Toelichting bij de aanpak van de validatieaudit Agenda
Toelichting bij de aanpak van de validatie-audit
Agenda • • • Voorgeschiedenis Bekommernissen Maturiteitsniveau 3 Uitvoering validatie Verder overleg
Voorgeschiedenis Generiek principe BO Nota VR 1 september 2006 generieke principes BO • Uiterlijk één jaar na de aanvang van de beheersovereenkomst beschikt het agentschap over een uitgeschreven en gedocumenteerd systeem van interne controle • Vanaf het tweede jaar na aanvang van de beheersovereenkomst wordt het proces van interne controle minstens één maal per jaar door het management geëvalueerd op zijn actualiteit, eventueel bijgewerkt en opnieuw gevalideerd. ”
Voorgeschiedenis Beslissing VR 30 mei 2008 • • De leidraad interne controle – organisatiebeheersing = het referentieraamwerk Tegen eind 2008 heeft elke entiteit een stappenplan – hierin staat hoe organisatiebeheersing binnen de eigen organisatie zal ingebed worden tegen eind 2008 – in overleg met de functioneel bevoegde minister • Doel = beschikken over een gedocumenteerd systeem van interne controle – organisatiebeheersing – binnen de looptijd van de beheersovereenkomst, zijnde tot 31 december 2010 – alle thema’s die in de leidraad interne controle – organisatiebeheersing zijn aangegeven • Voldoen aan de toets in maturiteitsniveau 3 ‘gedefinieerd’ in het maturiteitsmodel – beheersingsmaatregelen dienen ontwikkeld en aanwezig te zijn – beheersingsmaatregelen moeten gestandaardiseerd, gedocumenteerd en gecommuniceerd zijn
Voorgeschiedenis Werkgroep IC/OB en netwerk • Werkzaamheden werkgroep IC/OB • Aanreiken instrumenten – – – – Bijgewerkte leidraad Zelfevaluatierooster Vertaalmatrices Stappenplan Handreikingen Fiches financiële interne controle FAQ’s Beschrijvingen proces- en risicomanagement • Ondersteuning via netwerk organisatiebeheersing
Bekommernissen
Maturiteitsniveau 3
Omschrijving en PDCA
Kernelementen • Beheersmaatregelen bij maturiteitsniveau 3 bij een thema zijn: – Toegepast in de praktijk – Gedocumenteerd – Gestandaardiseerd – Gecommuniceerd • Do
Toegepast • Belangrijkste element • Beheersmaatregelen zijn: – Adequaat: aangepast aan de situatie – Effectief: uitvoeren zoals voorzien • Impliceert: – Risicoanalyse – Kosten-batenanalyse
Risicomanagement als vertrekpunt voor uitbouw IC/OB • Leidraad is instrument om het management te begeleiden bij bepalen van ‘interne’ risico’s en mogelijke beheersmaatregelen • Doordachte risicoanalyse gaat verder: specificiteit van de organisatie – ook andere al dan niet externe risico’s in ogenschouw genomen – differentiëring van risico’s in functie van relevantiegraad
Risicomanagement als vertrekpunt voor uitbouw IC/OB • Doelstelling inzake organisatiebeheersing • Welke risico’s voor entiteit? • Inschatting risico’s (kans, impact) • Beheersmaatregelen: aanwezig en afdoend, niet aanwezig
Voorbeeld • Controledoelstelling: De personeelsuitgaven blijven binnen het afgesproken budget. • Mogelijke risico’s: budgetoverschrijding, onbetaalde onkosten, geen vorming mogelijk, … • Inschatten risico’s: kans, impact => classificatie • Beheersmaatregelen: – Aanwezig => afdoend => in orde – Niet aanwezig/niet afdoend => gemotiveerde beslissing tot al dan niet implementeren nieuwe beheersmaatregel
Overige elementen • • Gestandaardiseerd Gedocumenteerd Gecommuniceerd Afgeleide van risicogebaseerde toepassingen in de praktijk • Zijn geïntegreerd
Gestandaardiseerd • Standaardiseren: brengen tot een standaard of eenheid in afmeting, vorm, inhoud, samenstelling, enz… (van Dale) • Gebruik van een standaard of raamwerk binnen de Vlaamse overheid om op uniforme wijze interne controle/organisatiebeheersing in te bedden
Gestandaardiseerd • Keuze voor leidraad interne controle/organisatiebeheersing – Afgestemd op COSO/ERM en governance: volledigheid – Afgestemd op standaardinstrumenten Vlaamse overheid: aangepast – Verfijning via handreikingen: verdere standaardisatie • Komen tot een geïntegreerd geheel organisatiebreed – organisatiespecifiek - processpecifiek
Gestandaardiseerd • Standaardisering eenheidsworst – Situeert zich op niveau van principes, doelstellingen van organisatiebeheersing of controledoelstellingen – Invulling concrete beheersmaatregelen is o. b. v. afweging risico’s – Uitz. verplichte generieke of wettelijke maatregelen, maar basis is gemeenschappelijk risico
Gedocumenteerd en gecommuniceerd • Gedocumenteerd en gecommuniceerd is nodig om duidelijkheid te creëren over beheersmaatregelen – Doel van de beheersmaatregel: waar draagt die toe bij – Uitvoering van de beheersmaatregel: hoe, wie doet wat, rol en verantwoordelijkheden, … • Documentatie niet tot op het kleinste detail, maar in functie van behoefte • De beheersmaatregelen bij elk thema moeten ‘aantoonbaar‘ zijn via documenten/bewijs (o. a. vastlegging strategische keuzes, procedure- en werkingsbeschrijving, verslagen, rapportages, boordtabellen, monitoring etc. )
Gedocumenteerd • Aantoonbaarheid – Documentatie beheersmaatregelen – Output van de beheersmaatregelen ( = toepassing in de praktijk) • Niets nieuw. Analoog met andere instrumenten (EFQM, CAF, COBIT, ISO, …): onderbouwende documentatie deel van maturiteitsinschatting
Gecommuniceerd • Gecommuniceerd aan medewerkers • Aangepast i. f. v. graad van betrokkenheid • Verschillende instrumenten (publicatie intranet van procedurebeschrijvingen, opleidingen, teamoverleg, communicatie beslissingen directieraad, feedback managementcomité en beleidsraad, …)
Voordelen • Voordelen van standaardisering, documentering en communicatie – gemeenschappelijk taal en algemeen begrip van interne controle en organisatiebeheersing, – verhogen van het risicobewustzijn, – uniforme systematiek voor de uitvoering van risico- en beheersanalyses, – verduidelijking van ieders rol en verantwoordelijkheden m. b. t. interne controle / organisatiebeheersing, – verhoogde transparantie in het afleggen van verantwoording – Deugdelijke basis voor (zelf)evaluatie – Dingen niet heruitvinden – …
Principes bij de uitvoering van validatie-audits
Gehanteerde principes bij uitvoering van de audit 1. De entiteiten moeten zelf hun maturiteitsniveau aantonen via actualisering van sterkte-zwakteanalyse de zelfinschatting qua maturiteitsniveau per thema onderbouwen nodige bewijs leveren om de opgenomen argumentatie aan te tonen IAVA valideert enkel o. b. v. de zelfinschatting, aangeleverde bewijsmateriaal en interviews IAVA gaat in eerste instantie uit van volledigheid aangeleverde documentatie
Gehanteerde principes bij uitvoering van de audit 2. De ‘Leidraad interne controle / organisatiebeheersing is het kader voor organisatiebeheersing en dus voor het inschatten van het maturiteitsniveau – – – Subthema’s en doelstellingen inzake organisatiebeheersing = kader Beheersmaatregelen: geen checklist Indien gebruik EFQM-gerelateerd instrumentarium: entiteit toont afdekking aan via vertaalmatrix
Gehanteerde principes bij uitvoering van de audit 3. Behalen van maturiteitsniveau 3 organisatie moet voor het behalen van maturiteitsniveau 3 voldoen aan de vereisten (= doelstellingen inzake organisatiebeheersing) uit de leidraad indien niet voldaan vereiste van de leidraad, moet organisatie op onderbouwde wijze uiteenzetten waarom onderbouwing: bij voorkeur risicoanalyse, maar ook andere gemotiveerde onderbouwing mogelijk koppeling tussen status PDCA-cyclus binnen een thema en behalen van maturiteitsniveau 3
Gehanteerde principes bij uitvoering van de audit 4. Geen afzonderlijke inschatting deelthema’s – Conform beslissing van de Vlaamse regering maar één inschatting per thema 5. Integratie voortgangscontroleaudit: svz aanbevelingen 6. EIKE – – – 7. Geen EIKE-zelfinschatting verwacht van de entiteiten IAVA maakt wel EIKE-inschatting in rapport per entiteit (of enkel werkdocument: nog te beslissen) Focus op efficiëntie: aanwezigheid en toepassing instrumenten (in hoofdzaak voor organisatiebrede evaluatie) Rapportering – – – Syntheserapport en detailrapport Geen werkdocument meer Overkoepelend rapport VO
Uitvoering • Juli 2010 – maart 2011 • Goede afspraken per beleidsdomein • Eventuele opsplitsing per ‘afgewerkt’ thema of gefaseerde aanpak
Verdere informatie • Managementcomités/beleidsraden • Bilateraal overleg IAVA / leidend ambtenaar – ankerpunt • Vragen voor overleg
Netwerk organisatiebeheersing Thema’s bilateraal overleg BD: • Verdere concretisering planning validatie-audits • Specifieke vragen beleidsdomein • Globale/instrumentele benadering risicoanalyse • Prioritering acties
- Slides: 33