1 / 31

Toelichting bij de aanpak van de validatie-audit

Toelichting bij de aanpak van de validatie-audit. Agenda. Voorgeschiedenis Bekommernissen Maturiteitsniveau 3 Uitvoering validatie. Voorgeschiedenis Generiek principe BO. Nota VR 1 september 2006 generieke principes BO

Download Presentation

Toelichting bij de aanpak van de validatie-audit

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Toelichting bij de aanpak van de validatie-audit

  2. Agenda • Voorgeschiedenis • Bekommernissen • Maturiteitsniveau 3 • Uitvoering validatie

  3. VoorgeschiedenisGeneriek principe BO Nota VR 1 september 2006 generieke principes BO • Uiterlijk één jaar na de aanvang van de beheersovereenkomst beschikt het agentschap over een uitgeschreven en gedocumenteerd systeem van interne controle • Vanaf het tweede jaar na aanvang van de beheersovereenkomst wordt het proces van interne controle minstens één maal per jaar door het management geëvalueerd op zijn actualiteit, eventueel bijgewerkt en opnieuw gevalideerd.”

  4. VoorgeschiedenisBeslissing VR 30 mei 2008 • De leidraad interne controle – organisatiebeheersing = het referentieraamwerk • Tegen eind 2008 heeft elke entiteit een stappenplan • hierin staat hoe organisatiebeheersing binnen de eigen organisatie zal ingebed worden tegen eind 2008 • in overleg met de functioneel bevoegde minister • Doel = beschikken over een gedocumenteerd systeem van interne controle – organisatiebeheersing • binnen de looptijd van de beheersovereenkomst, zijnde tot 31 december 2010 • alle thema’s die in de leidraad interne controle – organisatiebeheersing zijn aangegeven • Voldoen aan de toets in maturiteitsniveau 3 ‘gedefinieerd’ in het maturiteitsmodel • beheersingsmaatregelen dienen ontwikkeld en aanwezig te zijn • beheersingsmaatregelen moeten gestandaardiseerd, gedocumenteerd en gecommuniceerd zijn

  5. VoorgeschiedenisWerkgroep IC/OB en netwerk • Werkzaamheden werkgroep IC/OB • Aanreiken instrumenten • Bijgewerkte leidraad • Zelfevaluatierooster • Vertaalmatrices • Stappenplan • Handreikingen • Fiches financiële interne controle • FAQ’s • Beschrijvingen proces- en risicomanagement • Ondersteuning via netwerk organisatiebeheersing/ankerpunten

  6. Bekommernissen

  7. Organisatiebeheersing

  8. Maturiteitsniveau 3

  9. Omschrijving en PDCA

  10. Kernelementen • Beheersmaatregelen bij maturiteitsniveau 3 bij een thema zijn: • Toegepast in de praktijk • Gedocumenteerd • Gestandaardiseerd • Gecommuniceerd • Do

  11. Toegepast • Belangrijkste element • Beheersmaatregelen zijn: • Adequaat: aangepast aan de situatie • Effectief: uitvoeren zoals voorzien • Impliceert: • Risicoanalyse • Kosten-batenanalyse

  12. Risicomanagement als vertrekpunt voor uitbouw IC/OB • Leidraad is instrument om het management te begeleiden bij bepalen van ‘interne’ risico’s en mogelijke beheersmaatregelen • Doordachte risicoanalyse gaat verder: specificiteit van de organisatie • ook andere al dan niet externe risico’s in ogenschouw genomen • differentiëring van risico’s in functie van relevantiegraad

  13. Risicomanagement als vertrekpunt voor uitbouw IC/OB • Doelstelling inzake organisatiebeheersing • Welke risico’s voor entiteit? • Inschatting risico’s (kans, impact) • Beheersmaatregelen: aanwezig en afdoend, niet aanwezig

  14. Overige elementen • Gestandaardiseerd • Gedocumenteerd • Gecommuniceerd • Afgeleide van risicogebaseerde toepassingen in de praktijk • Zijn geïntegreerd

  15. Gestandaardiseerd • Standaardiseren: brengen tot een standaard of eenheid in afmeting, vorm, inhoud, samenstelling, enz… (van Dale) • Gebruik van een standaard of raamwerk binnen de Vlaamse overheid om op uniforme wijze interne controle/organisatiebeheersing in te bedden

  16. Gestandaardiseerd • Keuze voor leidraad interne controle/organisatiebeheersing • Afgestemd op internationaal aanvaarde controleraamwerken: volledigheid • Afgestemd op standaardinstrumenten Vlaamse overheid: aangepast • Verfijning via handreikingen: verdere standaardisatie • Komen tot een geïntegreerd geheel organisatiebreed – organisatiespecifiek - processpecifiek

  17. Gestandaardiseerd • Standaardisering  eenheidsworst • Situeert zich op niveau van principes, doelstellingen van organisatiebeheersing of controledoelstellingen • Invulling concrete beheersmaatregelen is o.b.v. afweging risico’s • Uitz. verplichte generieke of wettelijke maatregelen, maar basis is gemeenschappelijk risico

  18. Gedocumenteerd • Gedocumenteerd en gecommuniceerd is nodig om duidelijkheid te creëren over beheersmaatregelen • Doel van de beheersmaatregel: waar draagt die toe bij • Uitvoering van de beheersmaatregel: hoe, wie doet wat, rol en verantwoordelijkheden,… • Documentatie niet tot op het kleinste detail, maar in functie van behoefte • Aantoonbaarheid • Documentatie beheersmaatregelen • Output van de beheersmaatregelen ( = toepassing in de praktijk) • Niets nieuw. Analoog met andere instrumenten (EFQM, CAF, COBIT, ISO,…): onderbouwende documentatie deel van maturiteitsinschatting. Ontwerp van wet corporate governance

  19. Gecommuniceerd • Gecommuniceerd aan medewerkers • Aangepast i.f.v. graad van betrokkenheid • Verschillende instrumenten (publicatie intranet van procedurebeschrijvingen, opleidingen, teamoverleg, communicatie beslissingen directieraad, feedback managementcomité en beleidsraad,…)

  20. Voordelen • Voordelen van standaardisering, documentering en communicatie • gemeenschappelijk taal en algemeen begrip van interne controle en organisatiebeheersing, • verhogen van het risicobewustzijn, • uniforme systematiek voor de uitvoering van risico- en beheersanalyses, • verduidelijking van ieders rol en verantwoordelijkheden m.b.t. interne controle / organisatiebeheersing, • verhoogde transparantie in het afleggen van verantwoording • Deugdelijke basis voor (zelf)evaluatie • Dingen niet heruitvinden • …

  21. Principes bij de uitvoering van validatie-audits

  22. Gehanteerde principes bij uitvoering van de audit • De entiteiten moeten zelf maturiteitsniveau aantonen • via actualisering van sterkte-zwakteanalyse de zelfinschatting qua maturiteitsniveau per thema onderbouwen • nodige bewijs leveren om de opgenomen argumentatie aan te tonen • IAVA valideert enkel o.b.v. de zelfinschatting, aangeleverde bewijsmateriaal en interviews (niet meer zelf zoeken) • IAVA gaat in eerste instantie uit van volledigheid aangeleverde documentatie

  23. Gehanteerde principes bij uitvoering van de audit • De ‘Leidraad interne controle / organisatiebeheersing is het kader voor organisatiebeheersing en dus voor het inschatten van het maturiteitsniveau • Subthema’s en doelstellingen inzake organisatiebeheersing = kader • Beheersmaatregelen: geen checklist • Indien gebruik EFQM-gerelateerd instrumentarium: entiteit toont afdekking aan via vertaalmatrix

  24. Gehanteerde principes bij uitvoering van de audit • Behalen van maturiteitsniveau 3 • organisatie moet voor het behalen van maturiteitsniveau 3 voldoen aan de vereisten (= doelstellingen inzake organisatiebeheersing) uit de leidraad • indien niet voldaan aan vereiste van de leidraad, moet organisatie op onderbouwde wijze uiteenzetten waarom • onderbouwing: bij voorkeur risicoanalyse, maar ook andere gemotiveerde onderbouwing mogelijk • koppeling tussen status PDCA-cyclus binnen een thema en behalen van maturiteitsniveau 3

  25. Gehanteerde principes bij uitvoering van de audit • Geen afzonderlijke inschatting deelthema’s • Conform beslissing van de Vlaamse regering maar één inschatting per thema • Integratie voortgangscontroleaudit: svz aanbevelingen • Inschatting doelstellingen organisatiebeheersing : Efficiëntie, Effectiviteit, Kwaliteit en Integriteit (EIKE) • Geen EIKE-zelfinschatting verwacht van de entiteiten • IAVA maakt wel EIKE-inschatting in rapport per entiteit (of enkel werkdocument: nog te beslissen) • Focus op efficiëntie: aanwezigheid en toepassing instrumenten (in hoofdzaak voor organisatiebrede evaluatie) • Rapportering • Overkoepelend syntheserapport VO en rapport per entiteit • Geen werkdocument meer

  26. Praktische aanpak gedocumenteerd IC/OB • Alle thema’s moeten afgedekt zijn t.e.m. niveau doelstellingen • Vertaald in functie van behoeften, risico’s, verplichtingen, … voor entiteit • Koppeling met bestaande beheersmaatregelen • Voorbeeld: VREG, Departement WVG, zelfevaluatie IAVA (http://www2.vlaanderen.be/internecontrole/netOB_091027.html) • Andere structuur mogelijk (CAF, EFQM, eigen indeling,…) maar relatie met en afdekking van leidraad moet door entiteit zelf geduid worden

  27. Groeien naar continue zelfevaluatie • Rol IAVA in sterkte-zwakteanalyse is aflopend • Overname door entiteiten via zelfevaluatie • Voordelen • Beter maatwerk • Directere koppeling met effectieve werking • Leermogelijkheden • Invulling managementverantwoordelijkheid • Potentieel groeitraject naar in-control-statements !

  28. Uitvoering • Juli 2010 – maart 2011 • Goede afspraken per beleidsdomein • Eventuele opsplitsing per ‘afgewerkt’ thema of gefaseerde aanpak • Bilateraal overleg IAVA / leidend ambtenaar – ankerpunt • Vragen voor overleg

More Related