Structurele bevindingen uit de eerste detectie-audits bij OCMW-besturen

AVlogo6NN_0

Op 15 maart 2106 publiceerde Audit Vlaanderen haar rapport inzake de wijze waarop een ernstig fraudegeval zich bij een bepaald OCMW- bestuur heeft kunnen voordoen. Uit deze audit bleek dat diverse oorzaken aan de basis lagen van het specifieke fraudegeval. De belangrijkste oorzaak was evenwel dat de mogelijkheden tot functiescheiding en de functionaliteit “begunstigdenbeheer” in de gehanteerde nanciële software niet benut werden. Uit verder onderzoek kwam naar voor dat het risico om op een gelijkaardige wijze te frauderen, in mindere of meer- dere mate, blijkbaar ook inherent aanwezig was bij andere OCMW-besturen.

Om alle OCMW-besturen attent te maken op het risico van een mogelijk ontoereikende set-up van hun softwarepakketten, heeft Audit Vlaanderen alle OCMW-secretarissen hiervan via mail op 27/02/2015 op de hoogte gesteld.

Teneinde na te gaan of het risico zich ook had voorgedaan bij andere OCMW-besturen, besliste Audit Vlaanderen om een reeks van detectie-audits uit te voeren bij 21 verschillende OCMW-besturen, verspreid over Vlaanderen. De uitgevoerde detectie-audits brachten geen andere fraudegevallen aan het licht, maar bevestigden wel dat het risico op frauduleuze transacties (onrechtmatige betalingen) in alle geauditeerde besturen effectief aanwezig was, niettegenstaande de verschillende gradaties in beheersmaatregelen die werden aangetroffen. Dit globale rapport geeft een overzicht van de belangrijkste verbeterpunten die wer- den vastgesteld:

Uitbouw van functiescheiding in de administratieve processen van zowel de sociale als de nanciële dienst

OCMW-besturen betalen verschillende vormen van steun aan hun cliënten. In 16 van de 21 geauditeerde OCMW-besturen was onvoldoende of geen functiescheiding aanwezig en werden verschillende opeenvol- gende stappen in het betalingsproces uitgevoerd door dezelfde medewerker. In de meeste van deze OCMW- besturen worden aan personeelsleden ook te ruime autorisaties in de softwarepakketten toegekend omwille van een te beperkt personeelsbestand, bedrijfscontinuïteitsaspecten of onvoldoende kennis van het soft- warepakket.

Een goede functiescheiding binnen een betalingsproces tracht ongewenste functiecombinaties in het proces te voorkomen en taken en verantwoordelijkheidsgebieden te scheiden en indien mogelijk tegengestelde belangen te creëren door deze taken, bevoegdheden en verantwoordelijkheden in het proces bij meerdere personen te leggen. Dit geldt ook voor de autorisaties in de softwaretoepassingen. Hierbij is het in het kader van de bedrijfscontinuïteit aangewezen om voor elke functie eveneens een back-up te voorzien.

Creëren van een unieke autorisatie voor de aanmaak of wijziging van begunstigdengegevens

Het beheer van begunstigdengegevens is een functionaliteit die in principe aanwezig is in alle gebruikte nanciële softwaresystemen. Deze functie laat toe om nieuwe cliëntendossiers te creëren en de gegevens van leveranciers/begunstigden in het systeem te registreren. Elk OCMW-bestuur bepaalt zelf de “set-up” van hun softwarepakketten en legt hierbij de autorisaties vast die aan haar personeelsleden worden toegekend in de softwaresystemen. In geen enkel geauditeerd OCMW-bestuur bestond een unieke autorisatie voor het begunstigdenbeheer. Bij alle OCMW-besturen konden begunstigdengegevens zowel bij de sociale dienst als de nanciële dienst worden gewijzigd. Doorgaans konden de meeste maatschappelijke assistenten dossiers voor nieuwe cliënten creëren. Voor heel wat personeelsleden was het ook mogelijk om in de ow van het betalingsproces begunstigdengegevens te wijzigen.

Door een gebrek aan functiescheiding en de mogelijkheid om begunstigdengegevens aan te maken in verschillende softwaremodules, is het wijzigen van een begunstigdenrekeningnummer vaak zeer eenvoudig en vergemakkelijkt dit de aanmaak van frauduleuze betalingen. Om het risico op misbruiken in het betalingsproces te beperken, is het aangewezen dat de OCMW-besturen een unieke autorisatie creëren voor de aanmaak en wijziging van begunstigdengegevens, los van de dossierbehandelaars.

Systematisch bijhouden van stavingsstukken die aantonen dat het gebruikte begunstigdenre- keningnummer in het betalingsproces aan de cliënt toebehoort

In alle geauditeerde OCMW-besturen werden er voor bepaalde cliënten verschillende begunstigdenrekening- nummers gebruikt. In de fysieke dossiers van deze cliënten werd meestal een verklaring gevonden voor het gebruik van de verschillende rekeningnummers, maar vaak ontbraken de stavingsstukken voor de gewijzigde rekeningnummers. Enkele OCMW-besturen slaagden er tijdens de audit niet in aan de hand van stavingstuk- ken, de rechtmatigheid van de door hen gebruikte begunstigdenrekeningnummers aan te tonen.

Om zeker te zijn dat elke steunmaatregel wordt gestort op een aan de cliënt toebehorend rekeningnummer, moeten binnen het OCMW-bestuur de hiertoe vereiste stavingsstukken aanwezig zijn. Dit kan gebeuren door een kopie van de betrokken bankkaart te nemen, door o ciële brieven van derden bij te houden of door een door de cliënt ondertekende verklaring te vragen. Deze bewijsstukken dienen eveneens op een gestruc- tureerde wijze in de betrokken dossiers bijgehouden te worden.

Uitvoeren van betalingen op basis van originele facturen en stavingsstukken

In 11 van de 21 geauditeerde OCMW-besturen werden betalingen door de nanciële dienst niet uitgevoerd op basis van originele facturen of andere stavingsstukken. Originele facturen bevonden zich in het fysieke dos- sier van de cliënt en niet bij de boekhouding. Aan een dergelijke werkwijze zijn signi cante risico’s verbon- den, zoals het manipuleren van gegevens op de factuur of de factuur meerdere keren in het betalingscircuit inbrengen. Om de garantie op een correcte betaling te verhogen en het risico op dubbele betalingen te verkleinen, dienen betalingen te gebeuren op basis van originele facturen en andere stavingsstukken. Deze originele documenten moeten worden bewaard bij de boekhouddienst van het OCMW-bestuur.

Audit Vlaanderen wil met dit globale rapport alle lokale besturen bewustmaken van de risico’s die zich kun- nen voordoen tijdens het betalingsproces. Aan de hand van dit globale rapport kunnen immers ook niet-ge- auditeerde besturen zich informeren over de belangrijkste bevindingen uit deze eerste reeks detectie-audits.

Lees meer op Audit Vlaanderen