Interne Beheersing | Opvolging en aanbevelingen

Follow up onderzoeken RKA en collegeonderzoeken

Nr.	Actiepunt	Planning geborgd	Toelichting status juni 2025
Toezicht en Handhaving Openbare Orde en Veiligheid Maart 2021
1	Aan College Draag zorg voor een geactualiseerd handhavingskader en maak een duidelijker koppeling tussen de verschillende indicatoren en doelstellingen	Q4 2025	Het opstellen van het meerjarenbeleidsplan ligt op schema. Na de zomer zal het eerste concept besproken worden met de wethouder. Afgestemd is dat het beleid Vitale Vakantieparken, kinderopvangbeleid en het toekomstig op te stellen arbeidsmigrantenbeleid onderdeel gaan uitmaken van het meerjarenbeleidsplan. Zo voegen we handhavingsbeleid samen tot één totaal document. Wanneer wijzigingen nodig zijn kunnen we op artikelniveau aanpassingen doen. Dit draagt bij aan het verminderen van de werklast rondom ons beleid. Anders dan nu gaan we in het beleid ook werken met een matrix om prioriteiten te kunnen stellen, werken we toe naar drie hoofdprocessen (regulier, crisis en projectmatig) en herijken we dwangsommen.
Thuiszitters een Zorg 2021
2	College: rapporteer SMART over schoolverzuim en thuiszitten en maak daarmee de opbrengsten van de preventieve aanpak inzichtelijk.	Het streven is om in Q4 2025 beter inzichtelijk te hebben wat de effecten zijn van een meer preventieve aanpak	We voeren we gesprekken met de Samenwerkingsverbanden om te komen tot eenduidige definities rondom schoolverzuim en thuiszitten. Team leerplicht onderzoekt daarnaast hoe de preventieve inzet van leerplichtambtenaren het beste geregistreerd kan worden. Op dit moment wordt er alleen geregistreerd naar aanleiding van een (verzuim)melding. De beleidsmedewerker onderwijs onderzoekt met team leerplicht hoe we meer datagestuurd kunnen werken. We onderzoeken of we vaker per jaar kunnen meten en rapporteren over schoolverzuim en thuiszittende leerlingen.
Collegeonderzoek 2023: Samenwerking Zorg en Veiligheid: rapport maart 2024
3	Aanbeveling A1: Maak in interactie met partners en de lokale samenleving uitvoeringsplannen rondom concrete opgaven op wijkniveau	Het plan 'Samen voor Veiligheid' is in maart 2025 aangeboden aan de raad. In september wordt dit plan samen met het plan van aanpak ‘Veilig op stap’ en de tussenevaluatie van het IVP, besproken in de PMA.	Vanaf april loopt de PGA aanpak waarin veiligheid en zorgpartners integraal samenwerken waardoor deze effectief is in signalering en interventie. De partners die aansluiten ervaren de samenwerking positief. Er is sprake van duidelijk leiderschap en de complexe casuïstiek wordt op de juiste manier aangevlogen met een duidelijke op en afschaling. De aanpak werkt in de kern goed; er is sprake van een gezamenlijke inzet voor complexe individuen die zonder deze aanpak tussen het wal en schip vallen. Het vraagt verdere structurering van gegevensdeling middels een convenant die in september klaar is. Dit draagt bij aan duurzame gedragsverandering en maatschappelijke veiligheid. Er is structurele afstemming met samen055, profiel intensieve regie en de zorg en veiligheidskamer om de domeinen zorg en veiligheid goed op elkaar aan te sluiten. In september wordt het plan van aanpak, wat ter kennisname aan de raad is gepresenteerd, samen aangeboden met het plan van aanpak ‘Veilig op stap’ naar aanleiding van het ingediende gelijknamige initiatiefvoorstel. Dit plan gaat over acties die bijdragen aan het vergroten van het veiligheidsgevoel onder de inwoners van Apeldoorn.
4	Aanbeveling A2: Investeer in ontwikkeling van regie op casusniveau. Richt regie vanuit één hand tegelijkertijd op de inhoudelijke opgave, het proces en de actoren.
5	Aanbeveling A3 : Richt op systeemvereenvoudiging, dienstbaar leiderschap en versterking van het lerend vermogen

Follow-up accountant
Bevinding	Aanbestedingen
	De rechtmatigheid van aanbestedingen is nog onvoldoende gewaarborgd. Houd de raad blijvend op de hoogte van de voortgang van de verbetermaatregelen en stuur bij als dit niet het gewenste effect heeft.

	Proceseigenaar	Afdelingshoofd Interne dienstverlening	Planning geborgd	december 2025
	Toelichting
	Vanuit het project 'Grip op inkoop' versterken we het inkoopproces. Er wordt onder meer 1 systeem ingericht waarin contracten zijn opgenomen. Dat leidt tot 1 centraal contractregister. Verder is decentraal inkopen nu de norm, dit wordt centraal inkopen en decentraal afroepen. Dit zorgt er voor dat de beheersmaatregel om contracten 1-op-1 te koppelen aan verplichtingen makkelijker te handhaven wordt. De raad wordt via de reguliere rapportages - en zo nodig via aanvullende communicatie - op de hoogte gehouden van de voortgang van het versterken van de rechtmatigheid van inkoop.

Bevinding	Aanbestedingen
	Interne controles aanbestedingen van 3e lijn naar de 1e en 2e lijn brengen.

	Proceseigenaar	Afdelingshoofd Concernzaken	Planning geborgd	december 2025
	Toelichting
	Loopt via project grip op inkoop. O.a. inkoopsysteem moet spendanalyses makkelijker maken en koppelen met rechtmatigheid van aanbestedingsprocedures.

Bevinding	Cybersecurity betaalproces
	Bij bankoverschrijvingen en wijzigingen crediteurenstamgegevens altijd countercalls (nabellen) doen met reeds bekende contractpersonen om vast te stellen dat verzoeken niet frauduleus zijn.

	Proceseigenaar	Afdelingshoofd Financiën en Control	Planning geborgd	december 2025
	Toelichting
	Met ingang van het boekjaar 2025 zijn we gestart met het nabellen van crediteuren. Het uiteindelijk doel is het beperken van mogelijke frauduleuze handelingen en dat doel wordt hiermee bediend. We schaffen software aan om ons hierin te ondersteunen, het project voor implementatie is inmiddels gestart.

Bevinding	Cybersecurity IT
	Actualiseer het patchmanagement en formaliseer dit en beleg verantwoordelijkheid omtrent opvolging kwetsbaarheidsscans in de organisatie.

	Proceseigenaar	Afdelingshoofd Informatie	Planning geborgd	december 2025
	Toelichting
	Opvolging van deze bevinding start in Q3 2025 in overleg tussen de afdeling Informatie en de CISO.

Bevinding	Fraude
	Concretiseer uitvoering fraudepreventieprogramma en actualiseer frauderisico-analyse.

	Proceseigenaar	Afdelingshoofd Concernzaken	Planning geborgd	oktober 2025
	Toelichting
	Beheersing frauderisico deels in IC-programma's opgenomen. Kan en moet nog beter. Te weinig capaciteit aanwezig geweest. Vanaf 1 maart 2025 is hiervoor meer capaciteit beschikbaar gekomen.

Bevinding	GRC-tool
	Het gebruik van een GRC-tool door de gehele organisatie kan bijdragen aan betere informatievoorziening en samenwerking door handmatige werkzaamheden en controles worden geautomatiseerd.

	Proceseigenaar	Afdelingshoofd Financiën en Control	Planning geborgd	december 2026
	Toelichting
	Het belang wordt onderkend. De aanschaf en later een eventuele implementatie wordt op dit moment overwogen in relatie tot de visie van het totale applicatielandschap.

Bevinding	Inkopen en betalingen
	De organisatie heeft nog niet alle verplichtingen vastgelegd in de verplichtingenadministratie. Verplichtingenadministratie dient verder te worden geoptimaliseerd.

	Proceseigenaar	Afdelingshoofd Financiën en Control	Planning geborgd	december 2025
	Toelichting
	Uit analyse van de facturen blijkt dat in veel gevallen niet aan onze beleidsregel wordt voldaan. Deels doordat de organisatie zich niet houdt aan de eigen beleidsregel, deels doordat er sprake is van historische overeenkomsten die niet aan de basisnormen voldoen, maar feitelijk wel leiden tot betalingen. Door een versteviging van contractmanagement en het inrichten van een centraal inkooppunt (grip op inkoop, focuspunt directiebrief 2024) en een versteviging van de controlrol in het aanspreken op de non-conformiteit aan de beleidsregel (doorontwikkeling organisatie F&C) wordt dit beter.. Verbeterpunt blijft daarmee actueel. Wel is er met ingang 2025 de voorwaarde om DVO's als verplichting vast te leggen.

Bevinding	P&C-cyclus
	De aanlevering van diverse dossiers is niet op tijd. Herzie de planning door – in nauw overleg met de accountant – de accountantscontrole meer modulair te plannen.

	Proceseigenaar	Afdelingshoofd Financiën en Control	Planning geborgd	december 2025
	Toelichting
	Met ingang van de jaarrekeningcontrole van 2024 werken we met een modulaire planning. Deze is in afstemming met de accountant gemaakt. De formele evaluatie met de accountant moet nog plaatsvinden maar in het accountantsverslag staat vermeld dat de organisatie op belangrijke onderdelen het proces heeft verbeterd.

Bevinding	Projectmatig werken
	Projectmatig werken kan verbeteren via gebruik van specifiek hiervoor geschikte software.

	Proceseigenaar	Afdelingshoofd PPIM	Planning geborgd	december 2026
	Toelichting
	Opdracht verkenning naar overzicht op projecten is opgeleverd. Aanbeveling voor planningsoftware is in nu beeld en moet intern verder worden ingebracht in o.a. de i-portfolio.

Bevinding	Risicomanagement
	Aandachtspunten risicomanagement: implementatie risicobeheersingssysteem voor totaaloverzicht risicovolle projecten (inclusief de niet-concernrisico's) aandacht voor concretere onderbouwing risico's op gebied van cyber en klimaat pas statistische simulatie toe (bijv Monte_Carlo simulatie) investeer in centrale sturing en centraal inzicht (bijv via integrale risicomanager)

	Proceseigenaar	Afdelingshoofd Financiën en Control	Planning geborgd	december 2025
	Toelichting
	Er is een geactualiseerde kadernota risicomanagement 2025-2028 door het college en de raad vastgesteld in 2025. De implementatie van de hierin opgenomen wijzigingen moet nog plaatsvinden. In het najaar verkennen we de mogelijkheden voor het toepassen van de Monte Carlo simulatie.

Bevinding	Subsidies (verstrekt)
	Controles bij verstrekte subsidies in 1e lijn vinden onvoldoende zichtbaar plaats.

	Proceseigenaar	Afdelingshoofd Interne dienstverlening	Planning geborgd	december 2025
	Toelichting
	De directie heeft opdracht gegeven om: een uitvoeringsteam subsidie op te richten, processen uitgaande subsidies te (her)ontwerpen en vast te laten stellen door de directie en de subsidieregelingen te bundelen in één regeling. 2025 wordt in projectvorm met alle benodigde disciplines (waaronder VIC) uitvoering gegeven aan deze deelopdrachten. De aanbeveling zal bij de (her)inrichting van de subsidieprocessen en uitvoeringsteam worden meegenomen. Er loopt hiervoor een project genaamd Grip op subsidies.

Bevinding	VIC
	Investeer in ontwikkeling VIC met duidelijke koers / stip op de horizon

	Proceseigenaar	Afdelingshoofd Concernzaken	Planning geborgd	september 2025
	Toelichting
	Het belang wordt onderkend. Gesprekken over koers en ontwikkeling zijn gestart. Dit wordt ook in brede(re) context van toezicht en audit in de organisatie geplaatst door ook vakgebieden als privacy, security en informatieveiligheid aan te haken.

Bevinding	Voorspellend vermogen
	Kijk kritisch naar het voorspellend vermogen, gezien de ontwikkelingen en grote opgaven. Ga in gesprek over de huidige P&C-cyclus en afspraken over bijstellingen van de begroting versus mogelijk extra rapportagemomenten en/of bijstellen van de regels voor begrotingswijzigingen.

	Proceseigenaar	Afdelingshoofd Financiën en Control	Planning geborgd	december 2025
	Toelichting
	Dit punt is nog steeds legitiem. Er wordt nog steeds kritisch gekeken naar het voorspellend vermogen. Door steeds verdere investering op de hygiëne van de cijfers (investering data kwaliteit). We koersen op vervanging van het financieel systeem per 1-1-2027 en daar wordt dit in meegenomen. Overigens blijft er dan nog steeds een mate van onvoorspelbaarheid door de financieringen vanuit het Rijk. In het najaar van 2025 wordt de financiële verordening aangepast. We nemen hierin richtlijnen op voor het doorvoeren van begrotingswijzigingen.

Detailbevinding	BBV
	Conform BBV dient in het overzicht van baten en lasten (de programmarekening) de werkelijke toevoegingen en onttrekkingen aan de reserves te worden opgenomen. In de jaarrekening is enkel de regel 'mutaties reserves' opgenomen.

	Proceseigenaar	Afdelingshoofd Financiën en Control	Planning geborgd	juli 2025
	Toelichting
	Status bevinding is ongewijzigd; we kijken hier in 2025 naar.

Detailbevinding	Frauderisico-analyse
	Wij adviseren u om een centrale registratie van nevenfuncties met bijbehorend proces in te richten en periodiek de juistheid en volledigheid van deze registratie te laten (her)bevestigen.

	Proceseigenaar	Afdelingshoofd Personeel en Organisatie	Planning geborgd	december 2025
	Toelichting
	Actualisatie van het beleid vindt plaats. Er is centrale registratie van politieke ambtsdragers en specifiek aangewezen personen. Medewerkers wordt gevraagd naar nevenwerkzaamheden bij indiensttreding en dit wordt geregistreerd in het personeelssysteem en personeelsdossier. Periodieke toets of herbevestiging vindt niet plaats. Dit aandachtspunt wordt onderzocht.

Detailbevinding	Inkomende subsidies
	Er is geen centraal inzicht op de volledige verantwoording en de juiste afgrenzing van de ontvangen subsidies.

	Proceseigenaar	Afdelingshoofd Concernzaken	Planning geborgd	december 2025
	Toelichting
	De opdracht is nog niet afgerond. Dezelfde beheersmaatregelen zijn nog van kracht (DB). Momenteel (Q2 2025) zitten we in de laatste fase van de implementatie van de SAS applicatie. Per Q3 2025 zal de applicatie in werking treden. Hierdoor zijn nog niet alle projecten geadministreerd. Maar er ligt een planning dat per Q4 2025 alle subsidie projecten er in staan.

Detailbevinding	IT (20a)
	Er is geen sprake van een derdenverklaring in relatie tot uitbestede IT processen van TotalLink.

	Proceseigenaar	Afdelingshoofd Informatie	Planning geborgd	december 2025
	Toelichting
	De situatie voor Totallink is onveranderd. Totallink kent geen derdenverklaring voor afnemers. De kosten voor een derdenverklaring zouden in zijn geheel daarmee voor de gemeente Apeldoorn komen. Hierover moet nog afweging worden gemaakt.

Detailbevinding	IT Geen periodieke controles op toegekende autorisaties en handelingen door accounts met uitgebreide rechten
	Afwezigheid van (aantoonbare) periodieke controles van juistheid van accounts, autorisaties en transacties geldt als algemeen aandachtspunt voor alle applicaties binnen de reikwijdte van onze controle. Logging van mutaties door accounts met uitgebreide rechten in Coda en de onderliggende database is wel (deels) aanwezig, echter wordt niet structureel gecontroleerd op kritische handelingen door accounts met uitgebreide rechten.

	Proceseigenaar	Afdelingshoofd Informatie	Planning geborgd	december 2025
	Toelichting
	Toegangsbeveiliging is één van de speerpunten in het Jaarplan informatiebeveiliging 2025. Door ziekte van de trekker van dit speerpunt loopt het speerpunt achter op de planning. In de komende maanden gaan we die achterstand weer proberen in te lopen.

Detailbevinding	LIAS
	Zorg voor wijzigingsprocedure Lias op de aansluiting van gegevens tussen Coda en Lias.

	Proceseigenaar	Afdelingshoofd Financiën en Control	Planning geborgd	december 2025
	Toelichting
	Wijzigingen kunnen alleen door 2 functioneel-beheerders worden aangebracht. De opdracht hiertoe kan door 2 coördinatoren worden verstrekt. Bij de maandafsluiting wordt de aansluiting gemaakt en vastgelegd. De procedure is nog niet vastgelegd.

Detailbevinding	Personeelsmutaties
	Tref waarborgen voor de volledigheid van de personeelsmutaties; het is mogelijk om handmatig personeelsmutaties door te voeren in het systeem; onderzoek de mogelijkheden om de workflow in YouForce technisch af te dwingen en als dat technisch niet mogelijk is, het advies om periodiek een uitdraai van de salarismutaties te maken en deze (zichtbaar) aan te sluiten op de lijst gecontroleerde mutaties.

	Proceseigenaar	Afdelingshoofd Interne Dienstverlening	Planning geborgd	december 2025
	Toelichting
	De al genomen beheersmaatregelen zijn naar ons inzicht voldoende. De aanbeveling voor het inrichten van een digitale workflow in Youforce is begrijpelijk, en we gaan dit onderzoeken in 2025. Tegelijkertijd is de inschatting dat het rest-risico dermate laag is dat deze aanbeveling niet specifieke monitoring op de opvolging behoeft.Voor wat betreft de uitdraai van de salarismutaties kan er b.v. bij de interimcontrole een mutatieverslag worden opgevraagd. Dit geeft de mogelijkheid voor steekproefcontrole indien noodzakelijk geacht.

Detailbevinding	Prestatielevering
	Ontwikkel centraal beleid en procedures voor vastlegging prestatieverklaring.

	Proceseigenaar	Afdelingshoofd Financiën en Control	Planning geborgd	december 2025
	Toelichting
	De vastlegging van prestatieverklaringen (PV’s) gebeurt binnen het financiële systeem CODA Unit 4, voor facturen waarop een verplichtingnummer is doorgegeven als betalingskenmerk. In hoofdlijnen kan de prestatieverklaring op twee manieren plaatsvinden, te weten Direct of indirect. De functie van de medewerker die de rol van prestatieverklaarder invult, kan per afdeling of contract variëren. De naam van de PVer wordt vastgelegd bij de contractregistratie.