1.2 Onze organisatie is in control

• In 2023/24 hebben we een verbeterde, toekomstvaste, betrouwbare en efficiënte financiële informatievoorziening, waarmee de bedrijfsprocessen rondom financiën, inkoop- en contractmanagement en verantwoording worden ondersteund en waarmee kan worden voorzien in de informatiebehoefte van de organisatie.
• Dit betekent dat administraties op elk moment juist en volledig zijn en dat dit ook blijkt uit de interne controles die we uitvoeren.
• In 2023 verbeteren we de interne rapportagesystematiek. Hierin zijn doelen, prestaties, ontwikkelingen en financiën met elkaar in verbinding. Dit stelt het management in staat om optimaal bij te sturen.

• We voeren in 2023 op alle toprisico's expliciet en systematisch het gesprek en organiseren voor de belangrijkste risico's risicosessies.
• We benaderen risicomanagement meer vanuit een positieve invalshoek, wat wil zeggen dat we soms bewust zekere risico’s nemen om bepaalde doelen te halen (risk appetite). In 2023 stellen we hiervoor een kader op en experimenteren met deze aanpak voor de aanwezige TOP-risico's.
• In 2023 borgen we risicomanagement in de 1ste lijn en de reguliere P&C cyclus.

• In 2023 verbeteren we de samenhang tussen de beleids- en planning en controldocumenten.
• We vergroten verder de uniformiteit van documenten, verbeteren het inzicht in concrete doelen en prestaties en zetten in op een duidelijke koppeling tussen doelen en middelen.
• We zorgen voor een aansluiting van de P&C documenten bij het coalitieakkoord.

De (verbijzonderde) interne controle is een meetinstrument voor kwaliteit en efficiency van de gemeentelijke bedrijfsvoering. Per begrotingsjaar 2023 is het college verantwoordelijk voor de rechtmatigheid en moet zich daar zelf over verantwoorden in plaats van dat de accountant dat doet.

Speerpunten blijven in 2023:

• We professionaliseren de rollen binnen het three lines of defense model zodat we adequaat kunnen sturen en ook de risico’s kunnen beheersen.
• Binnen de interne controle verleggen we de focus van repressief naar preventief, van ‘controle’ naar ‘control’. Beheersing aan de voorkant is beter dan controle achteraf.

Team inkoop werkt in de komende jaren aan een aantal aspecten waarbij nauwe samenwerking gezocht wordt en noodzakelijk is met medewerkers van andere afdelingen en budgethouders. Een doel is om voor het gehele concern de inkoop en aanbestedingsrisico’s verder te verminderen (rechtmatigheid). Daarnaast willen we met behulp van inkoop meer sturing geven om de strategische en innovatieve beleidsdoelen mogelijk te maken (doelmatigheid). Dit vraagt om een meerjarige inspanning waar we in 2023 – en in de daarop volgende jaren – verdere stappen gaan zetten:

• We onderzoeken hoe stapsgewijs de inkoopfunctie verder ontwikkeld kan worden naar een expertisecentrum inkoop om daarmee meer centraal inzicht, grip en overzicht te krijgen op concern brede inkoopprocessen. Hierbij wordt tevens onderzocht welke onderdelen beter centraal kunnen worden georganiseerd (bijvoorbeeld inhuur) en welke onderdelen beter decentraal.
• We completeren en actualiseren – als gevolg van een systeemwijziging – opnieuw het centrale contractregister, verzorgen de contractarchivering centraal en we voorzien deze van een betrouwbare signaleringfunctie.
• We ontwikkelen een uniforme werkwijze rondom contractbeheer en contract- en leveranciersmanagement waarbij een ieder gebruik maakt van hetzelfde systeem.
• We verbeteren de kwaliteit van spendoverzichten om de rechtmatigheid van inkopen op concernniveau te bewaken.
• We standaardiseren en uniformeren het inkoopproces inclusief documenten en templates zoveel mogelijk in de ‘Taal van de Stad’.
• We herpositioneren de inkoopboard om vanuit meer verschillende achtergronden en disciplines invulling te geven aan deze adviesfunctie. Doel is om via inkoop en aanbestedingstrajecten meer bij te dragen aan het opgave gericht werken, de innovatiekracht en de strategische doelstellingen van de organisatie.

Privacy is een regulier onderdeel van de gemeentelijke dienstverlening en bedrijfsvoering. Als onderwerp staat het structureel op de politieke en bestuurlijke agenda’s. We gaan als gemeente zorgvuldig om met de persoonsgegevens van onze burgers en eigen medewerkers en doen dat in lijn met de privacywetgeving (AVG) en de Wet politiegegevens (Wpg).

Awareness

• Medewerkers en management worden blijvend bewust gemaakt van de risico’s en krijgen handreikingen over hoe ze zorgvuldig en veilig met informatie kunnen omgaan. We zien dit terug in hun handelen. We analyseren en evalueren incidenten om er van te leren.

Doorontwikkeling

De gemeente beschikt, als overheidsorganisatie, over grote hoeveelheden – vaak gevoelige – persoonsgegevens. De inwoners van Apeldoorn zijn bovendien meestal verplicht om hun gegevens aan de gemeente af te staan. Daarom moet iedereen erop kunnen vertrouwen dat de gemeente uiterst zorgvuldig met hun gegevens omgaat en voldoet aan haar informatieplicht en het transparantiebeginsel.

· Door verdergaande digitalisering en een toename van (cyber)dreigingen is het noodzakelijk op basis van risico- en impactanalyses voortdurend een afweging te maken of aanvullende maatregelen nodig zijn. We verbeteren processen waarbij de proceseigenaren voorgenomen wijzigingen vanuit integraal oogpunt beoordelen en daarin ook privacy risico’s afwegen (privacy bij ontwerp).

· We brengen de privacy risico’s in kaart voor processen waar veel gevoelige persoonsgegevens in worden verwerkt. Zo kunnen we maatregelen treffen om deze risico’s te verkleinen tot een aanvaardbaar niveau. Verantwoordelijkheden en taken beschrijven we helder en beleggen we bij de juiste functionarissen. Het is duidelijk wie stuurt op welk risico en wie bepaalt of een risico aanvaardbaar is voor de gemeente.

· We werken aan de acties en beheersmaatregelen uit het toetsplan privacy, zodat de behoorlijke en transparante verwerking van persoonsgegevens binnen de organisatie wordt geborgd.

· We geven uitvoering aan de genoemde generieke en domein specifieke maatregelen voortkomend uit de interne en externe Wpg-audit

Verantwoording

· Via intern toezicht en de planning & control-cyclus wordt de structurele naleving gemonitord en geborgd. Dit gebeurt door periodiek te toetsen wat de stand van zaken is, daarover te rapporteren en, waar nodig, bij te sturen en verbeteracties te beleggen binnen de organisatie. Via het risico register wordt de voortgang van verbeterpunten gemonitord.

· De verantwoording over de Wpg vindt plaats via de jaarlijkse interne audit en eens per vier jaar via de externe audit. De resultaten van de externe audit worden aangeboden aan de Autoriteit Persoonsgegevens.

Informatiebeveiliging is een regulier onderdeel van de gemeentelijke dienstverlening en bedrijfsvoering. Als onderwerp staat het structureel op de politieke en bestuurlijke agenda’s.  Om er voor te zorgen dat onze informatie betrouwbaar is en beschermd is tegen aanvallen vanuit het internet en andere bedreigingen hebben we het basis beveiligingsniveau geïmplementeerd zoals opgenomen in de Baseline Informatiebeveiliging Overheid (BIO).

Awareness

• Medewerkers en management zijn zich bewust van de risico’s en krijgen handreikingen over hoe ze zorgvuldig en veilig met informatie kunnen omgaan. We zien dit terug in hun handelen. We analyseren en evalueren incidenten om er van te leren.

Doorontwikkeling

· Verantwoordelijkheden en taken zijn helder beschreven en belegd, waardoor duidelijk is wie stuurt op welk risico en wie kan bepalen of een risico aanvaardbaar is voor de gemeente.

· Door verdergaande digitalisering en een toename van (cyber)dreigingen is het noodzakelijk op basis van risico- en impactanalyses voortdurend een afweging te maken of aanvullende maatregelen nodig zijn. We verbeteren processen, waarbij de proceseigenaren voorgenomen wijzigingen vanuit integraal oogpunt beoordelen en daarin ook beveiligingsrisico’s afwegen. Op basis van risicoclassificatie hebben we de hoogste risico’s goed in beeld en sturen we op het terugbrengen van deze risico’s tot een aanvaardbaar niveau.

· De gemeente is goed voorbereid op mogelijke (cyber)crisissituaties die de dienstverlening raken. Noodzakelijke preventieve maatregelen zijn genomen, continuïteitsplannen zijn actueel en getest en de gemeente beschikt over een getrainde crisisorganisatie voor het afhandelen van grote verstoringen in de dienstverlening.

Verantwoording

· Via intern toezicht en de planning & control-cyclus wordt de naleving structureel gemonitord en geborgd. Dit gebeurt door periodiek te toetsen wat de stand van zaken is, daarover te rapporteren en, waar nodig, bij te sturen en verbeteracties te beleggen binnen de organisatie. Via het security risico register wordt de voortgang van verbeteracties gemonitord.

· De verantwoording over informatiebeveiliging vanuit het college aan de raad en aan de landelijke toezichthouders op de basisregistraties en de centrale voorzieningen (waaronder DigiD en Suwinet) gebeurt via het voor gemeenten verplichte ENSIA-verantwoordingstraject. Door dit traject planmatig aan te sturen voldoen we aan onze verplichtingen. Naast het ENSIA-verantwoordingstraject vindt ook verantwoording over informatiebeveiliging plaats via de IT-audit die wordt uitgevoerd in het kader van de jaarrekeningcontrole.

Informatiebeheer (voorheen archiefbeheer) is een regulier onderdeel van de gemeentelijke dienstverlening en bedrijfsvoering. Als onderwerp staat het structureel op de politieke en bestuurlijke agenda’s. Door zorgvuldig informatiebeheer zorgen we als gemeente voor juiste, toegankelijke en vindbare informatie die binnen de wettelijke kaders beschikbaar is.

Awareness

We maken medewerkers en management blijvend bewust van de risico’s van onjuist informatiebeheer. Zij krijgen handreikingen over hoe ze zorgvuldig informatie kunnen beheren zodat deze juist, toegankelijk, vindbaar en beschikbaar is. We zien dit terug in hun handelen. We analyseren en evalueren het informatiebeheer om er van te leren en verbeteringen door te voeren.

Doorontwikkeling

De Wet open overheid (WOO) verplicht overheidsorganen om een groot deel van hun documenten openbaar te maken. Het is dan noodzakelijk om het informatiebeheer op orde te hebben om te voorkomen dat niet openbare informatie wordt gepubliceerd en alle openbare informatie voor iedereen tijdig beschikbaar en vindbaar is. Bij het optimaliseren van werkprocessen zorgen we ervoor dat rollen, taken en verantwoordelijkheden voor het informatiebeheer juist zijn belegd en dat medewerkers zich daar bewust van zijn en daar naar handelen. We benutten in 2023 de implementatie van de WOO om het kwaliteitskader voor het informatiebeheer vast te stellen. Tevens dient dit in de diverse themaplannen nader te worden geconcretiseerd. Op die manier borgen we verdere uitwerking in onze reguliere P&C cyclus.

Verantwoording

Via intern toezicht en de planning & control-cyclus wordt de kwaliteit van het informatiebeheer gemonitord en geborgd. Dit gebeurt door periodiek de beheerplannen te toetsen op de voortgang, daarover te rapporteren en, waar nodig, bij te sturen en verbeteracties te beleggen binnen de organisatie. Via het risico register wordt de voortgang van verbeterpunten gemonitord. Tweejaarlijks brengt de gemeentearchivaris aan het college een inspectieverslag uit over de toestand van de informatiehuishouding. Het college brengt het verslag per raadsbrief ter kennis aan de raad.

In 2023 stellen we een klachtenregeling op en maken we een handreiking voor zogenaamde veelklagers (in overleg met de Nationale Ombudsman).

De komende periode richt de vakgroep JKZ zich op:

- het vernieuwen van de interne juridische pagina, genaamd Jurinet.  Door actuele handreikingen, een overzicht van meeste gestelde vragen enz. worden collega’s beter ondersteund en bewust gemaakt van de juridische vraagstukken in hun werk.

- de doorontwikkeling van de basiscursus Recht in die zin dat er leergangen worden ontwikkeld die qua inhoud aansluiten bij de doelgroep zodanig dat de basiskennis op orde blijft  (leergangen voor medewerkers, management en bestuursorganen).

- de doorontwikkeling van de rol van accounthouder als verbindende schakel tussen de afdelingen en   de afdeling Juridische Zaken.

Maatschappelijk verantwoord inkopen (MVI) betekent dat naast op de prijs van de producten, diensten of werken ook gelet wordt op de effecten van de inkoop op milieu en sociale aspecten. Inkoop kan een effectief instrument zijn om een positieve impact te maken.

Er zijn verschillende actuele ontwikkelingen zoals klimaatverandering, de oorlog in de Ukraine, de energiecrisis en de toenemende grondstoffen schaarste die van invloed zijn op de bedrijfsvoering van de gemeente.

Hierdoor neemt de urgentie toe om duidelijk te hebben of en welke bruikbare alternatieve vormen (lokaal, duurzaam, circulair, innovatief) van inkoop- en aanbesteding er zijn. Zo kunnen we bijvoorbeeld in de toekomst op een alternatieve wijze energie inkopen en/of energiebesparende maatregelen mogelijk maken.

Op basis van het onderzoek naar positieve ervaringen en inzichten die worden opgedaan in 2023 zal voor de opeenvolgende jaren 2024, 2025 en 2026 een concretere inschatting en verfijning gemaakt kunnen worden welke voorwaarden en middelen hiervoor nodig zijn.

Nieuw beleid robuuste en wendbare organisatie

We bouwen aan een robuuste en wendbare organisatie. Een bedrijfsvoering waarin expertise, capaciteit en hulpmiddelen in omvang en kwaliteit van voldoende niveau zijn om het primaire proces in de organisatie te ondersteunen en te onderhouden. En die snel en gemakkelijk meebeweegt met de maatschappelijke ontwikkelingen. De achterliggende 2 jaar hebben we mede aan de hand van het beheersplan gewerkt aan zorgvuldigheid, kwaliteit en sturing in de organisatie. We hebben bestaande rollen aangescherpt, nieuwe rollen en taken geïntroduceerd, tijdelijke expertise aangetrokken en werkwijzen verbeterd. Om verbetering vast te houden en verder te versterken moeten we investeren in kwalitatief hoogwaardig personeel en up-to-date faciliteiten.