Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management
  3. Humanresourcemanagement

van systeem van interne controle

advertisement 
Toelichting
Audit Vlaanderen
Sandra Denis, auditor
Eddy Guilliams, administrateur-generaal
AUDIT
VLAANDEREN
Agenda
I.
Audit Vlaanderen
II.
Interne controle/Organisatiebeheersing
Leidraad
Informatiebeheer in de leidraad
III.
Eerste conclusies organisatie-audits lokale besturen:
Informatiebeheer
IV.
Conclusies thema-audit Informatieveiligheid Vlaamse
administratie
2
AUDIT
VLAANDEREN
I. Audit Vlaanderen
3
AUDIT
VLAANDEREN
Audit Vlaanderen
Audit Vlaanderen is een agentschap van de Vlaamse
administratie dat onafhankelijk audits uitvoert bij de lokale
besturen en de Vlaamse administratie.
• 1 januari 2014
• voordien: Interne Audit van de Vlaamse administratie
4
AUDIT
VLAANDEREN
Missie
Audit Vlaanderen heeft als missie
een onafhankelijke, objectieve en bekwame partner van de
lokale besturen en de Vlaamse administratie te zijn
• bij de beheersing van de financiële, wettelijke en
organisatorische risico’s,
• om een toegevoegde waarde te creëren bij de verdere
uitbouw van een efficiënte, effectieve, integere en
kwaliteitsvolle organisatie.
•
5
AUDIT
VLAANDEREN
Missie: onafhankelijke partner
•
Aansturing door 2 auditcomités
•
Administrateur-generaal (leidend ambtenaar van het
agentschap) wordt geëvalueerd door de 2 voorzitters van
de auditcomités
6
AUDIT
VLAANDEREN
Hoe missie realiseren?
•
Audits uitvoeren
•
Sensibiliseren, adviseren en ondersteunen bij uitbouw
systeem organisatiebeheersing samen met partners
•
Samenwerken met interne audits en single auditconcept
(verder) ontwikkelen en implementeren
7
AUDIT
VLAANDEREN
Werkterrein
•
de lokale besturen
de gemeenten;
de autonome gemeentebedrijven;
de openbare centra voor maatschappelijk welzijn;
de OCMW-verenigingen titel VIII, hoofdstuk I, van het OCMWdecreet, met uitzondering van de ziekenhuisverenigingen;
• de provincies;
• de autonome provinciebedrijven;
•
•
•
•
de Vlaamse administratie
(departementen, IVA’s en EVA’s rp)
• Ongeveer 900 entiteiten
•
8
AUDIT
VLAANDEREN
Wat is een audit?
•
•
•
•
•
Onafhankelijke
Objectieve
Systematische
Evaluatie (van systeem van interne controle)
Waarover gerapporteerd wordt
9
Evalueren van het systeem van
interne controle/
organisatiebeheersing
Bedoeling is NIET:
•
•
individuele medewerkers controleren
het gevoerde beleid te evalueren
Bedoeling is WEL:
Evalueren van systeem van interne controle
of werking van de organisatie op allerlei vlakken onderzoeken:
financiën, personeel, communicatie, ICT, organisatiestructuur, …
10
II. Interne controle – Leidraad
11
AUDIT
VLAANDEREN
Interne controle of
organisatiebeheersing
•
Interne controle  to control  beheersen
•
Organisatiebeheersing = beter woord voor interne controle
•
Interne controle of organisatiebeheersing op verschillende
niveaus
•
•
•
Proces
Dienst
Organisatie
12
AUDIT
VLAANDEREN
Interne controle: definitie
(art 33 Kaderdecreet bestuurlijk beleid - art. 99 Gemeentedecreet - art. 98
OCMW-decreet – art 95 provinciedecreet)
1° het bereiken van de doelstellingen;
2° het naleven van wetgeving en procedures;
3° de beschikbaarheid van betrouwbare financiële en
beheersinformatie;
• 4° het efficiënt en economisch gebruik van middelen;
• 5° de bescherming van activa;
• 6° het voorkomen van fraude.
•
•
•
13
AUDIT
VLAANDEREN
Interne controle:
verantwoordelijkheden
(art. 33 Kaderdecreet bestuurlijk beleid - art. 100 en 101 Gemeentedecreet –
art. 99 en 100 OCMW-decreet – art. 96 en 97 Provinciedecreet)
•
Vlaamse Overheid:
De departementen, de intern verzelfstandigde
agentschappen en de extern verzelfstandigde
agentschappen staan in voor de interne controle van hun
bedrijfsprocessen en activiteiten.
•
Lokale besturen:
•
•
•
verantwoordelijk voor organisatiebeheersing :
Secretaris/griffier in overleg met het managementteam.
goedkeuring kader: Raad
opvolgen jaarlijkse rapportering: (College en) Raad
14
AUDIT
VLAANDEREN
Opdracht Audit Vlaanderen
(art. 34 Kaderdecreet bestuurlijk beleid - art. 265 Gemeente/OCMWdecreet)
Audit Vlaanderen evalueert de interne controlesystemen, gaat
na of ze adequaat zijn en formuleert aanbevelingen tot
verbetering daarvan. Deze entiteit voert daartoe financiële
audits, overeenstemmingsaudits en operationele audits uit en
is gemachtigd alle bedrijfsprocessen en activiteiten te
onderzoeken.
Audit Vlaanderen is tevens bevoegd voor het uitvoeren van
forensische audits bij de voormelde administratieve
entiteiten/besturen.
15
AUDIT
VLAANDEREN
Kader interne controle
• Doel
• Risico
• Beheersmaatregel
16
Kader interne controle
• Doel
• Risico
• Beheersmaatregel
17
18
Leidraad Organisatiebeheersing
19
AUDIT
VLAANDEREN
Leidraad Organisatiebeheersing
CLUSTERS
BBC
• Doelstellingen
• Financieel management
• Belanghebbenden
• Monitoring
MENSEN
• Organisatiestructuur
• HRM
• Organisatiecultuur
MIDDELEN
• Informatie en communicatie
• Facilitaire middelen
• ICT
PDCA
• Plan
• Do
• Check
• Act
EIKE
• Effectiviteit
• Efficiëntie
• Integriteit
• Kwaliteit
20
Informatiebeheer in de leidraad
ICO
De organisatie beschikt over een efficiënt en betrouwbaar
informatiebeheer
ICT
• Vlaamse Overheid: Het informatieveiligheidsbeleid streeft
een optimale bescherming na van de vertrouwelijkheid,
integriteit en beschikbaarheid van informatie en
informatiesystemen.
• Lokale besturen: De organisatie gaat veilig om met het
beheer van informatie in het algemeen en ICT in het
bijzonder.
21
Archiefdecreet
Leidraad
… informatiehuishouding te
optimaliseren door o.m.
Mogelijke beheersmaatregelen: (o.m.)
De verantwoordelijkheden rond
archiefzorg en –beheer eenduidig toe
te wijzen.
VO + LB: Er is een verantwoordelijke
voor het informatiebeheer aangeduid.
Een duidelijk kader te scheppen voor
het kwaliteitsvolle beheer van
archiefdocumenten tijdens hun
volledige levensfase.
VO: Er zijn richtlijnen, systemen,
afspraken, … waardoor gegarandeerd
wordt dat de beschikbare informatie
relevant en betrouwbaar is (bv.
versiebeheer, archiveren van
informatie, …).
LB: De organisatie heeft een duidelijk
gestructureerd klassement voor het
bewaren van papieren informatie.
LB: De organisatie heeft bepaald
wanneer welke informatie vernietigd
wordt wie hiervoor verantwoordelijk
is.
22
III. Eerste conclusies organisatieaudits lokale besturen:
Informatiebeheer
23
AUDIT
VLAANDEREN
Eerste conclusies organisatieaudits: proces
•
Goede ontvangst
•
Aanvaarding van leidraad als kader
•
Klantentevredenheid
•
Betrokkenheid politieke niveau
24
AUDIT
VLAANDEREN
Eerste conclusies organisatieaudits: resultaten algemeen
•
Diversiteit, maar toch gelijklopende bevindingen
•
Dynamiek op vlak van organisatiebeheersing
•
Kloof tussen verwachtingen in regelgeving en praktijk
•
Werken rond doelstellingen
•
Evalueren medewerkers en decretale graden
•
Integratie tussen gemeentebesturen en OCMW’s verloopt veelal
onvoldoende planmatig
25
AUDIT
VLAANDEREN
Beheer van informatie
• Informatie wordt niet teruggevonden
• Informatie wordt dubbel opgeslagen
• De verkeerde versie van een document wordt aan klanten
bezorgd
--• De organisatie heeft een duidelijke structuur voor het
bewaren van informatie, zodat informatie snel terug te
vinden is
• Beslissingen van politieke organen zijn eenvoudig terug te
vinden
--• Richtlijnen indeling mappenstructuur
• …
26
Toegankelijkheid van informatie
voor medewerkers
• Medewerkers vinden documenten niet terug die ze nodig
hebben voor hun taken
• Bij afwezigheid van een medewerker kan een dossier niet
verder behandeld worden
• Medewerkers zijn op de hoogte van vertrouwelijke
informatie die ze niet nodig hebben voor hun functie en
misbruiken die
--• De digitale documenten hebben een uniforme naamgeving
• Vertrouwelijke documenten zijn enkel raadpleegbaar door
medewerkers die deze documenten nodig hebben
--• Aantal gemeenschappelijke mappen
• Toegang tot informatie per dienst bepaald
27
• …
Informatieveiligheid
• Informatie komt in verkeerde handen terecht
• Privacy wordt geschonden
--• Er is een veiligheidsconsulent die verantwoordelijk is voor
•
•
•
•
•
de veilige omgang met informatie
Er is een plan over informatieveiligheid
Er zijn richtlijnen over het veilig omgaan met informatie
De organisatie beschikt over een beleid rond paswoorden
Er is een degelijk uitgebouwd rechtenbeheer
Gevoelige informatie is adequaat beveiligd
--•
•
•
•
Afschermen van informatie
Paswoorden
Veiligheidsconsulent, informatieveiligheidsplan
28
…
Archivering van informatie
• Informatie wordt te snel vernietigd
• Bestuursdocumenten worden niet gearchiveerd
--• De organisatie archiveert informatie op het juiste moment
conform haar wettelijke verplichtingen
• De organisatie heeft bepaald wanneer welke informatie
vernietigd wordt
--• Opslag in een specifiek daartoe ingerichte archiefruimte
• Volgens een bepaalde methodologie
• Duidelijk afsprakenkader
• …
29
Toegankelijkheid van informatie
voor burgers en organisaties
• Burgers vragen informatie waar ze recht op hebben maar
krijgen die niet of met veel vertraging
• Burgers willen informatie over de reglementen die de
organisatie uitvaardigt maar die is niet beschikbaar
--• Burgers en organisaties krijgen snel een juist antwoord bij
een vraag tot inzage van informatie
• De organisatie maakt reglementen en verordeningen
bekend via de website
--• Actuele versies op website
• …
30
Informatiestromen
• Mails, briefwisseling, … raken verloren
• Post wordt pas na verschillende weken beantwoord
• Briefwisseling en mails met vragen over de dienstverlening
komen pas na lange tijd op de juiste plek terecht
--• De inkomende en uitgaande post wordt op een efficiënte
en door de organisatie vastgelegde wijze beheerd
• Belangrijke mails worden op een efficiënte en door de
organisatie vastgelegde wijze beheerd
--• Postregistratiesysteem
• Uitwisseling van informatie tussen diensten, rol van het
MAT
• …
31
32
Monitoring
• Onbelangrijke, veel te gedetailleerde of niet relevante
informatie wordt verzameld
• De verzamelde informatie is niet correct, niet tijdig, …
• Medewerkers weten niet precies wat ze moeten registreren
omdat dit onvoldoende gedefinieerd is
--• Er zijn duidelijke afspraken, definities, … zodat gegevens
correct geregistreerd worden
• Gegevens worden op vaste momenten verzameld en
gebundeld in rapporten
--• Informatie is meer aanbod- dan vraaggestuurd
• Informatie wordt eerder fragmentair verzameld
• …
33
IV. Conclusies thema-audit
Informatiebeveiliging Vlaamse
administratie
34
AUDIT
VLAANDEREN
Auditdoelstellingen en -aanpak
• Auditdoelstelling:
“In welke mate beschikt de Vlaamse overheid over beheersmaatregelen
om het gewenste niveau van integriteit, vertrouwelijkheid en
beschikbaarheid van informatie te garanderen?”
• Auditaanpak:
–
6 organisaties doorgelicht
–
Concrete veiligheidstesten (ethische hacking) uitgevoerd ook op
generieke systemen
• Globaal rapport:
http://www.auditvlaanderen.be/thema-auditinformatiebeveiliging
35
Vaststellingen op entiteitsniveau
Bij het merendeel van de entiteiten is er een reëel risico op (on)opzettelijke
bedreigingen voor het gewenste niveau van integriteit, vertrouwelijkheid en
beschikbaarheid van gegevens.
36
Conclusie
“Vlaamse overheid heeft initiatieven genomen maar blijft
kwetsbaar voor huidige en toekomstige bedreigingen op het
vlak van informatiebeveiliging”
•
Omwille van organisatorische en technische kwetsbaarheden op
zowel overkoepelend niveau als entiteitsniveau:
–
–
–
–
•
Geen actueel, overkoepelend beleid en strategie voor
informatiebeveiliging
Geen eenduidig organisatorisch kader
Tekort aan bewustzijn & kennis inzake informatiebeveiliging
Technische gebreken of zwakke plekken
Deze kwetsbaarheden leiden afzonderlijk, maar vooral in
combinatie met elkaar, tot risico’s voor de integriteit,
vertrouwelijkheid en beschikbaarheid van informatie over
burgers, personeelsleden en ondernemingen.
37
Aanbevelingen
• Op het niveau van de Vlaamse Overheid bepalen van een
beleid inzake informatiebeveiliging en vastleggen van een
strategie, communiceren aan de belanghebbenden en met
geplande tussenpozen beoordelen of dit
informatiebeveiligingsbeleid nog passend en doeltreffend is.
• Opzetten van een beheerskader voor informatiebeveiliging
dat de processen bepaalt en de rollen en
verantwoordelijkheden duidelijk definieert en toewijst.
• Opvolgen, beoordelen en zo nodig bijsturen van de aanpak
van de verschillende entiteiten t.a.v. informatiebeveiliging.
• Opzetten van bewustzijns-, opleidings- en
trainingsprogramma’s m.b.t. informatiebeveiliging.
38
39
Contact
Sandra Denis, auditor
[email protected]
02 553 00 61
Eddy Guilliams, administrateur-generaal
[email protected]
02 553 45 52
www.auditvlaanderen.be
AUDIT
VLAANDEREN
Related documents
Proces Data kwaliteit
Proces Data kwaliteit
De Muldersteeg MKD nieuwsbrief 2016-2017, nr 6
De Muldersteeg MKD nieuwsbrief 2016-2017, nr 6
Een project audit is hét instrument voor het laten slagen van
Een project audit is hét instrument voor het laten slagen van
Paragraaf 2.1 Protocol interne audit
Paragraaf 2.1 Protocol interne audit
DIRECTEUR (m/v)
DIRECTEUR (m/v)
openbare financien
openbare financien
Instituut voor Innovatie door Wetenschap en
Instituut voor Innovatie door Wetenschap en
Planning auditdag Roze Loper
Planning auditdag Roze Loper
Milieufiche - Antea Group Belgium
Milieufiche - Antea Group Belgium
Basic Quality-label
Basic Quality-label
3 Eerste conclusies uit de organisatieaudits bij
3 Eerste conclusies uit de organisatieaudits bij
Download
advertisement