M&O BELEID 2024-2027

M&O BELEID 2024-2027

VOORKOMEN VAN MISBRUIK & ONEIGENLIJK GEBRUIK

INHOUDSOPGAVE

1. INLEIDING 5

1.1 Misbruik en Oneigenlijk gebruik (M&O) 5

1.2 M&O en de accountantscontrole 5

1.3 Overkoepelend kader 6

1.4 Leeswijzer 6

2. DOELSTELLING EN UITGANGSPUNTEN 9

2.1 Definities en afbakening M&O-beleid 9

2.2 Relatie met rechtmatigheid en integriteit 10

2.3 Doelstelling M&O-beleid 10

2.4 Kaderstellend M&O-beleid 11

2.5 Uitgangspunten 11

2.6 Rollen en verantwoordelijkheden 12

3. BEHEERSMAATREGELEN 15

3.1 Hard en soft controls 15

3.2 Preventieve maatregelen 16

3.2.1 Regelgeving 16

3.2.2 Voorlichting 16

3.2.3 Controle vooraf 16

3.3 Repressieve maatregelen 17

3.3.1 Controle achteraf 17

3.3.2 Sanctionering/maatregelenbeleid 17

3.3.3 Evaluatie 18

4. RISICOGEBIEDEN 21

4.1 Intensiteit M&O-beleid 21

4.1.1 Streng M&O-beleid 21

4.1.2 Gematigd M&O-beleid 21

4.1.3 Geen specifiek M&O-beleid 21

4.2 Risicovolle processen 22

4.2.1 Verstrekken uitkeringen (streng M&O-beleid) 22

4.2.2 Verstrekken voorzieningen Wmo en Jeugdwet (streng M&O-beleid) 22

4.2.3 Vergunningverlening en handhaving (streng M&O-beleid) 22

4.2.4 Identiteitsbewijzen, reisdocumenten en rijbewijzen (streng M&O-beleid) 23

4.2.5 Verstrekken van subsidies (streng tot gematigd M&O-beleid) 23

4.2.6 Inkopen en aanbestedingen (gematigd M&O-beleid) 23

4.2.7 Integriteit van relaties (gematigd M&O-beleid) 23

4.2.8 Belastinginkomsten (gematigd M&O-beleid) 23

4.3 Privacy en gegevensbeveiliging 24

4.3.1 Algemene Verordening Gegevensbescherming (AVG) 24

4.3.2 Baseline Informatiebeveiliging Overheid (BIO) 24

4.4 Bibob 24

2 5. VERANTWOORDING ........................................................................................................ 26 3

1. INLEIDING

1.1 MISBRUIK EN ONEIGENLIJK GEBRUIK (M&O)

Vertrouwen speelt een grote rol in het gemeentebreed verlenen c.q. vaststellen van vergunningen, heffingen, belastingen en subsidies. Burgers en gemeentebestuur moeten er op kunnen vertrouwen dat overheidsbesluiten correct genomen en uitgevoerd worden en dat geen misbruik wordt gemaakt van gemeenschapsgelden. Misbruik of oneigenlijk gebruik van overheidsgeld leidt niet alleen tot financiële schade, maar levert ook een deuk op in het vertrouwen tussen overheid en burger.

Integriteit en misbruik en/of fraude kunnen nauw verweven zijn. Denk bijvoorbeeld aan samenspanning tussen een ambtenaar en aanbesteder of aanvrager (bijvoorbeeld familie- banden) en aan steekpenningen. Dit kan in financiële zin hetzelfde effect hebben als bijvoorbeeld een door derden bewust onjuist ingediende subsidieaanvraag. In dit kader sluit een geformaliseerd M&O-beleid niet alleen aan bij de actualiteit en breed maat- schappelijke aandacht voor fraudebestrijding, maar ook op integriteitsbewaking.

De Verordening financieel beleid, beheer en organisatie Gemeente Roosendaal 2023 bepaalt in artikel 21, lid h, dat het college de regels vastlegt voor het voorkomen van misbruik en oneigenlijk gebruik van gemeentelijke regelingen en eigendommen.

De onderliggende beleidsregels voorzien hierin en maken duidelijk wat het kader is ten aanzien van het voorkomen van misbruik en oneigenlijk gebruik (M&O).

1.2 M&O EN DE ACCOUNTANTSCONTROLE

Misbruik en oneigenlijk gebruik is één van de criteria waar het college zich ten aanzien van rechtmatigheid over moet verantwoorden en waarvan de accountant de getrouwheid toetst. Bij de getrouwheidscontrole van de jaarrekeningen gaat de accountant na of de gemeente over interne procedures beschikt die misbruik en oneigenlijk gebruik onder- vangen, hoe die verankerd zijn in de organisatie en getoetst bij de interne controle.

Het gaat er bij M&O-criterium in het bijzonder om vast te stellen dat in de organisatie effectieve maatregelen zijn getroffen om misbruik te voorkomen/op te sporen en dat de geldende regelgeving duidelijk, actueel en handhaafbaar is. Daarom is het dus zaak om per proces maatregelen op maat te treffen om misbruik en oneigenlijk gebruik zo veel mogelijk te voorkomen.

5

4

1.3 OVERKOEPELEND KADER

De nota betreft een uiteenzetting van het algemeen, integraal beleid van de gemeente Roosendaal over de bestrijding van misbruik en oneigenlijk gebruik. De uitwerking van het M&O-beleid vindt plaats in de specifieke regelingen en processen. Overigens zijn de meeste regelingen gebonden aan wettelijke eisen en minimumnormen voor het nemen van maatregelen ter bestrijding van fraude en misbruik. Vanzelfsprekend moet ook onze gemeente aan die wettelijke eisen voldoen.

De provincie Noord-Brabant heeft een handreiking opgesteld voor overheden om in gezamenlijkheid te komen tot een weerbare overheid. Deze Brabantse Norm Weerbare Overheid is gebruikt bij het opstellen van dit beleid. Het richt zich op bewustwording & organisatie, Informatiepositie & informatiebeveiliging, beleid & handhaving, Integriteit & veilige werkomgeving en communicatie.

1.4 LEESWIJZER

In hoofdstuk 2 worden de doelstelling en de algemene uitgangspunten van M&O-beleid belicht. Hoofdstuk 3 geeft een overzicht van mogelijke beheersmaatregelen. Hoofdstuk 4 benoemt de risicogebieden, waarop het beleid betrekking heeft alsmede de intensiteit

waarmee maatregelen per gebied worden ingezet. Hoofdstuk 5 is gewijd aan de rapportage en verantwoording in de gemeentelijke P&C cyclus.

6 7

2

2 DOELSTELLING EN

UITGANGSPUNTEN

In dit hoofdstuk wordt het doel van het M&O-beleid beschreven en voorzien van algemene uitgangspunten.

2.1 DEFINITIES EN AFBAKENING M&O-BELEID

De commissie BBV heeft in de Kadernota rechtmatigheid 2023 de volgende definities van misbruik en oneigenlijk gebruik opgenomen.

Misbruik

Het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van gegevens met als doel ten onrechte overheidssubsidies of -uitkeringen te verkrijgen of niet dan wel een te laag bedrag aan heffingen aan de overheid te betalen. Het betreft hier een bewuste misleiding om onrechtmatig of onwettig voordeel te behalen. Misbruik kan gelijk worden gesteld met het plegen van fraude om zich onrechtmatig overheidsgelden toe te eigenen. Niet elke misstap geldt als misbruik. Bij het maken van fouten is meestal geen sprake van een opzettelijke handeling. Daarnaast is het begrip misleiding van belang in deze definitie.

Misleiding heeft betrekking op het bewust verborgen houden van het misbruik.

Oneigenlijk gebruik

Het door het aangaan van rechtshandelingen, al dan niet gecombineerd met feitelijke handelingen, verkrijgen van overheidsbijdragen of het niet dan wel tot een te laag bedrag betalen van heffingen aan de overheid, in overeenstemming met de bewoordingen

van de regelgeving maar in strijd met het doel en de strekking daarvan. Als wet- en regelgeving oneigenlijk gebruik mogelijk maakt (“de mazen van de wet”), is het noodzakelijk dat wet- en regelgeving worden aangepast en/of duidelijker moet worden toegelicht.

Afbakening

M&O-beleid is extern gericht, namelijk op de inwoner, instelling of organisatie die via de gemeente Roosendaal gebruik maakt van overheidsregelingen. Interne regelingen vallen niet onder de werking van dit beleid, omdat deze reeds is geregeld in het gemeentelijke fraude- en integriteitsbeleid. Het M&O-beleid ziet verder toe op de publiekrechtelijke taakuitoefening van de gemeente. Privaatrechtelijk handelen, zoals de aan- en verkoop en de verhuur van vastgoed en gronden alsook het oneigenlijk gebruik van gemeentelijke gronden, vormt geen onderdeel van dit beleid aangezien het geen gemeentelijke regelingen betreft.

Wij hanteren een brede definitie van M&O - gevoelige regelingen, namelijk zowel regelingen met directe financiële gevolgen voor derden/belanghebbenden (denk aan subsidies, heffingen/belastingen, uitkeringen) als regelingen die niet directe financiële gevolgen hebben (bijvoorbeeld vergunningen en ontheffingen, identiteitsbewijzen,

8 9

2

Doel van M&O beleid: vanuit één integraal kader het misbruik en oneigenlijk gebruik ontmoedigen, voorkomen, bestrijden en sanctioneren.

reisdocumenten en rijbewijzen). Uit deze laatste regelingen kunnen immers op termijn ook financiële gevolgen voortvloeien voor derden/belanghebbenden.

Bij misbruik en oneigenlijk gebruik worden overheidsgelden gebruikt

voor een doel waarvoor deze niet bestemd zijn.

2.4 KADERSTELLEND M&O-BELEID

2.2 RELATIE MET RECHTMATIGHEID EN INTEGRITEIT

Rechtmatigheid - misbruik is onrechtmatig, oneigenlijk gebruik niet

Misbruik en oneigenlijk gebruik is één van de drie criteria van rechtmatigheid. Misbruik is een onrechtmatige handeling; oneigenlijk gebruik is dat niet. Bij oneigenlijk gebruik wordt feitelijk gehandeld in overeenstemming met wet- en regelgeving - waarmee dit dus niet onrechtmatig is - maar wel sprake is van handelen in strijd met doel en strekking van de wet- en regelgeving.

Integriteit - reeds geregeld in ander gemeentelijk beleid

Bij misbruik en oneigenlijk gebruik gaat het om derden (externen), die gebruik maken van regelingen en/ of bezittingen van de gemeente, hetgeen extern gericht is.

Integriteit richt zich op de eigen organisatie en is intern gericht. Dit is reeds geregeld in het gemeentelijke integriteitsbeleid, waarover jaarlijks verantwoording wordt afgelegd in het integriteitsjaarverslag en de paragraaf bedrijfsvoering.

2.3 DOELSTELLING M&O-BELEID

Het M&O-beleid heeft tot doel het voorkomen en bestrijden van misbruik en oneigenlijk gebruik van overheidsgelden. Daarmee bestaat het zowel uit preventief als repressief beleid. Bij M&O-beleid is met name van belang om vast te stellen dat in de bedrijfsvoering effectieve maatregelen zijn getroffen om misbruik en oneigenlijk gebruik te voorkomen dan wel tijdig op te sporen en daarnaast dat de wet- en regelgeving duidelijk en te handhaven is. M&O-beleid draagt bij aan transparantie en consistentie van gemeentelijk beleid. Het maakt ook mogelijk dat afwegingen worden gemaakt welke beheersmaatregelen nodig en doeltreffend zijn, afgezet tegen de inspanning die het kost en het financieel nut ervan.

Beheersmaatregelen in het kader van M&O teneinde de betrouwbaarheid van door derden verstrekte gegevens te controleren gaan soms verder dan reguliere interne controles. M&O-beleid identificeert ook zwakke plekken in de administratieve organisatie en interne beheersing.

M&O-beleid is in veel gevallen al onderdeel van de processen. M&O-maatregelen die voortvloeien uit landelijke wetgeving en lokale verordeningen zijn verankerd in onze administratieve organisatie. Daarop aanvullend is het van belang om overkoepelende algemene kaders vast te leggen in het M&O-beleid:

a. De werking van de AO/IC is mede afhankelijk van de integriteit van de medewerkers.

In de Gedragscode voor medewerkers van de gemeente Roosendaal, staat wat van medewerkers wordt verwacht. Deze is terug te vinden in het Personeelshandboek onder Integriteit, privacy en vertrouwelijke informatie. Het niet of niet kritisch uitvoeren van de interne beheersmaatregelen kan leiden tot misbruik en oneigenlijk gebruik. Het doel is dat de organisatie alert is op de integriteit van de medewerkers. Van belang is om de risico’s hieromtrent te analyseren en te bewaken c.q. beheersen.

b Het is van belang dat de informatie die verstrekt wordt door derden betrouwbaar is. Niet altijd is dit te ondervangen met de bestaande controle-instrumenten in reguliere processen, omdat deze vaak niet verder strekken dan de eigen organisatie. Hiervoor dienen (aanvullende) maatregelen gehanteerd te worden.

c. Het vastleggen van algemeen M&O-beleid draagt bij aan de transparantie en consistentie van gemeentelijk beleid.

Daarbij is het behulpzaam bij het maken van afwegingen in hoeverre extra beheersmaatregelen en controles benodigd en tegelijkertijd doeltreffend zijn. Maatregelen die veel geld en energie kosten, maar slechts beperkt financieel nut opleveren, kunnen daarmee worden voorkomen.

2.5 UITGANGSPUNTEN

Bovenstaande kaders vertaalden we in de volgende uitgangspunten die ten grondslag liggen aan het M&O-beleid van Xxxxxxxxxx:

1. De gemeente werkt vanuit een basishouding van vertrouwen in een juiste

omgang met gemeentelijke regelingen door inwoners en instellingen/bedrijven van Roosendaal.

10 11

2

2. Maatregelen die worden getroffen ter bevordering van een juist gebruik van gemeentelijke regelingen zijn proportioneel, hetgeen wil zeggen dat zij in verhouding staan tot de risico’s die worden gelopen.

3. De betrouwbaarheid van aangeleverde informatie afgezet tegen het optreden van risico’s is bepalend voor de mate van controle en sanctionering.

4. Voorkomen is beter dan genezen; de inzet van beleid en maatregelen is primair gericht op preventie van misbruik en oneigenlijk gebruik van gemeentelijke regelingen.

5. Van derden ontvangen gegevens worden indien mogelijk gecontroleerd.

6. Na constatering van een overtreding wordt de rechtmatige situatie zo snel mogelijk hersteld en zo nodig bestraft.

7. De directeur van de groep of het team dat de desbetreffende regelingen uitvoert is - ondersteund door de procesbewaker - verantwoordelijk voor het treffen van beheersmaatregelen.

8. Beheersmaatregelen worden ingezet op basis van een analyse van de risico’s en na afweging van de kosten en de baten.

9. Het M&O-beleid wordt eens in de vier jaar geactualiseerd op basis van ontwikkelingen in wetgeving en ervaring met de maatregelen en controles.

2.6 ROLLEN EN VERANTWOORDELIJKHEDEN

Het in deze nota geformuleerde beleid vormt een kapstok voor de opsomming en inkadering van bestaand beleid en bevat geen nieuwe regels. Rollen en verantwoordelijkheden zijn in lijn met de inrichtingsprincipes van de organisatie. De directeur van de groep of het team waar de betreffende regelingen worden uitgevoerd is - ondersteund door de procesbewaker1 - verantwoordelijk voor het actueel houden van het specifieke M&O-beleid. Ook legt de directeur

verantwoording af over de wijze waarop het M&O-beleid wordt uitgevoerd en wordt nageleefd. De Algemeen Directeur ziet erop toe dat de individuele directeuren deze taak oppakken en dat waar nodig risico’s tijdig worden besproken in het directie- overleg. Het college vervult een kaderstellende rol door het beleid en de periodieke actualisaties daarvan vast te stellen.

1 Zie Werkende Processen – procesmanagement in de gemeente Roosendaal uitgangspunten,

12 definities en aanpak 13

3

3 BEHEERSMAATREGELEN

Het risico van misbruik en oneigenlijk gebruik van gemeentelijke regelingen heeft doorgaans te maken met de tijdigheid, juistheid en de volledigheid van de door de aanvrager verstrekte gegevens. Op basis van deze gegevens

worden bijvoorbeeld subsidies en uitkeringen verstrekt dan wel belastingen en heffingen opgelegd.

Wettelijke eisen en minimumnormen verbinden aan de meeste regelingen de verplichting om maatregelen ter bestrijding van fraude en misbruik te treffen. Dat zijn maatregelen

uit landelijke wetgeving en lokale regelgeving, die standaard worden ingezet. Processen waarbij M&O-gevoeligheden spelen, moeten voldoende specifieke beheersmaatregelen bevatten om de tijdigheid, juistheid en volledigheid te toetsen van de door een burger of bedrijf verstrekte gegevens.

Ook intern gerichte beheersmaatregelen zijn relevant. Het gaat dan om zaken als functiescheiding, toegangsrechten tot applicaties, periodieke controles, het vastleggen van gebeurtenissen in loggings en rapportages over deze maatregelen. Onderscheiden worden preventieve en repressieve maatregelen of een combinatie van beide vormen.

3.1 HARD EN SOFT CONTROLS

Bij misbruik passen beheersmaatregelen zoals fraudepreventie, handhaving, fraudeopsporing en sancties. Beheersmaatregelen die passen bij oneigenlijk gebruik zijn: handhaving, voorlichting, analyse toepassing en actualisering regelgeving. Naast deze repressieve en preventieve control instrumenten, heeft het M&O beleid nadrukkelijk

te maken met houding en gedrag – en dus met de integriteit van zowel bestuurders als ambtenaren. Naast hard controls zijn dus ook de soft controls van belang: op concernniveau en in de diverse groepen informatie geven over M&O en geregeld in dialoog gaan over (het voorkomen van) misbruik en oneigenlijk gebruik. Hierin ligt een duidelijke relatie met integriteitsbeleid.

Om misbruik en oneigenlijk gebruik te voorkomen passen we diverse maatregelen toe. Denk aan: fraudepreventie, voorlichting, risicodialogen, actualiseren van beleid, fraudeopsporing, data-analyse, handhaving en sanctionering.

15

14

3.2 PREVENTIEVE MAATREGELEN

Preventieve maatregelen zijn maatregelen die liggen vóór het moment van beschikken, betalen of verstrekken van een voorziening, vergunning of uitkering. Preventieve maatregelen betreffen regelgeving, voorlichting en controle vooraf. Ze zijn gericht op het voorkomen van misbruik en oneigenlijk gebruik van regelingen.

3.2.1 Regelgeving

Heldere en eenduidige regelgeving beperkt de ruimte voor misbruik en oneigenlijk gebruik. Onder regelgeving verstaan we gemeentelijke verordeningen, beleidsregels, nadere regels en richtlijnen. Adequate en handhaafbare regelgeving is een belangrijke beheersmaatregel in het kader van M&O-beleid en voldoet in dat verband aan de volgende eisen:

- eenvoud, inzichtelijkheid en begrijpelijkheid;

- eenduidige definities;

- doel en doelgroep van de regeling zijn nauwkeurig bepaald;

- rechten, plichten en voorwaarden zijn opgenomen;

- geen overbodige en/of met elkaar strijdige bepalingen;

- afhankelijkheid van gegevens afkomstig van derden is zoveel mogelijk beperkt;

- mogelijke maatregelen of sancties bij geconstateerd misbruik en oneigenlijk gebruik zijn in de regeling opgenomen en

- ingangsdata en overgangsregels zijn in de regeling opgenomen.

3.2.2 Voorlichting

Wet- en regelgeving wordt door middel van voorlichting onder de aandacht gebracht van belanghebbenden (inwoners, bedrijven instellingen, en onze eigen medewerking). Informatie dient te worden verstrekt over het bestaan van een regeling, aard en doel, de specifieke doelgroep, voorwaarden en controle- en sanctiebeleid. Voorlichting draagt bij aan het voorkomen van misbruik en oneigenlijk gebruik van een regeling, zeker als ook duidelijk wordt gecommuniceerd over mogelijke sancties. Daarnaast werkt actieve voorlichting over het M&O-beleid via de website van de gemeente stimulerend op de naleving van regelgeving.

3.2.3 Controle vooraf

Controle in de uitvoering is een middel om (de kans op) misbruik of oneigenlijk gebruik te signaleren. Mogelijke gevallen van misbruik of oneigenlijk gebruik kunnen al in een vroegtijdig stadium worden waargenomen.

Controle vooraf van gegevens wordt uitgevoerd tot aan het moment van betaling of beschikkingsverlening en geldt daarmee als preventieve maatregel. Controle vooraf richt zich op de toetsing van de juistheid en volledigheid van gegevens, die door derden zijn verstrekt. De medewerker gaat na of door de inwoners, bedrijven of instellingen aan de voorwaarden van bijvoorbeeld een uitkering, subsidie of vergunning wordt voldaan.

Door betrokkene(n) aangeleverde gegevens worden indien mogelijk geverifieerd. Uitgangspunt is dat - voordat wordt uitbetaald - een andere medewerker controleert of deze werkzaamheden zichtbaar, volledig en juist zijn uitgevoerd (vier-ogen principe).

3

In beleid wordt bepaald welke controlemethoden worden gebruikt ten aanzien van regelingen. Controles kunnen variëren van integraal, steekproefsgewijs tot incidenteel. Hierbij zijn de aard en omvang van de doelgroep van belang alsook hoe misbruikgevoelig een regeling is. Processen waarbij gevoeligheden spelen moeten voldoende maatregelen bevatten om de tijdigheid, juistheid, volledigheid en prestatielevering te toetsen van door belanghebbende(n) verstrekte gegevens.

3.3 REPRESSIEVE MAATREGELEN

Repressieve maatregelen zijn maatregelen die na het moment van beschikken, betalen of ontvangen worden genomen. Het gaat om controle achteraf, waarbij misbruik of oneigenlijk gebruik kan worden vastgesteld en sanctionering/maatregelenbeleid.

3.3.1 Controle achteraf

Controle van gegevens achteraf wordt uitgevoerd nadat de beschikking is afgegeven dan wel na het uitkeren/innen van bedragen. Daarmee is het een repressieve maatregel. Ook controles achteraf kunnen integraal, steekproefsgewijs of incidenteel worden uitgevoerd. Manieren om te controleren zijn: verzoeken om inlichtingen, inspecties, waarneming, bevestigingen, herberekeningen, cijferanalyses en het opnieuw uitvoeren van controles. In de uitvoering van de Verbijzonderde Interne Controles (VIC) bestaat expliciet aandacht voor M&O; vastlegging van de controleresultaten is verplicht. Interne controles worden periodiek uitgevoerd om te beoordelen of conform de vastgestelde procedures is gewerkt en transacties getrouw en rechtmatig tot stand zijn gekomen. De resultaten van de controle kunnen leiden tot aanpassing van het controlebeleid en/of de regelgeving.

3.3.2 Sanctionering/maatregelenbeleid

Sancties worden opgelegd als reactie op een vaststelling van misbruik. Immers, alleen misbruik is onrechtmatig en moet worden hersteld en/of beboet. Maatregelenbeleid is vereist om adequaat te reageren op geconstateerd misbruik en/of oneigenlijk gebruik. Maatregelenbeleid moet voldoen aan de beginselen van behoorlijk bestuur. Dit houdt onder andere in dat maatregelen en sancties proportioneel moeten zijn in relatie tot het vergrijp. Uitgangspunt is dat het behaalde voordeel wordt teruggevorderd en zo nodig een boete wordt opgelegd.

Concreet leidt dit tot terugvordering van teveel uitbetaalde bedragen, naheffing van ten onrechte gederfde opbrengsten of intrekking van een ten onrechte verstrekte vergunning.

In bepaalde gevallen kan ook de ontbinding van een overeenkomst worden gevorderd of de intrekking van een erkenning als niet-financiële sanctie worden opgelegd. Ingeval

van een misdrijf (fraude of diefstal) wordt aangifte gedaan bij de politie. Van sanctionering gaat een afschrikeffect uit en draagt om die reden eveneens bij aan het voorkomen en beperken van misbruik van gemeentelijke regelingen.

16 17

Repressieve en preventieve maatregelen beperken gezamenlijk het M&O-risico. Ondanks maatregelen zijn risico’s nooit volledig uit te sluiten.

3.3.3 Evaluatie

Het is gebruikelijk regelgeving periodiek te evalueren. In een evaluatie dient ook plaats te zijn voor de effectiviteit van genomen maatregelen ter voorkoming van misbruik en

oneigenlijk gebruik en het toereikend zijn van controlewerkzaamheden. Het M&O-beleid kan hierop worden aangepast.

Naar aanleiding van de gegevens die voortkomen uit de evaluatie kan inzicht worden verkregen in de effectiviteit van de genomen beheersmaatregelen om misbruik en oneigenlijk gebruik te voorkomen en in de toereikendheid van de controlemogelijkheden. Evaluatie kan leiden tot aanpassing van bijvoorbeeld regelgeving of het controlebeleid.

18 19

4

4 RISICOGEBIEDEN

M&O-beleid wordt toegepast bij regelingen waar een risico bestaat op misbruik en oneigenlijk gebruik. Afhankelijk van de misbruikgevoeligheid van een regeling wordt de intensiteit van de inzet van beheersmaatregelen bepaald. In dit hoofdstuk worden de risicogebieden beschreven, waarop M&O-beleid van toepassing is. Daarbij wordt de intensiteit van inzet van het M&O-beleid benoemd en onderbouwd.

4.1 INTENSITEIT M&O-BELEID

Afhankelijk van de mate van een M&O risico wordt een streng, gematigd of basis beleid gevoerd. De hoogte van een risico is afhankelijk van de kans dat het zich voordoet en de (financiële) impact die het heeft. Hierbij wordt bezien of maatregelen in verhouding staan tot de risico’s die worden gelopen.

Afhankelijk van de mate van een M&O risico ( = kans x (financiële) impact) wordt een streng, gematigd of basis beleid gevoerd.

4.1.1 Streng M&O-beleid

Streng M&O-beleid omvat beheersmaatregelen, die verder gaan dan de reguliere maatregelen op het gebied van de administratieve organisatie en interne beheersing (AO/IB). Specifieke en aanvullende (controle)maatregelen zijn noodzakelijk, zowel in voorwaardenscheppende sfeer als voor wat betreft het houden van actief toezicht daarop.

4.1.2 Gematigd M&O-beleid

Gematigd M&O-beleid houdt in dat waakzaamheid is geboden. Enkele aanvullende maatregelen worden getroffen, zoals actieve voorlichting en een kritische beoordeling van de onderbouwing en herkomst van door derden aangeleverde gegevens (bijvoorbeeld verscherpte controles of antecedentenonderzoek).

4.1.3 Geen specifiek M&O-beleid

Als de reguliere AO/IB toereikend is, zijn geen aanvullende maatregelen noodzakelijk en kan incidentele controle op misbruik en oneigenlijk gebruik plaatsvinden.

20 21

4.2 RISICOVOLLE PROCESSEN

Regelingen waarbij de informatie van andere partijen bepalend is voor het verlenen en vaststellen van (de hoogte van) uitkeringen, voorzieningen, subsidies, heffingen, belastingen en vergunningen zijn gevoelig voor misbruik en oneigenlijk gebruik.

De volgende processen worden aangemerkt als risicogebieden, omdat derden een aanmerkelijk (financieel) belang hebben en de gemeente in grote mate afhankelijk is van door die derden verstrekte gegevens.

4.2.1 Verstrekken uitkeringen (streng M&O-beleid)

Inkomensoverdrachten vinden plaats in het kader van werk en inkomen (Participatiewet, Besluit bijstandverlening zelfstandigen, minima-regelingen, schulddienstverlening, Wet Inburgering en de ondersteuning van gedupeerden bij de Kinderopvangtoeslagaffaire en de regeling opvang ontheemde Oekraíners). Deels betreft het open einde

regelingen waarbij een cliënt die aan de voorwaarden voldoet de gevraagde uitkering of dienstverlening verkrijgt. Het risico van een onbetrouwbare gegevensverstrekking is groot vanwege de sterke persoonlijke belangen van iemand bij de uitkering of de

dienstverlening. Dit, terwijl de gegevensverstrekking bepalend is voor het vaststellen van het recht op en de hoogte en duur van de inkomenscompensatie. Om die reden geldt ten aanzien van inkomensoverdrachten een streng M&O-beleid.

Dit proces is grotendeels uitbesteed aan Werkplein Hart van West-Brabant. Deze gemeenschappelijke regeling voert haar eigen M&O beleid. Met betrekking tot schuldhulpverlening geldt dat dit proces grotendeels geautomatiseerd is, waarbij de client nauwelijks zelf informatie hoeft te verstrekken waardoor de rechtmatigheid op die manier geborgd is.

4.2.2 Verstrekken voorzieningen Wmo en Jeugdwet (streng M&O-beleid)

Individuele voorzieningen worden verstrekt in het kader van de Wet maatschappelijke ondersteuning en de Jeugdwet. Ook hier geldt dat sprake is van open einde regelingen, het risico van onbetrouwbare gegevensverstrekking en het feit dat de gegevens bepalend zijn voor het toekennen van de gevraagde voorziening. Dit zijn redenen om een streng M&O-beleid te voeren. Dit laat onverlet dat er vanuit de gemeente wordt gewerkt vanuit de gedachte dat de cliënt centraal staat en dat in dat verband ook steeds het gesprek en het overleg met mensen worden gevoerd. Dit overleg komt een adequate dienstverlening ten goede en is een aanvullende waarborg dat de juiste gegevens op tafel komen.

4.2.3 Vergunningverlening en handhaving (streng M&O-beleid)

Vergunningverlening en handhaving hebben betrekking op wezenlijke overheidstaken; vaak spelen grote publieke belangen met mogelijke financiële en politiek-bestuurlijk gevolgen. De aanvrager van een vergunning kan gelet op de grote afhankelijkheid van de gemeente bij het al dan niet verkrijgen van een vergunning baat hebben bij het

verstrekken van onjuiste informatie. In de praktijk vindt (ambtelijk) overleg met aanvragers en overtreders plaats. Dat is niet alleen een waardevol communicatiemoment met inwoners en bedrijven/instellingen maar ook een belangrijk middel om te waarborgen dat de juiste informatie op tafel komt en onnodige controles en sancties worden voorkomen. Niettemin zijn vergunningverlening en handhaving - zo blijkt uit de praktijk - M&O gevoelig en is een streng beleid geboden.

22

4.2.4 Identiteitsbewijzen, reisdocumenten en rijbewijzen (streng M&O-beleid)

4

Bij de verstrekking van identiteitsbewijzen, reisdocumenten en rijbewijzen maakt de gemeente gebruik van gegevens uit de Basisregistratie Personen (BRP). Deze gegevens moeten juist zijn, mede om misbruik en oneigenlijk gebruik van genoemde documenten te voorkomen. Een streng M&O-beleid is daarom noodzakelijk.

4.2.5 Verstrekken van subsidies (streng tot gematigd M&O-beleid)

Met subsidieverstrekking is over het algemeen een aanmerkelijk financieel belang gemoeid. Ook hier is de gemeente afhankelijk van de betrouwbaarheid van gegevens, die door instellingen worden verstrekt. Ten aanzien van grote gesubsidieerde instellingen (instellingen die jaarlijks € 100.000 of meer subsidie ontvangen) wordt een controleverklaring van een accountant geëist. Dit is vastgelegd in het Controleprotocol subsidies. Dit geeft zekerheid over de juiste besteding van de subsidie middelen.

Daarnaast vindt bij de grote instellingen regelmatig ambtelijk en bestuurlijk overleg plaats, waarbij belangrijke onderwerpen ter sprake komen. Deze combinatie van instrumenten maakt dat aanvullende M&O maatregelen ten aanzien van deze instellingen niet nodig zijn. Voor de overige gesubsidieerde instellingen kan het noodzakelijk zijn wel specifieke maatregelen te treffen, variërend van streng tot gematigd.

4.2.6 Inkopen en aanbestedingen (gematigd M&O-beleid)

Met inkoop en aanbesteding kan een aanmerkelijk financieel belang gemoeid zijn.

Wet- en regelgeving, alsmede gemeentelijk inkoopbeleid bevatten echter al de nodige waarborgen op het gebied van M&O. In het proces zijn mitigerende beheersmaatregelen getroffen zoals, collegebesluiten, begroting, budget- en functiescheiding, inkoopbeleid, uitvoering spendanalyse. Reeds van toepassing zijnde interne controles op transacties vormen eveneens een waarborg dat deze juist en volledig zijn. Aanvullende M&O- maatregelen worden beperkt tot enkele extra controles van aangeleverde gegevens.

Om die reden kan bij inkoop en aanbesteding worden volstaan met een gematigd beleid.

4.2.7 Integriteit van relaties (gematigd M&O-beleid)

Integriteit van medewerkers en bestuurders in de omgang met externe relaties vormt een M&O-risico. Preventieve maatregelen in de zin van integriteitbeleid en gedragscodes zijn reeds van kracht. Het integriteitsbeleid en de gedragscode zijn behulpzaam bij het voorkomen van integriteitschendingen en biedt handvatten voor medewerkers in de omgang en samenwerking met relaties van de gemeente. Vanwege de impact van integriteitsschending wordt een gematigd M&O-beleid gevoerd met name in de preventieve sfeer.

4.2.8 Belastinginkomsten (gematigd M&O-beleid)

Heffing en invordering van belastingen vindt plaats op basis van objectieve gegevens die bijvoorbeeld worden verkregen via het bevolkingsregister, het kadaster en taxateurs. Functiescheiding als interne maatregel vormt een waarborg voor M&O. Bepaalde belastingen zijn echter afhankelijk van gegevensverstrekking door belanghebbenden (toeristenbelasting). Ook de procedure van kwijtschelding is risicogevoelig, omdat deze bij automatische verlening sterk afhankelijk is van de juistheid van inkomensregelingen. Hier zijn aanvullende M&O maatregelen nodig en daarmee een gematigd M&O-beleid.

23

De belastingheffing in Roosendaal is uitbesteed aan Belastingsamenwerking West- Brabant (BWB). BWB voert haar eigen M&O beleid.

4.3 PRIVACY EN GEGEVENSBEVEILIGING

Misbruik en oneigenlijk gebruik heeft niet alleen betrekking op misbruik van middelen. Het kan ook gaan om misbruik van data. Dit kan inbreuk op privacy betreffen met identiteitsfraude als meest vergaande vorm. Het kan daarbij gaan om het lekken van vertrouwelijke informatie of persoonsgegevens.

4.3.1 Algemene Verordening Gegevensbescherming (AVG)

De bescherming van persoonsgegevens van de inwoners binnen Europa is geregeld in de Algemene Verordening Gegevensbescherming (AVG). Voorbeelden van persoonsgegevens zijn: naam, adres, geboortedatum, BSN, medische informatie en geloofsovertuiging. De AVG legt vast dat persoonsgegevens alleen verzameld en bewaard mogen worden als daar een wettelijke grondslag voor is en zo lang dat strikt noodzakelijk is. De gemeente houdt een register bij met een beschrijving van alle

processen en de persoonsgegevens die daarin verwerkt worden. Als andere organisaties persoonsgegevens verwerken in opdracht van de gemeente worden hierover afspraken gemaakt en vastgelegd in een verwerkersovereenkomst.

In de organisatie is een privacy-team actief bestaande uit de functionaris gegevensbescherming (FG) en twee privacy adviseurs. Het privacy-team werkt nauw samen met de CISO en de informatiemanager.

4.3.2 Baseline Informatiebeveiliging Overheid (BIO)

Informatiebeveiliging is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen misbruik en oneigenlijk gebruik. Hierbij is de Baseline Informatiebeveiliging Overheid (BIO) het belangrijkste kader. Vanaf 1 januari 2020 is deze van kracht. De BIO vervangt de bestaande Baselines Informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek.

De uitwerking van dit kader is vastgelegd in het gemeentelijk Informatiebeveiligingsbeleid.

4.4 BIBOB

Bibob staat voor bevordering integriteitsbeoordeling door het openbaar bestuur. Door middel van de Wet Bibob kan de gemeente voorkomen dat onbedoeld medewerking wordt verleend aan misbruik van vergunningen, subsidies, vastgoedtransacties of bijvoorbeeld aanbestedingsopdrachten. Hiermee is dit een belangrijk instrument om ondermijnende criminaliteit effectief tegen te gaan. De toepassing van deze wet is uitgewerkt in de vastgestelde Beleidsregel voor de toepassing Wet Bibob 2024.

24 25

5

5 VERANTWOORDING

Dit beleid geeft een toetsingskader voor de interne controle om het risico op misbruik en oneigenlijk gebruik te verkleinen. In procesbeschrijvingen zijn de beheersmaatregelen hiervoor opgenomen. In het Interne controleplan wordt het normenkader rechtmatigheid, waaraan wordt getoetst, opgenomen.

Om inzicht te krijgen in de wijze waarop het M&O-beleid wordt uitgevoerd en wordt nageleefd, moet verantwoording worden afgelegd. Dit wordt gerealiseerd door aan te sluiten bij de reguliere planning- en controlcyclus.

In het kader van de verantwoording worden in ieder geval de volgende stappen ondernomen:

- in de begroting wordt in de paragraaf Bedrijfsvoering informatie opgenomen over het M&O-beleid;

- bij het opstellen van procesbeschrijvingen in het kader van de administratieve organisatie/interne beheersing wordt rekening gehouden met M&O -gevoelige aspecten.

- bij het verrichten van interne controles, audits en onderzoeken wordt aandacht besteed aan het M&O-beleid en;

- in het jaarverslag wordt in de paragraaf Bedrijfsvoering verantwoordingsinformatie over het M&O-beleid opgenomen.

Binnen de P&C-cyclus wordt verantwoord over de naleving van het M&O-beleid.

26 27

Nr	Hoofdproces	Frauderisicofactor	Omschrijving Risico	Mogelijk gevolg risico	inschatting risico (hoog / midden / laag)	Interne beheersingsmaatregel (ter afdekking risico)	Interne controle	Risico Ondervangen in IC-aanpak
1	Inkoop en aanbesteding	Bevoordeling van derden / bevriende partijen (niet- zakelijke transacties)	Gemaakte kosten door derden overschrijden de EU-aanbestedingsgrens en zijn onterecht niet aanbesteed, met als doel 'bevoordeling' van bepaalde partijen (gunnen van werken e.d.) door bijvoorbeeld bewust opknippen van opdrachten; verdelen over meerdere leveranciers en/of verdelen over een langere periode bij dezelfde leverancier.	Onrechtmatige inkoop	H	Vooraf: inkoopmelding Vooraf: communicatie en advies over inkoop en aanbesteding achteraf: spendanalyse achteraf: controle op mandaten	Uitvoeren van een spendanalyse op de totale bestedingen aan crediteuren. Daarbij vaststellen of kosten binnen aanbestedingsgrenzen blijven en op juiste manier zijn aanbesteed.	Ja
2	Inkoop en aanbesteding	Doorbreken interne procedures en Bevoordeling van derden / bevriende partijen (niet-zakelijke transacties)	Inkoop of aanbesteding gebeurt door niet bevoegde functionaris,waardoor opdracht niet rechtsgeldig/ rechtmatig tot standkomt en bevriende/gelieerde partijen worden bevoordeeld.	Onrechtmatige inkoop. Risico dat gelden aan de organisatie worden onttrokken door hiertoe onbevoegde functionarissen	L	Processtappen in SAP met bijbehorende autorisatie (mandaatregister, functies) naleven.	Vanuit de betaalde facturen uit SAP een steekproef trekken en vaststellen of de betreffende factuur gebaseerd is op een opdracht, welke door bevoegde functionaris is verstrekt. Hierbij specifieke aandacht op facturen onder de 10.000 euro, waar het 4ogen-principe niet standaard wordt afgedwongen.	Ja
3	Verbonden partijen / inkoop	Zowel oneigenlijke toe- eigening van activa als frauduleuze financiële verslaggeving	Het risico dat de transacties buiten de gemeente om in een verbonden partij plaatsvinden om de eigen inkoop- en aanbestedingsrichtlijnen te omzeilen. Ten voordelen van een derde partij of jezelf.	Zowel oneigenlijke toe-eigening van activa als frauduleuze financiële verslaggeving. Onrechtmatige inkoop.	L	In de beleidsnota verbonden partijen zijn spelregels benoemd van toepassing op het aangaan van een verbonden partij, het toezicht en de verantwoording. Verbonden partijen hebben veelal een organisatiestructuur gelijk aan een gemeente met dito checks and balances die dit risico verkleinen. Gemeenschappelijke regelingen verstrekken ook een Rechtmatigheidsverantwoording, gemeente is betrokken bij het opstellen van het controleprocol.	Vanuit de interne controle wordt nagegaan of bij een verbonden partij aan de in het statuut afgesproken P&C- cyclus wordt voldaan inclusief de bijbehorende facturering van in de begroting gemaakte afspraken.	Ja
4	Factuurverwerking en betalingen	Ontvreemding van activa door misleiding derden of samenspanning	Betalingen aan onrechthebbende, doordat het bankrekeningnummer waarop betaald wordt niet overeenstemt met het bankrekeningnummer van de leverancier.	Oneigenlijke toe-eigening van activa	M	- Rechten in financiële administratie beperken. - Geen rechten muteren van crediteurengegevens. - Autorisatietabel. - SurePay (controle op naam bij IBAN) check bankrekeningnummer en begunstigde bij verzoek wijziging IBAN - a-selecte steekproef betaalbatch binnen crediteurenadministratie.	1. Vanuit SAP een Mutatieverslag generen van de wijzigingen van de crediteuren stamgegevens in het boekjaar 2. Een willekeurige steekproef hierop trekken en vaststellen dat mutaties gegrond zijn adhv onderliggende stukken zoals de factuur met het gewijzigde IBAN nr 3. Vaststellen dat de mutatie is doorgevoerd door andere mdw dan controleur 4. vaststellen dat nieuwe IBAN in SAP aansluit met IBAN op factuur en verslag uit Sure-pay .	Ja
5	Factuurverwerking en betalingen	Ontvreemding van activa door misleiding derden of samenspanning	dat facturen worden betaald waarvoor geen prestatie is geleverd	Oneigenlijke toe-eigening van activa	L	Voor elke factuur dient een verplichting te zijn aangemaakt. Vanuit het systeem wordt afgedwongen dat daarna bij factuur nog goedkeuring wordt gegeven, ter bevestiging van prestatielevering	1. Steekproef op basis van inkoopfacturen 2. Controle per factuur of de juiste budgethouders hebben getekend voor akkoord; 3. Op welke wijze is prestatielevering vastgesteld en onderbouwd.	Ja
6	Contantgeld betalingen	Ontvreemding van activa	Het risico is dat contant geld verdwijnt in de portemonnee van de medewerker die de betreffende kas beheert	Ontvreemding van activa	L	Het gebruik van contantgeld is tot een minimum beperkt. Waar het nog wel plaatsvindt worden kascontroles uitgevoerd, met de tweede lijn (financiele ondersteuning).	Controle op zichtbare aansluiting 2e lijn en steeksproefsgewijze check.	Ja
7	Memorialen	Onjuiste / frauduleuze financiële verslaggeving	Dat een collega zelf een frauduleuze/onjuiste memoriaal opstelt en doorvoert.	Foutieve / fraudegevoelige boekingen kunnen worden gemaakt waardoor de financiële administratie een onjuist beeld geeft.	M	1) Een goede afbakening tussen de invoer en de controle van de memoriaalboeking. Het systeem dient altijd het vier ogen principe toe te passen bij het uitvoeren van een memoriaalboeking met een bijbehorende autorisatietabel. 2) Adequate functiescheiding tussen het maken en het invoeren van de memoriaal. 3) er dient altijd op basis van onderliggende stukken/documentatie geboekt te worden. Deze onderbouwing wordt toegevoegd.	Draai een dump uit SAP van de memoriaalboekingen op verzoek van budgethouders/-beheerders van boekjaar en maak een willekeurige steekproef - Stel vast dat de memoriaalboeking is goedgekeurd door de juiste persoon adhv de autorisatie tabel	Ja

Pagina 1 van 5

Nr	Hoofdproces	Frauderisicofactor	Omschrijving Risico	Mogelijk gevolg risico	inschatting risico (hoog / midden / laag)	Interne beheersingsmaatregel (ter afdekking risico)	Interne controle	Risico Ondervangen in IC-aanpak
8	Planning en control	Frauduleuze financiële verslaggeving / Management override of controls	het onjuist presenteren van financiële feiten die het beeld van de jaarrekening beinvloeden door facturen in verkeerde boekjaar te verantwoorden omdat de prestatie al wel / nog niet geleverd is	Bewust onjuiste verslaggeving jaarrekening, geen rechtmatigheid op getrouwheid.	H	- Het opstellen en bespreken van de jaarrekening is gefaseerd, directie en bestuur zien deze pas in een laat stadium. - De concerncontroller bewaakt de checks and balances in het proces van tot stand komen van de jaarrekening. Dat blijkt uit de notulen van het DT, de bila's met de wethouders en de vergaderingen van B&W. - De opstellers van de jaarrekening, coordinatoren P&C, kunnen zelf niet boeken.	Gegevensgerichte controlewerkzaamheden op de memoriaalboekingen, waarbij gekeken zal worden naar de volgende selectiecriteria: 1. Boekingen door ongebruikelijke personen; 2. Ongebruikelijke grootboek-dagboek combinaties; 3. Boekingen zonder omschrijving leverancier	Ja
9	Planning en control	Frauduleuze financiële verslaggeving / Management override of controls	bewust verschuivingen plaatsvinden in de baten en lasten tussen programma's, taakvelden om begrotingsonrechtmatigheid te voorkomen.	Bewust onjuiste verslaggeving jaarrekening, geen rechtmatigheid op getrouwheid.	H	- Functiescheiding. Budgethouders bepalen niet zelf waar de lasten (facturen) komen. - Bij aanvang (inkoop) vinden controles plaats op wanneer (waarschijnlijk) prestatielevering plaatsvindt. - bij tussentijdse p&c-documenten vindt overleg plaats tussen financieel ondersteuner/adviseur en budgethouder/beheerder over prognoses.	- Enerzijds procescontrole op totstandkoming p&c- document. (plaatsvinden van budgetgesprekken) - Anderzijds gegevensgericht wordt voor de lasten/baten vastgesteld dat de aard van de lasten/baten op de juiste lastenplaats is begroot vanuit opmaak begroting in SAP.	Ja
10	Planning en control	Frauduleuze financiële verslaggeving / Management override of controls	risico dat gebruiksduur van activum bewust onjuist is geclassificeerd of activa niet tijdig gereed worden gemeld, waardoor afschrijvingen onjuist tot stand komen.	te laag of te hoog ingeschatte afschrijvingen en onjuiste verantwoording.	L	Volgen van werkproces met inachtneming van activabeleid in Financiële verordening.	Op basis van de staat van activa: - Stel vast dat investeringen met zelfde aard op eenduidige wijze worden afgeschreven - Stel vast dat afschrijving tot stand komt op basis van het activabeleid - Stel vast dat de investeringen in het jaar worden meegenomen in de bestuursrapportage en slotwijziging d.m.v. een bijgestelde MIP en begroting	Ja
11	Treasury	Frauduleuze financiële verslaggeving	Het risico dat een partner waarvoor wij een garantstelling hebben afgegeven, bij de aanvraag onjuiste (te positieve) voorstelling van zaken heeft gegeven.	Gemeente wordt aangesproken op garantstelling en dus financieel nadeel.	L	- aanvrager levert onderbouwing aan garantstelling, deze wordt getoetst. - periodieke toetsing op juistheid en actualiteit van onderbouwing bij garantstelling	Toetsing op procedures	Ja
12	Personeelsproces	Oneigenlijke toe-eigening van activa	Dat in de personeels- en salarisadministratie werknemers zijn opgenomen die feitelijk niet bestaan of niet in dienst zijn (spookwerknemers). Het risico zit hem hierin dat vanuit groep P&O mutatieformulieren worden opgesteld voor indiensttreders welke niet bestaan, of dat de salarisadministrateur vanuit zijn positie binnen de salarisadministratie fictieve werknemers opvoert.	Fouten in salarislasten die materieel van aard zijn.	M	- De te verwerken personeelswijzigingen worden cf. het proces opgesteld door de diverse groepen middels het personeelsmutatieformulier. Op dit mutatieformulier is vermeld welke mutatie doorgevoerd dient te worden voor welke werknemer. - Het mutatieformulier dient conform het proces te worden onderbouwd met onderliggende brondocumenten (getekende arbeidsovereenkomst, ID-bewijs, etc.). - salarisadministrateurs controleren elkaar	Maandelijks worden de wijzigingen in de vaste/variabele personeelsgegevens gegevensgericht gecontroleerd door een medewerker niet betrokken bij de groep P&O en achteraf gereviewed door team Interne Controle. Jaarlijks wordt middels een steekproef (populatie alle indiensttreders) vastgesteld dat deze bestaan door voor elke indiensttreders vast te stellen dat minimaal de volgende stukken aanwezig zijn in het personeelsdossier: - Getekende arbeidsovereenkomst; - Geldig Identificatiebewijs. Tevens wordt vastgesteld dat het bruto salaris & parttime % cf. ADP, aansluit met hetgeen hierover is opgenomen in de getekende arbeidsovereenkomst.	Gedeeltelijk
13	Personeelsproces	Oneigenlijke toe-eigening van activa	de verwerking en uitbetaling van ingediende declaraties binnen het personeels- en salarisproces (functionaris personeelsadministratie verwerkt (accordeert) de ingediende declaraties welke niet voldoen aan de declaratierichtlijnen).	Fouten in salarislasten die materieel van aard zijn.	M	Voor het indienen van declaraties dienen werknemers een digitaal declaratieformulier in te dienen en te onderbouwen met onderliggende brondocumenten. De ingediende declaraties worden vervolgens gecontroleerd en geaccordeerd door de functionaris salarisadministrateur.	Maandelijks worden de wijzigingen in de vaste/variabele personeelsgegevens op basis van een steekproef gegevensgericht gecontroleerd door een medewerker niet betrokken bij de groep P&O en gereviewed door team Interne Controle. Hierbij wordt vastgesteld of de wijzigingen adequaat worden onderbouwd (i.e. zijn de wijzigingen door de juiste functionaris cf. de mandaatregeling geaccordeerd, zijn de declaraties adequaat onderbouwd en worden uitgaven gedeclareerd die voldoen aan de declaratierichtlijnen).	Ja
14	Personeelsproces	Oneigenlijke toe-eigening van activa	risico op onterecht uitbetalen (nabestaanden) pensioen voormalig wethouders	Oneigenlijke toe-eigening van activa	L	Jaarlijkse controle op overzicht op bewijs van 'in leven'	Toetsen of controle heeft plaatsgevonden	Nee

Pagina 2 van 5

Nr	Hoofdproces	Frauderisicofactor	Omschrijving Risico	Mogelijk gevolg risico	inschatting risico (hoog / midden / laag)	Interne beheersingsmaatregel (ter afdekking risico)	Interne controle	Risico Ondervangen in IC-aanpak
15	Grondexploitatie	Xxxxxxxxxxx financiële verslaggeving / Management override of controls	Het risico dat bewust een onjuiste verliesvoorziening wordt getroffen. Bijvoorbeeld risico op het verschuiven van lasten van verlieslatende projecten naar winstgevende projecten. Mogelijke verliezen op onderhandenwerk posities (bestaat uit grex en overige majeure projecten) worden niet tijdig zichtbaar gemaakt door het verschuiven van lasten van verlieslatende projecten naar winstgevende projecten.	Bewust onjuiste verslaggeving jaarrekening, geen rechtmatigheid op getrouwheid.	M	Het periodieke countervailing power overleg (bestaande uit (strategisch) financieel adviseurs, adviseur Planning & Control, planeconoom en projectadministrateur) toetst de geactualiseerde exploitatieopzetten. Hierbij gebruik van checklist (op basis ban de notitie van de commissie BBV en het BADO/SDO) ter toetsing op de waardering van grex-en, inclusief het nemen van winst dan wel vormen van een verliesvoorziening.	De reguliere steekproeven op juist doorlopen proces memoriaalboekingen en betalingsproces. Toets op de uitvoering en volledigheid van het periodieke countervailing power overleg.	Ja
16	Sociaal Domein (Wmo / jeugd)	Oneigenlijke toe-eigening van activa	Het risico dat er onjuiste declaraties worden ingediend door de zorgaanbieder en/of pgb- budgethouder en bewust goedgekeurd. Het risico bestaat dat de betaling van de factuur aan de zorgaanbieder of het PGB-budget niet wordt besteed voor de zorg waarvoor de cliënt een beschikking heeft ontvangen dan wel de prestatie niet geleverd.	budgetoverschrijdingen. Oneigenlijke toe-eigening van activa	M	- Controleren of de gefactureerde zorg overeenkomt met de beschikking of zorgovereenkomst in het digitale berichtenverkeer (ZorgNed) - Controleren of een handmatige factuur overeenkomt met de onderliggende overeenkomst en bewijs van prestatielevering. - Afstemmen van de productieverantwoordingen van de zorgaanbieders met de betalingen in 2024 volgens Zorgned dan wel de financiële adminstratie. - Toezien op aandacht aan de geleverde zorg in het evaluatieverslag in het cliëntdossier in Zorgned. - Bespreken werkzaamheden en eventuele meldingen inkooporganisatie ZIT (Jeugd) in kader van M&O-preventie.	Gegevensgericht worden op basis van de genoemde interne beheersingsmaatregelen de volgende werkzaamheden uitgevoerd: - Controle dat de zorg is geleverd, voor ZIN en voor PGB.	Ja
17	Sociaal Domein (wmo / jeugd)	Oneigenlijke toe-eigening van activa	Het risico dat zorgprofessionals (Wmo- of jeugdprofessionals) zorg (PGB of ZIN) toekennen aan een familielid of kennis, zonder dat deze feitelijk zorg nodig heeft.	budgetoverschrijdingen. Oneigenlijke toe-eigening van activa	M	Binnen het proces is er vooraf sprake van het vier-ogen- principe voordat zorg wordt toegekend. En bij Wmo vindt achteraf een kwaliteitscontrole plaats. De interne afspraak is dat de Wmo-professionals geen zorgvraag in behandeling nemen van een bekende.	Gegevensgericht worden op basis van de beheersmaatregelen de volgende werkzaamheden uitgevoerd: 1. Controle op de rechtmatige verstrekkingen van de Wmo/Jeugd beschikkingen. 2. Controle op de betrouwbaarheid van de basisadministratie in Zorgned.	Ja
18	Grondexploitatie	Frauduleuze financiële verslaggeving / Management override of controls	Het risico dat bewust onjuiste veronderstellingen (rentepercentage, lasten- en baten indexering, disconteringsvoet of een onjuiste winstnemingssystematiek) wordt gehanteerd bij het schattingsproces voor de bepaling van de tussentijdse waardering en resultaten.	Bewust onjuiste verslaggeving jaarrekening. De omvang van baten en lasten uit grondexploitaties zijn foutief en leiden tot meerjarige tekorten.	M	notitie van uitgangspunten voor de actualisatie van de grondexploitaties en de interne toets op de realiteit van deze uitgangspunten in het countervailing power.	Toets op basis van de andere beheersmaatregelen op de uitvoering en volledigheid van het periodieke countervailing power overleg.	Ja
19	Grondexploitatie / Vastgoed	Frauduleuze financiële verslaggeving / Management override of controls	Het risico dat bewust de opbrengsten van grond- of pandverkopen onjuist / niet volledig zijn verantwoord, danwel dat de lasten van aankopen grond of panden te hoog zijn verantwoord.	Te lage opbrengstverantwoording of te hoge lasten voor verwerving. Mogelijk ongeoorloofde staatsteun	M	De prijzen van de grond dienen op basis van gecertificeerde taxateurs tot stand te zijn gekomen, waarna deze prijzen nogmaals door de interne groep worden getoetst of deze prijzen redelijk zijn. Bij adviesnota's wordt getoetst op aanwezigheid van de taxaties.	Steekproefgewijze controle op basis van verkopen en aankopen grond / panden. Stel vast dat de transactie gegrond is aan de hand van notariële aktes en prijsstelling conform de afspraken (taxatie) zijn verlopen. Check op aansluiting tussen bankontvangst, akte en SAP.	Ja
20	Vastgoed	Frauduleuze financiële verslaggeving	Verhuuropbrengsten worden niet verantwoord, maar weggesluisd	Te lage / hoge opbrengsten- verantwoording in de jaarrekening	L	Een goede contractbeheersing met functiescheiding tussen de opsteller van het contract en de toetser, welke uiteindelijke door bevoegd orgaan moet worden getekend.	Willekeurige steekproef op basis van verhuuropbrengsten in SAP. Controle op juistheid bedrag tov contract. Vaststellen dat bedrag daadwerkelijk is ontvangen.	Ja, 1 keer in 4 jaar
21	Vastgoed	Frauduleuze financiële verslaggeving	Het risico dat verhuuropbrengsten onvolledig zijn verantwoord	Te lage opbrengstenverantwoording in de jaarrekening	M	Een duidelijk totaaloverzicht van alle verhuurde objecten wordt bijgehouden en dient als controlemiddel voor de volledigheid van de verhuuropbrengsten. Activalijst nalopen op bovengenoemde staat van MvA	Jaarlijkse volledigheidscheck op totaaloverzicht vastgoedobjecten in eigendom gemeente die worden verhuur. Vaststellen dat lijst compleet is adhv kadasterlijst.	Ja, 1 keer in 4 jaar

Pagina 3 van 5

Nr	Hoofdproces	Frauderisicofactor	Omschrijving Risico	Mogelijk gevolg risico	inschatting risico (hoog / midden / laag)	Interne beheersingsmaatregel (ter afdekking risico)	Interne controle	Risico Ondervangen in IC-aanpak
22	Omgevingsvergunnin gen	Frauduleuze financiële verslaggeving	Het risico dat de bouwkosten of de bouwleges bewust verkeerd berekend worden (te laag), waardoor deze foutief in rekening wordt gebracht of helemaal niet in rekening.	Te lage / te hoge opbrengstenverantwoording in de jaarrekening	L	Vier ogen principe bij het berekenen van de bouwleges en het toetsen hiervan. Daarnaast worden deze bouwkosten /-leges automatisch berekend op basis van het bouwkosten kompas.	-Draai een Dump uit SAP van de bouwleges van boekjaar en maak een willekeurige steekproef - Stel vast dat de bedragen in SAP gegrond zijn aan de hand van de factuur - Stel vast dat de bedragen op de factuur rekenkundig juist is adhv de legesverordening van het betreffende boekjaar	Ja
23	Omgevingsvergunnin gen	Xxxxxxxxxxx financiële verslaggeving	Het risico dat het tarief onjuist tot stand komt, doordat niet de juiste kosten worden toegerekend	Te lage / te hoge opbrengstenverantwoording in de jaarrekening	L	Vier ogen principe bij de invoer van de tarieven door de applicatiebeheerder in Zaaksysteem en vervolgens de controle hierop door de Beleidsadviseur, aansluitend met de tarieven volgens de legesverordening.	- Verkrijg de lijst met de verschillende tarieven die worden gehanteerd in Zaaksysteem voor het berekenen van de bouwleges - Stel vast dat de tarieven volgens de legesverordening aansluit met de tarieven in Zaaksysteem - Stel vast dat de juiste tarieven worden gehanteerd bij de juiste afgrenzing van de bouwkosten - Stel vast dat het maximum van de bouwkosten is verwerkt in Zaaksysteem	Ja
24	Omgevingsvergunnin gen	Belangenverstrengeling / Frauduleuze financiële verslaggeving	Het risico dat niet alle bouwleges daadwerkelijk in rekening worden gebracht	Te lage opbrengstenverantwoording in de jaarrekening	L	functiescheiding op invoer legestarieven/bedrag en verzenden factuur.	Maak een aansluiting tussen het Zaaksysteem en de financiele administratie en stel vast dat alle aanvragen die geregistreerd in het Zaaksysteem ook verantwoord zijn in de financiele administratie.	Ja
25	Subsidies	Belangenverstrengeling / oneigenlijke toe-eigening van activa	Het risico dat subsidieaanvragen en vaststellingen worden beschikt door éénzelfde functionaris, waarbij de ambtenaar die verantwoordelijk is voor het toetsen van de subsidiebeschikkingen, privébelangen heeft bij het toekennen van de aanvraag (ongeacht of de aanvraag cq. eindverantwoording voldoet aan de voorwaarden, wordt deze beschikt en vastgesteld).	Oneigenlijke toe-eigening van activa	L	Controle technische functiescheiding binnen het beoordelingsproces. Zowel subsidieaanvragen als aanvragen tot subsidievaststelling worden beoordeeld middels het 4 ogen principe (subsidieadviseur en een beleidsmedewerker). In geval van subsidies van > EUR 50.000,- is tevens sprake van het zes-ogen principe doordat een financieel adviseur hier ook nog naar kijkt.	Gegevensgericht wordt vastgesteld dat zowel de beschikking tot verlening als de vaststelling is afgegeven conform de verordening, beleid en/of regelingen inclusief de bijbehorende functiescheiding in het proces.	Ja
26	Subsidies	Belangenverstrengeling / oneigenlijke toe-eigening van activa	Risico op belangenverstrengeling doordat zonder expliciet besluit wordt afgeweken van de algemene subsidieverordening dan wel ten onrechte geen terugvordering van subsidiegelden.	Oneigenlijke toe-eigening van activa	H	Conform het proces dienen de aanvragen tot subsidievaststellen te worden gecontroleerd aan de hand van de vereisten uit de algemene subsidieverordening, subsidiebeleid en de subsidieregelingen. De controle van de aanvragen tot subsidievaststelling wordt uitgevoerd middels het vier-ogen principe. Derhalve is de functiescheiding binnen de aanvraag tot verlening/vastellen gewaarborgd.	Gegevensgericht worden de volgende controlewerkzaamheden uitgevoerd: 1. Vaststellen dat zowel subsidieaanvragen als aanvragen tot vaststelling rechtmatig worden beschikt; 2. Indien gebruik wordt gemaakt van artikel 16.4 wordt vastgesteld dat het college het besluit motiveert en dit met de gemeenteraad comminuceert; 3. Voor alle aanvragen tot vaststelling (> EUR 100.000,- wordt gecontroleerd of een controleverklaring bij de subsidieverantwoording is toegevoegd.	Ja
27	Subsidies	onrechtmatige verstrekking subsidies	Het risico dat (deels) onterecht subsidie is verleend vanwege te hoge kosten die zijn opgevoerd door de aanvrager	Onrechtmatige subsidie	M	Inhoudelijk beoordelen van de aanvraag / tussentijdse rapportages en vaststelling van de subsidie op T+1. Daarnaast is een accountantsverklaring vereist voor subsidies > 100.000	Vanuit de betaalde subsidies uit SAP een willekeurige steekproef trekken en de onderliggende stukken uit Zaaksysteem halen. Stel vast dat de betaalde subsidiebedragen gegrond zijn adhv de subsidiebeschikking	Ja
28	Subsidies	onrechtmatige verstrekking subsidies	Het risico dat de subsidie wordt vastgesteld adhv onvolledige of onvoldoende betrouwbare informatie van de aanvrager	Kosten onrechtmatig besteed	L	De verwachtingen / prestatie verplichtingen worden duidelijk vooraf gecommuniceerd en vastgelegd in de beschikking adhv duidelijke prestatie indicatoren waarover de aanvrager tussentijds en achteraf moet rapporteren. Bij de vaststelling van de subsidie beoordelen beleidsinhoudelijk adviseur en financieel adviseur de stukken.	Op basis van bovenstaande met daarbij controle op dat de prestatie verplichtingen zijn nagekomen, cf beschreven in beschikking.	Ja

Pagina 4 van 5

Nr	Hoofdproces	Frauderisicofactor	Omschrijving Risico	Mogelijk gevolg risico	inschatting risico (hoog / midden / laag)	Interne beheersingsmaatregel (ter afdekking risico)	Interne controle	Risico Ondervangen in IC-aanpak
29	Subsidies inkomend	Frauduleuze financiële verslaggeving	Het risico dat moedwillig meer kosten worden toegerekend aan de verkregen subsidie terwijl zij daarvoor niet in aanmerking komen.	Verschuivingsgevaar tussen inkomende subsidies, tekorten op projecten bij onvolledige toekenning.	L	Functiescheiding, aanvrager en boeker zit in 2 verschillende rollen. Binnen de gemeente wordt gewerkt met het toerekeningsbeginsel. In het geval de gemeente subsidie vanuit het Rijk ontvangt, wordt deze op de balans op de post overlopende passiva verantwoord (de gemeente heeft immers de verplichting de activiteiten uit te voeren). Zodra de activiteiten zijn uitgevoerd (prestatie is geleverd), worden de baten behorend bij deze subsidie verantwoord.	Jaarlijks wordt de SiSa-bijlage opgesteld door de gemeente op basis van een lijst opgemaakt door het Rijk namens de subsidieverstrekkers. Een medewerker IC ondersteunt bij de verantwoording richting het Rijk. De gemeente legt op deze wijze verantwoording af aan het Rijk. Eventuele fouten staan vermeld in het accountantsverslag, een verslag dat wordt opgemaakt naar aanleiding van de controle van de jaarrekening ten behoeve van de gemeenteraad.	Nee
30	Subsidies inkomend	Frauduleuze financiële verslaggeving	Het risico dat een medewerker die de subsidie aanvraagt, de subsidie op zijn eigen bankrekeningnummer laat binnenkomen en de gelden worden niet ontvangen door de gemeente.	De gemeente mist inkomende subsidiegelden	L	De toekenning van een subsidie wordt schriftelijk bevestigd in een beschikking, ontvangen (via aanvragende beleidsadviseur) door de financiële administratie en verwerkt als debiteur met een afloopcontrole.	Controle op de afloop van debiteuren en de post vooruitontvangen gelden/kruisposten op langer openstaande bedragen.	Nee
31	gemeentelijke voorzieningen (sociaal domein)	Misbruik en oneigenlijk gebruik publieke voorzieningen	onrechtmatige onttrekking van middelen aan de gemeente	Kosten onrechtmatig besteed	M	Interne procedures voor ontvangst, beoordelen en toekennen van sociale voorzieningen en toetsing waar nodig door toetsers (eerste lijns maatregelen). Verbijzonderde interne controle op (levering van) toegekende en betaalde voorzieningen.	VIC	Ja
32	applicaties en systemen	Oneigenlijke toe-eigening van activa en informatie voor fraude	Het risico dat het netwerk en/of applicaties voor onbevoegden toegankelijk zijn en/of dat onbevoegden wijzigingen aanbrengen in het netwerk en/of de applicaties.	onrechtmatige betalingen dan wel privacy gevoelige informatie komt in verkeerde handen	M	Binnen de gemeente is de CISO, privacy officer en functionaris gegevensbescherming verantwoordelijk voor het waarborgen dat onbevoegden geen toegang krijgen tot privacy gevoelige data. Om dit te bewerkstelligen wordt voor elke functionaris, afhankelijk van diens functie, rechten toegekend aan de verschillende informatiesystemen (op basis van een aanvraag door de leidinggevende).	Een interne controle op general IT controls	Ja
33	Ontvreemding Activa ICT	Oneigenlijke toe-eigening van activa	Het risico dat ICT-activa 'kwijt raken' bij levering/ontvangst, uitgifte/voorraadbeheer (in- en uitdiensttreding of reparatie)	Budgetoverschrijdingen. Teveel en onrechtmatig verstrekte devices/activa. Te weinig terug ontvangen devices/activa	M	- in topdesk wordt door ICT-WBW per medewerker een lijst (telefoonnummer, laptop o.b.v. serienummer) bijgehouden. Op deze manier is er een voorraadregistratie. Er zijn ook devices in eigen beheer, hiervoor geldt: - Interne procedures voor fijnmazig budgetteren en verplichtingen vastleggen om verschillen in prijs en hoeveelheden tijdig te signaleren; - Interne procedures voor het zichtbaar bepalen op basis van functieprofielen (wie heeft waar recht op) alvorens bestellingen te plaatsen; - Interne procedures voor ontvangst (vastleggen), uitleveren aan medewerkers, voorraadbeheer en inname apparatuur (bij reparatie/uit-dienst). Verbandscontrole.	Toetsing of controles plaatsvinden.	Nee
34	Ontvreemding Activa Buitendienst	Oneigenlijke toe-eigening van activa	Het risico dat materialen 'kwijt raken' bij levering/ontvangst of gebruik.	Budgetoverschrijdingen. Onrechtmatig gebruik.	H	Interne procedures en afspraken. Periodieke aandacht voor juist gebruik. Registratie van activa en gebruik, getoetst aan proportionaliteit.	Toetsing of procedures gevolgd worden	Nee

Pagina 5 van 5

Onderwerp

Frauderisicoanalyse 2024

Toelichting/ Aanleiding

Vertrouwen speelt een grote rol in het handelen van een gemeente. Burgers en gemeentebestuur moeten er op kunnen vertrouwen dat overheidsbesluiten correct genomen en uitgevoerd worden en dat geen misbruik wordt gemaakt van gemeenschapsgelden.

Misbruik of oneigenlijk gebruik van overheidsgeld leidt niet alleen tot financiële schade, maar levert ook een deuk op in het vertrouwen tussen overheid en burger.

Hiervoor hebben we M&O-beleid dat weergeeft hoe de gemeente Roosendaal inzet op het voorkomen van misbruik & oneigenlijk gebruik. Fraude, misbruik en oneigenlijk gebruik zijn niet hetzelfde, maar kennen wel overlappingen. Het belangrijkste onderscheid is dat fraude intern is (bestuur en ambtenaren). Misbruik en oneigenlijk gebruik is extern.

Onderdeel van het beleid is de jaarlijkse frauderisicoanalyse (FRA). De FRA is een middel om de risico’s op dit vlak en bijbehorende interne beheersmaatregelen in kaart te brengen. De nadruk ligt hierbij op het voorkomen van fraude. Hierdoor neemt de gelegenheid tot het plegen van fraude af en worden personen ervan weerhouden om fraude te plegen. Dit vanwege de waarschijnlijkheid dat die fraude wordt gedetecteerd en bestraft.

Opbouw

In dit memo staan de belangrijkste risico’s die we als organisatie zien op het gebied van frauderisicobeheersing en welke maatregelen we hebben genomen. Hoofdstuk 1 beschrijft de algemene maatregelen die de organisatie reeds treft ter bevordering van integriteit en het voorkomen van fraude. Daarna gaat het over concrete risico’s. Hoofdstuk 2 beschrijft de risico’s dat er geld of goederen onrechtmatig worden onttrokken. Hoofdstuk 3 beschrijft de risico’s op onrechtmatige beïnvloeding van cijfers in de begroting en jaarrekening. Hoofdstuk 4 beschrijft overige risico’s.

Verdere agendering

Dit memo wordt tevens voorgelegd aan het college en daarna gedeeld met de auditcommissie van onze gemeenteraad. Dit vloeit voort uit het vereiste dat de accountant op grond van zijn beroepsvoorschriften jaarlijks de frauderisico’s bespreekt met het toezichthoudende orgaan binnen een organisatie.

Samenvatting en adviezen

Vanuit het DT en de organisatie zijn over 2023 en de eerste helft van 2024 bij de verantwoordelijke organen geen signalen bekend (gemaakt) dat er sprake is van vermoedens van fraude, misbruik of oneigenlijk gebruik. Dat is goed nieuws.

Tegelijk zijn we ons ervan bewust dat frauderisicobeheersing blijvende aandacht vraagt. Dat doen we enerzijds via het integriteitsbeleid en bijeenkomsten hierover. Anderzijds doen we dit vanuit interne controle rondom de vereisten aan de rechtmatigheidsverantwoording.

Vanuit de controles helpen we de organisatie bij de stappen om misbruik en oneigenlijk gebruik en signalen van fraude te voorkomen.

Belangrijk is om ons ervan bewust te zijn dat we fraude, misbruik en oneigenlijk gebruik nooit geheel kunnen voorkomen. Zeker niet als er sprake zou zijn van samenspanning tussen meerdere personen binnen en buiten de organisatie. Als organisatie kunnen we er wel alles aan doen om dit zo veel mogelijk te voorkomen. En als er toch sprake is van (signalen van) fraude, deze zaken adequaat oppakken en afwikkelen.

1. Algemene maatregelen in het kader van frauderisico’s en integriteit

Dit hoofdstuk beschrijft de algemene maatregelen die de organisatie treft ter bevordering van integriteit en het voorkomen van fraude.

1.1 Integriteitsbeleid met instrumenten

Momenteel is het nieuwe integriteitsbeleid in voorbereiding. Deze actualisatie wordt nog in 2024 vastgesteld. Naast dit overkoepelende integriteitsbeleid zelf beschikt de gemeente over een aantal gerelateerde instrumenten die als doel hebben om de aandacht voor integriteit in de organisatie in te bedden en te borgen. Het betreft onder andere:

- de gedragscode: houvast bij het hanteren van onze normen en waarden. De gedragscode maakt duidelijk wat de waarden en normen zijn die we belangrijk vinden en wat we wel en niet toelaatbaar vinden voor medewerkers. Voor de bestuurders geldt een aparte gedragscode. In de gedragscode zijn regels opgenomen over hoe medewerkers om moeten gaan met geschenken, aanbiedingen en incidentele vergoedingen. Een ambtenaar handelt onafhankelijk en onpartijdig. Hij/ zij geeft geen voorkeursbehandelingen en vermijdt ook de schijn daarvan.

- Screeningsbeleid: checks bij aanvang dienstverband. Originele diploma’s en getuigschriften worden opgevraagd en iedere medewerker die in dienst komt moet een actuele Verklaring Omtrent Gedrag kunnen overleggen. Ook kan tijdens de selectieprocedure een achtergrondcheck worden gedaan op basis van openbare informatie en kan met toestemming van de kandidaat een referentie worden ingewonnen.

- Afleggen eed / belofte: morele verklaring medewerkers dat zij integer zullen handelen.

Een aantal keer per jaar organiseren we een bijeenkomst over integriteit voor nieuwe medewerkers en gaan we hierover het gesprek aan. Tijdens deze bijeenkomst leggen nieuwe medewerkers de eed of belofte af. Werkenden die niet in dienst zijn, zoals inhuurkrachten en stagiaires, ondertekenen een geheimhoudings-verklaring en de gedragscode. Daarmee verklaren zij dat ze zich houden aan onze richtlijnen en integriteitsnormen.

- Nevenwerkzaamheden: overzicht ter voorkomen van mogelijke belangenverstrengeling.

Medewerkers zijn verplicht om nevenwerkzaamheden die raakvlakken hebben met de functievervulling te melden via een formulier. Als de medewerker in zijn vrije tijd activiteiten onderneemt die dicht aanliggen tegen de belangen van de gemeente dan kan er sprake zijn van (de schijn van) belangenverstrengeling. In dat geval kunnen er aanvullende voorwaarden worden gesteld aan de nevenwerkzaamheden of kan er geen toestemming worden verleend en kan de medewerker de nevenfunctie niet (meer) uitoefenen tijdens het dienstverband bij de gemeente Roosendaal.

- Melden financiële belangen: overzicht ter voorkomen van mogelijke belangenverstrengeling. Het gaat om belangen in ondernemingen die een relatie met de gemeente Roosendaal hebben of kunnen krijgen. Medewerkers die inkopen en aanbesteden of die betrokken zijn bij het verstrekken van subsidies of opdrachten aan bepaalde ondernemingen, zouden zich kunnen laten leiden door persoonlijk financieel belang. Een medewerker is verplicht om melding te doen als hij financiële belangen heeft, erin handelt of dit van plan is. Dit geldt voor alle medewerker en in het bijzonder voor bepaalde functiegroepen.

- Klachtenregeling ongewenst gedrag: houvast om dit bespreekbaar te maken.

Ongewenst gedrag kan onder meer betrekking hebben op seksuele intimidatie, agressie, geweld en discriminatie. Medewerkers die geconfronteerd worden met ongewenst gedrag kunnen dit bespreken met de HR adviseur, teamleider of directeur of de vertrouwenspersoon. Daarnaast heeft de medewerker de mogelijkheid om een formele klacht in te dienen. De procedure staat beschreven in de interne klachtenregeling ongewenst gedrag en is onderdeel van ons personeelshandboek.

- Regeling melden vermoeden misstand: procedure om mogelijke misstand te signaleren. Hierin staat beschreven op welke manier we onderzoek doen en hoe we tot

een standpunt komen. Deze regeling is onderdeel van ons personeelshandboek. Nieuw wordt een onderzoeksprotocol waarin staat beschreven hoe een onderzoek naar een vermoeden van een misstand kan verlopen.

- Vertrouwenspersonen. Gemeente Roosendaal heeft twee externe vertrouwenspersonen voor ongewenst gedrag en voor (vermoedens van) misstanden. De taken van de vertrouwenspersonen zijn vastgelegd in de regeling melden vermoeden misstand en in de interne klachtenregeling ongewenst gedrag.

Naast bovengenoemde integriteitsinstrumenten hebben we ook inkoop- en aanbestedingsbeleid vastgelegd. Dit beleid is erop gericht dat marktpartijen gelijke kansen krijgen om opdrachten uit te voeren voor de gemeente Roosendaal. Ook treffen we actief maatregelen gericht op informatiebescherming. Dergelijke maatregelen beogen onder andere te voorkomen dat onbevoegden vertrouwelijke informatie kunnen bezitten, raadplegen of beschadigen. Zo zijn in de gedragscode voorschriften opgenomen die betrekking hebben op de informatiebescherming en het omgaan met vertrouwelijke informatie. Daarnaast is er een protocol telefoonabonnement, e-mail en internetgebruik.

1.2 Monitoring

Op organisatieniveau wordt verantwoording over integriteit afgelegd en vastgelegd in rapportages. Hiermee monitort de gemeente Roosendaal integriteit op organisatieniveau. Denk daarbij aan de jaarverslagen van de vertrouwenspersonen en aan de jaarlijkse verantwoording over het gevoerde integriteitsbeleid. Ook meet de organisatie, als onderdeel van onze medewerkersonderzoeken, hoe medewerkers aspecten van integriteit beleven en ervaren.

2. Xxxxxx’x op onrechtmatige onttrekkingen van geld of goederen

Ook met bovengenoemde integriteitsbeleid en instrumenten – zoals de meldregeling financiële belangen en maatregelen informatieveiligheid – blijven frauderisico’s altijd bestaan. Gezien de aard van de gemeentelijke activiteiten kennen een aantal daarvan een hoger initieel risico (dus zonder rekening te houden met aanvullende maatregelen) op materiële fraude of misbruik en oneigenlijk gebruik in de vorm van het onrechtmatig onttrekken van geld of goederen aan de gemeente. Het betreft:

1. Inkoop- en aanbesteding

2. Factuurafhandeling en betalingsprocedure

3. Aan- en verkoop van gronden c.q. sluiten van overeenkomsten grondexploitaties

4. Bewaring ICT-activa

5. Sociaal Domein

Bovengenoemde activiteiten zijn ook meegenomen in de frauderisicoanalyse. De posten die bij de risico inschatting hoog of midden scoren, zijn binnen de 5 activiteiten opgenomen.

Hieronder lichten we deze risico’s toe en op welke wijze de gemeente deze risico’s beheerst. Er zijn dus meer risico’s op het onrechtmatig onttrekken van geld of goederen, maar die zijn veelal beperkter in financiële omvang (inschatting laag) en worden daarom in dit memo niet nadrukkelijk toegelicht.

2.1 Inkoop- en aanbesteding

Bij de inkoop en aanbesteding bestaat initieel het risico op bevoordeling van partijen (gunnen van werk of diensten c.q. te hoge vergoedingen voor geleverde werken of diensten). De gemeente heeft in 2023 het inkoop- en aanbestedingsbeleid geactualiseerd. We beschikken daarmee over een actueel inkoop- en aanbestedingsbeleid dat voldoet aan de externe wetgeving en een centrale ondersteunende inkooporganisatie. De inhuur van

personeel verloopt centraal via een raamcontract. Dit verkleint het risico op ‘onrechtmatige’ inkoop van inhuur.

Bij het aanmaken van verplichtingen boven de € 10.000 is in het systeem afgedwongen dat een inkoopmelding is gedaan. In deze melding wordt gevraagd naar en getoetst op de juiste invulling van het inkoopbeleid.

Als onderdeel van de interne rechtmatigheidscontrole wordt jaarlijks de naleving van het Inkoop- en aanbestedingsbeleid en de daarbij behorende procedures vastgesteld. Dit gebeurt mede aan de hand van een spendanalyse. Indien vooraf wordt afgeweken van het beleid dan dient hier een besluit van de directie en/of het college aan ten grondslag te liggen.

Hiermee treffen we in opzet voldoende maatregelen om die kwetsbaarheden te beperken.

2.2 Factuurafhandeling en betalingsprocedures

De factuurafhandeling en de betalingsprocedure zijn het slot op de deur qua uitgaande geldstroom. Deze processen kunnen risicovol zijn. De gemeente verwerkt een groot aantal facturen en betalingen, waardoor het niet mogelijk is alle transacties grondig te controleren. Frauduleuze partijen proberen mogelijk valse facturen betaald te krijgen of te manipuleren met gegevens.

Belangrijkste beheersmaatregel is dat zowel bij de factuurafhandeling (route in SAP) als de betalingsprocedure altijd minimaal twee verschillende medewerkers zijn betrokken. In het financieel systeem zijn controlemechanismen ingebouwd (zoals Surepay waarbij gecontroleerd wordt dat rekeningnummer en naam begunstigde overeenkomen) en we voeren regelmatig interne controles uit.

Enerzijds is in opzet sprake van functiescheiding bij het doen van betalingen. Bijvoorbeeld tussen het vaststellen van geleverde prestaties (het inhoudelijk goedkeuren van de factuur), het vaststellen van de juiste boekingsgang van de factuur en het betalen van facturen1. Uit de standaardroutes voor de factuurafhandeling in SAP blijkt dat facturen nooit door één en dezelfde persoon kunnen worden goedgekeurd en betaald2. Overigens zijn er altijd situaties denkbaar waarbij deze werkwijze wordt omzeild (ambtenaar en leverancier spannen samen) of niet goed werkt (iemand let bijvoorbeeld niet goed op en keurt een factuur onterecht goed of stelt niet goed vast of een prestatie is nagekomen).

Anderzijds kent de gemeente een betalingsprocedure. De groep Financiële Administratie verzorgt de betalingen voor alle soorten opdrachten binnen de gemeente. Dus zowel de reguliere facturen als salarissen. Er zijn altijd minimaal twee verschillende elektronische handtekeningen nodig van de BNG. Er vinden voordat de goedkeuring van de betalingen plaatsvindt zichtbare controles plaats op de betaallijsten.

Er worden interne controles uitgevoerd op de factuurafhandeling waarbij ook specifiek controle plaatsvindt op de feitelijke levering van het gefactureerde (prestatielevering). Het blijkt dat niet voor alle verplichtingen die worden aangegaan, de prestatielevering even makkelijk te achterhalen is. Omdat we de prestatielevering niet altijd kunnen vaststellen is op die leveringen niet te toetsen of er sprake is geweest van fraude. Mogelijke maatregel is het opnemen van alle prestatieleveringen in de systemen of het accepteren van het risico.

1 Hierbinnen is ook sprake van functiescheiding (zie volgende alinea): opstellen betaalbatch, controle betaalbatch, betaling in de bank zetten, 2e handtekening in de bank.

2 Er van uitgaande dat medewerkers de afspraak nakomen dat inloggegevens voor SAP en BNG niet met andere medewerkers/personen worden gedeeld.

De betalingsprocedure en aanwezige functiescheiding ondervangen veel frauderisico’s. Niet altijd is gemakkelijk vast te stellen of de prestatie onder facturen daadwerkelijk is geleverd. Hoe hier goed mee om te gaan is onderdeel van gesprek vanuit de Verbijzonderde Interne Controle.

2.3 Aan- en verkoop onroerende zaken (panden en grond)

Uitgangspunt is dat aan de prijsvorming van de aan- en verkooptransacties de marktconformiteit aangetoond is. Dit kan door taxaties door een ‘beëdigd’ taxateur of een vastgestelde gronduitgifteprijs. Daarnaast wordt bij de verkoop van onroerende zaken het uitgangspunt gehanteerd dat er géén een-op-een overeenkomsten worden gesloten; in beginsel vindt er altijd een openbare selectieprocedure plaats. De richtlijnen en beleidsuitgangspunten hiervoor zijn opgenomen in de Nota Grondbeleid 20123.

Voor wat betreft grond aan- en verkopen geldt dat er in alle situaties sprake is van meerdere personen (minimaal vier-ogen principe) die betrokken zijn bij de aan- en verkopen inclusief de bijbehorende onderhandelingen (projectleiders, planeconomen, juristen en leden van het college). Bij de interne controle wordt vastgesteld of aan deze voorschriften is voldaan.

Het aan- en verkopen van gronden blijft vanwege de financiële belangen altijd een kwetsbaar proces, maar de gemeente neemt in opzet voldoende maatregelen om die kwetsbaarheid te beperken.

2.4 Bewaring (ICT-) activa

In onze gemeente werken collega’s hybride. Hierbij bestaat het risico dat devices ‘kwijt’ raken bij levering/ontvangst, uitgifte/voorraadbeheer (in- en uitdiensttreding of reparatie). We hebben binnen de organisatie het Reglement gebruik digitale middelen. Uitgangspunt is dat iedere medewerker een laptop en telefoon krijgt. Functie-gebonden zijn er uitzonderingen.

Laptops worden uitgegeven door de organisatie en zijn daarna in beheer van ICT-WBW. Registratie is op persoonlijk niveau, zodat overzicht is wie welke laptop heeft (asset management). Er vindt controle plaats op inname. De ontvangen laptops worden opgeslagen in een ruimte waar slechts enkele collega’s bij kunnen.

Het overzicht van andere devices is minder accuraat. Momenteel wordt de uitrol van een voorraadregistratiesysteem voorbereid. Er wordt een mobile device management oplossing gezocht. Hierin worden aantallen bestelde, ontvangen en uitgegeven devices bijgehouden. Begin 2025 vindt de stapsgewijze uitrol plaats, startend bij Apple devices en daarna Android apparatuur. Op dat moment vindt ook de opschoning van de telefoonlijst (wie heeft welke device) plaats. Het voorraadregistratiesysteem met periodieke controles zou een belangrijke beheersmaatregel zijn om ontvreemding te voorkomen doordat dan eerder opvalt als er zaken missen. En de organisatie kan beter optreden als sprake is van ontvreemding.

Bij Openbare Werken maken collega’s gebruik van diverse gereedschappen. Ook hier bestaat het initiële risico dat deze ‘kwijt’ raken. De financiële impact hiervan afgezet tegen de gemeentebegroting is echter lager, waardoor de materialiteit van dit risico als laag wordt beoordeeld.

Er vindt momenteel nog geen interne controle op deze processen plaats.

Het beschrijven en bespreken van procedures en werken met een voorraadregistratiesysteem verkleinen het risico dat er spullen ontvreemd worden.

3 Wordt herzien in 2025

2.5 WMO-verstrekkingen en toekenningen Jeugdzorg

Binnen het sociaal domein4 zijn diverse risico’s te onderkennen die betrekking hebben op het aanvragen / verstrekken van (meer) zorg voor zichzelf of bekenden of het indienen van onjuiste declaraties, waardoor middelen worden onttrokken aan de gemeente. Ter voorkoming hiervan zijn diverse beheersmaatregelen genomen.

Er vinden systeemcontroles plaats zoals check op BSN en woonplaatsbeginsel. Gedurende de procedure wordt het 4-ogen principe gehanteerd. De collega’s maakten procesafspraken met elkaar. Dit betreft bijvoorbeeld de overlegstructuur, opstellen van behandelplannen/ gezinsplannen, functiescheiding, kwaliteitscontrole, het niet oppakken van zaken van bekenden en dergelijke. Daarnaast is aandacht voor ongeschreven regels. Te denken valt aan sociale controle (cultuur), elkaar aanspreken op ongewenst gedrag, voorbeeldgedrag, op eigen initiatief niet betrokken willen zijn bij bekenden als aanvrager, professionaliteit van medewerkers.

Onderdeel van de werkprocessen binnen het domein is de alertheid op mogelijk misbruik & oneigenlijk gebruik van maatschappelijke voorzieningen. Het uitvoeren van onderzoeken naar mogelijke fraude door aanbieders, pgb-houders en/of cliënten en het doen van aanvullende rechtmatigheidsonderzoeken geschiedt vaak door zogeheten toezichthouders sociaal domein. Voor Jeugd zijn de taken behorende bij een toezichthouder belegd bij het ZIT voor de 9 gemeenten. Voor WMO is dit grotendeels belegd bij de GGD, met uitzondering van HBH.

Vanuit de (verbijzonderde) interne controle vinden diverse werkzaamheden plaats om te toetsen op de betrouwbaarheid van de administratie en de rechtmatigheid van verstrekkingen en betalingen. Zo dienen zorgaanbieders productieverantwoordingen met accountantsverklaringen te overleggen bij hun jaarrekeningen om de prestatielevering te kunnen vaststellen.

Binnen het sociaal domein bestaan diverse frauderisico’s. Deze worden in de basis ondervangen binnen de ingerichte processen en systeemcontroles.

3. Onrechtmatige beïnvloeding van cijfers in onze administratie

Er bestaat initieel het risico dat de cijfers in de gemeentelijke administratie (begroting en jaarrekening) beïnvloed kunnen worden door personen om daar persoonlijk voordeel uit te halen. Bijvoorbeeld in financiële zin of reputatie. Hierna spitsen we dit risico toe op de gemeente Roosendaal en geven we aan welke maatregelen we nemen om dit te voorkomen.

3.1 Risico op onrechtmatig beïnvloeden getrouwe beeld jaarrekening

Indien het saldo van de concept jaarrekening te hoog/laag is in relatie tot bijvoorbeeld eerdere ramingen kan de tendens zijn dit saldo te beïnvloeden en naar boven/beneden te brengen. Belangrijke schattingsposten die hiervoor gebruikt kunnen worden zijn onder andere het onterecht aanwenden van reserves, misbruik van afschrijvingstermijnen, niet nemen van verwachte verliezen op de grondexploitatie c.q. misbruik van de toegerekende rente aan de grondexploitaties en doorschuiven van lasten naar het volgende begrotingsjaar.

De gemeente heeft in 2023 de financiële verordening5 geactualiseerd. Als bijlagen bij deze verordening zijn het afschrijvingsbeleid en beleidskader Reserves en Voorzieningen opgenomen. Ook deze zijn per begrotingsjaar 2023 dus geactualiseerd.

4 Wmo en Jeugd. Participatieregelingen zijn uitbesteed aan Werkplein

5 Verordening financieel beleid, beheer en organisatie (artikel 212 Gemeentewet) Gemeente Roosendaal 2023

Onderdeel van de interne controle en opstelproces van de jaarrekening is dat wordt vastgesteld dat mutaties in de reserves rechtmatig zijn geweest (besluit van de Raad aan ten grondslag) en de uitgangspunten uit het afschrijvingsbeleid zijn nageleefd.

Voor wat betreft de waardering van de grondexploitaties inclusief de hoogte van de toegerekende rente is documentatie beschikbaar op basis waarvan de waardering wordt onderbouwd. Periodiek vindt het ‘countervailing power’ overleg plaats waarbij collega’s vanuit andere groepen (o.a. financieel advies en concerncontrol) de aannames en kengetallen worden gereviewd. Er worden specifieke onderzoeken uitgevoerd naar o.a. de effectieve vraag naar bedrijventerreinen en woningbouw. De gemeente heeft ook geen historie met het ‘maskeren’ van verliezen op de grondexploitatie.

De beloningen en beoordelingen van de medewerkers c.q. collegeleden hebben geen rechtstreeks verband met het financieel gerealiseerde resultaat. Vanuit die achtergrond zijn er ook geen specifieke redenen om cijfers te ‘manipuleren’. Het proces van opstellen van planning & control-documenten is zo dat de directie en het college pas in een vergevorderd stadium en na controles van bijvoorbeeld de concerncontroller stukken krijgen voorgelegd.

Het risico op ‘management override of controls’ is nooit volledig uit te sluiten. Onder dit begrip valt te verstaan dat het management de interne controles en procedures omzeilt of negeert. Bijvoorbeeld bij financiële handelingen. Helpend zijn soft controls zoals gedragsafspraken, cultuur (tone at the top) en inzet op bewustwording.

In diverse documenten heeft de gemeente haar beleidskaders omtrent financiële verslaglegging vastgelegd. Bij de interne controle wordt getoetst op juiste naleving hiervan.

3.2 Beïnvloeden administratie door memoriaalboekingen

Beïnvloedbare memorialen komen voort uit de budgetgesprekken die financieel ondersteuners hebben met budgetbeheerder. De financieel ondersteuner stelt de memoriaal op en de collega van financiële administratie verwerkt. Hier is dus sprake van functiescheiding.

Een deel van de niet-beïnvloedbare memorialen worden door de groep financiële administratie ingevoerd en verwerkt. Voor het boeken van memoriaalposten is een procedure afgesproken. Afspraak is dat een memoriaal altijd opgesteld dient te worden door de ene medewerker en geaccordeerd wordt door een andere medewerker. Ook dient de memoriaalboeking voorzien te zijn van achterliggende brondocumenten. Die maken duidelijk waarom de memoriaalboeking is gemaakt en maken de audit trail zichtbaar. In het financieel systeem SAP vindt logging plaats. Dit houdt in dat zichtbaar is wie op welk moment een memoriaal heeft ingeboekt.

Via de budgetgesprekken die financieel ondersteuners hebben met budgetbeheerder en vervolgens financieel adviseurs met budgethouders zouden materiële afwijkingen als gevolg van foutieve/onreglementaire memoriaalboekingen geconstateerd moeten worden.

Afgesproken procedures en logging in het financieel systeem verkleinen het risico op beïnvloeding van cijfers via onreglementaire memoriaalboekingen. Bij interne controles wordt hierop getoetst.

4. Overige frauderisico’s

Voor een overzicht van de overige frauderisico’s die de gemeente loopt en op welke wijze we daarmee wordt omgegaan, verwijzen we naar de FRA zelf. Hierna lichten we daaruit nog een specifieke categorie toe.

4.1 Gemeentelijke opbrengsten

De opbrengsten van de gemeente bestaan hoofdzakelijk uit uitkeringen van het Rijk en opbrengsten uit belastingen en heffingen. Er zijn geen opbrengst gerelateerde ‘beloningen’ die een potentieel risico zouden vormen om opbrengsten ‘op te blazen’. De belastingen en heffingen zijn uitbesteed aan de Belastingsamenwerking West-Brabant (BWB). Jaarlijks ontvangen wij een door hun externe accountant gecertificeerde verantwoording. Op basis van verantwoording over eerdere jaren en de informatie die wij hebben als lid van het ‘algemeen bestuur’ van de BWB zijn er geen aanwijzingen voor of signalen van fraude.

Op een aantal opbrengsten vindt verbijzonderde interne controle plaats (detailcontroles) in combinatie met cijferbeoordelingen. Dit betreft de bouwleges en de leges burgerzaken.

Voor wat betreft de huuropbrengsten (vaste en incidentele verhuren accommodaties) blijft er altijd een risico dat er verhuurd wordt zonder dat de opbrengst bij de gemeente wordt verantwoord. Dit is bijvoorbeeld te ondervangen door onaangekondigde ‘leegstands’- controles uit te voeren. Deze controles kosten ook tijd en geld. Vastgoed is nu niet volledig afgedekt middels interne beheersmaatregelen. Het risico dat er incidenteel wordt verhuurd zonder dat de gemeente hier opbrengsten voor krijgt is nu niet volledig afgedekt. De verhuur van het merendeel van de gemeentelijke accommodaties is na Europese aanbesteding vanaf januari 2023 uitbesteed aan Sportfondsen.