Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

presentatie IAVA: maturiteitsniveau3

advertisement 
Toelichting bij de aanpak van de
validatie-audit
Agenda
•
•
•
•
•
Voorgeschiedenis
Bekommernissen
Maturiteitsniveau 3
Uitvoering validatie
Verder overleg
Voorgeschiedenis
Generiek principe BO
Nota VR 1 september 2006 generieke principes BO
• Uiterlijk één jaar na de aanvang van de
beheersovereenkomst beschikt het agentschap over
een uitgeschreven en gedocumenteerd systeem van
interne controle
• Vanaf het tweede jaar na aanvang van de
beheersovereenkomst wordt het proces van interne
controle minstens één maal per jaar door het
management geëvalueerd op zijn actualiteit,
eventueel bijgewerkt en opnieuw gevalideerd.”
Voorgeschiedenis
Beslissing VR 30 mei 2008
•
•
De leidraad interne controle – organisatiebeheersing = het
referentieraamwerk
Tegen eind 2008 heeft elke entiteit een stappenplan
– hierin staat hoe organisatiebeheersing binnen de eigen
organisatie zal ingebed worden tegen eind 2008
– in overleg met de functioneel bevoegde minister
•
Doel = beschikken over een gedocumenteerd systeem van
interne controle – organisatiebeheersing
– binnen de looptijd van de beheersovereenkomst, zijnde tot 31
december 2010
– alle thema’s die in de leidraad interne controle –
organisatiebeheersing zijn aangegeven
•
Voldoen aan de toets in maturiteitsniveau 3 ‘gedefinieerd’ in
het maturiteitsmodel
– beheersingsmaatregelen dienen ontwikkeld en aanwezig te zijn
– beheersingsmaatregelen moeten gestandaardiseerd,
gedocumenteerd en gecommuniceerd zijn
Voorgeschiedenis
Werkgroep IC/OB en netwerk
• Werkzaamheden werkgroep IC/OB
• Aanreiken instrumenten
–
–
–
–
–
–
–
–
Bijgewerkte leidraad
Zelfevaluatierooster
Vertaalmatrices
Stappenplan
Handreikingen
Fiches financiële interne controle
FAQ’s
Beschrijvingen proces- en risicomanagement
• Ondersteuning via netwerk
organisatiebeheersing
Bekommernissen
Maturiteitsniveau 3
Omschrijving en PDCA
Gradaties
0
1
2
3
4
5
Omschrijving
Onbestaand
Binnen de organisatie bestaan geen of zeer weinig beheersmaatregelen. Het
controlebewustzijn is eerder laag en er worden weinig acties ondernomen om te
komen tot een adequaat systeem van organisatiebeheersing (interne
controlesysteem).
Ad-hocbasis
Op ad-hocbasis zijn binnen de organisatie beheersmaatregelen uitgewerkt.
Het bewustzijn van de nood aan adequate beheersmaatregelen (interne
controlemaatregelen) groeit, maar er is nog geen gestructureerde of
gestandaardiseerde aanpak aanwezig. Het systeem van organisatiebeheersing
(interne controlesysteem) draait meer rond personen dan rond systemen.
Gestructureerde aanzet
Een gestructureerde aanzet wordt gegeven tot de ontwikkeling van
beheersmaatregelen. De beheersinstrumenten zijn bijgevolg in ontwikkeling,
maar worden nog niet toegepast ('Plan' ).
Gedefinieerd (= niveau 2 +...)
Beheersmaatregelen zijn aanwezig. Zij zijn gestandaardiseerd, gedocumenteerd,
gecommuniceerd en worden toegepast ('Do' ).
Beheerst systeem (= niveau 3 + ...)
De beheersmaatregelen worden intern periodiek geëvalueerd en bijgestuurd
('Check' & 'Act' ). Er kan gesproken worden over een 'levend' adequaat en
doeltreffend systeem van organisatiebeheersing.
Geoptimaliseerd (= niveau 4 + ...)
De beheersmaatregelen worden voortdurend geoptimaliseerd via benchmarking
en het behalen van kwaliteitscertificaten of externe evaluaties ('PDCA' ).
Kernelementen
• Beheersmaatregelen bij
maturiteitsniveau 3 bij een thema
zijn:
– Toegepast in de praktijk
– Gedocumenteerd
– Gestandaardiseerd
– Gecommuniceerd
• Do
Toegepast
• Belangrijkste element
• Beheersmaatregelen zijn:
– Adequaat: aangepast aan de situatie
– Effectief: uitvoeren zoals voorzien
• Impliceert:
– Risicoanalyse
– Kosten-batenanalyse
Risicomanagement als vertrekpunt voor
uitbouw IC/OB
• Leidraad is instrument om het
management te begeleiden bij bepalen
van ‘interne’ risico’s en mogelijke
beheersmaatregelen
• Doordachte risicoanalyse gaat verder:
specificiteit van de organisatie
– ook andere al dan niet externe
risico’s in ogenschouw genomen
– differentiëring van risico’s in functie
van relevantiegraad
Risicomanagement als vertrekpunt voor
uitbouw IC/OB
• Doelstelling inzake
organisatiebeheersing
• Welke risico’s voor entiteit?
• Inschatting risico’s (kans, impact)
• Beheersmaatregelen: aanwezig en
afdoend, niet aanwezig
Voorbeeld
• Controledoelstelling: De personeelsuitgaven blijven
binnen het afgesproken budget.
• Mogelijke risico’s: budgetoverschrijding, onbetaalde
onkosten, geen vorming mogelijk,…
• Inschatten risico’s: kans, impact => classificatie
• Beheersmaatregelen:
– Aanwezig => afdoend => in orde
– Niet aanwezig/niet afdoend => gemotiveerde
beslissing tot al dan niet implementeren nieuwe
beheersmaatregel
Overige elementen
•
•
•
•
Gestandaardiseerd
Gedocumenteerd
Gecommuniceerd
Afgeleide van risicogebaseerde
toepassingen in de praktijk
• Zijn geïntegreerd
Gestandaardiseerd
• Standaardiseren: brengen tot een
standaard of eenheid in afmeting, vorm,
inhoud, samenstelling, enz… (van
Dale)
• Gebruik van een standaard of
raamwerk binnen de Vlaamse overheid
om op uniforme wijze interne
controle/organisatiebeheersing in te
bedden
Gestandaardiseerd
• Keuze voor leidraad interne
controle/organisatiebeheersing
– Afgestemd op COSO/ERM en governance:
volledigheid
– Afgestemd op standaardinstrumenten
Vlaamse overheid: aangepast
– Verfijning via handreikingen: verdere
standaardisatie
• Komen tot een geïntegreerd geheel
organisatiebreed – organisatiespecifiek
- processpecifiek
Gestandaardiseerd
• Standaardisering  eenheidsworst
– Situeert zich op niveau van principes,
doelstellingen van organisatiebeheersing of
controledoelstellingen
– Invulling concrete beheersmaatregelen is
o.b.v. afweging risico’s
– Uitz. verplichte generieke of wettelijke
maatregelen, maar basis is
gemeenschappelijk risico
Gedocumenteerd en gecommuniceerd
• Gedocumenteerd en gecommuniceerd is nodig om
duidelijkheid te creëren over beheersmaatregelen
– Doel van de beheersmaatregel: waar draagt die toe bij
– Uitvoering van de beheersmaatregel: hoe, wie doet wat,
rol en verantwoordelijkheden,…
• Documentatie niet tot op het kleinste detail, maar in
functie van behoefte
• De beheersmaatregelen bij elk thema moeten
‘aantoonbaar‘ zijn via documenten/bewijs (o.a.
vastlegging strategische keuzes, procedure- en
werkingsbeschrijving, verslagen, rapportages,
boordtabellen, monitoring etc.)
Gedocumenteerd
• Aantoonbaarheid
– Documentatie beheersmaatregelen
– Output van de beheersmaatregelen (
= toepassing in de praktijk)
• Niets nieuw. Analoog met andere
instrumenten (EFQM, CAF, COBIT,
ISO,…): onderbouwende
documentatie deel van
maturiteitsinschatting
Gecommuniceerd
• Gecommuniceerd aan medewerkers
• Aangepast i.f.v. graad van
betrokkenheid
• Verschillende instrumenten (publicatie
intranet van procedurebeschrijvingen,
opleidingen, teamoverleg,
communicatie beslissingen
directieraad, feedback
managementcomité en beleidsraad,…)
Voordelen
• Voordelen van standaardisering, documentering en
communicatie
– gemeenschappelijk taal en algemeen begrip van interne
controle en organisatiebeheersing,
– verhogen van het risicobewustzijn,
– uniforme systematiek voor de uitvoering van risico- en
beheersanalyses,
– verduidelijking van ieders rol en verantwoordelijkheden
m.b.t. interne controle / organisatiebeheersing,
– verhoogde transparantie in het afleggen van
verantwoording
– Deugdelijke basis voor (zelf)evaluatie
– Dingen niet heruitvinden
– …
Principes bij de uitvoering
van validatie-audits
Gehanteerde principes bij uitvoering van
de audit
1.
De entiteiten moeten zelf hun maturiteitsniveau
aantonen
- via actualisering van sterkte-zwakteanalyse
de zelfinschatting qua maturiteitsniveau per
thema onderbouwen
- nodige bewijs leveren om de opgenomen
argumentatie aan te tonen
- IAVA valideert enkel o.b.v. de zelfinschatting,
aangeleverde bewijsmateriaal en interviews
- IAVA gaat in eerste instantie uit van
volledigheid aangeleverde documentatie
Gehanteerde principes bij uitvoering van
de audit
2. De ‘Leidraad interne controle /
organisatiebeheersing is het kader voor
organisatiebeheersing en dus voor het
inschatten van het maturiteitsniveau
–
–
–
Subthema’s en doelstellingen inzake
organisatiebeheersing = kader
Beheersmaatregelen: geen checklist
Indien gebruik EFQM-gerelateerd
instrumentarium: entiteit toont afdekking
aan via vertaalmatrix
Gehanteerde principes bij uitvoering van
de audit
3. Behalen van maturiteitsniveau 3
-
-
organisatie moet voor het behalen van
maturiteitsniveau 3 voldoen aan de vereisten (=
doelstellingen inzake organisatiebeheersing) uit
de leidraad
indien niet voldaan aan vereiste van de
leidraad, moet organisatie op onderbouwde
wijze uiteenzetten waarom
onderbouwing: bij voorkeur risicoanalyse, maar
ook andere gemotiveerde onderbouwing
mogelijk
koppeling tussen status PDCA-cyclus binnen
een thema en behalen van maturiteitsniveau 3
Gehanteerde principes bij uitvoering van
de audit
Geen afzonderlijke inschatting deelthema’s
4.
–
Conform beslissing van de Vlaamse regering maar één inschatting per
thema
5.
Integratie voortgangscontroleaudit: svz aanbevelingen
6.
EIKE
–
–
–
7.
Geen EIKE-zelfinschatting verwacht van de entiteiten
IAVA maakt wel EIKE-inschatting in rapport per entiteit (of enkel
werkdocument: nog te beslissen)
Focus op efficiëntie: aanwezigheid en toepassing instrumenten (in
hoofdzaak voor organisatiebrede evaluatie)
Rapportering
–
–
–
Syntheserapport en detailrapport
Geen werkdocument meer
Overkoepelend rapport VO
Uitvoering
• Juli 2010 – maart 2011
• Goede afspraken per
beleidsdomein
• Eventuele opsplitsing per
‘afgewerkt’ thema of gefaseerde
aanpak
Verdere informatie
• Managementcomités/beleidsraden
• Bilateraal overleg IAVA / leidend
ambtenaar – ankerpunt
• Vragen voor overleg
Netwerk organisatiebeheersing
Thema’s bilateraal overleg BD:
• Verdere concretisering planning
validatie-audits
• Specifieke vragen beleidsdomein
• Globale/instrumentele benadering
risicoanalyse
• Prioritering acties
Related documents
Presentatie maturiteitsniveau 3 - IAVA
Presentatie maturiteitsniveau 3 - IAVA
Samenvatting Dossier Onderhoud Wat is
Samenvatting Dossier Onderhoud Wat is
Beheersmaatregelen met het oog op legionellapreventie
Beheersmaatregelen met het oog op legionellapreventie
Leidraad IC OB - Vlaanderen.be
Leidraad IC OB - Vlaanderen.be
uittreksel rapport audit na zelfevaluatie gemeente en OCMW Mol
uittreksel rapport audit na zelfevaluatie gemeente en OCMW Mol
Managementleidraad interne controle/ organisatiebeheersing
Managementleidraad interne controle/ organisatiebeheersing
Opleidings- en begeleidingstraject organisatiebeheersing
Opleidings- en begeleidingstraject organisatiebeheersing
Vragen warmwatersysteem
Vragen warmwatersysteem
RISMAN-methode
RISMAN-methode
PowerPoint-presentatie
PowerPoint-presentatie
Informatiebeveiliging in de zorg: NEN 7510 nieuw
Informatiebeveiliging in de zorg: NEN 7510 nieuw
Risicobeleid Waterschap Zuiderzeeland
Risicobeleid Waterschap Zuiderzeeland
Besprekingsverslag
Besprekingsverslag
docx bestandEvaluatierooster
docx bestandEvaluatierooster
proces control matrix: ei van columbus?
proces control matrix: ei van columbus?
Project Risk Assessment (PRA)
Project Risk Assessment (PRA)
Reactieformulier KNA leidraad Anorganisch materiaal u kunt
Reactieformulier KNA leidraad Anorganisch materiaal u kunt
Brochure Organisatiebeheersing voor lokale besturen.indd
Brochure Organisatiebeheersing voor lokale besturen.indd
PowerPoint-presentatie
PowerPoint-presentatie
3 de vijf communicatie- elementen
3 de vijf communicatie- elementen
Download
advertisement