Bedrijfsvoering

Auditing, privacy en security

Informatiebeveiliging en privacy
De gemeente moet voldoen aan de eisen die worden gesteld in de Algemene Verordening Gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Gemeenten (BIG). In 2019 is ENSIA doorontwikkeld om het verantwoordingsstelsel voor te bereiden op de invoering van de Baseline Informatiebeveiliging Overheid (BIO) ter vervanging van de BIG. ENSIA (Eenduidige Normatiek Single Information Audit) heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke Planning & Control-cyclus. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier ook beter op sturen.
Om dit te realiseren zijn investeringen en blijvende aandacht (bewustzijn) nodig, ook in 2020. In de afgelopen jaren zijn diverse projecten gerealiseerd die ervoor hebben gezorgd dat wij nu op een bovengemiddeld niveau voldoen aan de wetgeving. Om dit te continueren zorgen we voor periodieke veiligheidsupdates, zijn we alert op nieuwe bedreigingen, nemen we adequate maatregelen en laten we onze medewerkers bewust omgaan met onze systemen en gegevens.

Voor wat betreft de privacy is in 2019 de eerste nulmeting uitgevoerd op onderdelen als beleid, governance, werkprocessen, bewustwording opslag en beheer. Hierin zijn aanbevelingen gedaan die de komende tijd worden omgezet in concrete acties die op weg naar en in 2020 hun beslag krijgen. Bewustwording blijft daarbij een voortdurend aandachtspunt.
De ingezette samenwerking met de gemeenten Rhenen en Wageningen met betrekking tot de uitvoering van de AVG is geëvalueerd en wordt gecontinueerd.

Auditing
Het verder professionaliseren van het systeem van auditing (toezien op de doelmatigheid, kwaliteit, doeltreffendheid en rechtmatigheid van beleid en bedrijfsvoering) is een continue proces om in de pas te blijven met de toenemende eisen en behoeftes op dit terrein. Het gaat daarbij om de samenhang op het terrein van administratieve organisatie en interne controle, de bevindingen van de accountant vanuit zijn controle, het (laten) uitvoeren van audits, artikel 213a onderzoeken en risicomanagement met bijbehorend (jaarlijks op te stellen) auditplan. Maar ook de afstemming met onderzoek dat plaatsvindt door de rekenkamercommissie. Het aantal onderzoeken in 2020 zal gezien de beschikbare middelen zeer beperkt zijn.

Onderdeel van verdere aanscherping is ook het pallet maatregelen dat ervoor moet zorgen dat we eerder voldoende zekerheid kunnen krijgen op de prestatielevering op de bestedingen in het sociaal domein zonder teveel te afhankelijk te zijn van de accountantsverklaringen van de zorgaanbieders.
Aandacht voor de kwaliteit van de auditfunctie blijft daarbij aandachtspunt, een punt waarvoor ook de accountant in zijn rapport van bevindingen aandacht blijft vragen.

Rechtmatigheidsverklaring
In de Meicirculaire 2018 is door de minister van BZK aangekondigd dat in 2021 de rechtmatigheidsverantwoording ingevoerd wordt. Via deze verantwoording zal het college van burgemeester en wethouders de rechtmatigheid verantwoorden aan de gemeenteraad.
Op dit moment verstrekt de accountant een controleverklaring met een oordeel over de getrouwheid én de rechtmatigheid bij de jaarrekening. In de toekomst geeft de accountant alleen nog een controleverklaring af met een oordeel over de getrouwheid van de jaarrekening. Wij moeten als college de rechtmatigheidsverantwoording opnemen in de jaarrekening. Onze accountant dient vervolgens vast te stellen of de rechtmatigheidsverantwoording een getrouw beeld geeft van de werkelijkheid.

Hoewel nog (steeds) niet duidelijk is op welke wijze de rechtmatigheidsverantwoording tot stand komt zijn wij wel begonnen met de voorbereidingen. Wij gebruiken hiervoor de gefaseerde aanpak die onze accountant heeft ingebracht. Het streven is dat wij in 2020 voorbereid zijn en kunnen 'proefdraaien'. De hieruit opgedane lessen kunnen we dan in 2021 toepassen.

De gefaseerde aanpak ziet er als volgt uit:


Wij participeren inmiddels ambtelijk in een (landelijke) kerngroep om de doorontwikkeling verder door te zetten. Deze richt zich op korte termijn op een advies over de varianten van een rechtmatigheidsverklaring.
Daarnaast kijken wij in hoeverre deze verantwoording op de financiële rechtmatigheid breder te trekken is en de kwaliteit van de bedrijfsvoering op langere termijn geborgd kan worden in een bredere verantwoording, waarbij de specifieke verantwoordingen worden afgeschaft.
Gekeken wordt daarbij ook in hoeverre verdere digitalisering en data-analyse dit kan ondersteunen en de kans benut kan worden toe te werken naar een breder ‘In-Control-Statement’. Hierbij ligt een nauwe relatie met de verdere doorontwikkeling van ons risicomanagement. Wij zijn voornemens de Auditcommissie en Raadswerkgroep Programmabegroting bij deze doorontwikkeling te betrekken.