Leidraad IC OB - Vlaanderen.be

advertisement
Netwerk Organisatiebeheer
15 mei 2008
Leidraad IC /OB
Filosofie
Praktische tips
Agenda

Interne controle / organisatiebeheersing

Leidraad IC / OB

Zelfevaluatie

Maturiteitsinschatting

Tips

Vragen?
2
IC / OB – Wat?
Het kan het best omschreven worden als het proces dat door
het management én het personeel ondernomen wordt om
redelijke zekerheid te bekomen dat de doelstellingen van de
organisatie gerealiseerd worden.
Meer specifiek wordt het systeem IC/OB ontworpen om redelijke
zekerheid te verschaffen in de volgende domeinen:
 het bereiken van de haar opgelegde doelstellingen en de
uitvoering en opvolging van beslissingen;
 de naleving van wetten, decreten, besluiten, reglementeringen en
procedures;
 de nauwkeurigheid, juistheid, volledigheid, tijdigheid en
bruikbaarheid van de financiële en beheersinformatie;
 de efficiëntie van haar operaties en het efficiënt inzetten van haar
middelen;
 de bescherming van haar activa en de voorkoming van fraude.
3
IC / OC – samenvatting:
Een goede organisatiebeheersing of interne
controle komt erop neer dat:
 men weet waar men naar toe wil
(strategie en doelstellingen);
 men weet of beseft wat de hinderpalen
hierbij zijn (risico’s voor het bereiken van
de strategie en doelstellingen);
 men acties onderneemt om deze
hinderpalen te beheersen (controle- of
beheersmaatregelen)
4
Wie & Hoe?

Wie?



Verantwoordelijkheid van management
Maar zaak van iedereen
Hoe?



Niet iets nieuws dat er bovenop komt
Zit reeds (voor een stuk) ingebakken in
dagelijkse werkzaamheden
Duiden en naar boven brengen
5
Leidraad IC / OB
6
Leidraad IC / OB

“Product” van de werkgroep IC/OB
Opdracht van de Vlaamse regering
! Inclusief de “controle-organen”

Interne controle en organisatiebeheersing
worden als synoniem gebruikt

Structuur > 11 thema’s
Thema’s staan niet los van mekaar
7
11 thema’s en hun samenhang
PLAN
Belanghebbendenmanagement
Doelstellingen, proces- en risicomanagement
ORG
A
C
T
HRM
DO
ICT
CUL
FIM
FAM
ICO
CHECK
Veranderingsmanagement
I
N
T
E
G
R
I
T
E
I
T
Monitoringsystemen
EFFICIENTIE
8
Raamwerken
Leidraad is opgebouwd rekening houdend
met algemeen erkende raamwerken
(COSO, ERM, INTOSAI) en de principes
van deugdelijk overheidsbestuur.
 Kwaliteitsverbetering

Zit in de leidraad verweven
 Kwaliteitsmodellen hebben andere finaliteit dan
leidraad maar er zijn toch veel gelijkenissen
> vertaalmatrices met het CAF-model

9
Doel en filosofie


Per thema staan er controledoelstellingen
geformuleerd. Dit zijn de elementen die aanwezig
moeten zijn om de activiteiten of processen te
beheersen.
Bij elke controledoelstelling staan er
beheersmaatregelen geformuleerd. Deze
beheersmaatregelen vormen geen checklist,
moeten er niet steeds allemaal zijn. Anderzijds is
het ook zo dat de opgesomde maatregelen voor
sommige entiteiten onvoldoende zullen zijn. Er
moet steeds gekeken worden naar de eigenheid
van de organisatie.
10
Doel en filosofie (2)

PDCA-cyclus (managementcontrolcyclus)
Belangrijk is PDCA (komt in elk thema terug)
Plan: focus op doelstellingen (wat bereiken) en
het tot stand komen van deze doelstellingen
Do: uitbouw van de organisatie om de
doelstellingen te bereiken
Check: erover waken dat de activiteiten zo zijn
‘ontwikkeld’ om de doelstellingen te bereiken
Act: bijsturen / aanpassen indien nodig
11
Doel en filosofie (3)

Documenteren


Documenteren is geen doel op zich
Is bedoeld als intern instrument, als
hulpmiddel
Bv. back-up, introduceren nieuwe mensen

Maturiteitsinschatting
Opsomming van sterke punten en aandachtspunten
De score op zich is minder belangrijk dan het
denk- en discussieproces dat tot de score heeft
geleid
12
Gedocumenteerd systeem van IC
In één zin uitgedrukt betekent dit: de cyclus van
risicomanagement uitvoeren en voldoende
documenteren.
Met andere woorden, binnen de organisatie:
 de risico’s, die gekoppeld zijn aan de
organisatiedoelstellingen, in kaart brengen
(PLAN);
 de bestaande beheersmaatregelen in kaart
brengen (DO) en evalueren (CHECK);
 een actieplan opstellen met de bijkomende
beheersmaatregelen en dit actieplan uitvoeren
(ACT).
13
Gedocumenteerd systeem van IC (2)
Het documenteren van het systeem van IC/ OB op
strategische niveau wil zeggen dat de organisatierisico's
zijn gedefinieerd en hun beheersing wordt aangepakt in
de werking van de organisatie.
 De leidraad IC /OB is het instrument om te hanteren
als risicoraamwerk. Hierbij fungeren de 11 thema’s als
risicocategorieën en de subthema’s als risicotypes.
 Hoe elk (sub)thema van de leidraad en elke
doelstelling inzake organisatiebeheersing gerealiseerd
wordt, moet duidelijk zijn en overeengekomen binnen
de organisatie (op het managementniveau: op N
niveau, maar dit kan ook op N-1 niveau, bv. bij grote
afdelingen).
14
Gedocumenteerd systeem van IC (3)


De beheersmaatregelen bij elk thema moeten
aantoonbaar zijn via beleidsdocumenten, verslagen,
rapportages, boordtabellen, monitoring etc.
Dit wordt ondersteund door procesbeschrijvingen,
procedures, werkwijzen of instructies.
15
Bespreking 11 thema’s
Belangrijkste thema’s zijn de eerste 3:
 Doelstellingen, proces- en risicomgt
 Belanghebbendenmgt
 Monitoring
Voor de overige thema’s dient er steeds
gekeken te worden naar de relevantie van
het betrokken thema voor de organisatie
16
Doelstellingen, proces- en risicomgt

Doelstellingenproces
Missie, visie, strategische en operationele
doelstellingen

Procesmanagement
Kern-, beheers- en ondersteunende processen
Op hoog niveau (vs. detailniveau)
Kwaliteitsbeleid
 Risicomanagement
(! Procesmanagement en kwaliteitsbeleid
zijn nieuwe subthema’s)

17
Thema 1 – praktisch (1)
De doelstellingencascade wordt nagegaan;
Heeft de organisatie een missie?
Deze is in principe aanwezig want staat in het
oprichtingsbesluit of oprichtingsdecreet
Soms zijn er meerdere formuleringen van de
missie in omgang > er dient dan duidelijkheid
gecreërd te worden intern + extern wat de
missie is
18
Thema 1 – praktisch (2)
De doelstellingen van de organisatie zijn
bepaald
Op strategisch niveau > beheersovereenkomst
of mgtovereenkomst
Op operationeel niveau > ondernemingsplan /
jaaractieplan
Afstemming met beleid minister: beleidsnota en
beleidsbrief
Ook hier cascade, nl. doorvertaling tot op het
niveau van de individuele jaardoelstellingen
19
Thema 1 – praktisch (3)
Doelstellingen



De doelstellingen zijn SMART opgesteld
De doelstellingen zijn gekend /
gecommuniceerd
De doelstellingen worden opgevolgd en zo
nodig bijgestuurd (PDCA)
20
Procesmanagement
Sleutelprocessen zijn geïnventariseerd en
gedocumenteerd (uitgetekend /
uitgeschreven)
 Processen zijn conform strategie,
doelstellingen en verwachtingen
 Per (sub)sleutelproces is er een
proceseigenaar > verantwoordelijke, PDCA
 In overeenstemming met reglementering
 IC/OB: kritieke punten, functiescheiding,
etc

21
Procesmanagement (2)
Efficiëntie van de processen
 Verbetering van de processen (PDCA)
 Toewijzing van middelen aan processen
(financieel, personeel, andere)
> cf. ontwerp ondernemingsplan

22
Kwaliteitsbeleid
Bewustzijn kwaliteit
generieke principes BO VR dd. 1/9/2006
Cf. principes IKZ / TQM
 Kwaliteit op alle niveaus (cascade)
 Kwaliteitsbeleid is afgestemd op algemeen
organisatiebeleid > continuïteit voorzien

23
Risicomanagement
Bewustzijn
 Er is een systeem om de risico’s /
bedreigingen te identificeren
 De risico’s worden geëvalueerd en
beheerst > beheersmaatregelen om
risico’s te vermijden of te verminderen

24
Belanghebbendenmgt
Wie? Externe belanghebbenden (itt CAF
zitten de interne belanghebbenden bij HRM)

Participatie: identificatie en dialoog
Weten wie de belanghebbenden zijn
Informatie, verwachtingen en draagvlak creëren
Transparantie en terugkoppeling
 Evaluatie en bijsturing

25
Belanghebbendenmgt - praktisch
Men weet wie de belanghebbenden zijn
 Er zijn gesprekken / er is dialoog
 De verwachtingen zijn gekend
 De bekomen informatie wordt gebruikt of
er is terugkoppeling over
 Advies- en beheersorganen ! potentiële
belangenconflicten

26
Monitoring
Verzamelen van informatie zodat de
resultaten periodiek getoetst kunnen
worden aan de doelstellingen
 Planning en implementatie van meet- en
opvolgingssystemen
 Rapportering
 Evaluatie en bijsturing
 Toezicht op derden
(! Toezicht op derden enkel indien van toepassing)
27
Monitoring - praktisch
Visie en doelstellingen over meet- en
opvolgingssysteem: men weet wat men
wil weten, hoe en wanneer men gaat
meten + voor wie men meet
 Doelstellingen van de entiteit
(beheersovereenkomst) + doelstellingen
van afdelingen/diensten/cellen worden
opgevolgd en ev. bijgestuurd

Indien meerdere systemen dan moeten ze op
elkaar afgestemd zijn
28
Monitoring – praktisch (2)
Resultaten worden verwerkt > rapporten
 Organisatie heeft informatie die ze nodig
heeft om organisatie bij te sturen en om
verantwoording af te leggen
 Informatie is betrouwbaar + is relevant
 Evaluatie van PMS > voldoet het nog aan
onze behoeften

Toezicht op derden (entiteit is zelf belanghebbende)
> waken op correcte uitvoering opdracht door
derden (financiering, subsidiëring) + PDCA
29
Organisatiestructuur (1)
Wie doet wat (werkzaamheden)?
2. Vastleggen bevoegdheden en onderlinge
betrekkingen
3. Communicatiekanalen
! Eigenheid (centraal/decentraal, omvang)
1.

Organisatiestructuur


Planning en opzet v/d organisatiestructuur
Duidelijkheid en flexibiliteit
30
Organisatiestructuur (2)

Projectmanagement


Projectstandaarden
Fasen:
1.
2.
3.
4.
5.
Voorbereidingsfase
Planningsfase
Implementatiefase
Controlefase
Afsluitingsfase
31
Human Resources Management (HRM)
HRM-principes: Managementcode
HRM-cyclus
HRM-beleid
 HRM-instrumenten
 Evaluatie en bijsturing v/h HRM-beleid en
de -instrumenten

32
Organisatiecultuur
Organisatiecultuur
 Integriteitsbeleid

> Verfijning: Handreiking integriteitsbeleid
Cultuurbeleid
 Cultuurversterkende instrumenten
 Evaluatie en bijsturing van het
cultuurbeleid

33
Informatie en communicatie
Interne vs. externe informatie en
communicatie
Kwaliteitsvolle informatie (cf. dia 13)
Informatie- en communicatieplan
 Communicatiestructuur
 Kwaliteit van informatie
 Opvolging en bijsturing

34
Financieel Mgt
Afstemming lange termijn financieel
beheer op organisatiedoelstellingen
 Korte termijn financieel beheer van de
organisatie
 Financiële rapportering
 Financiële organisatie
 Betrouwbaarheid v/d fin gegevens
 Evaluatie en bijsturing
> Verfijning: Financiële fiches

35
FacilityMgt
Facilitybeleid
 Facility-organisatie
 Beheren van middelen
 Continuïteitsplanning
 Evaluatie en bijsturing

(! Relevantie: raamcontracten +dienstverlening
Agentschap voor Facilitair Management)
36
Informatie- en communicatietechnologie
ICT-charter en ICT-veiligheidsbeleid v/d VO
ICT-beleid
 ICT-architectuur en –infrastructuur
 ICT-organisatie
 Beheren van middelen
 Beveiliging
 Continuïteitsplanning
 Evaluatie en bijsturing

(! Relevantie > Outsourcing)
37
Veranderingsmgt
Planfase
 Implementatiefase

Cf. projectmanagement
! Relevantie (zal meestal niet van toepassing
zijn)
Fundamentele wijziging > veranderingsmgt
Geen fundamentele wijziging > projectmgt
38
Zelfevaluatie-oefening
39
Zelfevaluatie (ZE)
Samenstelling van het zelfevaluatieteam
 Communicatie naar alle medewerkers
Het is belangrijk dat het management van
de organisatie kenbaar maakt dat zij
achter deze oefening staat.
 Bepalen van de scope van de ZE
 Uitvoeren van de ZE-oefening (nulmeting)
 Validatie resultaten door het management

40
Zelfevaluatieteam (1)
De verantwoordelijke voor de ZE / het
management stelt een evaluatieteam
samen.
 Het is belangrijk dat het evaluatieteam
representatief is samengesteld zodat het
een brede ruime kijk heeft op de werking
van de organisatie en de risico's en
opportuniteiten op een bredere basis kan
inschatten.
 De leden moeten een duidelijk mandaat
hebben.

41
Zelfevaluatieteam (2)

Het is aan te bevelen dat reeds tijdens de
startvergadering van het zelfevaluatieteam een
timing wordt afgesproken. Die timing legt vast
wanneer het team zal samenkomen en met welke
frequentie gerapporteerd wordt (+ aan wie).
Enerzijds is het belangrijk dat de ZE op korte
termijn wordt afgerond. De ZE is immers maar
een momentopname op basis waarvan
verbeteracties zullen worden geformuleerd om de
IC / OB verder uit te bouwen. Anderzijds moet
wel voldoende tijd in deze ZE worden
geïnvesteerd. Een degelijke en onderbouwde
nulmeting werpt in alle latere stappen haar
vruchten af.
42
Maturiteitsinschatting
Gradaties
0
1
Omschrijving
Onbestaand
Binnen de organisatie bestaan geen of zeer weinig beheersmaatregelen. Het controlebewustzijn is eerder laag
en er worden weinig acties ondernomen om te komen tot een adequaat systeem van organisatiebeheersing
(interne controlesysteem).
Ad-hoc basis
Op ad-hoc basis zijn binnen de organisatie beheersmaatregelen uitgewerkt. Het bewustzijn van de nood aan
adequate beheersmaatregelen (interne controlemaatregelen) groeit, maar er is nog geen gestructureerde of
gestandaardiseerde aanpak aanwezig. Het systeem van organisatiebeheersing (interne controlesysteem) draait
meer rond personen dan rond systemen.
2
Gestructureerde aanzet
Een gestructureerde aanzet wordt gegeven tot de ontwikkeling van beheersmaatregelen. De
beheersinstrumenten zijn bijgevolg in ontwikkeling, maar worden nog niet toegepast ('Plan').
3
Gedefinieerd (= niveau 2 +...)
Beheersmaatregelen zijn aanwezig. Zij zijn gestandaardiseerd, gedocumenteerd, gecommuniceerd en worden
toegepast ('Do').
4
Beheerst systeem (= niveau 3 + ...)
De beheersmaatregelen worden intern periodiek geëvalueerd en bijgestuurd ('Check' & 'Act'). Er kan gesproken
worden over een 'levend' adequaat en doeltreffend systeem van organisatiebeheersing.
5
Geoptimaliseerd (= niveau 4 + ...)
De beheersmaatregelen worden voortdurend geoptimaliseerd via benchmarking en het behalen van
kwaliteitscertificaten of externe evaluaties ('PDCA').
43
Hoe ZE uitvoeren?
Invullen van de sterke punten en aandachtspunten
rekening houdend met de controledoelstellingen



zelf gaan nadenken over de bestaande en ontbrekende
beheersmaatregelen en de bestaande instrumenten kritisch
bekijken;
de effectiviteit / adequaatheid van de bestaande
beheersmaatregelen evalueren;
bij het invullen van de fiche per thema steeds volgende vragen in
het achterhoofd houden:
 sterke punten (= inventarisatie van beheersmaatregelen):
welke beheersmaatregelen hebben we en wat is hun finaliteit
(cf. controledoelstellingen per thema)?
 aandachtspunten (= ontbrekende beheersmaatregelen +
evaluatie van effectiviteit / adequaatheid van
beheersmaatregelen): wat is de oorzaak en het gevolg van
ontbrekende beheersmaatregelen of slecht functionerende
maatregelen?
44
Hoe scoren?
Om tot een valide maturiteitsinschatting te
komen, moet rekening gehouden worden
met volgende aspecten:

Elk thema van de leidraad wordt als geheel
beoordeeld op basis van de feitelijke stand
van zaken van de managementcontrolecyclus
(PDCA) binnen de organisatie
het is de bedoeling om een globaal beeld te
schetsen van de reële toestand per thema aan
de hand van een cijfer.
45
Hoe scoren? (2)
Elke inschatting van de maturiteit gaat
gepaard met een portie ‘gezond verstand’,
een oprechte (zelf)kritische houding en een
flinke dosis ‘professioneel beoordelingsvermogen’. De logica achter het hele
verhaal is belangrijk (rode draad).
Het mag niet louter een opsomming zijn van
alles wat de organisatie gedaan heeft en
bezig is te doen.
46
Hoe scoren? (3)
Er moet afstemming zijn tussen de thema’s, de beschrijvingen tussen de thema’s passen als een puzzel in
elkaar, bv:
 de bevindingen in de ondersteunende thema’s
(organisatiestructuur, HRM, organisatiecultuur,
informatie en communicatie, financieel & facility
management, ICT) dragen bij tot de realisatie van het
eerste thema, doelstellingen, proces- en risicomgt.
 De monitoringinstrumenten uit het thema staan ten
dienste van de opvolging van de realisatie van de
organisatiedoelstellingen.
 De geformuleerde doelstellingen houden rekening met
de verschillende belanghebbenden.
 …
47
Hoe scoren? (4)
Wanneer meerdere mensen deel uitmaken van het
ZE-team, is het van belang om tot een consensus
te komen bij het maken van de maturiteitsinschatting.
 Het is de bedoeling dat iedere beoordelaar zich in
het eindresultaat kan vinden. De deelnemers
moeten in staat zijn goed naar elkaar te luisteren
en elkaars standpunt te begrijpen.
 Via de bekomen informatie komt een
gemeenschappelijke maturiteitsinschatting
tot stand. Het komen tot een maturiteitsinschatting is dus het resultaat van een proces
binnen het ZE-team.
48
Hoe scoren? (5)

De definities van het maturiteitsmodel zijn
richtinggevend,
het mag niet de uitkomst zijn van louter
de berekening van een of ander wiskundig
gemiddelde.
De rol van de procesbegeleider is in deze
fase van de oefening heel belangrijk.
49
Maturiteitsscore 3
Gedefinieerd / gedocumenteerd systeem
Beheersmaatregelen zijn aanwezig.
Zij zijn gestandaardiseerd, gedocumenteerd, gecommuniceerd en
worden toegepast
Beheersmaatregelen zijn aanwezig en zijn
beoordeeld op hun effectiviteit en adequaatheid
Moet dan eerst weten welke risico’s ze afdekken.
(Indien risico’s niet tijdens de ZE-oefening in kaart
gebracht worden dan denken in oorzaak – gevolg)
50
Maturiteitsscore 3 behalen – waarop?
Zelfevaluatie van de organisatiebeheersing en kernprocessen
Met als bedoeling het verhogen van
het maturiteitsniveau inzake kwaliteit
van de dienstverlening en globale
proces- en organisatiebeheersing
> PDCA-cylus
51
Score en dan?
De absolute score die men bekomt is op zich
niet belangrijk, wel de evolutie / het verschil
met de inschatting van een voorgaande
(zelf)evaluatie.
Door de ZE en maturiteitsinschatting
periodiek te herhalen, worden trends binnen
de organisatie zichtbaar.
De oefening wordt dus interessanter met de
jaren.
52
Tips bij gebruik

Raadpleeg (externe) belanghebbenden
 Voorkomen “entiteits”blindheid
 Bekomt zo een andere invalshoek
 Verhoogt van de objectiviteit

Gebruik alle mogelijke informatiebronnen
 Specifieke aandacht voor vroegere analyses
 Vroegere auditrapporten
 Kwaliteitsinstrumenten
 Andere analyses
! Gezond verstand, niet klakkeloos overnemen
53
Tips bij gebruik

Communicatie
 Communiceer duidelijk de doelstellingen van de
zelfevaluatie
 Breng een positief verhaal
 Niet interne controle “omdat het moet”
 Maar onderdeel van de werking en randvoorwaarde
bij bereiken doelstellingen

Leidraad is geen checklist
 Doelstellingen organisatiebeheersing geven aan wat
moet bereikt worden naar beheersing toe,
beheersmaatregelen zijn mogelijke invulling
 Beheersmaatregelen vergen maatwerk > aangepastheid
aan de organisatie (afh. van soort organisatie)
54
Tips bij gebruik

Behoud het overzicht
 Thematische aanpak kan, thema per thema
 Maar de relaties tussen thema’s hierbij niet uit het oog
verliezen
 Is een coherent geheel

Maturiteitsinschatting
 Op basis van feiten (kunnen aantonen dat het zo is,
bewijzen)
 Oprecht (jezelf niets voorhouden / je niet voorliegen)
 Indien mogelijk bediscussieerde inschatting
 Is geen persoonlijke beoordeling van verantwoordelijken
55
Tips bij gebruik

Veranker de PDCA-cyclus
 Niveau 3 geen eindpunt, is het minimum dat gehaald
moet worden
 Regelmatig stand van zaken, aangepastheid en
doelstreffendheid van instrumenten evalueren
 Eventueel inpassen in bestaande evaluaties (opvolging
doelstellingen, uitbreiding bestaande rapporteringen,
kwaliteitsinstrumenten,…)

Neem procesbeheersing waar mogelijk (al) mee
> Risicoraamwerk
56
Tips bij gebruik
Stellen van prioriteiten




Eerst beschikken over duidelijk doelstellingenkader, SMART, op
de verschillende niveaus, coherent, met duidelijkheid van
ieders bijdrage
Uitbouw van het meetinstrumentarium
Duidelijke bepaling belanghebbenden
Andere prioriteiten bepalen door:
 Invalshoek doelstellingen: wanneer komen
geïdentificeerde aandachtspunten aan bod ikv uitvoering
(interne) doelstellingen
 Invalshoek risico’s:
 Zwaarte van het risico
 Onmiddellijke bedreiging
! Invalshoeken vallen in principe samen
57
Tips bij gebruik

Voordelen zelfinschatting






Beoordeling adequaatheid optimaal door verzameling interne kennis
bedrijfsprocessen
Mogelijkheid om effectiviteit van de beheersmaatregelen te toetsen: in
principe strengere evaluatie
Geen vertaalslag nodig van aanbeveling naar actieplan, acties op maat
kunnen direct gedefinieerd worden
Grotere gedragenheid
Communicatie- en leeropportuniteit over interne controle –
organisatiebeheersing, verduidelijken link IC/OB en (dagelijkse)
werking
Gevaar in kader van generieke doelstelling


Waken over objectiviteit, maturiteitsinschatting ‘gebruiken’ om
generieke doelstelling te halen
Val niet te snel terug op externe ondersteuning, voordelen worden dan
grotendeels teniet gedaan
58
Bijkomende informatie
Leidraad en evaluatierooster (in word) zijn
terug te vinden op de website
Verfijningen zijn eveneens op de site te
vinden
www.vlaanderen.be/internecontrole
 [email protected]

59
Download