Toelichting bij de aanpak van de validatie-audit Agenda • Voorgeschiedenis • Bekommernissen • Maturiteitsniveau 3 • Uitvoering validatie Voorgeschiedenis Generiek principe BO Nota VR 1 september 2006 generieke principes BO • Uiterlijk één jaar na de aanvang van de beheersovereenkomst beschikt het agentschap over een uitgeschreven en gedocumenteerd systeem van interne controle • Vanaf het tweede jaar na aanvang van de beheersovereenkomst wordt het proces van interne controle minstens één maal per jaar door het management geëvalueerd op zijn actualiteit, eventueel bijgewerkt en opnieuw gevalideerd.” Voorgeschiedenis Beslissing VR 30 mei 2008 • • De leidraad interne controle – organisatiebeheersing = het referentieraamwerk Tegen eind 2008 heeft elke entiteit een stappenplan – hierin staat hoe organisatiebeheersing binnen de eigen organisatie zal ingebed worden tegen eind 2008 – in overleg met de functioneel bevoegde minister • Doel = beschikken over een gedocumenteerd systeem van interne controle – organisatiebeheersing – binnen de looptijd van de beheersovereenkomst, zijnde tot 31 december 2010 – alle thema’s die in de leidraad interne controle – organisatiebeheersing zijn aangegeven • Voldoen aan de toets in maturiteitsniveau 3 ‘gedefinieerd’ in het maturiteitsmodel – beheersingsmaatregelen dienen ontwikkeld en aanwezig te zijn – beheersingsmaatregelen moeten gestandaardiseerd, gedocumenteerd en gecommuniceerd zijn Voorgeschiedenis Werkgroep IC/OB en netwerk • Werkzaamheden werkgroep IC/OB • Aanreiken instrumenten – – – – – – – – Bijgewerkte leidraad Zelfevaluatierooster Vertaalmatrices Stappenplan Handreikingen Fiches financiële interne controle FAQ’s Beschrijvingen proces- en risicomanagement • Ondersteuning via netwerk organisatiebeheersing/ankerpunten Bekommernissen Maturiteitsniveau 3 Omschrijving en PDCA Gradaties 0 1 2 3 4 5 Omschrijving Onbestaand Binnen de organisatie bestaan geen of zeer weinig beheersmaatregelen. Het controlebewustzijn is eerder laag en er worden weinig acties ondernomen om te komen tot een adequaat systeem van organisatiebeheersing (interne controlesysteem). Ad-hocbasis Op ad-hocbasis zijn binnen de organisatie beheersmaatregelen uitgewerkt. Het bewustzijn van de nood aan adequate beheersmaatregelen (interne controlemaatregelen) groeit, maar er is nog geen gestructureerde of gestandaardiseerde aanpak aanwezig. Het systeem van organisatiebeheersing (interne controlesysteem) draait meer rond personen dan rond systemen. Gestructureerde aanzet Een gestructureerde aanzet wordt gegeven tot de ontwikkeling van beheersmaatregelen. De beheersinstrumenten zijn bijgevolg in ontwikkeling, maar worden nog niet toegepast ('Plan' ). Gedefinieerd (= niveau 2 +...) Beheersmaatregelen zijn aanwezig. Zij zijn gestandaardiseerd, gedocumenteerd, gecommuniceerd en worden toegepast ('Do' ). Beheerst systeem (= niveau 3 + ...) De beheersmaatregelen worden intern periodiek geëvalueerd en bijgestuurd ('Check' & 'Act' ). Er kan gesproken worden over een 'levend' adequaat en doeltreffend systeem van organisatiebeheersing. Geoptimaliseerd (= niveau 4 + ...) De beheersmaatregelen worden voortdurend geoptimaliseerd via benchmarking en het behalen van kwaliteitscertificaten of externe evaluaties ('PDCA' ). Kernelementen • Beheersmaatregelen bij maturiteitsniveau 3 bij een thema zijn: – Toegepast in de praktijk – Gedocumenteerd – Gestandaardiseerd – Gecommuniceerd • Do Toegepast • Belangrijkste element • Beheersmaatregelen zijn: – Adequaat: aangepast aan de situatie – Effectief: uitvoeren zoals voorzien • Impliceert: – Risicoanalyse – Kosten-batenanalyse Risicomanagement als vertrekpunt voor uitbouw IC/OB • Leidraad is instrument om het management te begeleiden bij bepalen van ‘interne’ risico’s en mogelijke beheersmaatregelen • Doordachte risicoanalyse gaat verder: specificiteit van de organisatie – ook andere al dan niet externe risico’s in ogenschouw genomen – differentiëring van risico’s in functie van relevantiegraad Risicomanagement als vertrekpunt voor uitbouw IC/OB • Doelstelling inzake organisatiebeheersing • Welke risico’s voor entiteit? • Inschatting risico’s (kans, impact) • Beheersmaatregelen: aanwezig en afdoend, niet aanwezig Overige elementen • • • • Gestandaardiseerd Gedocumenteerd Gecommuniceerd Afgeleide van risicogebaseerde toepassingen in de praktijk • Zijn geïntegreerd Gestandaardiseerd • Standaardiseren: brengen tot een standaard of eenheid in afmeting, vorm, inhoud, samenstelling, enz… (van Dale) • Gebruik van een standaard of raamwerk binnen de Vlaamse overheid om op uniforme wijze interne controle/organisatiebeheersing in te bedden Gestandaardiseerd • Keuze voor leidraad interne controle/organisatiebeheersing – Afgestemd op internationaal aanvaarde controleraamwerken: volledigheid – Afgestemd op standaardinstrumenten Vlaamse overheid: aangepast – Verfijning via handreikingen: verdere standaardisatie • Komen tot een geïntegreerd geheel organisatiebreed – organisatiespecifiek - processpecifiek Gestandaardiseerd • Standaardisering eenheidsworst – Situeert zich op niveau van principes, doelstellingen van organisatiebeheersing of controledoelstellingen – Invulling concrete beheersmaatregelen is o.b.v. afweging risico’s – Uitz. verplichte generieke of wettelijke maatregelen, maar basis is gemeenschappelijk risico Gedocumenteerd • Gedocumenteerd en gecommuniceerd is nodig om duidelijkheid te creëren over beheersmaatregelen – Doel van de beheersmaatregel: waar draagt die toe bij – Uitvoering van de beheersmaatregel: hoe, wie doet wat, rol en verantwoordelijkheden,… • Documentatie niet tot op het kleinste detail, maar in functie van behoefte • Aantoonbaarheid – Documentatie beheersmaatregelen – Output van de beheersmaatregelen ( = toepassing in de praktijk) • Niets nieuw. Analoog met andere instrumenten (EFQM, CAF, COBIT, ISO,…): onderbouwende documentatie deel van maturiteitsinschatting. Ontwerp van wet corporate governance Gecommuniceerd • Gecommuniceerd aan medewerkers • Aangepast i.f.v. graad van betrokkenheid • Verschillende instrumenten (publicatie intranet van procedurebeschrijvingen, opleidingen, teamoverleg, communicatie beslissingen directieraad, feedback managementcomité en beleidsraad,…) Voordelen • Voordelen van standaardisering, documentering en communicatie – gemeenschappelijk taal en algemeen begrip van interne controle en organisatiebeheersing, – verhogen van het risicobewustzijn, – uniforme systematiek voor de uitvoering van risico- en beheersanalyses, – verduidelijking van ieders rol en verantwoordelijkheden m.b.t. interne controle / organisatiebeheersing, – verhoogde transparantie in het afleggen van verantwoording – Deugdelijke basis voor (zelf)evaluatie – Dingen niet heruitvinden – … Principes bij de uitvoering van validatie-audits Gehanteerde principes bij uitvoering van de audit 1. De entiteiten moeten zelf maturiteitsniveau aantonen via actualisering van sterkte-zwakteanalyse de zelfinschatting qua maturiteitsniveau per thema onderbouwen nodige bewijs leveren om de opgenomen argumentatie aan te tonen IAVA valideert enkel o.b.v. de zelfinschatting, aangeleverde bewijsmateriaal en interviews (niet meer zelf zoeken) IAVA gaat in eerste instantie uit van volledigheid aangeleverde documentatie Gehanteerde principes bij uitvoering van de audit 2. De ‘Leidraad interne controle / organisatiebeheersing is het kader voor organisatiebeheersing en dus voor het inschatten van het maturiteitsniveau – – – Subthema’s en doelstellingen inzake organisatiebeheersing = kader Beheersmaatregelen: geen checklist Indien gebruik EFQM-gerelateerd instrumentarium: entiteit toont afdekking aan via vertaalmatrix Gehanteerde principes bij uitvoering van de audit 3. Behalen van maturiteitsniveau 3 - - organisatie moet voor het behalen van maturiteitsniveau 3 voldoen aan de vereisten (= doelstellingen inzake organisatiebeheersing) uit de leidraad indien niet voldaan aan vereiste van de leidraad, moet organisatie op onderbouwde wijze uiteenzetten waarom onderbouwing: bij voorkeur risicoanalyse, maar ook andere gemotiveerde onderbouwing mogelijk koppeling tussen status PDCA-cyclus binnen een thema en behalen van maturiteitsniveau 3 Gehanteerde principes bij uitvoering van de audit Geen afzonderlijke inschatting deelthema’s 4. – Conform beslissing van de Vlaamse regering maar één inschatting per thema 5. Integratie voortgangscontroleaudit: svz aanbevelingen 6. Inschatting doelstellingen organisatiebeheersing : Efficiëntie, Effectiviteit, Kwaliteit en Integriteit (EIKE) – – – 7. Geen EIKE-zelfinschatting verwacht van de entiteiten IAVA maakt wel EIKE-inschatting in rapport per entiteit (of enkel werkdocument: nog te beslissen) Focus op efficiëntie: aanwezigheid en toepassing instrumenten (in hoofdzaak voor organisatiebrede evaluatie) Rapportering – – Overkoepelend syntheserapport VO en rapport per entiteit Geen werkdocument meer Praktische aanpak gedocumenteerd IC/OB • Alle thema’s moeten afgedekt zijn t.e.m. niveau doelstellingen • Vertaald in functie van behoeften, risico’s, verplichtingen, … voor entiteit • Koppeling met bestaande beheersmaatregelen • Voorbeeld: VREG, Departement WVG, zelfevaluatie IAVA (http://www2.vlaanderen.be/internecontrole/net OB_091027.html) • Andere structuur mogelijk (CAF, EFQM, eigen indeling,…) maar relatie met en afdekking van leidraad moet door entiteit zelf geduid worden Groeien naar continue zelfevaluatie • Rol IAVA in sterkte-zwakteanalyse is aflopend • Overname door entiteiten via zelfevaluatie • Voordelen – – – – – Beter maatwerk Directere koppeling met effectieve werking Leermogelijkheden Invulling managementverantwoordelijkheid Potentieel groeitraject naar in-controlstatements ! Uitvoering • Juli 2010 – maart 2011 • Goede afspraken per beleidsdomein • Eventuele opsplitsing per ‘afgewerkt’ thema of gefaseerde aanpak • Bilateraal overleg IAVA / leidend ambtenaar – ankerpunt • Vragen voor overleg