Netwerk Organisatiebeheer 15 mei 2008 Leidraad IC /OB Filosofie Praktische tips Agenda Interne controle / organisatiebeheersing Leidraad IC / OB Zelfevaluatie Maturiteitsinschatting Tips Vragen? 2 IC / OB – Wat? Het kan het best omschreven worden als het proces dat door het management én het personeel ondernomen wordt om redelijke zekerheid te bekomen dat de doelstellingen van de organisatie gerealiseerd worden. Meer specifiek wordt het systeem IC/OB ontworpen om redelijke zekerheid te verschaffen in de volgende domeinen: het bereiken van de haar opgelegde doelstellingen en de uitvoering en opvolging van beslissingen; de naleving van wetten, decreten, besluiten, reglementeringen en procedures; de nauwkeurigheid, juistheid, volledigheid, tijdigheid en bruikbaarheid van de financiële en beheersinformatie; de efficiëntie van haar operaties en het efficiënt inzetten van haar middelen; de bescherming van haar activa en de voorkoming van fraude. 3 IC / OC – samenvatting: Een goede organisatiebeheersing of interne controle komt erop neer dat: men weet waar men naar toe wil (strategie en doelstellingen); men weet of beseft wat de hinderpalen hierbij zijn (risico’s voor het bereiken van de strategie en doelstellingen); men acties onderneemt om deze hinderpalen te beheersen (controle- of beheersmaatregelen) 4 Wie & Hoe? Wie? Verantwoordelijkheid van management Maar zaak van iedereen Hoe? Niet iets nieuws dat er bovenop komt Zit reeds (voor een stuk) ingebakken in dagelijkse werkzaamheden Duiden en naar boven brengen 5 Leidraad IC / OB 6 Leidraad IC / OB “Product” van de werkgroep IC/OB Opdracht van de Vlaamse regering ! Inclusief de “controle-organen” Interne controle en organisatiebeheersing worden als synoniem gebruikt Structuur > 11 thema’s Thema’s staan niet los van mekaar 7 11 thema’s en hun samenhang PLAN Belanghebbendenmanagement Doelstellingen, proces- en risicomanagement ORG A C T HRM DO ICT CUL FIM FAM ICO CHECK Veranderingsmanagement I N T E G R I T E I T Monitoringsystemen EFFICIENTIE 8 Raamwerken Leidraad is opgebouwd rekening houdend met algemeen erkende raamwerken (COSO, ERM, INTOSAI) en de principes van deugdelijk overheidsbestuur. Kwaliteitsverbetering Zit in de leidraad verweven Kwaliteitsmodellen hebben andere finaliteit dan leidraad maar er zijn toch veel gelijkenissen > vertaalmatrices met het CAF-model 9 Doel en filosofie Per thema staan er controledoelstellingen geformuleerd. Dit zijn de elementen die aanwezig moeten zijn om de activiteiten of processen te beheersen. Bij elke controledoelstelling staan er beheersmaatregelen geformuleerd. Deze beheersmaatregelen vormen geen checklist, moeten er niet steeds allemaal zijn. Anderzijds is het ook zo dat de opgesomde maatregelen voor sommige entiteiten onvoldoende zullen zijn. Er moet steeds gekeken worden naar de eigenheid van de organisatie. 10 Doel en filosofie (2) PDCA-cyclus (managementcontrolcyclus) Belangrijk is PDCA (komt in elk thema terug) Plan: focus op doelstellingen (wat bereiken) en het tot stand komen van deze doelstellingen Do: uitbouw van de organisatie om de doelstellingen te bereiken Check: erover waken dat de activiteiten zo zijn ‘ontwikkeld’ om de doelstellingen te bereiken Act: bijsturen / aanpassen indien nodig 11 Doel en filosofie (3) Documenteren Documenteren is geen doel op zich Is bedoeld als intern instrument, als hulpmiddel Bv. back-up, introduceren nieuwe mensen Maturiteitsinschatting Opsomming van sterke punten en aandachtspunten De score op zich is minder belangrijk dan het denk- en discussieproces dat tot de score heeft geleid 12 Gedocumenteerd systeem van IC In één zin uitgedrukt betekent dit: de cyclus van risicomanagement uitvoeren en voldoende documenteren. Met andere woorden, binnen de organisatie: de risico’s, die gekoppeld zijn aan de organisatiedoelstellingen, in kaart brengen (PLAN); de bestaande beheersmaatregelen in kaart brengen (DO) en evalueren (CHECK); een actieplan opstellen met de bijkomende beheersmaatregelen en dit actieplan uitvoeren (ACT). 13 Gedocumenteerd systeem van IC (2) Het documenteren van het systeem van IC/ OB op strategische niveau wil zeggen dat de organisatierisico's zijn gedefinieerd en hun beheersing wordt aangepakt in de werking van de organisatie. De leidraad IC /OB is het instrument om te hanteren als risicoraamwerk. Hierbij fungeren de 11 thema’s als risicocategorieën en de subthema’s als risicotypes. Hoe elk (sub)thema van de leidraad en elke doelstelling inzake organisatiebeheersing gerealiseerd wordt, moet duidelijk zijn en overeengekomen binnen de organisatie (op het managementniveau: op N niveau, maar dit kan ook op N-1 niveau, bv. bij grote afdelingen). 14 Gedocumenteerd systeem van IC (3) De beheersmaatregelen bij elk thema moeten aantoonbaar zijn via beleidsdocumenten, verslagen, rapportages, boordtabellen, monitoring etc. Dit wordt ondersteund door procesbeschrijvingen, procedures, werkwijzen of instructies. 15 Bespreking 11 thema’s Belangrijkste thema’s zijn de eerste 3: Doelstellingen, proces- en risicomgt Belanghebbendenmgt Monitoring Voor de overige thema’s dient er steeds gekeken te worden naar de relevantie van het betrokken thema voor de organisatie 16 Doelstellingen, proces- en risicomgt Doelstellingenproces Missie, visie, strategische en operationele doelstellingen Procesmanagement Kern-, beheers- en ondersteunende processen Op hoog niveau (vs. detailniveau) Kwaliteitsbeleid Risicomanagement (! Procesmanagement en kwaliteitsbeleid zijn nieuwe subthema’s) 17 Thema 1 – praktisch (1) De doelstellingencascade wordt nagegaan; Heeft de organisatie een missie? Deze is in principe aanwezig want staat in het oprichtingsbesluit of oprichtingsdecreet Soms zijn er meerdere formuleringen van de missie in omgang > er dient dan duidelijkheid gecreërd te worden intern + extern wat de missie is 18 Thema 1 – praktisch (2) De doelstellingen van de organisatie zijn bepaald Op strategisch niveau > beheersovereenkomst of mgtovereenkomst Op operationeel niveau > ondernemingsplan / jaaractieplan Afstemming met beleid minister: beleidsnota en beleidsbrief Ook hier cascade, nl. doorvertaling tot op het niveau van de individuele jaardoelstellingen 19 Thema 1 – praktisch (3) Doelstellingen De doelstellingen zijn SMART opgesteld De doelstellingen zijn gekend / gecommuniceerd De doelstellingen worden opgevolgd en zo nodig bijgestuurd (PDCA) 20 Procesmanagement Sleutelprocessen zijn geïnventariseerd en gedocumenteerd (uitgetekend / uitgeschreven) Processen zijn conform strategie, doelstellingen en verwachtingen Per (sub)sleutelproces is er een proceseigenaar > verantwoordelijke, PDCA In overeenstemming met reglementering IC/OB: kritieke punten, functiescheiding, etc 21 Procesmanagement (2) Efficiëntie van de processen Verbetering van de processen (PDCA) Toewijzing van middelen aan processen (financieel, personeel, andere) > cf. ontwerp ondernemingsplan 22 Kwaliteitsbeleid Bewustzijn kwaliteit generieke principes BO VR dd. 1/9/2006 Cf. principes IKZ / TQM Kwaliteit op alle niveaus (cascade) Kwaliteitsbeleid is afgestemd op algemeen organisatiebeleid > continuïteit voorzien 23 Risicomanagement Bewustzijn Er is een systeem om de risico’s / bedreigingen te identificeren De risico’s worden geëvalueerd en beheerst > beheersmaatregelen om risico’s te vermijden of te verminderen 24 Belanghebbendenmgt Wie? Externe belanghebbenden (itt CAF zitten de interne belanghebbenden bij HRM) Participatie: identificatie en dialoog Weten wie de belanghebbenden zijn Informatie, verwachtingen en draagvlak creëren Transparantie en terugkoppeling Evaluatie en bijsturing 25 Belanghebbendenmgt - praktisch Men weet wie de belanghebbenden zijn Er zijn gesprekken / er is dialoog De verwachtingen zijn gekend De bekomen informatie wordt gebruikt of er is terugkoppeling over Advies- en beheersorganen ! potentiële belangenconflicten 26 Monitoring Verzamelen van informatie zodat de resultaten periodiek getoetst kunnen worden aan de doelstellingen Planning en implementatie van meet- en opvolgingssystemen Rapportering Evaluatie en bijsturing Toezicht op derden (! Toezicht op derden enkel indien van toepassing) 27 Monitoring - praktisch Visie en doelstellingen over meet- en opvolgingssysteem: men weet wat men wil weten, hoe en wanneer men gaat meten + voor wie men meet Doelstellingen van de entiteit (beheersovereenkomst) + doelstellingen van afdelingen/diensten/cellen worden opgevolgd en ev. bijgestuurd Indien meerdere systemen dan moeten ze op elkaar afgestemd zijn 28 Monitoring – praktisch (2) Resultaten worden verwerkt > rapporten Organisatie heeft informatie die ze nodig heeft om organisatie bij te sturen en om verantwoording af te leggen Informatie is betrouwbaar + is relevant Evaluatie van PMS > voldoet het nog aan onze behoeften Toezicht op derden (entiteit is zelf belanghebbende) > waken op correcte uitvoering opdracht door derden (financiering, subsidiëring) + PDCA 29 Organisatiestructuur (1) Wie doet wat (werkzaamheden)? 2. Vastleggen bevoegdheden en onderlinge betrekkingen 3. Communicatiekanalen ! Eigenheid (centraal/decentraal, omvang) 1. Organisatiestructuur Planning en opzet v/d organisatiestructuur Duidelijkheid en flexibiliteit 30 Organisatiestructuur (2) Projectmanagement Projectstandaarden Fasen: 1. 2. 3. 4. 5. Voorbereidingsfase Planningsfase Implementatiefase Controlefase Afsluitingsfase 31 Human Resources Management (HRM) HRM-principes: Managementcode HRM-cyclus HRM-beleid HRM-instrumenten Evaluatie en bijsturing v/h HRM-beleid en de -instrumenten 32 Organisatiecultuur Organisatiecultuur Integriteitsbeleid > Verfijning: Handreiking integriteitsbeleid Cultuurbeleid Cultuurversterkende instrumenten Evaluatie en bijsturing van het cultuurbeleid 33 Informatie en communicatie Interne vs. externe informatie en communicatie Kwaliteitsvolle informatie (cf. dia 13) Informatie- en communicatieplan Communicatiestructuur Kwaliteit van informatie Opvolging en bijsturing 34 Financieel Mgt Afstemming lange termijn financieel beheer op organisatiedoelstellingen Korte termijn financieel beheer van de organisatie Financiële rapportering Financiële organisatie Betrouwbaarheid v/d fin gegevens Evaluatie en bijsturing > Verfijning: Financiële fiches 35 FacilityMgt Facilitybeleid Facility-organisatie Beheren van middelen Continuïteitsplanning Evaluatie en bijsturing (! Relevantie: raamcontracten +dienstverlening Agentschap voor Facilitair Management) 36 Informatie- en communicatietechnologie ICT-charter en ICT-veiligheidsbeleid v/d VO ICT-beleid ICT-architectuur en –infrastructuur ICT-organisatie Beheren van middelen Beveiliging Continuïteitsplanning Evaluatie en bijsturing (! Relevantie > Outsourcing) 37 Veranderingsmgt Planfase Implementatiefase Cf. projectmanagement ! Relevantie (zal meestal niet van toepassing zijn) Fundamentele wijziging > veranderingsmgt Geen fundamentele wijziging > projectmgt 38 Zelfevaluatie-oefening 39 Zelfevaluatie (ZE) Samenstelling van het zelfevaluatieteam Communicatie naar alle medewerkers Het is belangrijk dat het management van de organisatie kenbaar maakt dat zij achter deze oefening staat. Bepalen van de scope van de ZE Uitvoeren van de ZE-oefening (nulmeting) Validatie resultaten door het management 40 Zelfevaluatieteam (1) De verantwoordelijke voor de ZE / het management stelt een evaluatieteam samen. Het is belangrijk dat het evaluatieteam representatief is samengesteld zodat het een brede ruime kijk heeft op de werking van de organisatie en de risico's en opportuniteiten op een bredere basis kan inschatten. De leden moeten een duidelijk mandaat hebben. 41 Zelfevaluatieteam (2) Het is aan te bevelen dat reeds tijdens de startvergadering van het zelfevaluatieteam een timing wordt afgesproken. Die timing legt vast wanneer het team zal samenkomen en met welke frequentie gerapporteerd wordt (+ aan wie). Enerzijds is het belangrijk dat de ZE op korte termijn wordt afgerond. De ZE is immers maar een momentopname op basis waarvan verbeteracties zullen worden geformuleerd om de IC / OB verder uit te bouwen. Anderzijds moet wel voldoende tijd in deze ZE worden geïnvesteerd. Een degelijke en onderbouwde nulmeting werpt in alle latere stappen haar vruchten af. 42 Maturiteitsinschatting Gradaties 0 1 Omschrijving Onbestaand Binnen de organisatie bestaan geen of zeer weinig beheersmaatregelen. Het controlebewustzijn is eerder laag en er worden weinig acties ondernomen om te komen tot een adequaat systeem van organisatiebeheersing (interne controlesysteem). Ad-hoc basis Op ad-hoc basis zijn binnen de organisatie beheersmaatregelen uitgewerkt. Het bewustzijn van de nood aan adequate beheersmaatregelen (interne controlemaatregelen) groeit, maar er is nog geen gestructureerde of gestandaardiseerde aanpak aanwezig. Het systeem van organisatiebeheersing (interne controlesysteem) draait meer rond personen dan rond systemen. 2 Gestructureerde aanzet Een gestructureerde aanzet wordt gegeven tot de ontwikkeling van beheersmaatregelen. De beheersinstrumenten zijn bijgevolg in ontwikkeling, maar worden nog niet toegepast ('Plan'). 3 Gedefinieerd (= niveau 2 +...) Beheersmaatregelen zijn aanwezig. Zij zijn gestandaardiseerd, gedocumenteerd, gecommuniceerd en worden toegepast ('Do'). 4 Beheerst systeem (= niveau 3 + ...) De beheersmaatregelen worden intern periodiek geëvalueerd en bijgestuurd ('Check' & 'Act'). Er kan gesproken worden over een 'levend' adequaat en doeltreffend systeem van organisatiebeheersing. 5 Geoptimaliseerd (= niveau 4 + ...) De beheersmaatregelen worden voortdurend geoptimaliseerd via benchmarking en het behalen van kwaliteitscertificaten of externe evaluaties ('PDCA'). 43 Hoe ZE uitvoeren? Invullen van de sterke punten en aandachtspunten rekening houdend met de controledoelstellingen zelf gaan nadenken over de bestaande en ontbrekende beheersmaatregelen en de bestaande instrumenten kritisch bekijken; de effectiviteit / adequaatheid van de bestaande beheersmaatregelen evalueren; bij het invullen van de fiche per thema steeds volgende vragen in het achterhoofd houden: sterke punten (= inventarisatie van beheersmaatregelen): welke beheersmaatregelen hebben we en wat is hun finaliteit (cf. controledoelstellingen per thema)? aandachtspunten (= ontbrekende beheersmaatregelen + evaluatie van effectiviteit / adequaatheid van beheersmaatregelen): wat is de oorzaak en het gevolg van ontbrekende beheersmaatregelen of slecht functionerende maatregelen? 44 Hoe scoren? Om tot een valide maturiteitsinschatting te komen, moet rekening gehouden worden met volgende aspecten: Elk thema van de leidraad wordt als geheel beoordeeld op basis van de feitelijke stand van zaken van de managementcontrolecyclus (PDCA) binnen de organisatie het is de bedoeling om een globaal beeld te schetsen van de reële toestand per thema aan de hand van een cijfer. 45 Hoe scoren? (2) Elke inschatting van de maturiteit gaat gepaard met een portie ‘gezond verstand’, een oprechte (zelf)kritische houding en een flinke dosis ‘professioneel beoordelingsvermogen’. De logica achter het hele verhaal is belangrijk (rode draad). Het mag niet louter een opsomming zijn van alles wat de organisatie gedaan heeft en bezig is te doen. 46 Hoe scoren? (3) Er moet afstemming zijn tussen de thema’s, de beschrijvingen tussen de thema’s passen als een puzzel in elkaar, bv: de bevindingen in de ondersteunende thema’s (organisatiestructuur, HRM, organisatiecultuur, informatie en communicatie, financieel & facility management, ICT) dragen bij tot de realisatie van het eerste thema, doelstellingen, proces- en risicomgt. De monitoringinstrumenten uit het thema staan ten dienste van de opvolging van de realisatie van de organisatiedoelstellingen. De geformuleerde doelstellingen houden rekening met de verschillende belanghebbenden. … 47 Hoe scoren? (4) Wanneer meerdere mensen deel uitmaken van het ZE-team, is het van belang om tot een consensus te komen bij het maken van de maturiteitsinschatting. Het is de bedoeling dat iedere beoordelaar zich in het eindresultaat kan vinden. De deelnemers moeten in staat zijn goed naar elkaar te luisteren en elkaars standpunt te begrijpen. Via de bekomen informatie komt een gemeenschappelijke maturiteitsinschatting tot stand. Het komen tot een maturiteitsinschatting is dus het resultaat van een proces binnen het ZE-team. 48 Hoe scoren? (5) De definities van het maturiteitsmodel zijn richtinggevend, het mag niet de uitkomst zijn van louter de berekening van een of ander wiskundig gemiddelde. De rol van de procesbegeleider is in deze fase van de oefening heel belangrijk. 49 Maturiteitsscore 3 Gedefinieerd / gedocumenteerd systeem Beheersmaatregelen zijn aanwezig. Zij zijn gestandaardiseerd, gedocumenteerd, gecommuniceerd en worden toegepast Beheersmaatregelen zijn aanwezig en zijn beoordeeld op hun effectiviteit en adequaatheid Moet dan eerst weten welke risico’s ze afdekken. (Indien risico’s niet tijdens de ZE-oefening in kaart gebracht worden dan denken in oorzaak – gevolg) 50 Maturiteitsscore 3 behalen – waarop? Zelfevaluatie van de organisatiebeheersing en kernprocessen Met als bedoeling het verhogen van het maturiteitsniveau inzake kwaliteit van de dienstverlening en globale proces- en organisatiebeheersing > PDCA-cylus 51 Score en dan? De absolute score die men bekomt is op zich niet belangrijk, wel de evolutie / het verschil met de inschatting van een voorgaande (zelf)evaluatie. Door de ZE en maturiteitsinschatting periodiek te herhalen, worden trends binnen de organisatie zichtbaar. De oefening wordt dus interessanter met de jaren. 52 Tips bij gebruik Raadpleeg (externe) belanghebbenden Voorkomen “entiteits”blindheid Bekomt zo een andere invalshoek Verhoogt van de objectiviteit Gebruik alle mogelijke informatiebronnen Specifieke aandacht voor vroegere analyses Vroegere auditrapporten Kwaliteitsinstrumenten Andere analyses ! Gezond verstand, niet klakkeloos overnemen 53 Tips bij gebruik Communicatie Communiceer duidelijk de doelstellingen van de zelfevaluatie Breng een positief verhaal Niet interne controle “omdat het moet” Maar onderdeel van de werking en randvoorwaarde bij bereiken doelstellingen Leidraad is geen checklist Doelstellingen organisatiebeheersing geven aan wat moet bereikt worden naar beheersing toe, beheersmaatregelen zijn mogelijke invulling Beheersmaatregelen vergen maatwerk > aangepastheid aan de organisatie (afh. van soort organisatie) 54 Tips bij gebruik Behoud het overzicht Thematische aanpak kan, thema per thema Maar de relaties tussen thema’s hierbij niet uit het oog verliezen Is een coherent geheel Maturiteitsinschatting Op basis van feiten (kunnen aantonen dat het zo is, bewijzen) Oprecht (jezelf niets voorhouden / je niet voorliegen) Indien mogelijk bediscussieerde inschatting Is geen persoonlijke beoordeling van verantwoordelijken 55 Tips bij gebruik Veranker de PDCA-cyclus Niveau 3 geen eindpunt, is het minimum dat gehaald moet worden Regelmatig stand van zaken, aangepastheid en doelstreffendheid van instrumenten evalueren Eventueel inpassen in bestaande evaluaties (opvolging doelstellingen, uitbreiding bestaande rapporteringen, kwaliteitsinstrumenten,…) Neem procesbeheersing waar mogelijk (al) mee > Risicoraamwerk 56 Tips bij gebruik Stellen van prioriteiten Eerst beschikken over duidelijk doelstellingenkader, SMART, op de verschillende niveaus, coherent, met duidelijkheid van ieders bijdrage Uitbouw van het meetinstrumentarium Duidelijke bepaling belanghebbenden Andere prioriteiten bepalen door: Invalshoek doelstellingen: wanneer komen geïdentificeerde aandachtspunten aan bod ikv uitvoering (interne) doelstellingen Invalshoek risico’s: Zwaarte van het risico Onmiddellijke bedreiging ! Invalshoeken vallen in principe samen 57 Tips bij gebruik Voordelen zelfinschatting Beoordeling adequaatheid optimaal door verzameling interne kennis bedrijfsprocessen Mogelijkheid om effectiviteit van de beheersmaatregelen te toetsen: in principe strengere evaluatie Geen vertaalslag nodig van aanbeveling naar actieplan, acties op maat kunnen direct gedefinieerd worden Grotere gedragenheid Communicatie- en leeropportuniteit over interne controle – organisatiebeheersing, verduidelijken link IC/OB en (dagelijkse) werking Gevaar in kader van generieke doelstelling Waken over objectiviteit, maturiteitsinschatting ‘gebruiken’ om generieke doelstelling te halen Val niet te snel terug op externe ondersteuning, voordelen worden dan grotendeels teniet gedaan 58 Bijkomende informatie Leidraad en evaluatierooster (in word) zijn terug te vinden op de website Verfijningen zijn eveneens op de site te vinden www.vlaanderen.be/internecontrole [email protected] 59