Presentatie maturiteitsniveau 3 - IAVA

advertisement
Toelichting bij de aanpak van de
validatie-audit
Agenda
• Voorgeschiedenis
• Bekommernissen
• Maturiteitsniveau 3
• Uitvoering validatie
Voorgeschiedenis
Generiek principe BO
Nota VR 1 september 2006 generieke principes BO
• Uiterlijk één jaar na de aanvang van de
beheersovereenkomst beschikt het agentschap over
een uitgeschreven en gedocumenteerd systeem van
interne controle
• Vanaf het tweede jaar na aanvang van de
beheersovereenkomst wordt het proces van interne
controle minstens één maal per jaar door het
management geëvalueerd op zijn actualiteit,
eventueel bijgewerkt en opnieuw gevalideerd.”
Voorgeschiedenis
Beslissing VR 30 mei 2008
•
•
De leidraad interne controle – organisatiebeheersing = het
referentieraamwerk
Tegen eind 2008 heeft elke entiteit een stappenplan
– hierin staat hoe organisatiebeheersing binnen de eigen
organisatie zal ingebed worden tegen eind 2008
– in overleg met de functioneel bevoegde minister
•
Doel = beschikken over een gedocumenteerd systeem van
interne controle – organisatiebeheersing
– binnen de looptijd van de beheersovereenkomst, zijnde tot 31
december 2010
– alle thema’s die in de leidraad interne controle –
organisatiebeheersing zijn aangegeven
•
Voldoen aan de toets in maturiteitsniveau 3 ‘gedefinieerd’ in
het maturiteitsmodel
– beheersingsmaatregelen dienen ontwikkeld en aanwezig te zijn
– beheersingsmaatregelen moeten gestandaardiseerd,
gedocumenteerd en gecommuniceerd zijn
Voorgeschiedenis
Werkgroep IC/OB en netwerk
• Werkzaamheden werkgroep IC/OB
• Aanreiken instrumenten
–
–
–
–
–
–
–
–
Bijgewerkte leidraad
Zelfevaluatierooster
Vertaalmatrices
Stappenplan
Handreikingen
Fiches financiële interne controle
FAQ’s
Beschrijvingen proces- en risicomanagement
• Ondersteuning via netwerk
organisatiebeheersing/ankerpunten
Bekommernissen
Maturiteitsniveau 3
Omschrijving en PDCA
Gradaties
0
1
2
3
4
5
Omschrijving
Onbestaand
Binnen de organisatie bestaan geen of zeer weinig beheersmaatregelen. Het
controlebewustzijn is eerder laag en er worden weinig acties ondernomen om te
komen tot een adequaat systeem van organisatiebeheersing (interne
controlesysteem).
Ad-hocbasis
Op ad-hocbasis zijn binnen de organisatie beheersmaatregelen uitgewerkt.
Het bewustzijn van de nood aan adequate beheersmaatregelen (interne
controlemaatregelen) groeit, maar er is nog geen gestructureerde of
gestandaardiseerde aanpak aanwezig. Het systeem van organisatiebeheersing
(interne controlesysteem) draait meer rond personen dan rond systemen.
Gestructureerde aanzet
Een gestructureerde aanzet wordt gegeven tot de ontwikkeling van
beheersmaatregelen. De beheersinstrumenten zijn bijgevolg in ontwikkeling,
maar worden nog niet toegepast ('Plan' ).
Gedefinieerd (= niveau 2 +...)
Beheersmaatregelen zijn aanwezig. Zij zijn gestandaardiseerd, gedocumenteerd,
gecommuniceerd en worden toegepast ('Do' ).
Beheerst systeem (= niveau 3 + ...)
De beheersmaatregelen worden intern periodiek geëvalueerd en bijgestuurd
('Check' & 'Act' ). Er kan gesproken worden over een 'levend' adequaat en
doeltreffend systeem van organisatiebeheersing.
Geoptimaliseerd (= niveau 4 + ...)
De beheersmaatregelen worden voortdurend geoptimaliseerd via benchmarking
en het behalen van kwaliteitscertificaten of externe evaluaties ('PDCA' ).
Kernelementen
• Beheersmaatregelen bij
maturiteitsniveau 3 bij een thema
zijn:
– Toegepast in de praktijk
– Gedocumenteerd
– Gestandaardiseerd
– Gecommuniceerd
• Do
Toegepast
• Belangrijkste element
• Beheersmaatregelen zijn:
– Adequaat: aangepast aan de situatie
– Effectief: uitvoeren zoals voorzien
• Impliceert:
– Risicoanalyse
– Kosten-batenanalyse
Risicomanagement als vertrekpunt voor
uitbouw IC/OB
• Leidraad is instrument om het
management te begeleiden bij bepalen
van ‘interne’ risico’s en mogelijke
beheersmaatregelen
• Doordachte risicoanalyse gaat verder:
specificiteit van de organisatie
– ook andere al dan niet externe
risico’s in ogenschouw genomen
– differentiëring van risico’s in functie
van relevantiegraad
Risicomanagement als vertrekpunt voor
uitbouw IC/OB
• Doelstelling inzake
organisatiebeheersing
• Welke risico’s voor entiteit?
• Inschatting risico’s (kans, impact)
• Beheersmaatregelen: aanwezig en
afdoend, niet aanwezig
Overige elementen
•
•
•
•
Gestandaardiseerd
Gedocumenteerd
Gecommuniceerd
Afgeleide van risicogebaseerde
toepassingen in de praktijk
• Zijn geïntegreerd
Gestandaardiseerd
• Standaardiseren: brengen tot een
standaard of eenheid in afmeting, vorm,
inhoud, samenstelling, enz… (van
Dale)
• Gebruik van een standaard of
raamwerk binnen de Vlaamse overheid
om op uniforme wijze interne
controle/organisatiebeheersing in te
bedden
Gestandaardiseerd
• Keuze voor leidraad interne
controle/organisatiebeheersing
– Afgestemd op internationaal aanvaarde
controleraamwerken: volledigheid
– Afgestemd op standaardinstrumenten
Vlaamse overheid: aangepast
– Verfijning via handreikingen: verdere
standaardisatie
• Komen tot een geïntegreerd geheel
organisatiebreed – organisatiespecifiek
- processpecifiek
Gestandaardiseerd
• Standaardisering  eenheidsworst
– Situeert zich op niveau van principes,
doelstellingen van organisatiebeheersing of
controledoelstellingen
– Invulling concrete beheersmaatregelen is
o.b.v. afweging risico’s
– Uitz. verplichte generieke of wettelijke
maatregelen, maar basis is
gemeenschappelijk risico
Gedocumenteerd
• Gedocumenteerd en gecommuniceerd is nodig om
duidelijkheid te creëren over beheersmaatregelen
– Doel van de beheersmaatregel: waar draagt die toe bij
– Uitvoering van de beheersmaatregel: hoe, wie doet wat,
rol en verantwoordelijkheden,…
• Documentatie niet tot op het kleinste detail, maar in
functie van behoefte
• Aantoonbaarheid
– Documentatie beheersmaatregelen
– Output van de beheersmaatregelen ( = toepassing in de
praktijk)
• Niets nieuw. Analoog met andere instrumenten (EFQM,
CAF, COBIT, ISO,…): onderbouwende documentatie
deel van maturiteitsinschatting. Ontwerp van wet
corporate governance
Gecommuniceerd
• Gecommuniceerd aan medewerkers
• Aangepast i.f.v. graad van
betrokkenheid
• Verschillende instrumenten (publicatie
intranet van procedurebeschrijvingen,
opleidingen, teamoverleg,
communicatie beslissingen
directieraad, feedback
managementcomité en beleidsraad,…)
Voordelen
• Voordelen van standaardisering, documentering en
communicatie
– gemeenschappelijk taal en algemeen begrip van interne
controle en organisatiebeheersing,
– verhogen van het risicobewustzijn,
– uniforme systematiek voor de uitvoering van risico- en
beheersanalyses,
– verduidelijking van ieders rol en verantwoordelijkheden
m.b.t. interne controle / organisatiebeheersing,
– verhoogde transparantie in het afleggen van
verantwoording
– Deugdelijke basis voor (zelf)evaluatie
– Dingen niet heruitvinden
– …
Principes bij de uitvoering
van validatie-audits
Gehanteerde principes bij uitvoering van
de audit
1.
De entiteiten moeten zelf maturiteitsniveau aantonen
via actualisering van sterkte-zwakteanalyse de
zelfinschatting qua maturiteitsniveau per thema
onderbouwen
nodige bewijs leveren om de opgenomen
argumentatie aan te tonen
IAVA valideert enkel o.b.v. de zelfinschatting,
aangeleverde bewijsmateriaal en interviews (niet
meer zelf zoeken)
IAVA gaat in eerste instantie uit van volledigheid
aangeleverde documentatie
Gehanteerde principes bij uitvoering van
de audit
2. De ‘Leidraad interne controle /
organisatiebeheersing is het kader voor
organisatiebeheersing en dus voor het
inschatten van het maturiteitsniveau
–
–
–
Subthema’s en doelstellingen inzake
organisatiebeheersing = kader
Beheersmaatregelen: geen checklist
Indien gebruik EFQM-gerelateerd
instrumentarium: entiteit toont afdekking
aan via vertaalmatrix
Gehanteerde principes bij uitvoering van
de audit
3. Behalen van maturiteitsniveau 3
-
-
organisatie moet voor het behalen van
maturiteitsniveau 3 voldoen aan de vereisten (=
doelstellingen inzake organisatiebeheersing) uit
de leidraad
indien niet voldaan aan vereiste van de
leidraad, moet organisatie op onderbouwde
wijze uiteenzetten waarom
onderbouwing: bij voorkeur risicoanalyse, maar
ook andere gemotiveerde onderbouwing
mogelijk
koppeling tussen status PDCA-cyclus binnen
een thema en behalen van maturiteitsniveau 3
Gehanteerde principes bij uitvoering van
de audit
Geen afzonderlijke inschatting deelthema’s
4.
–
Conform beslissing van de Vlaamse regering maar één
inschatting per thema
5.
Integratie voortgangscontroleaudit: svz aanbevelingen
6.
Inschatting doelstellingen organisatiebeheersing :
Efficiëntie, Effectiviteit, Kwaliteit en Integriteit (EIKE)
–
–
–
7.
Geen EIKE-zelfinschatting verwacht van de entiteiten
IAVA maakt wel EIKE-inschatting in rapport per entiteit (of
enkel werkdocument: nog te beslissen)
Focus op efficiëntie: aanwezigheid en toepassing
instrumenten (in hoofdzaak voor organisatiebrede evaluatie)
Rapportering
–
–
Overkoepelend syntheserapport VO en rapport per entiteit
Geen werkdocument meer
Praktische aanpak gedocumenteerd IC/OB
• Alle thema’s moeten afgedekt zijn t.e.m. niveau
doelstellingen
• Vertaald in functie van behoeften, risico’s,
verplichtingen, … voor entiteit
• Koppeling met bestaande beheersmaatregelen
• Voorbeeld: VREG, Departement WVG,
zelfevaluatie IAVA
(http://www2.vlaanderen.be/internecontrole/net
OB_091027.html)
• Andere structuur mogelijk (CAF, EFQM, eigen
indeling,…) maar relatie met en afdekking van
leidraad moet door entiteit zelf geduid worden
Groeien naar continue zelfevaluatie
• Rol IAVA in sterkte-zwakteanalyse is
aflopend
• Overname door entiteiten via
zelfevaluatie
• Voordelen
–
–
–
–
–
Beter maatwerk
Directere koppeling met effectieve werking
Leermogelijkheden
Invulling managementverantwoordelijkheid
Potentieel groeitraject naar in-controlstatements !
Uitvoering
• Juli 2010 – maart 2011
• Goede afspraken per beleidsdomein
• Eventuele opsplitsing per ‘afgewerkt’
thema of gefaseerde aanpak
• Bilateraal overleg IAVA / leidend
ambtenaar – ankerpunt
• Vragen voor overleg
Download