De behandeling van de managementletter of boardletter

29/11/19

Vijf adviezen voor raadsleden en Statenleden

Binnenkort ontvangen gemeenteraadsleden de managementletter of boardletter met de uitkomsten van de tussentijdse controle door de accountant. Hierin staat hoe het is gesteld met de interne beheersing van de belangrijkste processen binnen de gemeente. ‘Veel raadsleden vinden het moeilijk om te bepalen wat zij voor rol hebben bij de interne beheersing’, stelt Martine Koedijk, accountant en sectorvoorzitter binnenlands bestuur bij PwC. Om raadsleden een helpende hand te bieden, licht Koedijk met concrete adviezen toe hoe zij de managementletter of boardletter kunnen gebruiken. De adviezen gelden ook voor Statenleden. Eerder gaf Martine Koedijk al adviezen over de begroting, de eerste rapportage uit de planning & controlcyclus.

Interne beheersing, IT en actuele ontwikkelingen

De managementletter is een rapportage van de tussentijdse werkzaamheden voor de jaarrekeningcontrole van de gemeente. In de managementletter staan aanbevelingen voor de interne beheersing, de IT-omgeving en actuele ontwikkelingen. In sommige gemeenten wordt ook een boardletter uitgebracht. Dit is een samenvatting van de managementletter met alleen de bestuurlijk relevante punten. De managementletter of boardletter wordt besproken in een vergadering van het college (veelal vertegenwoordigd door de wethouder financiën) en (een afvaardiging van) de raad, in het bijzijn van de accountant.

Koedijk: ‘Omdat de bedrijfsvoering een taak van het college is, denken veel raadsleden dat ze hier ver vanaf staan. Maar zodra tekortkomingen in de interne beheersing of IT ervoor zorgen dat de gemeente grote (imago)risico’s loopt, is het belangrijk dat raadsleden hun controlerende, toezichthoudende rol pakken. Denk bijvoorbeeld aan cybercrime, verlies van waardevolle bezittingen of onrechtmatige of niet-effectieve uitgaven. Ook wanneer het goedkeurend oordeel van de accountant in gevaar komt, is het aan raadsleden om alert te zijn. De volgende vijf adviezen om de managementletter te doorgronden, kunnen hierbij helpen.'

Advies een: ontdek de trend in het algemene beeld van de interne beheersing

De managementletter of boardletter is gebaseerd op de tussentijdse controle van de accountant. Het is daarbij belangrijk om te beoordelen hoe de interne beheersing zich in de tijd ontwikkelt. Raadsleden moeten daartoe inzicht krijgen in welke ambitie het college heeft voor de interne beheersing. Wil het college bijvoorbeeld de nadruk leggen op de beheersing in het primaire proces en daarmee fouten voorkomen? Of vindt het college het effectiever om het risico op fouten af te dekken door controle achteraf - de zogenoemde verbijzonderde interne controle? En wat vindt u als raad van deze ambitie?

Voorkomen is beter dan herstellen, maar voor minder omvangrijke processen is het wellicht niet doelmatig om een sluitende interne beheersing op te zetten. Deze ambitie is als context noodzakelijk voor raadsleden om het huidige niveau en de ontwikkeling van de interne beheersing te kunnen beoordelen. Dan kunt u het gesprek met het college richten op de verbeteringen die nodig zijn van processen of op onderwerpen waar de ambitie en het huidige niveau het verst uit elkaar liggen.

Advies twee: maak onderscheid in belangrijke en minder belangrijke tekortkomingen

De managementletter van de accountant is naar zijn aard voornamelijk gericht op tekortkomingen in de interne beheersing. Maar niet elke tekortkoming is even belangrijk. Zo is het ontbreken van een actuele procesbeschrijving van een niet omvangrijk proces waarschijnlijk minder belangrijk dan het ontbreken van controles op de uitbetaling van bijstandsuitkeringen. Dit laatste kan namelijk leiden tot bedrijfsrisico’s. Afgelopen jaar bleek nog uit de media dat een gemeente ten onrechte 2,5 miljoen euro aan premies uitkeerde aan mensen die werken met behoud van uitkering. Als raadslid is het belangrijk de door de accountant gerapporteerde tekortkomingen te prioriteren: leidt het bijvoorbeeld tot een bedrijfsrisico, een onrechtmatigheid of mogelijk fraude (zie ook advies drie)? Voor de tekortkomingen met een hoge prioriteit kunt u vervolgens het college vragen welke maatregelen op welke termijn getroffen worden om de risico’s te ondervangen. Vergeet daarbij niet afspraken te maken over de wijze waarop u wordt geïnformeerd over de voortgang.

Advies drie: neem zelf initiatief rondom het thema fraude

Fraude is een onderwerp dat steeds prominenter op de agenda bij gemeenteraden staat. En terecht, u heeft als raad een duidelijke verantwoordelijkheid om toezicht te houden: voert het college een toereikend beleid voor het voorkomen of identificeren van fraude?

Dat het op allerlei manieren mis kan gaan, blijkt onder meer uit de volgende voorbeelden van afgelopen jaar:

Een medewerker die toegaf valsheid in geschrifte te hebben gepleegd. Hij vervalste facturen en handtekeningen en zou daarbij hulp hebben gehad van leveranciers van de gemeente.
Een medewerkster maakte geld dat naar schuldeisers moest van een gemeenschappelijke regeling over naar zichzelf. In totaal 75 tot 90 keer gedurende vijf jaar.

Neem bij de besprekingen met het college en de accountant als raad zelf het initiatief als het gaat om fraude. Bespreek de frauderisicoanalyse en vraag of er nieuwe risico’s blijken uit de interne controle of de tussentijdse controle van de accountant. Bevraag het college daarbij ook op de maatregelen die het treft om het frauderisico naar een aanvaardbaar niveau terug te brengen.

Advies vier: hebben de bevindingen effect op het beleid?

Of u nu in de coalitie of in de oppositie zit, als raadslid wilt u bepaalde politieke doelstellingen bereiken. Vaak wordt bij de politieke bespreking van de managementletter of boardletter gesproken over de effecten en risico’s op de bedrijfsvoering. En alhoewel de gerapporteerde tekortkomingen daar primair op zijn gericht, kunnen ze ook van invloed zijn op het behalen van uw politieke doelen. Rapporteert uw accountant bijvoorbeeld dat er geen controle plaatsvindt of iedereen waarvoor in de WMO zorg gefactureerd wordt daar ook recht op heeft? Als het recht op zorg niet vastgesteld wordt ('wat mag'), kan het ook zijn dat een mogelijke politieke doelstelling niet wordt gecheckt namelijk dat iedereen de zorg krijgt die nodig is ('wat moet'). Het afmeten van de rapportage aan uw politieke doelen helpt u bij het prioriteren van bevindingen.

Advies vijf: heb voldoende aandacht voor IT, informatiebeveiliging en cybersecurity

Naast de primaire processen rapporteert de accountant in zijn managementletter of boardletter ook over de IT-beheersing, het informatiebeveiligingsbeleid van de gemeente en de stand van uw cybersecurity. Dit zijn moeilijke, veelal technische onderwerpen, maar in de huidige bedrijfsvoering van de gemeente worden ze steeds belangrijker. Veel gemeenten willen digitaliseren om de effectiviteit en efficiency van de gemeentelijke processen te vergroten. Een belangrijke randvoorwaarde voor die digitalisering is een adequate IT-beheersing. Vaak merk ik dat raadsleden dit een moeilijk onderwerp vinden om te doorgronden. Is dat in uw raad ook zo? Vraag dan uw accountant om samen met de organisatie een verdiepende sessie te houden waarin op een laagdrempelig niveau het huidige volwassenheidsniveau van de IT-beheersing, inclusief risico’s en kansen, aan u wordt uitgelegd. Op die manier bent u ook op dit onderwerp een kritische gesprekspartner van het college.