwoordelijk voor de jaarlijkse (verbijzonderde) interne controle van de opzet, het bestaan en de werking van de getroffen interne M&O-risicobeheersmaatregelen, zoals deze in de door de proceseigenaren adequaat op te stellen AO/IB-procesbeschrijvingen opgenomen dienen te zijn.
Deze (V)IC wordt zoveel mogelijk proces-risicogericht en gebruikmakend van de beschikbare IT-mogelijkheden systeemgericht uitgevoerd. Indien dit niet mogelijk is, zal de controle-aanpak noodgedwongen gegevensgericht zijn. De (V)IC rapporteert zijn/haar bevindingen en aanbevelingen ten aanzien van onder meer het M&O aan de 1e lijn proceseigenaar en vervolgens periodiek integraal aan het DT en het college.
Het DT en uiteindelijk het eindverantwoordelijke college is verantwoordelijk voor de monitoring van de voortgang van de door te voeren acties in de 1e lijn op basis van een gemeente brede monitoringssysteem dat gevoegd wordt door onder meer de (verbijzonderde) interne controle- en externe accountantscontrole-resultaten ten aanzien van onder meer het M&O.
Op basis van onder meer deze (verbijzonderde) interne controleresultaten en de bevindingen vanuit de jaarlijkse externe accountantscontrole, die zoveel mogelijk gebruik moet maken van de (V)IC-werkzaamheden, wordt jaarlijks in de jaarstukken namens het college de Rechtmatigheidsverantwoording en de Bedrijfsvoeringsparagraaf inzake onder meer de geconstateerde M&O-afwijkingen/onvolkomenheden opgesteld (zie verder hoofdstuk 6).
Daarmee is de ‘Plan, Do, Check en Act’-cyclus rond en voldoet het college aan haar in artikel 25 en 30 van onze financiële verordening genoemde opdrachtverplichting ten aanzien van het voorkomen van c.q. ontdekken en herstellen van ontdekte misbruik en oneigenlijk gebruik.
4. M&O-risicobeheersmaatregelen
(Gemeentelijke) overheidsregelingen en de daarbij behorende regelgeving, processen, AO/IB-procesbeschrijvingen of onderdelen daarvan kunnen het risico van misbruik of oneigenlijk gebruik met zich meedragen. Dat is met name het geval als er sprake is van afhankelijkheid van gegevens die derde belanghebbenden aan de gemeente verstrekken.
Wettelijke eisen en minimumnormen verbinden aan de meeste (gemeentelijke) overheidsregelingen de verplichting om risicobeheersmaatregelen ter bestrijding van fraude en misbruik te treffen. Dat zijn voorgeschreven risicobeheers-maatregelen vanuit landelijke wet- en regelgeving die sowieso moeten worden ingezet.
Daarnaast zijn er extra aanvullende M&O-risicobeheersmaatregelen denkbaar die het risico van misbruik en oneigenlijk gebruik verder kunnen terugdringen tot een aanvaardbaar niveau. Deze aanvullende extra M&O-risicobeheersmaatregelen worden alleen daar ingezet waar het risico dit vraagt in combinatie met een hieraan voorafgaand kosten/baten-(risicodekking)-analyse op basis van deze Nota M&O-beleid en de algemene richtlijnen vanuit de ‘Nota Integraal Risicomanagement & Weerstandsvermogenbeleid’.
In de M&O-risicobeheersmaatregelen kan een onderscheid worden aangebracht tussen preventieve en repressieve M&O-risicobeheersmaatregelen (of een mix daarvan) die op een adequate wijze in de bijbehorende AO/IB-procesbeschrijvingen moeten worden ingebed conform de in § 3.2 geformuleerde eisen.
4.1. Preventieve M&O-risicobeheersmaatregelen
Preventieve M&O-risicobeheersmaatregelen zijn maatregelen die liggen vóór het moment van een individuele besluitvorming in het kader van een specifieke (gemeentelijke) overheidsregeling. De categorieën preventieve maatregelen zijn:
Ad 1)Regelgeving inclusief controle- en sanctiebeleid behorende bij de specifieke (gemeentelijke) overheidsregeling
De ruimte voor misbruik en oneigenlijk gebruik van een specifieke (gemeentelijke) overheidsregeling wordt beperkt via het vaststellen van een adequate en daarbij passende regelgeving (verordeningen, nadere regels, beleidsregels en richtlijnen en interne afspraken) en procesinrichting door de gemeente zelf. Bij het op- en/of bijstellen van regelgeving behorende bij een specifieke (gemeentelijke) overheidsregeling moeten derhalve de onderstaande punten in acht worden genomen:
Regelgeving moet juist, volledig, tijdig en helder geformuleerd zijn voor de derde belanghebbenden, de uitvoerders, de (verbijzonderde) controleurs en de accountant met betrekking tot:
- Doel (strekking), Doelgroep, Begrippen en Definities: hiermee wordt het beoogde ‘Eigenlijk gebruik’ vastgesteld.
- Voorwaarden-bepalingen: hiermee worden de voorwaarden van de regeling bepaald middels artikelen.
Het - voorafgaand aan de vaststelling van de (gemeentelijke) overheidsregeling met de bijbehorende regelgeving en AO/IB-procesbeschrijving - vast te stellen Sanctie- en Controlebeleid ten aanzien van de specifieke (gemeentelijke) overheidsregeling/regelgeving moet zoveel mogelijk zichtbaar en objectief toepasbare, controleerbare, handhaafbare en duidelijk geformuleerde bepalingen bevatten. Deze bepalingen dienen in de regelgeving zelf te worden opgenomen of er kan hierin naar worden verwezen.
Het vast te stellen Controlebeleid ten aanzien van Misbruik en Oneigenlijk gebruik moet adequaat zijn. Overeenkomstig het treffen van risicogerichte passende interne M&O-risicobeheersmaatregelen door de 1e lijn, moeten de uit te voeren preventieve c.q. repressieve interne toetsingswerkzaamheden door de 1e lijn resp. de uit te voeren repressieve (verbijzonderde) interne controlewerkzaamheden door de 2e en 3e ten aanzien van het voorkomen van c.q. ontdekken en herstellen van ontdekte M&O-afwijkingen derhalve vooraf in het Controlebeleid passend en (M&O)-risicogericht worden bepaald.
Dit door het eerst uitvoeren van een zorgvuldige en aantoonbare integrale risicoanalyse op basis van de “Nota Integraal Risicomanagement & Weerstandsvermogenbeleid’, die i.c. mede gericht is op de specifieke M&O-risico’s ten aanzien van de betreffende (gemeentelijke) overheidsregeling. En vervolgens op basis hiervan - en uitgaande van een kosten/baten-(risicodekking)-analyse - op een risicogerichte en passende wijze bepalen en vastleggen van de uit te voeren 1e lijn interne toetsingswerkzaamheden resp. de uit te voeren 2e en 3e lijn interne M&O-controle-werkzaamheden in het Controlebeleid.
Ook de wet Bibob biedt mogelijkheden aan de gemeente om vergunningen, subsidies en andere opdrachten te weigeren, in te trekken of niet te gunnen. Dit kan wanneer er een aannemelijke relatie is met (dreigend) strafbaar gedrag of wanneer de eisen van betrouwbaarheid van de belanghebbende in het gedrang komen.
- Welke procedure wordt gevolgd bij het opleggen van de sanctie?
Ad 2)Voorlichting & Communicatie
Voorlichting over nieuwe en/of gewijzigde (gemeentelijke) overheidsregelingen en de daarbij behorende regelgeving kan een goede bijdrage leveren op het terrein van vooraf voorkomen van misbruik en oneigenlijk gebruik. Onder voorlichting wordt ook verstaan het in beschikkingen opnemen van rechten, plichten, voorwaarden en mogelijke sancties.
Doordat derde belanghebbenden vooraf al op de hoogte gebracht worden over het bestaan maar ook over de inhoud van de desbetreffende (gemeentelijke) overheidsregeling en de daarbij behorende regelgeving (voor wie en met welk doel, welke spelregels gelden hierbij, op wat en hoe controleert de gemeente hierbij en welke sancties zal de gemeente bij de hierbij geconstateerde misbruik opleggen), wordt misbruik en oneigenlijk gebruik al namelijk grotendeels vooraf tegengegaan.
Actieve en passende voorlichting over de (gemeentelijke) overheidsregeling en de daarbij behorende regelgeving (waarin dus ook M&O gerelateerde bepalingen zijn opgenomen) intern binnen de gemeentelijke organisatie resp. extern via de gemeentesite en doelgroepgerichte brochures werkt stimulerend op de (controle op de) naleving hiervan.
Onze gemeente onderkent dat de praktische uitwerking van het voorkomen van c.q. ontdekken en herstellen van ontdekte misbruik en oneigenlijk gebruik in belangrijke mate staat of valt met de integriteit van eigen gemeentelijke toezichthouders, bestuurders, management, ambtenaren en ingezet extern personeel. Niet integer handelen, kan namelijk leiden tot misbruik en oneigenlijk gebruik. Ons gemeentelijke integriteitsbeleid(skader) heeft dus raakvlakken en mogelijke gevolgen voor de mate interne fraude resp. externe misbruik en oneigenlijk gebruik door derden. Derhalve zal interne voorlichting en communicatie over het gemeentelijke Integriteitsbeleid (zie § 2.2), maar ook over het bestaan en de strekking van dit algemeen M&O-beleid, voornamelijk de interne toetsing op maar ook de (verbijzonderde) interne controle op de naleving van M&O-risicobeheersmaatregelen ten aanzien van externe Misbruik en Oneigenlijk gebruik verbeteren.
Ad 3)Preventieve controlebeleid voorafgaand aan de besluitvorming door 1e lijn procesbetrokkenen
Het vóór het moment van een individuele besluitvorming uitvoeren van een (steekproefsgewijze) preventieve interne kwaliteit(scontrole)toetsing door een andere collega of kwaliteitstoetser (vier-ogen principe) op de door de 1e lijn procesbetrokkenen uitgevoerde werkzaamheden om te komen tot een individuele besluitvorming in het kader van een specifieke (gemeentelijke) overheidsregeling is ook een preventief middel om (het risico op) misbruik of oneigenlijk gebruik te voorkomen.
In het kader van dit M&O-beleid richt deze preventieve interne kwaliteit(scontrole)toetsing zich op
De door een burger, bedrijf, instelling, organisatie etc. aangeleverde gegevens en bewijsstukken worden indien mogelijk geverifieerd door de 1e lijn procesmedewerker en de hierbij uitgevoerde toetsingswerkzaamheden en -resultaten worden zo zichtbaar mogelijk vastgelegd.
Vóór het moment dat er een individuele besluitvorming i.c. met externe werking wordt vervaardigd en uitgereikt door de 1e lijn procesmedewerker, controleert een andere collega-medewerker of kwaliteitstoetser (vier-ogen principe) of deze 1e lijn procesmedewerker de door haar/hem volgens de (gemeentelijke) overheidsregeling/regelgeving verplicht uit te voeren werkzaamheden (waaronder de uit te voeren beoordeling en verificatie van de juistheid, volledigheid en tijdigheid van de aangeleverde gegevens door derden op basis van een hierin opgenomen M&O-bepaling en het zo nodig beboeten van het hierbij ontdekte misbruik) zichtbaar, volledig en juist heeft uitgevoerd en gedocumenteerd.
Deze (steekproefsgewijze) interne kwaliteit(scontrole)toetsingen vooraf hebben een belangrijke ’poortwachtersfunctie’ en leiden tot het verkleinen van het risico op interne beoordelingsfouten, maar ook op externe misbruik en oneigenlijk gebruik door derden. De meeste aandacht hierbij wordt gegeven aan de (gemeentelijke) overheidsregelingen en processtappen waar de M&O-risico’s het grootst zijn. Het uitvoeren van de periodiek verplichte M&O-risicoanalyse is behulpzaam bij de bepaling daarvan.
4.2. Repressieve M&O-risicobeheersmaatregelen
Repressieve M&O-risicobeheersmaatregelen zijn maatregelen die ná het moment van een individuele besluitvorming in het kader van een specifieke (gemeentelijke) overheidsregeling worden uitgevoerd. Het gaat om tussentijdse of achteraf uitgevoerde (verbijzonderde) interne controles en zelfcontroles waarbij eventuele M&O-afwijkingen/onvolkomenheden kunnen worden vastgesteld en het te volgen sanctiemaatregelenbeleid ten aanzien van misbruik.
Deze repressieve risicobeheersmaatregelen zijn derhalve in te delen in drie categorieën:
Ad 1)Sanctie(maatregelen)beleid ten aanzien van Misbruik achteraf
Zoals bij preventieve M&O-risicobeheersmaatregel ‘Regelgeving inclusief controle- en sanctiebeleid behorende bij de specifieke (gemeentelijke) overheidsregeling’ in § 4.1 is vermeld, is het vooraf vast te stellen Sanctiebeleid ten aanzien van Misbruik verplicht.
Een ontdekte misbruik (door de 1e lijn procesbetrokkenen, 2e lijn IC, 3e lijn VIC of 4e lijn accountant) moet altijd eerst worden hersteld en zo nodig passend worden beboeten op basis van het vooraf bepaalde sanctiebeleid. Misbruik is immers onrechtmatig en kan zelfs omslaan naar een getrouwheidsafwijking (zie hoofdstuk 6).
Opgelegde sancties leiden tot een leereffect en hebben een preventieve werking naar de toekomst toe.
Ad 2)Repressieve controlebeleid door 1e procesbetrokkenen, 2e IC en 3e lijn VIC na besluitvorming door 1e lijn
Het ná het moment van een individuele besluitvorming in het kader van een specifieke (gemeentelijke) overheidsregeling tussentijds of achteraf uitvoeren van:
is ook een repressief middel om te signaleren of sprake is van misbruik of oneigenlijk gebruik.
In het kader van dit M&O-beleid richten deze repressieve controles zich op
Hierbij wordt dus nagegaan of de 1e lijn procesmedewerker de door hem/haar volgens de (gemeentelijke) overheidsregeling/regelgeving verplicht uit te voeren werkzaamheden (waaronder de uit te voeren beoordeling en verificatie van de juistheid, volledigheid en tijdigheid van de aangeleverde gegevens door derden op basis van een hierin opgenomen M&O-bepaling en het zo nodig beboeten van het hierbij ontdekte misbruik) bij de geselecteerde dossiers zichtbaar, volledig en juist heeft uitgevoerd en gedocumenteerd.
De opzet (toereikend risicogericht, actueel en goed beschreven), het bestaan en de werking/naleving gedurende het hele verslagjaar van de voorgeschreven M&O-risicobeheersmaatregelen (waaronder de preventieve controlebeleids-maatregelen en de repressieve sanctiemaatregelen) met betrekking tot de (gemeentelijke) overheidsregeling/regelgeving en de daarbij behorende AO/IB-procesbeschrijvingen wordt hierbij dus na besluitvorming achteraf of tussentijds gecontroleerd.
Deze controles worden - op basis van een hieraan voorafgaande (M&O-)risicoanalyse met betrekking tot de M&O-risicogevoelige (gemeentelijke) overheidsregelingen, regelgeving en processen - integraal of steekproefsgewijs op basis van zo veel mogelijk systeemgerichte deelwaarnemingen of als het niet kan op basis van gegevensgerichte steekproeven/ detailcontroles uitgevoerd. Deze controles maken ook onderdeel uit van de reguliere (verbijzonderde) interne controles die mede gericht is op de controle van de financiële rechtmatigheid, waar het M&O-aspect ook een onderdeel van uitmaakt.
De invulling van deze repressieve controles is afhankelijk van diverse factoren (zoals bijvoorbeeld aard, financiële hiermee gemoeide omvang, doelgroep-omvang en -samenstelling en type-bepalingen) en het mogelijke risico op misbruik en oneigenlijk gebruik op basis van minimaal jaarlijks uit te voeren periodieke (M&O-)risicoanalyses door de 1e lijn proceseigenaar/-betrokkenen.
Controlemiddelen kunnen hierbij onder meer zijn:
Bij M&O-gevoelige (gemeentelijke) overheidsregelingen is inzicht in de verkregen controleresultaten op basis van adequaat vast te leggen (verbijzonderde) interne controle- en externe accountantscontrole-resultaten van belang. De aan de hierbij betrokken 1e lijn proceseigenaren teruggekoppelde controleresultaten leiden zo nodig tot aanpassing van:
Het DT en uiteindelijk het eindverantwoordelijke college is verantwoordelijk voor de monitoring van de voortgang van de door te voeren acties in de 1e lijn op basis van een gemeente brede monitoringssysteem dat gevoegd wordt door onder meer de (verbijzonderde) interne controle- en externe accountantscontrole-resultaten.
Ad 3)Evaluatie M&O-risicobeheersmaatregelen
Ten slotte is ‘evaluatie’ te beschouwen als een waardevolle M&O-risicobeheersmaatregel. Deze maatregel heeft zowel een preventief als repressief karakter.
Evaluaties zijn nodig en nuttig voor zowel bestaande als nieuwe (gemeentelijke) overheidsregelingen en de daarbij behorende regelgevingen, processen en AO/IB-procesbeschrijvingen.
Door het verzamelen van M&O-signalen ten aanzien van de ‘mazen’ van de vigerende gemeentelijke regelgeving en/of het daaronder liggend proces - vanuit onder meer de procesbetrokkenen, de (verbijzonderde) interne controles en de accountantscontroles - kunnen deze aspecten geoptimaliseerd worden waarmee het beoogde doel (strekking) en doelgroep op een meer effectieve en rechtmatige wijze bereikt kan worden.
Evaluaties geven ook een indicatie van de effectiviteit van de genomen preventieve maar ook repressieve M&O-risicobeheersmaatregelen/-controlemogelijkheden. De uitkomsten van deze evaluaties kunnen reden zijn voor het aanpassen van (onderdelen van) van regelingen/regelgeving, voorlichting, preventieve en/of repressieve controlebeleid en/of sanctiebeleid.
M&O-gevoelige (gemeentelijke) overheidsregelingen en de daarbij behorende regelgeving worden daarom in ieder geval eenmaal per vier jaar geëvalueerd.
5. M&O-risicogebieden & Intensiteit M&O-beleid
In dit hoofdstuk wordt ingegaan op de huidige belangrijkste M&O-risico(gevoelige)gebieden (= specifieke (gemeentelijke) overheidsregelingen en de daarbij behorende regelgeving en processen) waar misbruik en oneigenlijk gebruik een rol speelt, en de intensiteit van het hierbij toe te passen M&O-beleid.
Per M&O-risicogebied zal zoveel mogelijk een onderbouwde keuze gemaakt worden voor de intensiteit van het te voeren M&O-beleid. De gemaakte keuzes worden achteraf samengevat in de vorm van een matrix-tabel.
In deze matrix-tabel zijn per onderkend M&O-risicogebied ook het vigerend juridisch kader en de bestaande algemene (niet-specifieke M&O-gerichte) risicobeheersmaatregelen op hoofdlijnen opgenomen.
5.1. Intensiteit-categorieën M&O beleid
De intensiteit van het M&O-beleid hangt samen met de hoogte van de impact
(= risicokans x risico-effect/bedrag) van het M&O-risico dat Kaag en Braassem met de desbetreffende vigerend (gemeentelijke) overheidsregeling/proces loopt.
Bij een regeling met een laag M&O-risico(impact) zijn weinig of geen aanvullende specifieke M&O-risicobeheersmaat-regelen nodig en volstaat het qua intensiteit het basis M&O-beleid.
Bij een regeling met een hoger M&O-risico(impact) moet er een strenger M&O-beleid worden toegepast en dienen er
dus - in aanvulling op de bestaande (algemene) risicobeheersmaatregelen - extra aanvullende specifieke M&O-risico-beheersmaatregelen te worden getroffen om het gelopen inherente M&O-risico met deze extra specifieke maatregelen alsnog te reduceren tot een aanvaardbaar niveau.
De intensiteit van het M&O-beleid bestaat uit drie categorieën:
Bij een ‘streng M&O-beleid’ volstaan de reguliere algemene risicobeheersmaatregelen op het gebied van AO/IB niet. Reguliere maatregelen zijn onder meer het aanbrengen van controle-technische functiescheidingen binnen de processen en het uitvoeren van periodieke (verbijzonderde) interne controles.
Voor de (gemeentelijke) overheidsregelingen die vallen onder streng beleid zijn derhalve ter bestrijding van het M&O-risico aanvullende specifieke M&O-risicobeheersmaatregelen noodzakelijk.
Enerzijds gaat het om M&O-risicobeheersmaatregelen in de preventieve en voorwaardenscheppende sfeer, zoals het invoeren van preventieve collegiale controles door de 1e lijn procesbetrokkenen/kwaliteitstoetsers, strenger maken van de M&O-gerelateerde voorwaarden-bepalingen in de regelgeving (door bijvoorbeeld een aanvrager van een voorziening verplichten om mee te werken aan het toetsen van aangeleverde gegevens) of het verzwaren het controle- en/of sanctioneringsbeleid ten aanzien van M&O.
Anderzijds betreft het M&O-risicobeheersmaatregelen in de repressieve sfeer, zoals het doorvoeren c.q. verhogen van de omvang en frequentie van de controles door de 1e lijn procesbetrokkenen/kwaliteitstoetsers, de interne controles door de 2e lijn IC, de verbijzonderde interne controles door de 3e lijn VIC maar ook de striktere handhaving door de 1e lijn van de vigerende regelgeving en de periodieke M&O-evaluatie hiervan.
Er is sprake van ‘gematigd M&O-beleid’ als enige waakzaamheid bij een (gemeentelijke) overheidsregeling ten aanzien van het M&O-risico geboden is. Gematigd beleid leidt tot het nemen van aanvullende specifieke M&O-risicobeheersmaat-regelen in de preventieve en voorwaardenscheppende sfeer. Een voorbeeld is het (extra) kritisch beoordelen van de onderbouwing van informatie die door een aanvrager is aangeleverd. Ook actieve voorlichting maakt onderdeel uit van deze intensiteitscategorie.
Wanneer sprake is van ‘basis M&O-beleid’ zijn ter bestrijding van het M&O-risico geen aanvullende specifieke M&O-risicobeheersmaatregelen noodzakelijk. Een voorwaarde hierbij is dat reguliere maatregelen op het gebied van de AO/IB qua opzet actueel en toereikend zijn en goed functioneren (bestaan en werken).
Basisbeleid wil vanzelfsprekend niet zeggen dat geen standaard controles op M&O-bepalingen plaatsvinden. Steekproefs-gewijze of incidentele controles achteraf op M&O behoort altijd tot de mogelijkheid.
5.2. M&O-risicogebieden en de hierbij te hanteren intensiteitscategorie M&O-beleid
Het M&O-risico is vooral aanwezig bij een (gemeentelijke) overheidsregeling en de daarbij behorende regelgeving en proces waarbij de juistheid, volledigheid en tijdigheid van verkregen gegevens van derde belanghebbende bepalend is voor:
M&O-risicogevoelige regelingen betreffen dus (gemeentelijke) overheidsregelingen en de daarbij behorende regelgevingen en processen waarbij derden een aanmerkelijk (financieel) belang hebben en waarbij de gemeente in grote mate afhankelijk is van door diezelfde derden verstrekte gegevens.
Op basis van het bovenstaande en uitgaande van de door de raad vastgestelde ‘VOC-3LM’ en de hierop aansluitend uitgevoerde scope-bepaling voor de (verbijzonderde) interne controle van het verslagjaar 2023, zijn vervolgens vanuit de bij deze (V)IC-scopebepaling onderkende verschillende soorten processen/(gemeentelijke) overheidsregelingen de onder-staande acht M&O-risicogevoelige gebieden (processen/(gemeentelijke) overheidsregelingen) bij onze gemeente onderkend, namelijk:
Per onderkende M&O-risicogebied is hieronder zoveel mogelijk een onderbouwde keuze gemaakt voor de intensiteit van het te voeren M&O-beleid.
Een aantal onderdelen van het proces van vergunningverlening en handhaving is belegd bij de Omgevingsdienst (zie de Nota Gemeentelijk Uitvoeringsbeleid Vergunningverlening en Toezicht & Handhaving (milieu en bodem) 2023-2024).
De resterende eigen delen van het proces van vergunningsverlening en handhaving is zeer M&O-gevoelig.
De aanvrager van een vergunning kan gelet op de grote afhankelijkheid van de gemeente bij het al dan niet verkrijgen van een vergunning baat hebben bij het verstrekken van onjuiste , onvolledige of niet tijdige informatie.
De financiële consequenties, uitgezonderd de leges voor bouwvergunningen, zijn in het algemeen minder groot. Maar aan de andere kant zijn vergunningsverlening en handhaving wezenlijke taken van de overheid, waarbij ook grote publieke belangen spelen met mogelijk (indirect) financiële gevolgen. Een voorbeeld daarvan is een schadeclaim ten gevolge van een onterecht afgegeven vergunning.
Samenvattend leidt de sterke afhankelijkheid van de gemeente van de door de vergunningsaanvrager verstrekte gegevens tot een M&O-risico ten aanzien van vergunningen. De geschetste aandachtspunten leiden tot het voeren van streng M&O-beleid voor vergunningverlening en handhaving.
Bij de verstrekking van identiteitsbewijzen, reisdocumenten en rijbewijzen maakt de gemeente gebruik van de gegevens uit de Basisregistratie Personen (BRP). Deze gegevens in het BRP moeten bij wet ten alle tijden juist en volledig zijn. Bij het muteren van het BRP c.q. het aanvragen van bewijzen en documenten is grondige controle van de aangeleverde gegevens en de wettelijk verplichte identiteitsverificatie van de aanvrager van groot belang, mede om misbruik en oneigenlijk gebruik van genoemde documenten bij strafbare zaken te voorkomen. Ondanks dat er kleine afzonderlijke financiële bedragen hiermee per geval gemoeid zijn, is hier sprake van een streng te voeren M&O-beleid.
De meeste sociale inkomens-, kapitaaloverdrachten en/of -voorzieningen (in geld en natura) vormen feitelijk een open-einde-regeling. Indien de cliënt aan de voorwaarden voldoet, is de gemeente (of de namens de gemeente uitvoerende externe partij) gehouden een sociale uitkering, kapitaalverstrekking en/of -voorziening te verschaffen.
Gezien de sterke persoonlijke financiële belangen van iemand die een sociale uitkering, -kapitaalverstrekking en/of -voorziening aanvraagt, is het risico van onbetrouwbare (onjuist, onvolledig of niet tijdig) gegevensverstrekking door deze aanwezig. Daarbij komt dat de betrouwbaarheid van de gegevens van de cliënt bepalend is voor het verdere proces en het vaststellen van het recht op resp. de hoogte en duur van de sociale inkomensuitkering, -kapitaalverstrekking en/of -voorziening.
Het proces van sociale inkomensuitkering, -kapitaalverstrekking en/of -voorziening (in geld en natura) is uitbesteed aan gemeente Alphen aan den Rijn, die namens onze gemeente deze taken uitvoert. Onze gemeente ontvangt hieromtrent jaarlijks een verantwoording, al dan niet via de door hun huisaccountant gecontroleerde jaarrekening, van deze partij.
Wel is het belangrijk dat wij als gemeente voor onszelf bepalen hoe wij deze uitbestede taak voortaan willen beheersen om zodoende vast te stellen dat de (M&O-)beheersing door deze externe overheidspartij goed verloopt.
Denk hierbij aan vragen zoals: wat is de taakstelling en bevoorschotting geweest, welke informatie wordt achteraf of tussentijds verkregen over de taakrealisatie en budgetuitputting, hoe wordt jaarlijks afgerekend (o.b.v. realisatie of vast bedrag), hoe geschiedt de jaarlijkse (specifieke) financiële eindverantwoording ten aanzien van de getrouwe en financiële rechtmatige besteding van de door onze gemeente specifiek hiertoe beschikbaar gestelde middelen en geeft hun huisaccountant in zijn (separate) controleverklaring een oordeel af over zowel de getrouwheid als ook over de financiële rechtmatigheid (waaronder M&O) van deze jaarlijkse (specifieke) financiële eindverantwoording.
Alle bovenstaande zaken overziend geldt hierbij een door gemeente Alphen aan den Rijn toe te passen streng M&O-beleid, waarop wij als gemeente Kaag en Braassem moeten toezien dat het ook is gebeurd.
Verstrekken van voorzieningen i.h.k.v. Wmo, Jeugdwet en leerlingenvervoer (onderdeel van processen Leerlingenvervoer, Inkomens- & Kapitaal-overdrachten en |
Conform artikel 6.1 van de Wet maatschappelijk ondersteuning (Wmo) wijst het college personen aan die belast zijn met het houden van toezicht op de naleving van de Wmo. Gemeente Alphen aan den Rijn heeft een Wmo-toezichthouder benoemd die deze taak ook namens de gemeente Kaag en Braassem uitvoert.
Voor de Jeugdwet is de toezichthoudende functie bij de Inspectie jeugdzorg (ministerie VWS) belegd.
Indien de cliënt aan de gestelde voorwaarden voldoet, wordt na indicatiestelling namens onze gemeente in het kader van de Wmo, de Jeugdwet en de Verordening leerlingenvervoer één of meer individuele voorzieningen aan een cliënt verstrekt, waarvan de kosten uiteindelijk na doorberekening zullen drukken op onze gemeente.
De eerste zorg(aanvraag)toegang c.q. cliënten ondersteuning bij onze gemeente met betrekking tot:
De indicatiestelling namens onze gemeente met betrekking tot:
de Wmo-voorzieningen en de Verordening leerlingenvervoer-voorzieningen is uitbesteed aan de ‘Coöperatie Dichtbij in de Rijnstreek - onderdeel Tom in de Buurt (contractperiode 2022-2026)’ met als feitelijk uitvoerend onderaannemer ‘Stichting Participe Alphen aan den Rijn’ die de indicatiestelling namens het coöperatie-onderdeel ‘Tom in de Buurt’ uitvoert, en
Hiernaast mogen ook huisartsen zelfstandig zorgindicaties verstrekken die aan cliënten recht geven op Jeugdhulp en mogen zorgspecialisten zorgvoorzieningen-indicaties verstrekken in de vorm van zorg in natura (ZIN) en/of een geldelijke Persoonsgebonden budget (PGB). Ook hier draait de gemeente na doorberekening door deze partijen op voor de kosten van deze zorgverleningen in natura of geld. Goed om te weten is dat de uitbetaling van zorg in de vorm van geldelijke PGB’s aan de cliënten, voor zowel Jeugd als Wmo, bij wet via de Sociale Verzekeringsbank (SVB) gaat en de inhouding van Wmo-eigen bijdragen via het Centraal Administratie Kantoor (CAK) gaat. Ook deze kosten en de in vermindering gebrachte CAK-eigen bijdragen worden uiteindelijk door onze gemeente gedragen.
Het verstrekken van de bovenstaande voorzieningen betreffen een open-einde-regeling waarmee ook veel geld is gemoeid.
Indien de cliënt aan de voorwaarden voldoet en dus een zorgindicatie krijgt, zijn de bovengenoemde externe partijen namens de gemeente gehouden één of meer individuele voorzieningen aan een cliënt te verstrekken.
De informatieverstrekking door de belanghebbende client aan de zorgindicatieverlener is van belang voor het al dan niet toekennen van een indicatie en daarmee van belang voor het vaststellen van recht, hoogte en duur van deze voorziening die de gemeente uiteindelijk na doorbelasting door deze externe partijen moet betalen.
Aan de andere kant zijn de bovengenoemde externe partijen afhankelijk van de informatieverstrekking die door:
De diverse zorgaanbieders, maar ook de SVB en het CAK, leveren aan de bovengenoemde externe partijen bovendien jaarlijks verantwoordingen aan met betrekking tot de door hen aan rechthebbende cliënten verleende zorg, die al dan niet voorzien zijn van een beoordelings-/controleverklaring van hun accountant.
Verder houden de aangestelde toezichthouders Wmo en Jeugd, de interne controle organen van deze externe partijen maar ook hun externe accountant toezicht op de getrouwe c.q. rechtmatige wijze van de verleende indicaties en de daaruit volgende zorgverlening en facturatie. Hieronder valt dus ook de voorgeschreven controle door deze gelieerde externe partijen op de verstrekte gegevens door de client/belanghebbenden.
Tot slot ontvangt onze gemeente van deze gelieerde externe partijen jaarlijks een (separate) jaarverantwoording over de namens onze gemeente verleende voorzieningen, al dan niet via de door hun huisaccountant gecontroleerde jaarrekening.
Aangezien de zorgindicatiestelling, de feitelijke zorgverlening, de zorgverleningsfacturatie en -uitbetaling en de controle op deze aspecten, enerzijds door de gemeente niet te beïnvloeden is (indicatie verleend door huisarts of zorgspecialist) en anderzijds namens onze gemeente uitbesteed is aan de hierboven vermelde gelieerde externe partijen (geen overheid dus), valt de controle op de juistheid, volledigheid en tijdigheid van de hierbij door de client verstrekte gegevens buiten de directe invloedssfeer van onze gemeente.
Wel is het belangrijk dat wij als gemeente voor onszelf bepalen hoe wij deze uitbestede taken voortaan willen beheersen om zodoende vast te stellen dat de (M&O-)beheersing door deze externe partijen goed verloopt.
Denk hierbij aan vragen zoals: wat is de taakstelling en bevoorschotting geweest, welke informatie wordt achteraf of tussentijds verkregen over de taakrealisatie en budgetuitputting, hoe wordt jaarlijks afgerekend (o.b.v. realisatie of vast bedrag), hoe geschiedt de jaarlijkse (specifieke) financiële eindverantwoording ten aanzien van de getrouwe en financiële rechtmatige besteding van de door onze gemeente specifiek hiertoe beschikbaar gestelde middelen en geeft hun huisaccountant in zijn (separate) controle-/beoordelingsverklaring een oordeel af over zowel de getrouwheid als ook over de financiële rechtmatigheid (waaronder M&O) van deze jaarlijkse (specifieke) financiële eindverantwoording.
Alle bovenstaande zaken overziend geldt hierbij een door deze externe partijen toe te passen streng M&O-beleid, mede omdat we hierbij ook te maken hebben met deels niet-overheid-zijnde gelieerde externe partijen.
Onze gemeente Kaag en Braassem moet er dus op toezien dat dit streng M&O-beleid ook door hen wordt toegepast.
Bij inkoop en aanbesteding is meestal sprake van een aanzienlijk financieel belang. Wet- en regelgeving, alsmede de regionale en lokale inkoop- en aanbestedingsbeleid bevatten al de nodige waarborgen op het gebied van AO/IB en M&O.
In het lokale gemeentelijk inkoop- en aanbestedingsbeleid zijn kaders, drempelwaarden en daaraan gekoppelde procedures (selectieprocedures, inschrijvingsformulieren met bewijsstukken inzake persoons- en ondernemingsgegevens van potentiële opdrachtnemers etc.) vastgesteld. Elementen op het gebied van de AO/IB zijn hierin eveneens opgenomen.
Het inkoopproces wordt concreet uitgevoerd door het ambtelijk apparaat middels het zogenaamde ‘gecoördineerd decentraal inkoopmodel’. Dat wil zeggen dat ‘lijnverantwoordelijken (budgethouders)’, binnen de afgesproken kaders qua budget en procedurekeuze, verantwoordelijk zijn voor de eigen inkoop en aanbesteding.
De gemeentelijke inkoopadviseur adviseert en ondersteunt betreffende budgethouders bij de uitvoering van het inkoop- en aanbestedingsproces. De (aanbestedings)jurist van gemeente Kaag en Braassem biedt hierbij de nodige juridische ondersteuning.
De totstandkoming van transacties en objectieve controle van (de kwaliteit van) geleverde prestaties blijven kritische punten. Het sluiten van een transactie of overeenkomst is namelijk vaak terug te voeren tot een afspraak tussen twee personen (opdrachtgever en -nemer) die soms grote belangen vertegenwoordigen. Hierbij zijn ook subjectieve overwegingen en invloeden aan de orde. Deze subjectiviteit verdient ook aandacht bij de beoordeling van verrichte prestaties.
Om te voorkomen dat subjectiviteit leidt tot onwenselijke of zelfs frauduleuze transacties zijn in het inkoop- en aanbestedings¬beleid inkoop- en selectieprocedures en drempelbedragen vastgelegd.
Ook het gemeentelijk integriteitbeleid biedt handvatten voor medewerkers in de omgang met relaties van de gemeente. Binnen het aanbestedingsbeleid is expliciet aandacht aan integriteit besteed.
Op basis van het bovenstaande is het toepassen van gematigd M&O-beleid passend voor de reguliere Inkopen en aanbestedingen.
Echter, voor aanvullende-, meerwerk- en 1-op-1 gegunde inkoopopdrachten en opdrachten vallende onder een raamovereenkomst is mogelijk sec het toepassen van het inkoop- en aanbestedingsbeleid ontoereikend om risico’s op misbruik en oneigenlijk gebruik te voorkomen. Voor de onderdelen aanvullende opdrachten, meerwerk opdrachten, individueel 1-op-1 gegunde opdrachten en opdrachten onder een raamovereenkomst is streng M&O-beleid noodzakelijk.
Bij het verstrekken van subsidies is de gemeente grotendeels afhankelijk van de juistheid, volledigheid en tijdigheid van de door de aanvrager verstrekte gegevens.
In beginsel worden subsidies alleen verstrekt op basis van de geldende subsidieverordening(en) en de daaronder hangende subsidieregelingen. Een uitzondering daarop betreffen de door de gemeente zelf verleende subsidies aan organisaties die met naam en toenaam in de gemeentebegroting staan vermeld.
Subsidieverstrekking aan derden gaat voor het merendeel via de ‘Driemaster’ (die een onderdeel is van de ‘Stichting Participe Alphen aan den Rijn’) op basis van de geldende gemeentelijke subsidieverordening(en) en -regelingen. Onze gemeente had voor de jaren t/m 2023 al en heeft recent ook voor de jaren na 2023 een nieuwe overeenkomst afgesloten met deze voor de uitvoering van het Programma Welzijn & Preventie. Hierbij heeft onze gemeente aan deze een meerjarig subsidiebudget beschikbaar gesteld uitgesplitst naar een vrije besteedbaar en geoormerkt deel. Onze gemeente ontvangt hieromtrent een verantwoording, al dan niet via de door hun huisaccountant gecontroleerde jaarrekening, van deze partij
Wel is het belangrijk dat wij als gemeente voor onszelf bepalen hoe wij deze uitbestede taak voortaan willen beheersen om zodoende vast te stellen dat de (M&O-)beheersing door onder meer deze externe partij goed verloopt.
Denk hierbij aan vragen zoals: wat is de taakstelling en bevoorschotting geweest, welke informatie wordt achteraf of tussentijds verkregen over de taakrealisatie en budgetuitputting, hoe wordt jaarlijks afgerekend (o.b.v. realisatie of vast bedrag), hoe geschiedt de jaarlijkse (specifieke) financiële eindverantwoording ten aanzien van de getrouwe en financiële rechtmatige besteding van de door onze gemeente specifiek hiertoe beschikbaar gestelde middelen en geeft hun huisaccountant in zijn (separate) controleverklaring een oordeel af over zowel de getrouwheid als ook over de financiële rechtmatigheid (waaronder M&O) van deze jaarlijkse (specifieke) financiële eindverantwoording.
Aangezien het voorkomt resp. kan voorkomen dat de gemeente ook nog zelf direct subsidies verstrekt, moet hierbij afhankelijk van de hoogte van deze subsidies een gematigd tot streng M&O-beleid worden gevoerd.
De heffing, kwijtschelding en incasso van de gemeentelijke belasting van onze gemeente is uitbesteed aan de belasting-samenwerkingsafdeling van de gemeente Alphen aan den Rijn. Namens onze gemeente kan hierbij alleen kwijtschelding worden verleend ten aanzien van de Rioolheffing en de Afvalstoffenheffing.
De belangrijkste belastingen die onze gemeente laat heffen zijn de Onroerend zaak belasting, de Afvalstoffenheffing en Rioolheffing. De heffing hiervan gaat op basis van objectieve gegevens die bijvoorbeeld via BRP, BAG, kadaster en onafhankelijke taxateurs worden aangereikt. Daarnaast is de (verbijzonderde) interne controle op belastinginkomsten bij de gemeente Alphen aan den Rijn redelijk georganiseerd en ontvangen we jaarlijks een specifieke financiële verantwoording over onze belastinginkomsten, kwijtscheldingen daarvan en het openstaande belastingdebiteurensaldo, voorzien van een controleverklaring inzake de getrouwheid en financiële rechtmatigheid (waaronder M&O) hieromtrent van hun accountant.
Het streven om voor de burgers zo eenvoudig mogelijke uitvoering van het kwijtscheldingsbeleid te realiseren. Dit betekent onder andere automatische kwijtschelding voor degenen aan wie reeds eenmaal kwijtschelding is verleend en in de gemeentelijke uitkeringsadministratie bekend zijn of een AOW-uitkering ontvangen. De automatische kwijtschelding betekent een versnelling in de uitbesteedde processen en leidt tot een klantvriendelijke gemeente. De keerzijde is wel dat de juistheid van het proces van kwijtschelding deels afhankelijk is van het proces van Participatiewet, Ioaz en Ioaw-inkomensregelingen die ook bij dezelfde gemeente Alphen aan den Rijn zijn ondergebracht.
Wel is het belangrijk dat wij als gemeente voor onszelf bepalen hoe wij deze uitbestede taken, die ook in ontwikkeling zijn, voortaan willen beheersen om zodoende vast te stellen dat de (M&O-)beheersing door deze externe overheidspartij goed verloopt. Het nemen van aanvullende specifieke M&O-risicobeheersmaatregelen is voor de gemeentelijke belastingen op dit moment niet nodig maar gezien het voorgaande ontwikkeling is het toepassen van gematigd M&O-beleid op zijn plaats.
De AO/IB en de (verbijzonderde) interne controle op personeelslasten is binnen onze gemeente redelijk georganiseerd. Belangrijke onderdelen daarbij zijn het verkrijgen en verificatie van een kopie ID en het nemen van formele aanstellingsbesluiten, inclusief vaststelling van salaris door het college of gemandateerde. Deze zaken zijn al geregeld. Aangezien de organisatie op het gebied van personeel redelijk op orde is, zijn geen bijzondere M&O-risico’s aan de orde. Voor (on)kostenvergoedingen ligt dat genuanceerder, maar is in het algemeen het financiële belang/omvang van de afzonderlijke personele declaraties beperkt.
Met betrekking tot de personeelslasten wordt daarom geen aanvullende specifiek M&O-beleid noodzakelijk geacht en is het te voeren basis M&O-beleid voldoende.
In bijlage 1 is de samenvatting van de bovenstaande onderkende M&O-risicogebieden per heden, de hierbij te hanteren intensiteit van het M&O-beleid, het hierbij vigerend juridisch kader en de bestaande algemene (niet-specifieke M&O-gerichte) risicobeheersmaatregelen opgenomen.
6. Afwegingskaders bij M&O-afwijkingen & Rapportering en verantwoording over M&O
De op basis van dit algemeen M&O-beleidskader te treffen (aanvullende) specifieke M&O-risicobeheersmaatregelen ten aanzien van de M&O-risicogevoelige (gemeentelijke) overheidsregelingen moeten door de 1e lijn proceseigenaren zichtbaar en adequaat ingebed worden in de daarbij bijbehorende AO/IB-procesbeschrijvingen en processen.
Deze AO/IB-procesbeschrijvingen met de daarin opgenomen al dan niet geautomatiseerde interne (M&O-)risicobeheers-maatregelen in en rondom de processen en de bijbehorende (gemeentelijke) overheidsregelingen moeten minimaal:
De 1e lijn proceseigenaar (= clustermanager oftewel risico-eigenaar) van het proces, waar de betreffende (gemeentelijke) overheidsregeling wordt uitgevoerd, is primair verantwoordelijk voor het tijdig (laten) treffen van adequate passende (aanvullende) specifieke M&O-risicobeheersmaatregelen ten aanzien van misbruik en oneigenlijk gebruik in het desbetreffende proces, maar ook voor de adequate en actuele vastlegging hiervan in de daarbij behorende AO/IB-procesbeschrijving, regelgeving en regeling.
Dit gebeurt aan de hand van onder meer de jaarlijkse door hen uit te voeren (M&O-)risicoanalyses, bevindingen vanuit onder meer de eigen interne beleid- en maatregelen-evaluaties, de eigen interne kwaliteit(scontrole)-toetsingen in de 1e lijn voorafgaand aan de besluitvorming, de tussentijds en achteraf uitgevoerde (verbijzonderde) interne controles in de 2e en 3e lijn en de externe accountantscontroles in de 4e lijn.
De 1e lijn proceseigenaren moeten vervolgens zorgdragen dat de procesbetrokkenen deze actuele, goed beschreven en risicogericht opgezette AO/IB-procesbeschrijving begrijpen en in de procesuitvoeringspraktijk ook juist, volledig, tijdig en continue naleven waarmee het bestaan en de werking van de AO/IB-procesopzet wordt gewaarborgd.
De 2e lijn IC en 3e lijn VIC is verantwoordelijk voor de jaarlijkse (verbijzonderde) interne controle van de opzet, het bestaan en de werking van de getroffen interne M&O-risicobeheersmaatregelen, zoals deze in de door de proceseigenaren adequaat op te stellen AO/IB-procesbeschrijvingen opgenomen dienen te zijn.
Voor het risico- en systeemgericht kunnen opstellen en uitvoeren van de procesgerichte IC-werkprogramma’s per kritisch proces door de 2e lijn IC, zijn de door de 1e lijn op te stellen actuele, goed beschreven en risicogericht opgezette AO/IB-procesbeschrijvingen onmisbaar om überhaupt met de 2e lijn IC de opzet, het bestaan en de werking van de interne (M&O) risicobeheersmaatregelen te kunnen controleren. Deze interne risicobeheersmaatregelen in de AO/IB-proces-beschrijvingen moeten de naleving van de door de 1e lijn geïnventariseerde relevante ‘M&O-bepalingen’ waarborgen en vormen dus tevens de door de 2e lijn IC - middels de hierbij te hanteren IC-proceschecklist als onderdeel van hun procesgerichte IC-werkprogramma’s- te controleren toetspunten per proces.
De (V)IC rapporteert zijn/haar bevindingen en aanbevelingen ten aanzien van onder meer het M&O aan de 1e lijn proceseigenaar en vervolgens periodiek integraal aan het DT en het college.
Het DT en uiteindelijk het eindverantwoordelijke college is verantwoordelijk voor de monitoring van de voortgang van de door te voeren acties in de 1e lijn op basis van een gemeente brede monitoringssysteem dat gevoegd wordt door onder meer de (verbijzonderde) interne controle- en externe accountantscontrole-resultaten ten aanzien van onder meer het M&O.
Op basis van onder meer deze (verbijzonderde) interne controleresultaten en de bevindingen vanuit de jaarlijkse externe accountantscontrole, die zoveel mogelijk gebruik moet maken van de (V)IC-werkzaamheden, wordt jaarlijks in de jaarstukken namens het college de Rechtmatigheidsverantwoording en de Bedrijfsvoeringsparagraaf inzake onder meer de geconstateerde M&O-afwijkingen/onvolkomenheden opgesteld.
De accountant betrekt de Rechtmatigheidsverantwoording, inclusief de nadere toelichting in de paragraaf bedrijfsvoering, in zijn oordeel over de getrouwheid van de jaarstukken.
In lijn met bijlage 4 van de landelijke ‘Kadernota rechtmatigheid 2023 geactualiseerd’ van de commissie BBV en in lijn met de door de raad vastgestelde rechtmatigheidsverantwoordingsgrens c.q. rechtmatigheidsrapporteringsgrens voor onze gemeente, wordt hieronder voor onze gemeente Kaag en Braassem specifiek een schematische weergave gegeven van de te hanteren 3 afwegingskaders (beslisbomen) die van toepassing zijn bij een eventueel geconstateerd afwijking/omissies/ onvolkomenheid:
Bijlage 1 Samenvatting M&O-risicogebied en te hanteren intensiteit M&O-beleid gemeente K&B
Met de SiSa-verantwoordingsbijlage als onderdeel van de gecontroleerde jaarrekening wordt op basis van de Single Information Single audit-methodiek gelijktijdig met de gecontroleerde jaarrekening door de gemeente richting het Rijk tevens een gecontroleerde verantwoording over de ontvangen specifieke rijksuitkeringen afgelegd.
In de AO/IB-procesbeschrijvingen smart uitwerken van de processtappen van begin (trigger proces) tot eind (output proces) en per processtap vervolgens beschrijven/ingaan op de beantwoording van de 6W+H-vragen:
1. Wie voert de interne (risico)beheersmaatregel uit?
2. Wat houdt deze maatregel in?
3. Waarom wordt deze maatregel uitgevoerd en welk risico wordt gemitigeerd?
4. Wanneer wordt de maatregel uitgevoerd en met welk periodiciteit?
5. Waarmee wordt de maatregel uitgevoerd (met welk systeem, brondocument, bewijsstuk, checklist, werkinstructie en formaten)?
6. Waarover en aan wie wordt gerapporteerd?
7. Hoe is de uitvoering van de interne (risico)beheersmaatregel zichtbaar gemaakt?