Het college van gemeente Vught is zich bewust van het inherente risico van fraude dat zij, zowel intern als extern, loopt bij het uitvoeren van al haar activiteiten.
Het college heeft in 2023 een frauderisicoanalyse opgesteld waaruit naar voren kwam dat op enkele onderdelen in de bedrijfsvoering sprake is van een hoger dan normaal risico op non-compliance. Deze risico’s hebben in 2023 extra aandacht gekregen, waarbij aanvullende interne beheersingsmaatregelen zijn ingevoerd en periodiek (en onverwacht) additionele reviews plaatsvinden.
Externe partijen moeten er op kunnen vertrouwen dat gemeente Vught en haar medewerkers op een betrouwbare, eerlijke en zorgvuldige manier zaken doen. Daarom heeft gemeente Vught een gedragscode opgesteld die aan iedere medewerker bij indiensttreding wordt overlegd en onderdeel is van het personeelshandboek. Het belang van de gedragscode en de naleving wordt periodiek benadrukt en is onderwerp van gesprek tussen leidinggevende en medewerker. Er is een in- en extern vertrouwenspersoon aangewezen waarbij eventuele misstanden vertrouwelijk kunnen worden gemeld. De gedragscode is online beschikbaar en wordt (daarmee) ook gedeeld met onze externe relaties.
Onze (financiële) processen kenmerken zich door de aanwezigheid van functiescheiding. Hiermee voorkomen we dat slechts één persoon ongecontroleerd transacties of verplichtingen kan aangaan, autoriseren, verwerken en afwikkelen en toegang heeft tot activa.
Ondanks alle beheersingsmaatregelen resteert het risico dat management of directie maatregelen doorbreekt en het risico van samenspanning tussen medewerkers. Transparante besluitvorming, de governance structuur, een open cultuur waarbij we elkaar durven aan te spreken, de aanwezigheid van een vertrouwenspersoon om niet-integer handelen (anoniem) te melden, periodieke interne en externe audits op de naleving van beheersingsmaatregelen moeten er toe bijdragen dat override of controls wordt gesignaleerd.
Gezien de aard van de activiteiten van gemeente Vught en de landen waarmee zaken wordt gedaan, onderkennen we ook een extern risico op non-compliance. De in 2023 uitgevoerde risicoanalyse heeft ons goed inzicht gegeven in deze risico’s en het belang van het aanscherpen van een aantal procedures. Dit is dan ook een structureel onderdeel van ons risicomanagementproces.
De afgelopen jaren zijn er regelmatig berichten in de media over cyberaanvallen, gevallen van ransomware en datalekken. Gezien de activiteiten van gemeente Vught heeft informatiebeveiliging vanuit de perspectieven continuïteit, fraude en privacy en daarmee samenhangende reputatie een hoge prioriteit.
Tijdens de dagelijkse bedrijfsvoering vinden controles plaats om vast te stellen of gewerkt wordt volgens de daarover gemaakte afspraken, waaronder de diverse protocollen voor informatiebeveiliging. Daarnaast beoordelen de security en privacy officer de kwaliteit en naleving van de getroffen beheersingsmaatregelen. Periodiek wordt de beheersing van informatiebeveiliging getoetst, via in- en externe audits. Eventuele verbeterpunten vormen de input voor verdere aanscherping en/of naleving van het informatiebeveiligingsproces.
Conclusie
Het college is van mening dat, met alle analyses en getroffen beheersingsmaatregelen, de risico’s met betrekking tot een beheerste en integere bedrijfsvoering inzichtelijk zijn en op een adequate wijze de aandacht krijgen.