Operationaliseren van een externe audit op archiefzorg en beheer in de openbare sector als partner voor kwaliteitszorg bij zorgdragers

Transcriptie

1 Vrije Universiteit Brussel Faculteit der Letteren en Wijsbegeerte Studiegebied Archivistiek: Erfgoedbeheer en Hedendaags Documentbeheer Proef ingediend voor het behalen van de graad van Master na Master in de Archivistiek: Erfgoedbeheer en Hedendaags Documentbeheer door Thibault Cayron Operationaliseren van een externe audit op archiefzorg en beheer in de openbare sector als partner voor kwaliteitszorg bij zorgdragers Promotor: Prof. Dr. Bart Ballaux Academiejaar Copromotor: Prof. Dr. Frank Scheelings Brussel 2016

2 Operationalization of an external audit on archival care and management in the public sector as a partner for quality assurance by caretakers

3 Voor deze masterproef gaat mijn dank uit naar: prof. dr. Bart Ballaux, mijn promotor, en prof. Dr. Frank Scheelings, mijn copromotor, voor me bij te staan met hun opmerkingen en advies; de medewerkers van de Coördinerende Archiefdienst en in het bijzonder Els Michielsen, voor de hartelijke ontvangst, vele raadgevingen en fijne samenwerking; mijn familie voor hun steun en in het bijzonder mijn vader, Guy Cayron, voor het nalezen van deze masterproef en mijn moeder, Nicole Wauters, voor het nalezen van de abstract in het Engels; mijn vriendin, Laura Vanlerberghe, voor me altijd te steunen en mijn geweeklaag te aanhoren. 3

4 Inhoudstafel Samenvatting... 6 Abstract... 9 Verklaring in verband met plagiaat Lijst met gebruikte afkortingen Inleiding Deel I: theorie Archiefdecreet en Auditdecreet Archiefdecreet Auditdecreet Verschil Archief- en Auditdecreet Theorieën rond auditing Definiëring Soorten audits Positie en voordelen Randvoorwaarden en succesfactoren Neveneffecten Uitvoering Deel II: praktijk Audit Vlaanderen Externe Audits in andere landen en regio s I-monitor Gesprekken met de zorgdragers Eigen aanbevelingen Aanbeveling en mening Haalbaarheid Noden Keuze Risicomatrix Procesmodel Risicomatrix Conclusie Bibliografie

5 Bijlagen Bijlage Bijlage Bijlage Bijlage Bijlage

6 Samenvatting De Coördinerende archiefdienst, een virtueel team van de Vlaamse Overheid bestaande uit medewerkers van Informatie Vlaanderen en Het Facilitair Bedrijf, wil met het ondersteunen van en dienstverlening bieden aan de zorgdragers en het uitwerken en uitvoeren van het Archiefdecreet, het informatiebeheer bij de zorgdragers in Vlaanderen naar een hoger niveau tillen. Om deze reden is in het Archiefdecreet in artikel 9 de mogelijkheid om een externe audit uit te voeren, opgenomen. Het opzet van deze stageopdracht bestond uit twee delen. Ten eerste moest er nagegaan worden op welke wijze deze informatiegestuurde audit, zoals voorgeschreven in het Archiefdecreet, uitgevoerd zou kunnen worden. Ten tweede moest er gekeken worden op welke manier deze audit door de zorgdragers als een ondersteunend middel aanschouwd zou kunnen worden in plaats van controlerend. Om deze onderzoeksvraag volledig te kunnen beantwoorden, moest er gekeken worden naar: de overlapping tussen het toepassingsgebied van het Archiefdecreet en dat van het Auditdecreet, wat een audit juist is, de werking van Audit Vlaanderen, hoe externe audits in andere landen en regio s worden uitgevoerd, welke inspiratiebronnen er in Vlaanderen bestaan voor de informatiegestuurde audit en de noden en verwachtingen van de zorgdragers zelf. De overlapping tussen het toepassingsgebied van het Archiefdecreet en dat van het Auditdecreet was op het eerste zicht niet meteen te bepalen vanwege de decreten die niet op elkaar zijn afgestemd. Vele zorgdragers bleken uiteindelijk niet onder het toepassingsgebied van het Auditdecreet te vallen. Dit aantal kon genuanceerd worden, omdat het aantal zorgdragers bijna dagelijks fluctueert. Buiten dit gegeven bleek dat de overgrote meerderheid van de zorgdragers die niet onder het toepassingsgebied van het Auditdecreet vallen, bestaat uit kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten en polders en wateringen, welke toch eerder een kleine invloed hebben op het dagelijkse leven. Bij het bekijken van wat juist een audit is, werd duidelijk dat een audit veel breder is dan enkel een financiële audit. Auditing behoort tot de laatste stap van de pdca-cyclus en moet voor de verbetering van de organisatie zorgen. Bij een goede audit wordt er altijd getracht om 6

7 de geauditeerde te betrekken bij het hele proces. Een goede audit tracht de organisatie te verbeteren en deze te ondersteunen door onder meer de aanbevelingen die worden meegegeven. Auditing gelijk stellen als iets niet ondersteunend, is dus niet correct. Een informatiegestuurde audit is echter niet te plaatsen in een bepaald type audit, omdat informatiebeheer juist zo veel raakpunten heeft. Het onderzoek naar de werking van Audit Vlaanderen maakte een aantal zaken duidelijk. Ten eerste voert Audit Vlaanderen verschillende soorten audits uit. Ze trekt de kaart van organisatiebeheersing met de organisatie-audits en de specifiek gerichte thema-audits. Met de organisatie-audit en thema-audit tracht ze de organisatie een betere greep te geven op haar werking en een verbetering van deze werking. Ten tweede was te zien dat Audit Vlaanderen ondersteunend tracht te zijn voor de geauditeerden. Ze wil zich positioneren als een partner van de geauditeerde. Ze wil dit nastreven door onder andere de manier waarop ze haar audits uitvoert en de best practices die ze aanbiedt in haar rapporten. Bij het onderzoek naar mogelijke voorbeelden voor de informatiegestuurde audit uit andere landen of regio s bleek dat deze niet te vinden waren. De wijze waarop Audit Vlaanderen te werk gaat en hoe de audit omschreven is in het Archiefdecreet lijken uniek te zijn. Voor een Vlaamse inspiratiebron werd er gekeken naar de I-monitor vanwege het gebruik van maturiteitsniveaus. Deze zelfevaluatie bleek echter minder geschikt als inspiratiebron voor de informatiegestuurde audit dan aan het begin van het onderzoek werd verwacht. Na vele interviews werd duidelijk dat de noden van de zorgdragers te herleiden valt tot twee zaken, namelijk expertise en sensibilisering. Door het grote niveauverschil dat er binnen de zorgdragers bestaat, was de vraag naar expertise verschillend. De meeste zorgdragers wensen eerder best practices. Zorgdragers van een eerder laag niveau zoals de wateringen en polders hebben meer expertise nodig dan enkel best practices. De nood aan expertise is hier hoger en zij wensen dan ook een veel sterkere ondersteuning. De zorgdragers hebben het meeste nood aan sensibilisering op het digitale aspect van informatiebeheer. Daar vrezen de meeste dat de meeste risico s liggen, maar dat ze als informatiebeheer / archivaris er niet altijd bij betrokken worden. De zorgdragers zien de informatiegestuurde audit dus als een middel om het management en de medewerkers te sensibiliseren van het belang van informatiebeheer voor de werking van de zorgdrager en zeker op vlak van het digitale. Na het bekijken van al deze aspecten is er in de masterproef geopteerd voor een risicomatrix, het uiteindelijke resultaat van deze masterproef. Deze risicomatrix is niet een afgewerkt product. Het is een eerste aanzet die verder uitgewerkt kan worden. Deze 7

8 risicomatrix kan zowel gebruikt worden door Audit Vlaanderen als door de zorgdragers zelf. Het gebruik van doelstellingen, mogelijke risico s en mogelijke beheersmaatregelen moet de zorgdrager helpen te sensibiliseren over het belang van informatiebeheer binnen de werking van de zorgdrager. Trefwoorden audit Vlaamse overheid risicomatrix Archiefdecreet archiefbeheer informatiebeheer 8

9 Abstract Article 9 of the Flemish Decree on Archives makes it possible to do an informationoriented audit. This thesis looks how this information-oriented audit could be operational and how it could be seen as a supporting process instead of controlling process. To fully answer this problem, this thesis looks : at the difference between the scope of the Flemish Decree on Archives and that of the Flemish Decree on Audit, at what auditing actually is, on how Audit Vlaanderen does its job, at possible international and Flemish examples for the information-oriented audit and reflects the needs and expectations of the caretakers. The final result of this thesis is a risk matrix that could be used by Audit Vlaanderen and the caretakers. Subjects audit Flemish government risk matrix - Flemish Decree on Archives records management 9

10 Verklaring in verband met plagiaat Ik verklaar plechtig dat ik de masterproef, Operationaliseren van een externe audit op archiefzorg en beheer in de openbare sector als partner voor kwaliteitszorg bij zorgdragers, zelf heb geschreven. Ik ben op de hoogte van de regels i.v.m. plagiaat en heb erop toegezien om deze toe te passen in deze masterproef. 16 augustus 2016 Thibault Cayron 10

11 Lijst met gebruikte afkortingen ABB AC ANAO BBB CELB CJSM CRAC CRC EVA EWI FB GPA IAVA INTOSAI iv IVA KB LNE LV MOW NARA OAG OCMW OIG OV PwC RWO Sar VLABEST VMW VRT VVSG Agentschap Binnenlands Bestuur Audit Commission Australian National Audit Office Beter Bestuurlijk Beleid commissie Efficiëntiewinst Lokale Besturen beleidsdomein Cultuur, Jeugd, Sport en Media Centre Régional d Aide aux Communes Chambres régionales des comptes Extern Verzelfstandigde Agentschap beleidsdomein Economie, Wetenschap en Innovatie beleidsdomein Financiën en Begroting Gemeindeprüfungsanstalt Nordrhein-Westfalen Interne Audit van de Vlaamse Administratie International Organisation of Supreme Audit Institutions beleidsdomein internationaal Vlaanderen Intern Verzelfstandigde Agentschap Beleidsdomein Kanselarij en Bestuur beleidsdomein Leefmilieu, Natuur en Energie beleidsdomein Landbouw en Visserij beleidsdomein Mobiliteit en Openbare Werken National Archives and Records Administration Office of the Auditor General of Canada Openbaar Centrum voor Maatschappelijk Welzijn Office of the Inspector General beleidsdomein Onderwijs en Vorming PricewaterhouseCoopers beleidsdomein Ruimtelijke Ordening, Woonbeleid en Onroerend Erfgoed Strategische adviesraad Vlaamse Adviesraad voor Bestuurszaken Vlaamse Maatschappij voor Watervoorziening Vlaamse Radio- en Televisieomroep Vlaamse Vereniging van Steden en Gemeenten 11

12 WSE WLOA beleidsdomein Werk en Sociale Economie Werkgroep Lokaal Overheidsarchief 12

13 Inleiding De Coördinerende archiefdienst is een virtueel team van de Vlaamse Overheid. Het bestaat uit medewerkers afkomstig uit 2 verschillende entiteiten, namelijk Informatie Vlaanderen en Het Facilitair Bedrijf. Haar taak is om vanuit hun beide eigen specifieke expertisekennis nauw samen te werken om een zo goed mogelijke ondersteuning en dienstverlening te bieden aan zorgdragers in Vlaanderen op het vlak van informatiebeheer. De uitwerking en uitvoering van het Archiefdecreet van 9 juli 2010 vallen ook onder haar taken. De Coördinerende archiefdienst wil het informatiebeheer bij de zorgdragers in Vlaanderen naar een hoger niveau tillen. Dit beoogt zij door het ondersteunen van de zorgdragers, het verlenen van diensten aan hen, en het uitwerken en uitvoeren van het Archiefdecreet. Om deze reden is in het Archiefdecreet in artikel 9 de mogelijkheid om een externe audit uit te voeren, opgenomen. Het opzet van onze stageopdracht was te bestuderen hoe deze externe audit op de archiefzorg en het archiefbeheer uitgevoerd kan worden en hoe deze audit als iets ondersteunend kan aanvoelt worden door de zorgdragers in plaats van controlerend. In de voorbije jaren zijn hier echter al een aantal zaken gerealiseerd. Sinds 2014 zijn, mede dankzij de inbreng van de Coördinerende archiefdienst met de input van de VVBAD, de belangrijkste kwaliteitscriteria van het Archiefdecreet opgenomen in Leidraad Organisatiebeheersing van Audit Vlaanderen. Audit Vlaanderen auditeert de maatregelen die in deze leidraad staan naar de zorgdragers toe met wie zij in contact staat. De Coördinerende archiefdienst heeft ook al een zelfevaluatietool ontwikkeld. Deze tool bevat alle criteria van het Archiefdecreet en kan gebruikt om na te gaan hoe sterk je scoort in de realisatie van de doelstellingen van het Archiefdecreet. Op dit moment is deze tool puur ondersteunend en dus vrijblijvend gepositioneerd. Deze tool is echter niet de juiste insteek voor een informatiegestuurde audit vanwege hij enkel de realisaties van de doelstellingen van het Archiefdecreet nagaat. Bij het onderzoek naar het operationaliseren van een externe audit op archiefzorg en archiefbeheer in de openbare sector, als partner voor kwaliteitszorg bij zorgdragers, is in hoofdzaak getracht om volgende vraag te beantwoorden: Op welke manier kan worden tegemoetgekomen aan de vraag van de zorgdragers om de externe archiefaudit te positioneren als ondersteunend en niet controlerend? 13

14 De bedoeling van de Coördinerende archiefdienst is om de zorgdragers naar een hoger niveau te tillen op vlak van informatiebeheer. Om deze reden moet er getracht worden deze informatiegestuurde audit ondersteunend te maken. Op het eerste zicht lijkt dit tegenstrijdig omdat auditing meestal geassocieerd of gelijk gesteld wordt aan controleren. Om deze vraagstelling volledig te kunnen beantwoorden, moeten ook de volgende vragen beantwoord worden: Welke overlap bestaat er tussen het toepassingsgebied van het Archiefdecreet en die van het Auditdecreet? Wat is auditing en wat houdt het juist allemaal in? Hoe is de werking van Audit Vlaanderen? Bestaan er mogelijke internationale en binnenlandse voorbeelden als mogelijke inspiratie voor de informatiegestuurde audit? Wat zijn de verwachtingen en wensen van de zorgdragers zelf? De masterproef bestaat uit twee luiken: Deel I: theorie Deel II: praktijk In Deel I: theorie komen hoofdstukken 1. Archiefdecreet en Auditdecreet en 2. Theorieën rond auditing aan bod. In hoofdstuk 1. Archiefdecreet en Auditdecreet komen het Archiefdecreet en het Auditdecreet aan bod. Van beide decreten zal een korte historiek besproken worden. Uiteindelijk zullen beide decreten naast elkaar gelegd worden om het verschil in toepassingsgebied te vergelijken. Dit is van groot belang om het verschil in audituniversum, en dus ook het verschil in bevoegdheid, te bepalen. Het hoofdstuk beantwoord dus de vraag: Welke overlap bestaat er tussen het toepassingsgebied van het Archiefdecreet en die van het Auditdecreet? Hoofdstuk 2. Theorieën rond auditing moet de vraag beantwoorden: Wat is auditing en wat houdt het juist allemaal in? Deze vraag zal beantwoord worden aan de hand van een literatuurstudie. Het hoofdstuk moet een kader schetsen over wat auditing juist is. Zulks is van groot belang, want rond auditing bestaan er nog altijd bepaalde gedachtegangen die niet stroken met de realiteit. In dit hoofdstuk zal dus getracht worden de verwarring en verkeerde percepties rond auditing te bannen. Buiten het definiëren van auditing worden in dit hoofdstuk ook de verschillende soorten audits, de voordelen van een audit, de randvoorwaarden van een 14

15 audit, de mogelijke neveneffecten van auditing en het uitvoeren van een audit onder de loep gehouden. Het belang van dit hoofdstuk bestaat erin om de praktijk aan de theorie te kunnen toetsen. In Deel II: praktijk komen de hoofdstukken 3. Audit Vlaanderen, 4. Externe audits in andere landen en regio s, 5. I-monitor, 6. Gesprekken met de zorgdragers en 7. Eigen aanbeveling, aan bod. Hoofdstuk 3. Audit Vlaanderen moet de vraag beantwoorden: Hoe is de werking van Audit Vlaanderen? In dit hoofdstuk wordt aan de hand van gesprekken met en publicaties van Audit Vlaanderen de werking van Audit Vlaanderen geschetst. De werking van Audit Vlaanderen is van belang vanwege het single audit principe dat in Vlaanderen heerst. Hoofdstukken 4. Externe audits in andere landen en regio s en 5. I-monitor moeten de vraag beantwoorden: Bestaan er mogelijke internationale en binnenlandse voorbeelden als mogelijke inspiratie voor de informatiegestuurde audit? In Hoofdstuk 4. Externe audits in andere landen en regio s wordt er, aan de hand van publicaties, gekeken hoe in andere landen en regio s externe audits worden uitgevoerd. Er wordt gekeken naar de omliggende landen en regio s en de landen die als koplopers op vlak van informatiebeheer worden aanzien. Hoofdstuk 5. I-monitor is dan weer een mogelijk binnenlands voorbeeld om als inspiratie te dienen voor de informatiegestuurde audit. De I-monitor wordt in dit hoofdstuk geschetst aan de hand van gesprekken, s en publicaties. Hoofdstuk 6. Gesprekken met de zorgdragers moet de vraag beantwoorden: Wat zijn de verwachtingen en wensen van de zorgdragers zelf? Het opzet van de informatiegestuurde audit is dat deze als ondersteunend wordt aanzien en niet per se controlerend door de zorgdragers. Daarom is het belangrijk om te weten wat hun verwachtingen en wensen zijn. De noden en verwachtingen van de zorgdragers zijn geschetst aan de hand van interviews met hen. Om de noden en verwachtingen te bepalen is getracht geweest om elk type zorgdrager individueel te interviewen. Tenslotte trachten we bij hoofdstuk 7. Eigen aanbeveling de synthese te maken van alle voorgaande hoofdstukken om de uiteindelijke hoofdvraag te beantwoorden: Op welke manier kan worden tegemoetgekomen aan de vraag van de zorgdragers om de externe archiefaudit te positioneren als ondersteunend en niet controlerend? Dit hoofdstuk bestaat uit twee delen. In het eerste deel komen de aanbevelingen en eigen inzichten aan bod. In het tweede deel van het hoofdstuk komt het uiteindelijke resultaat van de stageopdracht en dit onderzoek, namelijk, een risicomatrix. 15

16 Deel I: theorie 1. Archiefdecreet en Auditdecreet In dit hoofdstuk komt het Archiefdecreet en het Auditdecreet aan bod. Van beide decreten zal een korte historiek van het decreet besproken worden. Uiteindelijk zullen beide decreten naast elkaar gelegd worden om het verschil in toepassingsgebied te vergelijken. Dit verschil is van groot belang om het verschil in het audituniversum, en dus ook het verschil in bevoegdheid, te bepalen Archiefdecreet Het decreet betreffende de bestuurlijk-administratieve archiefwerking van 9 juli 2010, of kort gezegd het Archiefdecreet, is tot stand gekomen na een proces van lange adem. De federale Archiefwet dateert van 1955 en is pas gewijzigd in Er was een nood aan een nieuwe regelgeving vanwege het zichtbaar worden van een aantal cruciale problemen door het uitblijven van de wijziging van de federale Archiefwet, die Bart Severi aanhaalt in een artikel 2 : Het politieke landschap dat de federale Archiefwet van 1955 weerspiegelde, bestaat niet meer. Met de eerste staatshervorming in 1970 en de vele andere die erop gevolgd zijn, is België veranderd van een unitaire staat naar een federale staat. Deze veranderingen hebben grote gevolgen gehad in de verschuiving van de bevoegdheden. Het gevolg hiervan was dat er vele nieuwe instellingen werden opgericht of opgeheven. Hierdoor stonden in de federale Archiefwet bepaalde organen die niet meer bestonden. De federale Archiefwet van 1955 had een veel langere termijn tot verplichte overdracht dan andere landen. In andere landen legde men verplicht de overdracht van archieven naar de centrale instelling op na 50, 30 en sommigen zelfs 20 jaar. Met de overdracht werden de archiefbescheiden meteen ook openbaar. In de federale Archiefwet van 1955 was een overdracht van de archieven naar het Algemeen Rijksarchief en Rijksarchief in de Provinciën opgelegd pas na 100 jaar. Het was dus perfect mogelijk dat belangrijke archiefbestanden 100 jaar ontoegankelijk waren voor het publiek, wat moeilijk verdedigbaar was zeker met 1 Velle, cursus archiefrecht, Severi, Creating Archival Legislation in a Federal State: The Case of Flanders,

17 toegenomen streven naar transparantie van de samenleving op het einde van de 20 e eeuw. De federale Archiefwet van 1955 speelde nog te veel in op een oud paradigma. Het ging er nog van uit dat een archivaris te pas kwam vanaf het ogenblik dat het archief in de statische fase terecht gekomen was. De archivaris had dus niets te maken met de dynamische fase van het archief. Door uit te gaan van dit paradigma ging de federale archiefwet van 1955 er van uit dat de archiefbescheiden naar een centrale archiefinstelling zouden verhuizen en hield het geen rekening met de levenscyclus van een archiefbescheiden. Met de opkomst van het records continuum en het digitaal werken bestond er een als maar groter wordende kloof tussen de huidige situatie op vlak van archiefbeheer en die van de federale Archiefwet van In de federale Archiefwet van 1955 is er ook geen controlesysteem opgenomen. De Algemene Rijksarchivaris had het recht om de archieven van overheidsorganen te superviseren. In de praktijk was er echter geen manier om dit om te zetten. Met de federale Archiefwet van 1955 was het ook niet mogelijk om straffen op te leggen als de wetgeving niet werd nageleefd. Een ander probleem is eerder van juridisch-technische aard, namelijk dat een belangrijke uitvoeringswet betreffende publieke toegankelijkheid er nooit kwam, omdat het bevoegde ministerie werd opgeheven. Het gaat om een reglement van orde, vastgesteld door de Minister van Openbaar Onderwijs, dat de regelen bepaalt volgens welke de in het Rijksarchief neergelegde stukken aan navorsers ter inzage kunnen verstrekt worden. De uiteindelijke weg naar het archiefdecreet was een lange weg waar er verschillende vergeefse acties werden ondernomen, tot het uiteindelijke archiefdecreet in Bart Severi deelt dit in drie perioden in 3 : : poging om de federale Archiefwet te moderniseren : overleg met de Federale Regering : initiatief om een eigen wetgeving uit te werken. In hoofdstuk 1, artikel 4 van het Archiefdecreet staan de instanties voor wie het van toepassing is, opgesomd, namelijk: 4 3 Ibid.,

18 de door de decreetgever opgerichte administratieve rechtscolleges de diensten, instellingen en rechtspersonen die afhangen van de Vlaamse Gemeenschap of het Vlaamse Gewest de gemeenten en de districten de provincies de intergemeentelijke samenwerkingsverbanden de openbare centra voor maatschappelijk welzijn en de verenigingen, vermeld in titel 7 en 8 van het decreet van 19 december 2008 betreffende de organisatie van de openbare centra voor maatschappelijk welzijn de kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten de polders en de wateringen de andere gemeentelijke en provinciale instellingen, met inbegrip van de verenigingen zonder winstoogmerk waarin een of meer gemeenten of provincies minstens de helft van de stemmen in een van de beheersorganen hebben Dit komt neer op ongeveer 3500 instanties die onder het Archiefdecreet vallen. Een precies getal is hier echter niet op te plakken, want dit aantal fluctueert dagelijks vanwege de mogelijke interpretatie die er is. 5 In hetzelfde artikel van het Archiefdecreet worden al deze instanties daarna zorgdragers genoemd. Deze term zal ook verder worden gebruikt in deze masterproef. Het archiefdecreet wil een modern, flexibel juridisch kader aanbieden aan de zorgdragers om het eigen archiefbeheer in te richten. De Vlaamse overheid tracht met het Archiefdecreet vijf ambitieuze doelstellingen te realiseren: 6 4 Het Grondwettelijk Hof en de Raad van State hebben in verschillende arresten uitspraken gedaan over de bevoegdheidsverdeling. Hierdoor heeft de Vlaamse overheid niet over alle instanties die onder het Archiefdecreet vallen, de volledige bevoegdheid. Het Archiefdecreet is gedeeltelijk van toepassing voor de gemeenten en districten, de provincies, de openbare centra voor maatschappelijk welzijn (met inbegrip van de intern verzelfstandigde agentschappen), de kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten, de polders en de wateringen en de andere gemeentelijke en provinciale instellingen. Bij deze instanties is het Archiefdecreet enkel van toepassing voor de (semi)dynamische archiefdocumenten. Bij de gemeenten en provincies vallen de (semi)dynamische archiefdocumenten van de burgerlijke stand, de organisatie van en het beleid inzake de politie en de brandweer, de pensioenstelsels van het personeel en de mandatarissen, de uitvoering van federale regelgeving en de door de federale overheid toevertrouwde opdrachten ook niet onder het Archiefdecreet. 5 < geraadpleegd op 7 april

19 Verhogen van de kwaliteit van het archiefbeheer: De Vlaamse Overheid ontwikkelt instrumenten en creëert richtlijnen om overheidsinformatie snel terug vindbaar te maken op de werkvloer en in het archief Archiefdocumenten beter ontsluiten voor de recht- en informatiezoekende burger: De Vlaamse Overheid biedt richtlijnen aan voor de raadpleging van archiefdocumenten en helpt zorgdragers deze te ontsluiten via een register. Toelaten van wetenschappelijk onderzoek: De Vlaamse Overheid helpt zorgdragers bijzondere toegang te geven tot archiefdocumenten voor wetenschappelijk onderzoek. Efficiënte waardering en selectie van archiefdocumenten stimuleren: De Vlaamse Overheid ondersteunt selectiecommissies die selectielijsten opmaken per bestuursniveau, op basis waarvan archiefdocumenten mogen worden vernietigd. Bieden van ondersteuning aan zorgdragers: De Vlaamse Overheid biedt een brede waaier aan diensten en producten aan voor het informatiemanagement. In het archiefdecreet komt de mogelijkheid voor een audit op het vlak van informatiebeheer naar voren. 7 In het Archiefdecreet staat in hoofdstuk 2 artikel 9 het volgende over de mogelijkheid tot een audit op vlak van informatiebeheer: 1. De Vlaamse Regering kan, in overleg met de betrokken zorgdragers, een externe audit van het archiefbeheer bij de zorgdragers uitvoeren. 2. De audit omvat ten minste: 1 de controle op de naleving van de bepalingen over archiefzorg, vermeld in artikel 5 en 6; 2 de controle op het archiefbeheer, vermeld in artikel 7; 3 de controle op de naleving van de selectielijsten, vermeld in artikel 12; 4 de controle op het verlenen van toegang tot archiefdocumenten voor wetenschappelijke doeleinden, vermeld in artikel 14; 5 een identificatie van de mogelijkheden tot verbetering van de effectiviteit en de efficiëntie van het archiefbeheer van de betrokken zorgdragers. 3. De Vlaamse Regering stelt de nadere bepalingen vast inzake de werking, de financiering en de periodiciteit van de audit. 8 6 <. geraadpleegd op 7 april Vlaamse Overheid, Decreet betreffende de bestuurlijk-administratieve archiefwerking. 19

20 In de Memorie van toelichting geeft men de volgende toelichting over artikel 9 in hoofdstuk 2: Het toezicht op de naleving van dit decreet wordt uitgeoefend binnen het kader van het algemeen bestuurlijk toezicht. Om de naleving van het decreet voor het volledige toepassingsgebied te kunnen opvolgen, kan de Vlaamse Regering op periodieke basis ter aanvulling een audit van één of meerdere zorgdragers uitvoeren. Tijdens de audit wordt gecontroleerd in hoeverre de bepalingen over de archiefzorg, het archiefbeheer, de vernietiging en de toegang worden nageleefd en waar eventuele pijnpunten te situeren zijn Auditdecreet Het Auditdecreet 10 van 5 juli 2013 heeft een hele historiek. Deze historiek wordt omschreven in het Ontwerp van decreet houdende de organisatie van audittaken bij de Vlaamse administratie en de lokale besturen en tot wijziging van het kaderdecreet bestuurlijk beleid van 18 juli 2003, het Gemeentedecreet van 15 juli 2005, het Provinciedecreet van 9 december 2005, het decreet van 19 december 2008 betreffende de organisatie van de openbare centra voor maatschappelijk welzijn, het decreet van 27 maart 2009 betreffende radio-omroep en televisie, het decreet van 8 juli 2011 houdende regeling van de begroting, de boekhouding, de toekenning van subsidies en de controle op de aanwending ervan, en de controle door het Rekenhof en het decreet van 13 juli 2012 houdende bepalingen tot begeleiding van de tweede aanpassing van de begroting In dit ontwerp wordt per niveau van lokaal bestuur hun historiek geschetst. De provincies hebben de meeste ervaring met audits. Zo heeft het Rekenhof de bevoegdheid om controles en 8 Ibid. 9 Vlaamse Regering, Memorie van toelichting. Ontwerp van decreet betreffende de bestuurlijk-administratieve archiefwerking. 10 Officieel Decreet houdende de organisatie van audittaken bij de Vlaamse administratie en de lokale besturen en tot wijziging van het kaderdecreet bestuurlijk beleid van 18 juli 2003, het Gemeentedecreet van 15 juli 2005, het Provinciedecreet van 9 december 2005, het decreet van 19 december 2008 betreffende de organisatie van de openbare centra voor maatschappelijk welzijn, het decreet van 27 maart 2009 betreffende radio-omroep en televisie, het decreet van 8 juli 2011 houdende regeling van de begroting, de boekhouding, de toekenning van subsidies en de controle op de aanwending ervan, en de controle door het Rekenhof en het decreet van 13 juli 2012 houdende bepalingen tot begeleiding van de tweede aanpassing van de begroting

21 audits uit te voeren bij de provincies door de wet van 29 oktober 1846 op de inrichting van het Rekenhof. Het Rekenhof bezit deze bevoegdheid nog altijd. 11 Er was voor het eerst sprake van een audit bij de OCMW s met de introductie van het decreet van 17 december 1997 houdende wijziging van de organieke wet van 8 juli 1976 betreffende de openbare centra voor maatschappelijk welzijn een systeem van interne en externe audits. De bepalingen rond interne audit bleven dode letter bij de OCMW s. 12 Tijdens de eerste voorbereidingen van het Gemeentedecreet in de eerste jaren van 2000 kwam een audit aan bod. Deze audit was echter wel een interne audit. Ten slotte werd een nog op te richten externe audit dienst met een zeer breed takenpakket geformuleerd in een bepaling in het Gemeente-, OCMW- en Provinciedecreet. Zoals het ontwerp het formuleert ging het om de controle op de wettigheid en regelmatigheid van de handelingen van het betrokken bestuur; de controle op de correctheid en volledigheid van de financiële bescheiden; de controle van de inventarislijsten; de controle op het waar en getrouw beeld van de boekhouding en de jaarrekening; en de evaluatie van het systeem van interne controle van het betrokken bestuur en de naleving ervan. Daar bijkomend werden verscheidene specifiekere taken opgelegd aan de externe auditdienst. 13 Aan het begin van de regeerperiode waren de bepalingen die voorgeschreven waren in het Gemeente- en Provinciedecreet nog niet in werking getreden, ook al waren deze bepalingen van Een evaluatie van de decretale regelingen rond een externe audit werden dan ook voorgeschreven in de beleidsnota Binnenlands Bestuur. De Vlaamse Adviesraad voor Bestuurszaken en de commissie Efficiëntiewinst Lokale Besturen gaven hun advies dan ook over deze kwestie. 14 In het advies van VLABEST staan er twee grote opmerkingen rond de externe audit zoals ze opgenomen waren in de decreten. Deze opmerkingen gaan over het conceptuele en het 11 Vlaamse Overheid, Ontwerp van het Decreet houdende de organisatie van audittaken bij de Vlaamse administratie en de lokale besturen en tot wijziging van het kaderdecreet bestuurlijk beleid van 18 juli 2003, het Gemeentedecreet van 15 juli 2005, het Provinciedecreet van 9 december 2005, het decreet van 19 december 2008 betreffende de organisatie van de openbare centra voor maatschappelijk welzijn, het decreet van 27 maart 2009 betreffende radio-omroep en televisie, het decreet van 8 juli 2011 houdende regeling van de begroting, de boekhouding, de toekenning van subsidies en de controle op de aanwending ervan, en de controle door het Rekenhof en het decreet van 13 juli 2012 houdende bepalingen tot begeleiding van de tweede aanpassing van de begroting 2012, Ibid., Ibid., Ibid. 21

22 praktische. Over de praktische uitwerking van de externe audit zoals ze in de decreten waren opgesteld zegt het advies van VLABEST het volgende: De huidige decreten gaan uit van een jaarlijkse externe audit, inclusief een continu opvolgen van diverse aspecten door de externe auditcommissie. Maar de meeste betrokkenen zijn ervan overtuigd dat dit op korte en (zelfs middenlange) termijn financieel, noch organisatorisch of operationeel haalbaar zou zijn. VLABEST erkent wel het belang voor m.n. de Raad om over jaarlijks geattesteerde rapportering te kunnen beschikken, aangezien de beleids- en beheerscyclus ook deze periodiciteit kent. Hieraan moet tegemoet kunnen gekomen worden door een slimme uitwerking van de attestering "waar en getrouw beeld" zoals hierboven beschreven. 15 Op het conceptuele vlak geeft het advies van VLABEST aan dat in de decreten tegen het principe van single audit wordt ingaan. 16 Audit Vlaanderen geeft volgende definitie voor een single audit: Single audit houdt in dat de werkzaamheden van verschillende controle-actoren op elkaar afgestemd zijn. De controleactoren wisselen ervaringen en informatie uit en bouwen daarop voort met respect voor elkaars opdrachten en bevoegdheden. Voor de geauditeerde organisaties zou dit op termijn minder controlelast moeten betekenen. 17 Het advies van CELB geeft ook deze opmerkingen. 18 Binnen de Vlaamse Overheid bestond er al een auditinstantie die een interne audit deed bij de Vlaamse Overheid. Deze instantie was de Interne Audit van de Vlaamse Administratie. IAVA werd opgericht bij besluit van de Vlaamse Regering van 16 april 2004 en trad in werking op 1 april Deze structuren werden vervangen door het Auditdecreet. Het Auditdecreet van 2013 gaat ervan uit dat in deze moeilijke economische periode er efficiënter en effectiever moet omgegaan worden met overheidsmiddelen. Dit decreet richt ook meteen een nieuwe auditinstantie op, namelijk Audit Vlaanderen, dat IAVA vervangt. In het decreet is bepaald dat Audit Vlaanderen zowel de interne audit bij de Vlaamse Overheid als de externe audit bij de lokale besturen zal uitvoeren. De oprichting van deze nieuwe instantie had dan ook tot doel om mee te werken aan het versterken van de lokale besturen. 15 Vlaamse Adviesraad voor Bestuurszaken, Advies bij externe audit voor de lokale en provinciale besturen, Vlaamse Adviesraad voor Bestuurszaken, Advies bij externe audit voor de lokale en provinciale besturen. 17 Audit Vlaanderen, Auditcomité van de lokale besturen, en Auditcomité van de Vlaamse administratie, Jaarverslag 2014, commissie Efficiëntiewinst voor de Lokale Besturen, Rapport met aanbevelingen. 19 < geraadpleegd op 25 april

23 Omdat men werkt in één instantie, zorgt dit voor belangrijke efficiëntievoordelen. Ten eerste wordt gespecialiseerde kennis opgebouwd en ten tweede moeten de verschillende managementinstrumenten voor een auditorganisatie maar één keer worden ontwikkeld. 20 De missie van deze nieuwe instantie luidt: Het agentschap heeft als missie een onafhankelijke, objectieve en bekwame partner te zijn van de entiteiten, vermeld in artikel 4, bij de beheersing van de financiële, wettelijke en organisatorische risico's, om een toegevoegde waarde te creëren bij de uitbouw van een efficiënte, effectieve, ethische en kwaliteitsvolle organisatie. 21 Hoofdstuk 1 artikel 4 geeft weer waar Audit Vlaanderen de bevoegdheid heeft tot het uitvoeren van een audit. Het artikel vermeldt het volgende: Het agentschap kan audits uitvoeren in de volgende besturen en entiteiten: 1 de gemeenten; 2 de autonome gemeentebedrijven; 3 de openbare centra voor maatschappelijk welzijn; 4 de verenigingen, vermeld in titel VIII, hoofdstuk I, van het decreet van 19 december 2008 betreffende de organisatie van de openbare centra voor maatschappelijk welzijn, met uitzondering van de verenigingen die een ziekenhuis beheren; 5 de provincies; 6 de autonome provinciebedrijven; 7 de departementen van de Vlaamse overheid; 8 de intern verzelfstandigde agentschappen van de Vlaamse overheid; 9 de publiekrechtelijk vormgegeven extern verzelfstandigde agentschappen van de Vlaamse overheid; 10 de eigen vermogens met rechtspersoonlijkheid die verbonden zijn aan de entiteiten, vermeld in punt 7 tot en met 9 ; 11 de Vlaamse openbare instellingen van categorie A, vermeld in de wet van 16 maart 1954 betreffende de controle op sommige instellingen van openbaar nut. 20 Vlaamse Adviesraad voor Bestuurszaken, Advies bij externe audit voor de lokale en provinciale besturen, Vlaamse Regering, Besluit van de Vlaamse Regering tot oprichting van het intern verzelfstandigd agentschap Audit Vlaanderen en tot wijziging van diverse besluiten, hoofdstuk 1 artikel 3. 23

24 Als het agentschap een audit uitvoert bij de entiteiten, vermeld in het eerste lid, 1 tot en met 6, gebeurt dat in de vorm van een externe audit. Als het agentschap een audit uitvoert bij de entiteiten, vermeld in het eerste lid, 7 tot en met 11, treedt het op als interne audit. 22 Daarnaast heeft Audit Vlaanderen ook de bevoegdheid om een audit uit te voeren bij de Vlaamse Radio- en Televisieomroep door een specifieke bepaling in het decreet betreffende radio-omroep en televisie van 27 maart 2009 en kan Audit Vlaanderen ook op vraag van de minister-president of de Vlaamse Regering een forensische opdracht uitvoeren bij de kabinetten Verschil Archief- en Auditdecreet Het adviesbureau PricewaterhouseCoopers kreeg in september 2012 de opdracht van de Coördinerende archiefdienst voor het uitwerken van een auditmethodologie. 24 In dit rapport werd ook de oefening gemaakt om het audituniversum te bepalen. Hierbij werd een vergelijking gemaakt met de zorgdragers die in het Archiefdecreet worden opgesomd, dus het audituniversum van het Archiefdecreet vormen, en het toepassingsgebied van IAVA en het toepassingsgebied van het Agentschap Binnenlands Bestuur, wat samen het audituniversum van het Auditdecreet vormt dat tijdens het onderzoek van PwC nog niet bestond. De tabel hieronder was het resultaat van deze oefening. 25 Art. Categorie Zorgdrager (toepassingsgebied Archiefdecreet) Toepassings gebied IAVA Toepassings gebied ABB 4.1 administratieve rechtscolleges 4.2 diensten, instellingen en rechtspersonen die afhangen van de Vlaamse Gemeenschap of het Vlaamse Gewest Binnen BBB: departementen X Binnen BBB: IVA s zonder rechtspersoon X Binnen BBB: IVA s met rechtspersoon Binnen BBB: Publiekrechtelijke EVA s X 22 Vlaamse Regering, Besluit van de Vlaamse Regering tot oprichting van het intern verzelfstandigd agentschap Audit Vlaanderen en tot wijziging van diverse besluiten. 23 < geraadpleegd op 25 april PricewaterhouseCoopers, Finaal rapport. Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers, Ibid.,

25 Binnen BBB: Privaatrechtelijke EVA s X Binnen BBB: Sar s X Binnen BBB: Eigen vermogens X Binnen BBB: Andere? Buiten BBB Vlaamse Openbare Instellingen X Buiten BBB Vlaamse instellingen van openbaar nut, categorie vzw Buiten BBB: Andere Buiten BBB: Onthaalbureaus ter uitvoering van het Vlaamse inburgeringsbeleid 4.3 gemeenten en districten X 4.4 provincies X 4.5 intergemeentelijke samenwerkingsverbanden 4.6 OCMW s en hun verenigingen X 4.7 kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten 4.8 polders en wateringen 4.9 andere gemeentelijke en provinciale instellingen Gewone gemeentebedrijven X Autonome gemeentebedrijven X Gemeentelijke verzelfstandigde agentschappen Privaatrechtelijke gemeentelijke verzelfstandigde agentschappen Autonome provinciebedrijven X Provinciale intern verzelfstandigde agentschappen Privaatrechtelijke provinciale extern verzelfstandigde agentschappen Beter Bestuurlijk Beleid staat voor de grootschalige reorganisatie waarbij de Vlaamse overheid in 2006 een geheel nieuwe organisatiestructuur kreeg. Het kaderdecreet Bestuurlijk Beleid van 18 juli 2003 behandelt de krijtlijnen en de principes van de vernieuwde organisatiestructuur. Het organisatiebesluit van 3 juni 2005 stelt de verschillende beleidsdomeinen vast en bevat een exhaustieve opsomming van de verschillende entiteiten per 25

26 beleidsdomein. 26 In het kaderdecreet Bestuurlijk Beleid van 18 juli 2003 staat de mogelijkheid om een interne audit te laten uitvoeren door IAVA. 27 Zoals men op het eerste zicht ziet, spreekt men in het finaal rapport van het adviesbureau PricewaterhouseCoopers nog van het toepassingsgebied van IAVA en het toepassingsgebied van ABB en niet over het toepassingsgebied van Audit Vlaanderen. De reden hiervoor is dat wanneer dit rapport werd opgesteld, namelijk februari 2013, Audit Vlaanderen nog niet was opgericht. Zoals men in het hoofdstuk Auditdecreet hierboven kon lezen is het Auditdecreet pas nadien gekomen. Audit Vlaanderen is dan ook pas na het finaal rapport van PricewaterhouseCoopers, namelijk op 1 januari , opgericht. Deze tabel is, ook al dateert ze van voor de oprichting van Audit Vlaanderen, in het algemeen ook bruikbaar, want het audituniversum van Audit Vlaanderen is de samenvoeging van het toepassingsgebied van IAVA en het toepassingsgebied van ABB. Het probleem is echter dat deze tabel van het adviesbureau PricewaterhouseCoopers niet volledig juist is en zelf onzeker is over een bepaalde categorie. Wat zeker niet klopt aan de tabel is dat Buiten BBB Vlaamse Openbare Instellingen onder het toepassingsgebied van IAVA viel. In het voorbeeld dat ze gebruiken om duidelijk te maken dat het Archiefdecreet een breder universum heeft, spreken ze hun eigen tabel tegen. Ze zeggen namelijk het volgende: Opmerking: het toepassingsgebied van het Archiefdecreet is groter dan dat van de Interne Audit van de Vlaamse Administratie (IAVA). Het GO!, UZ Gent en VMW maken bijvoorbeeld geen deel uit van het toepassingsgebied van IAVA. Deze organisaties vallen echter wel onder het toepassingsgebied van het Archiefdecreet. 29 De instellingen die ze hier aanhalen, namelijk Het GO!, UZ Gent en VMW 30, zijn instellingen die onder Buiten BBB Vlaamse Openbare Instellingen vallen. Het GO!, UZ Gent en VMW zijn namelijk niet opgenomen in het organisatiebesluit van 3 juni Onder Buiten BBB Vlaamse Openbare Instellingen bestaat er wel een uitzondering, namelijk de VRT. Door een specifieke bepaling in het decreet betreffende radio-omroep en televisie van 27 maart < beter-bestuurlijk-beleid -bbb>, geraadpleegd op 25 april Ministerie van de Vlaamse Gemeenschap, kaderdecreet bestuurlijk beleid. 28 < geraadpleegd op 25 april PricewaterhouseCoopers, Finaal rapport. Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers, In 2013 is de naam gewijzigd naar De Watergroep. 31 Vlaamse Regering, Besluit van de Vlaamse Regering met betrekking tot de organisatie van de Vlaamse administratie. 26

27 had de entiteit Interne Audit van de Vlaamse Gemeenschap de bevoegdheid om een audit uit te voeren bij de VRT. Met het Auditdecreet ligt deze bevoegdheid nu bij Audit Vlaanderen. 32 Dat de tabel ook niet volledig zeker is, is te merken aan het vraagteken dat is geplaatst bij Binnen BBB: Andere of deze wel bij het toepassingsgebied van IAVA behoort. De grote moeilijkheid om de overlapping van het audituniversum van het Archiefdecreet en het audituniversum van het Auditdecreet te bepalen ligt in het feit dat het Archiefdecreet en het Besluit van de Vlaamse Regering tot oprichting van het intern verzelfstandigd agentschap Audit Vlaanderen en tot wijziging van diverse besluiten andere terminologie gebruiken en hierdoor niet op elkaar zijn afgestemd. Dit is duidelijk te zien als men ze naast elkaar zet zoals in de tabel hieronder. 32 Vlaamse Overheid, Auditdecreet. 27

28 Archiefdecreet met de indeling zoals op het Excel bestand die te vinden is op de website van de Coördinerende archiefdienst 33 de door de decreetgever opgerichte administratieve rechtscolleges de diensten, instellingen en rechtspersonen die afhangen van de Vlaamse Gemeenschap of het Vlaamse Gewest o Binnen Beter Bestuurlijk Beleid Departementen Intern Verzelfstandigde Agentschappen zonder rechtspersoon Intern Verzelfstandigde Agentschappen met rechtspersoon Publiekrechtelijke Extern Verzelfstandigde Agentschappen Privaatrechtelijke Extern Verzelfstandigde Agentschappen Strategische adviesraden Eigen vermogens Andere Besluit van de Vlaamse Regering tot oprichting van het intern verzelfstandigd agentschap Audit Vlaanderen en tot wijziging van diverse besluiten de departementen van de Vlaamse overheid de intern verzelfstandigde agentschappen van de Vlaamse overheid de publiekrechtelijk vormgegeven extern verzelfstandigde agentschappen van de Vlaamse overheid de eigen vermogens met rechtspersoonlijkheid die verbonden zijn aan de entiteiten, vermeld in de departementen van de Vlaamse overheid, de intern verzelfstandigde agentschappen van de Vlaamse overheid en de publiekrechtelijk vormgegeven extern verzelfstandigde agentschappen van de Vlaamse overheid de Vlaamse openbare instellingen van categorie A, vermeld in de wet van 16 maart 1954 betreffende de controle op sommige instellingen van openbaar nut 33 < geraadpleegd op 7 april

29 o Buiten Beter Bestuurlijk Beleid Vlaamse Openbare Instellingen (niet exhaustief) Vlaamse instellingen van openbaar nut, categorie vzw Andere (niet exhaustief) Onthaalbureaus ter uitvoering van het Vlaamse inburgeringsbeleid Havenbedrijven (exclusief de havenbedrijven die autonoom gemeentebedrijf zijn) Comités, commissies en andere instanties de gemeenten en de districten de provincies de intergemeentelijke samenwerkingsverbanden de openbare centra voor maatschappelijk welzijn en de verenigingen, vermeld in titel 7 en 8 van het decreet van 19 december 2008 betreffende de organisatie van de openbare centra voor maatschappelijk welzijn de kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten de polders en de wateringen de gemeenten de provincies de openbare centra voor maatschappelijk welzijn de verenigingen, vermeld in titel VIII, hoofdstuk I, van het decreet van 19 december 2008 betreffende de organisatie van de openbare centra voor maatschappelijk welzijn, met uitzondering van de verenigingen die een ziekenhuis beheren 29

30 de andere gemeentelijke en provinciale instellingen, met inbegrip van de verenigingen zonder winstoogmerk waarin een of meer gemeenten of provincies minstens de helft van de stemmen in een van de beheersorganen hebben o andere gemeentelijke instellingen gewone gemeentebedrijven autonome gemeentebedrijven gemeentelijke verzelfstandigde agentschappen privaatrechtelijke gemeentelijke verzelfstandigde agentschappen o andere provinciale instellingen autonome provinciebedrijven provinciale intern verzelfstandigde agentschappen privaatrechtelijke provinciale extern verzelfstandigde agentschappen de autonome gemeentebedrijven de autonome provinciebedrijven 30

31 Door de indeling van het Excel bestand, die te vinden is op de website van de Coördinerende archiefdienst, te gebruiken is de terminologie in beide decreten iets meer op elkaar gelijkend. Conclusie Men zou dan tot de conclusie kunnen komen dat het audituniversum van het Archiefdecreet breder is dan die van het Auditdecreet van De instellingen in het lijstje hieronder behoren enkel tot het audituniversum van het Archiefdecreet: Administratieve rechtscolleges Binnen BBB: Privaatrechtelijke extern verzelfstandigde agentschappen van de Vlaamse Overheid Binnen BBB: Strategische adviesraden Binnen BBB: Andere Buiten Beter Bestuurlijk Beleid Intergemeentelijke samenwerkingsverbanden Kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten Polders en wateringen Gemeentelijke verzelfstandigde agentschappen Privaatrechtelijke gemeentelijke verzelfstandigde agentschappen Provinciale intern verzelfstandigde agentschappen Privaatrechtelijke provinciale extern verzelfstandigde agentschappen Deze lijst klopt echter nog altijd niet. Zoals eerder al vermeld, behoort de VRT ook tot het audituniversum van het Auditdecreet door een specifieke bepaling in het decreet betreffende radio-omroep en televisie van 27 maart Verder moet er ook meer genuanceerd worden ter betrekking op de gemeentelijke verzelfstandigde agentschappen. 34 Zo worden in het Gemeentedecreet de gemeentelijke verzelfstandigde agentschappen opgesplitst in de gemeentelijke intern verzelfstandigde agentschappen en de gemeentelijke extern verzelfstandigde agentschappen. Deze gemeentelijke extern verzelfstandigde agentschappen worden dan nog eens opgedeeld in het autonoom gemeentebedrijf, het gemeentelijke extern verzelfstandigd agentschap in privaatrechtelijke vorm en het autonoom gemeentelijk havenbedrijf. 35 Men kan dus niet zo maar zeggen dat gemeentelijke verzelfstandigde 34 Mails van Katrien Aerts van Audit Vlaanderen, 23 maart 2016 en 2 mei Vlaamse Gemeenschap, Gemeentedecreet. 31

32 agentschappen niet tot het audituniversum van het Auditdecreet horen. De correcte lijst van soorten instellingen die enkel tot het audituniversum van het Archiefdecreet behoren is: Administratieve rechtscolleges Binnen BBB: Privaatrechtelijke extern verzelfstandigde agentschappen van de Vlaamse Overheid Binnen BBB: Strategische adviesraden Binnen BBB: Andere Buiten Beter Bestuurlijk Beleid (met uitzondering van de VRT) Intergemeentelijke samenwerkingsverbanden Kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten Polders en wateringen Privaatrechtelijke gemeentelijke verzelfstandigde agentschappen Autonoom gemeentelijk havenbedrijf Privaatrechtelijke provinciale extern verzelfstandigde agentschappen Deze lijst komt overeen met ongeveer 2400 instellingen als men de aantallen gebruikt die op het Excel bestand staan. 36 Hieruit is te concluderen dat ongeveer 70% van de instellingen die onder het Archiefdecreet vallen, niet onder het Auditdecreet vallen en dus ook niet tot de bevoegdheid horen van Audit Vlaanderen. Deze situatie lijkt eerder het gevolg van inconsequente wetgeving. Het ziet er naar uit dat bij het opstellen van het Auditdecreet enkel gekeken is naar het vervangen van de oude structuren door de nieuwe structuren en niet naar het Archiefdecreet ook al is daar een artikel opgenomen voor een mogelijke informatiegestuurde audit. Dit is duidelijk te merken aan het grote verschil in terminologie tussen de twee decreten. Men moet deze cijfers wel nuanceren, want het aantal instellingen die onder het Archiefdecreet vallen, fluctueert bijna dagelijks. Buiten dit gegeven bestaan de 2400 instellingen ongeveer voor 90% uit kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten en polders en wateringen, welke toch eerder een kleine invloed hebben op het dagelijkse leven. 36 < geraadpleegd op 7 april

33 2. Theorieën rond auditing Dit hoofdstuk zal aan de hand van literatuur rond auditing een kader schetsen van wat auditing juist is. Dit is van groot belang, want rond auditing bestaan er nog altijd bepaalde ideeënn die niet stroken met de realiteit. In dit hoofdstuk zal dus getracht worden om de percepties rond auditing te verbreden. Buiten het definiëren van auditing komen in dit hoofdstuk ook de verschillende soorten audits, de voordelen van een audit, de randvoorwaarden van een audit, de mogelijke neveneffecten van auditing en het uitvoeren van een audit aan bod. Dit hoofdstuk moet een vergelijking tussen theorie en praktijk mogelijk maken Definiëring Over auditing bestaan er enorm veel handboeken. Deze handboeken kunnen vrij algemeen zijn tot zeer specifiek. Bij het breed publiek wordt auditing als het controleren van de boekhouding gezien. Dit is echter maar één aspect van auditing. De meeste handboeken rond auditing gaan echter wel over financiële audits en weerspiegelen hierdoor ook het algemeen beeld van het brede publiek over auditing. In deze masterproef werden de handboeken rond financiële audits vermeden en werd er gekozen voor handboeken die meer van toepassing zijn voor dit onderwerp. De meest voorkomende perceptie van auditing is dat auditing gelijk gesteld wordt aan accounting. Uiteraard is dit een heel beperkende interpretatie van het begrip. Deze visie komt in verschillende werken voor. Zo geeft het werk Internal Auditing. Een managementkundige benadering aan dat er vaak onduidelijkheid heerst over het begrip auditing. Het werk bevestigt dat het begrip auditing vaak geassocieerd wordt met de accountantscontrole, werkzaamheden die door of voor een externe accountant worden uitgevoerd. 37 De associatie van het begrip auditing met accounting komt ook terug in het werk Handboek Auditing. Het begrip accounting kan zelf op twee manieren bekeken worden. De eerste manier is waarop accounting gedefinieerd wordt als het proces van registreren, classificeren en samenvatten van economische gebeurtenissen en/of transacties van een entiteit met als doel financiële informatie te verstrekken die kan worden gebruikt om beslissingen te nemen. Hierin zou dan nog eens onderscheid kunnen gemaakt worden tussen financial accounting, management accounting en cost accounting. De tweede manier hoe accounting bekeken kan worden is nog veel enger, namelijk als synoniem van algemeen boekhouden. Het werk benadrukt dat door 37 Driessen en Molenkamp, Internal auditing,

34 auditing met accounting te associëren er een veel te enge visie rond auditing ontstaat, want de audit van een accountingproces is slechts een specifieke toepassing van auditing. 38 Er bestaan vele definities voor auditing. In Handboek Auditing geven Dries, Van Brussel en Willekens het verband weer tussen controle en auditing. In dit werk wordt controle aanzien als een algemeen begrip. Binnen het controleren ziet dit werk twee belangrijke dimensies: het verzamelen van informatie om activiteiten te reguleren en/of bij te sturen met als doel een gewenst gevolg, toestand of actie te bereiken; het instaleren van processen waardoor een systeem haar intern gedrag aanpast als respons op veranderingen in de externe omgeving. Controle zien ze in dit werk eerder als een algemene term en auditing is dan een bijzondere vorm van controle. 39 Auditing is in de ogen van het werk Handboek Auditing controle van de tweede orde. Ze geven in dit werk aan dat de meest algemene betekenis van auditing een synoniem is voor controle, maar dat in de praktijk de meeste definities van auditing worden gesitueerd in een welbepaalde controlecontext. 40 Uiteindelijk geven ze de definitie geformuleerd door het Committee on Basic Auditing Concepts van de American Accounting Association, namelijk: Auditing is a systematic process of objectively obtaining and evaluating evidence regarding assertions about economic actions and events to ascertain the degree of correspondence between those assertions and established criteria and communicating the results to interested users. 41 Uit deze definitie halen ze de volgende elementen, die ze ook toelichten 42 : Dat auditing een systematisch proces is. Dit houdt dus in dat een audit volgens een logisch gestructureerde wijze dient te verlopen. Dat het verzamelen en analyseren van het bewijskrachtig materiaal op een objectieve manier gebeurt, dit met betrekking tot beweringen en gebeurtenissen (feiten). Dit verwijst dus naar de manier waarop een auditor een audit moet uitvoeren, namelijk op een objectieve en onafhankelijke manier. Dit zijn ook meteen de twee hoekstenen waarop het auditberoep is gebaseerd, namelijk deskundigheid en onafhankelijkheid. De auditor zal dus op een onafhankelijke 38 Dries, Van Brussel, en Willekens, Handboek auditing, Ibid., Ibid. 41 Ibid. 42 Ibid., 4. 34

35 wijze informatie verzamelen in verband met de beweringen die het management maakt. Dat men de overeenstemming zal nagaan tussen de geobserveerde realiteit of de verzamelde beweringen van het management en de vastgestelde normen of criteria. Dit betekent dat afhankelijk van welk doel de audit heeft de normen waaraan de feiten getoetst zullen worden, in de wet beschreven staan of vastgelegd is door de organisatie zelf. Het uiteindelijke resultaat van een audit is de rapportering van de resultaten aan de belanghebbenden. Dit betekent dus dat de belangrijke afwijkingen van de realiteit ten opzichte van de normen meegedeeld worden. In het werk Met open vizier. Auditing als stimulerende interventie wordt de vraag gesteld hoe een organisatiebrede audit kan bijdragen aan de ontwikkeling van een organisatie. In dit werk bespreekt de auteur ook de term audit. Hierover zegt hij kort samengevat het volgende: Een audit is een min of meer geïnstitutionaliseerde vorm van kijken naar een organisatie, proces of product in opdracht van de organisatie (auditee) zelf (eigen initiatief of afgeleid initiatief) of in opdracht van een derde partij (b.v. overheid, sector of branche) Het is een kortdurende interventie die een gedegen voorbereiding vraagt van de organisatie (auditee) en van het auditteam. Het resultaat is een beeld over/van een organisatie, vaak in combinatie met een oordeel over de organisatie, op basis van een referentiekader. Dit kader is ontwikkeld door internationale of nationale partijen in het kader van wet- en regelgeving, internationale standards for good business of in het kader van het streven naar business excellence. Een audit is een activiteit (proces) die wordt uitgevoerd door een onafhankelijke partij (voldoende distantie) die beschikt over de competenties om een dergelijk onderzoek uit te voeren. Het uiteindelijke resultaat moet de opdrachtgever zicht bieden op enerzijds de mate waarin men voldoet aan de kwaliteitsstandaarden of de aspecten uit het referentiekader en/of anderzijds de mate waarin de organisatie zich kan verbeteren of ontwikkelen. 43 In grote lijnen is de wijze waarop de term audit wordt gedefinieerd niet zo verschillend met hoe dat wordt gedaan in het werk Handboek Auditing. Er zijn wel verschillen op te merken. Zo geeft Met open vizier. Auditing als stimulerende interventie weer dat het resultaat van een 43 Stevens, Met open vizier,

36 audit niet enkel een bepaald beeld is. Het resultaat van een audit kan ook een bepaald beeld zijn in combinatie met een oordeel. Vervolgens zullen er in de rapportage niet enkel de verschillen met de normen worden geschetst, maar ook de mate waarin een organisatie zich kan verbeteren of ontwikkelen. Beide definities zijn correct, maar in deze masterproef wordt er liever aangesloten bij de definitie in het werk Met open vizier. Auditing als stimulerende interventie dan die van in het werk Handboek Auditing, omdat in de definitie van het eerste werk ook de functie van een audit wordt benadrukt, namelijk dat een organisatie zich kan verbeteren en/of ontwikkelen Soorten audits Zoals te vermoeden valt bestaan er verschillende soorten audits. Elke soort audit heeft een bepaalde invalshoek om naar een organisatie te kijken. Zo bestaan er: financiële audits overeenstemmingsaudit operationele audit managementaudit computeraudit speciale audits Een financiële audit gaat, zoals de naam het doet vermoeden, over de financiële aspecten van de organisatie. Bij een dergelijk audit wordt eerder de nadruk gelegd op een verklaring bij de jaarrekening en op het nazien van de naleving door het topmanagement van de vennootschapswetgeving en de statuten. 44 Een overeenstemmingsaudit wordt in de literatuur ook vaak in zijn Engelse benaming gebruikt, namelijk compliance audit. Een overeenstemmingsaudit gaat na over de naleving van de opgelegde procedures, regels of wetgeving. Een overeenstemmingsaudit kan echter ook tot de operationele audit behoren, omdat de naleving van de wetgeving op zich ook tot de doelstelling van het management behoren. 45 Een operationele audit als term wordt vaak gewisseld met de Engelse term performance audit. Meestal wordt een performance audit aanzien als een onderzoek naar de drie E s, namelijk economy, efficiency en effectiveness, van een organisatie. De definitie die de International Organisation of Supreme Audit Institutions geeft is de volgende: 44 Dries, Van Brussel, en Willekens, Handboek auditing, Ibid.,

37 Performance audit is concerned with the audit of economy, efficiency and effectiveness and embraces: a) audit of the economy of administrative activities in accordance with sound administrative principles and practices, and management policies; b) audit of the efficiency of utilization of human, financial and other resources, including examination of information systems, performance measures and monitoring arrangements, and procedures followed by audited entities for remedying identified deficiencies; and c) audit of the effectiveness of performance in relation to achievement of the objectiveness of the audited entity, and audit of the actual impact of activities compared with the intended impact. 46 Vital Put kwam tot een andere definitie voor performance audits na een rapportenanalyse van verschillende rekenkamers, namelijk de volgende: - Performance audits zijn empirische onderzoeken; - die plaatsvinden nadat beleidsbeslissingen zijn genomen; - gesteund zijn op een professionele methodologie; - waarbij een beoordeling wordt gegeven van hetzij: 1. de resultaten van overheidsbeleid in de samenleving (de prestaties van de overheid en de effecten ervan); 2. de voorwaarden binnen de overheid om deze te realiseren (een goed management en een goed beleid); 3. de verantwoordingsinformatie over resultaten van beleid die door ministers wordt bezorgd aan het parlement. - die uitgevoerd worden door onafhankelijke en onpartijdige auditors die bijzondere bevoegdheden hebben om hun taak te kunnen uitoefenen; - en waarbij de onderzoeksresultaten leiden naar een publieke rapportering die bestemd is voor het parlement en die deel uitmaakt van de democratische parlementaire controle op de regering. 47 Zoals deze twee definities aantonen is een performance audit niet zo simpel te definiëren als enkel het onderzoek van economy, efficiency en effectiveness, de zogenaamde de E s, van een organisatie. Bovendien kan het onderzoeksonderwerp ook zeer divers zijn. Men Er kan dus geconcludeerd worden dat een performance audit zich focust op activiteiten waar een actor (organisatie, instelling, persoon) verantwoordelijk voor gesteld kan worden. Vanwege 46 D hoedt en Bouckaert, Performance auditing, Ibid., 8. 37

38 de vele mogelijke invalshoeken om vele talrijke onderwerpen aan te pakken bij een performance audit, is een performance audit een zeer heterogeen product. 48 De term managementaudit is geen duidelijk gegeven. Velen stellen deze audit gelijk aan een operationele audit. Anderen zien de managementaudit eerder als een doeltreffendheids- en doelmatigheidsaudit van het (top)management. 49 Computeraudit wordt ook wel Electronic Data Processing audit of IT audit genoemd. Dit is een audit die de integriteit, betrouwbaarheid, de beveiliging (inclusief de privacy), efficiëntie en effectiviteit van geautomatiseerde informatiesystemen van de organisatie van de automatiseringsafdeling en van de technisch/organisatorische infrastructuur van de geautomatiseerde gegevensverwerking beoordeelt. Deze audit omvat de ontwikkeling, de implementatie, het onderhoud en het beheer van geautomatiseerde informatiesystemen en heeft zowel betrekking op de operationele systemen als op systemen in ontwikkeling. 50 De term speciale audits is hier als een overkoepelende term gebruikt, omdat er nog zo veel zeer specifieke audits bestaan. Zo bestaat er onder andere een due diligence, environmental audit, sociale audit, overname of fusie audit, legal audit, sociale audit, tax audit, energie audit en verzekeringsaudit. De verschillende soorten audits die hierboven zijn opgesomd zijn eerder een indeling naar welk onderwerp de audit behandelt. Een audit kan ook worden ingedeeld naar de positie van de auditinstantie zelf. Zo kan men tot de indeling van een interne audit en een externe audit komen. Bij een interne audit zit de auditinstantie ingebed in de organisatie die geauditeerd wordt. In tegenstelling tot een interne audit, zit bij een externe audit de auditinstantie niet ingebed in de organisatie en is ze dus extern Positie en voordelen Een audit heeft een bepaalde positie in de werking van een organisatie. De positie van een audit kan het best gekaderd worden binnen de pdca-cyclus, of ook wel de Deming-cyclus genoemd naar de ontwikkelaar ervan. 48 Ibid., Dries, Van Brussel, en Willekens, Handboek auditing, Ibid. 38

39 De pdca-cyclus 51 Deze cyclus wordt gebruikt in organisaties voor het borgen of verbeteren van de kwaliteit van de producten en diensten. Het zorgt dus voor betere organisatieprestaties. Zoals te zien op de afbeelding hierboven bestaat deze pdca-cyclus uit vier fasen: Plan: het formuleren van de doelstellingen en plannen van de activiteiten; Do: plannen uitvoeren; Check: de verwachte resultaten van de plannen vergelijken met de daadwerkelijk resultaten en het proces evalueren; Act: aan de hand van de resultaten en evaluatie het proces borgen of bijsturen en doelstellingen en activiteiten zo nodig aanpassen om wel de gewenste kwaliteit te kunnen leveren. Het valt ook op te merken dat dit een cyclus is en dat na de fase Act opnieuw naar de fase Plan wordt gegaan. Vele organisaties blijven echter steken bij de fases plan-do, terwijl de fases check-act essentieel zijn voor verbetering en de borging van deze verbeteringen zodat de organisatie niet terugvalt na het verbeteren. Het belang van de fases check-act staat mooi geïllustreerd op de afbeelding hieronder Robbins e.a., Management in sociaalagogische beroepen, 153, fig Ibid.,

40 De check- en act-fase 53 Een audit behoort tot de check fase en is dus essentieel voor de verbetering van een organisatie en de borging van deze verbeteringen. Een audit is niet enkel een functie binnen een organisatie. Een audit heeft een toegevoegde waarde voor een organisatie. De belangrijkste toegevoegde waarde van een audit is dat het kan bijdragen tot een continu proces van kwaliteitsverhoging. Deze toegevoegde waarde is vrij duidelijk, omdat een audit tot de check fase van de pdca-cyclus behoort, zoals besproken hierboven, en dus voor verbetering van de organisatie en borging van deze verbeteringen. Een andere toegevoegde waarde van een audit is dat het zorgt voor een grotere verticale beheersing. Met verticale beheersing wordt de vastlegging, de herkenbaarheid, de werkbaarheid en de toetsbaarheid van die beheerskaders en -maatregelen die de raad van bestuur neemt om de primaire bedrijfsprocessen zodanig te kunnen aan- en bijsturen dat de doelstellingen van de organisatie optimaal kunnen worden gerealiseerd. Schematische kan de verticale beheersing geplaatst worden binnen een organisatie zoals op de afbeelding hieronder wordt afgebeeld. 53 Ibid., 153, fig

41 Verticale beheersing 54 Zoals het schema aanduidt, wordt verticale beheersing als iets top-down aanzien binnen een organisatie. Een andere toegevoegde waarde van een audit is dat het ook zorgt voor een grotere horizontale beheersing. Met een horizontale beheersing worden al die maatregelen bedoeld die verantwoordelijke lijnmanagers en proceseigenaren nemen om op een beheerste manier de afgesproken resultaten te bereiken, werkend binnen de opgelegde beheerskaders.. Schematisch kan de horizontale beheersing geplaats worden binnen een organisatie zoals op de afbeelding hieronder wordt afgebeeld Driessen en Molenkamp, Internal auditing, 109, fig Ibid.,

42 Horizontale beheersing 56 Zoals het schema aanduidt, wordt horizontale beheersing als iets op hetzelfde niveau aanzien binnen een organisatie. Naast de verticale beheersing en de horizontale beheersing geeft een audit ook organisatiebrede voordelen. Zo zullen problemen in de bedrijfsvoering sneller gesignaleerd worden door de periodieke doorlichting en zal de relatie tussen lijnmanagers en stafdiensten onder invloed van de aanbevelingen van de audit in de loop van de tijd herijkt kunnen worden en worden afgestemd op het gewenste bestuursconcept. Schematisch kunnen de organisatiebrede voordelen geplaatst worden binnen een organisatie zoals op de afbeelding hieronder wordt afgebeeld Ibid., 111, fig Ibid.,

43 Organisatiebrede voordelen 58 Zoals het schema aanduidt, worden organisatiebrede voordelen als iets dat voor de hele organisatie en op alle niveaus van toepassing is aanzien Randvoorwaarden en succesfactoren Een audit is niet per definitie een succes. Voor een succesvolle audit moet er aan heel wat randvoorwaarden en succesfactoren voldaan worden. Zo is het belangrijk dat het uitvoeren van de audit zodanig aansluit bij de verwachtingen van het management dat men niet enkel de ervaring heeft dat de audit daadwerkelijk bijdraagt aan een betere werking van de organisatie, maar ook dat de bestaande relatie met het naasthogere management, het management van het betrokken management, beter wordt ondersteund, en dit vooral door het accepteren en doorvoeren van verbeteringsvoorstellen. Het is van groot belang dat een audit consistent is met het besturingsconcept van de raad van bestuur. Indien dit niet het geval is zal er geen legitieme basis zijn om haar taken te verrichten. Toewijding van de leiding is een belangrijk factor voor het al dan niet slagen van een audit. De leiding van de organisatie die geauditeerd wordt, heeft immers een belangrijke rol tijdens de audit. Zo spelen ze een belangrijke rol tijdens de introductiefase, maar ook bij de rapportering. Ze vervullen ook een voorbeeldfunctie voor het uitwerken van de aanbevelingen. Een belangrijke verantwoordelijkheid voor de audit succesvol te maken is dat de auditor zijn onafhankelijkheid blijft bewaren. Zonder deze onafhankelijke positionering van de auditor zal 58 Ibid., 113, fig

44 hij zijn taken niet naar behoren kunnen uitvoeren. Het imago van de auditdienst kan een succesfactor zijn voor de audit. Wanneer de audit door de geauditeerde eerder als iets bemoeizuchtig of zelfs dreigend aanzien wordt, zal dit voor tegenwerking zorgen. Het voorkomen van een niet-effectieve samenwerkingsrelatie vraagt veel flexibiliteit in de houding en het gedrag van de onderzoekers en van de onderzochten. Voor de auditors is het belangrijk om een objectieve houding aan te nemen. Dit betekent dan ook dat een auditor relativerend te werk zal moeten gaan en doortastend zal moeten optreden als de weerstanden een goede werking zouden verhinderen. Een auditor moet zich dus bewust zijn van een juiste en actieve profilering. Het slagen van een audit is ook afhankelijk van de samenstelling en individuele kwaliteiten van de auditdienst. Een auditor moet zowel over voldoende materiekennis als over de nodige inzichten in besturings- en organisatorische vraagstukken beschikken. Hij of zij moet ook de nodige ervaring hebben in het uitvoeren en managen van een audit. Een auditdienst dient multidisciplinair opgesteld te worden. Dit is noodzakelijk, omdat het belangrijk is dat de aard van de risico s binnen de organisatie weerspiegeld dient te worden. Men gaat dus in staat moeten kunnen zijn om zowel via gestandaardiseerde methoden en technieken te kunnen werken als deze te kunnen los laten en te vertrouwen op hun eigen ervaring, kennis en gezond verstand. De cultuur zal een rol spelen in het slagen van een audit. Het is belangrijk dat de auditdienst openlijk communiceert en dat ze hierbij integer te werk gaat. Indien door opgedane ervaringen een organisatie de integriteit van de auditdienst in twijfel trekt, zal het respect voor deze auditdienst ook afnemen. De rapportering van de uiteindelijke audit is een cruciaal deel van de audit. Het doel van de rapportering is dat het verantwoordelijke management erkenning krijgt voor de zaken die goed lopen en dat de aanbevelingen van de aangetroffen tekortkomingen aanzien worden als een substantiële bijdrage aan de verdere ontwikkeling van de organisatie. Allen dan kan een audit een meerwaarde bieden aan de verbetering van kwaliteit. Deze verbetering is niet altijd zo makkelijk aan te tonen. Daarom is het belangrijk om succesindicatoren te benoemen die het succes van een audit zichtbaar en meetbaar kunnen maken. Om een geslaagde audit te bekomen is het ook belangrijk er voor te zorgen dat een audit zowel in tijden van voorspoed als in tijden van een recessie een toegevoegde waarde blijkt te zijn Ibid.,

45 2.5. Neveneffecten Bij het uitvoeren van een audit bestaan er mogelijke neveneffecten waarmee men zeker rekening mee moet houden. Zo geven Van Loocke en Put een aantal mogelijke ongewenste neveneffecten die zeker in acht genomen moeten worden: 60 Het creëren van een schijnwereld, bestaande uit mooie plannen, SMARTdoelstellingen, indicatoren, doelstellingen, om de auditor tevreden te stellen, terwijl achter de façade alles voorgaat zoals vroeger. Dit wordt ook wel window dressing genoemd. Het probleem van blikvernauwing bij de auditor. Auditors leggen systematisch de nadruk op bepaalde aspecten, terwijl anderen niet bekeken worden en hierdoor het risico lopen te worden verwaarloosd. Het beperkt afbakenen van de scope van de audit kan leiden tot suboptimalisering. Een audit die te veel de nadruk legt op formalisering, procedures, kan leiden tot verstarring, ondermijning van initiatief, angst om risico s te nemen, Een audit brengt financiële kosten mee voor de geauditeerde. Het is dan ook de vraag of deze kosten opwegen tegen de baten die voortkomen uit de audit. Deze mogelijke neveneffecten hebben allemaal enkel betrekking tot de auditor zoals Van Loocke en Put ook opmerken. Ze geven aan dat als men naar de geauditeerde kijkt er ook mogelijke ongewenste neveneffecten kunnen voordoen door de kenmerken van de geauditeerde en de institutionele context. Mogelijke ongewenste neveneffecten op dit vlak kunnen bijvoorbeeld zijn een gebrek aan lerend vermogen en allergie voor kritiek. Dit kan eveneens leiden tot verstarring, risicomijdend gedrag, window dressing Uitvoering Het uitvoeren van een audit gebeurt in verschillende fasen. De fasering van een auditproces kan op verschillende manieren bekeken worden. Een manier om de fasering van een auditproces te bekijken is puur in zijn algemeenheid. Dit gebeurt zo in het werk Handboek auditing. Een inleiding. Op de afbeelding hieronder kan je zien hoe deze fasering schematisch wordt voorgesteld. 60 Van Loocke en Vital, De impact van performance auditing: slow and subtle?, Ibid.,

46 De vier algemene fasen van een auditproces volgens Handboek auditing. Een inleiding 62 Zoals men kan zien is hier het auditproces in vier fases opgedeeld: de planning van de opdracht, de uitvoering van de opdracht, de afsluiting van de opdracht en de opvolging. De planning van de opdracht bestaat uit het definiëren van de doelstelling en reikwijdte, de risicobeoordeling, de samenstelling van het auditteam, de voorbereiding van de auditprogramma s en de materiële voorbereiding. Het is noodzakelijk om de doelstellingen en de reikwijdte van de auditopdracht te bepalen om de auditwerkzaamheden te kunnen plannen. Het is ook aan te raden om buiten de doelstellingen en reikwijdte van de opdracht ook de beperkingen van deze doelstellingen en reikwijdte, zoals het gedeelte van de organisatie of van de entiteit dat niet werd geëvalueerd, vast te leggen. De doelstelling en reikwijdte van de audit is afhankelijk van het type audit dat men zal uitvoeren en zal dus bijvoorbeeld voor een operationele audit anders liggen dan bij een financiële audit. De risicobeoordeling houdt in dat de auditor op voorhand het auditrisico, de kans dat de besluiten die in het auditrapport worden geformuleerd niet stroken met de werkelijkheid, gaat inschatten. De risicovolle 62 Dries, Van Brussel, en Willekens, Handboek auditing, 77, fig

47 domeinen van de entiteiten zullen dus in kaart gebracht moeten worden door de auditor. Het is belangrijk de risicobeoordeling uit te voeren zodat de beperkte auditmiddelen zouden worden ingezet daar waar het grootste risico op afwijkingen of fouten voorkomt. De samenstelling van het auditteam kan verschillen van auditopdracht tot auditopdracht. Zo kan afhankelijk van de grootte van de opdracht de audit uitgevoerd worden door één auditor of door een team, al dan niet aangevuld met mensen met specifieke bekwaamheden. In deze eerste fase bereidt men het auditprogramma ook al voor. Dit programma is dan eerder voorlopig, want tijdens het uitvoeren van de audit kan deze nog aangepast worden. Tijdens de voorbereiding van het auditprogramma zorgt men ervoor dat de risicovolle domeinen, de doelstelling en reikwijdte van de audit, de identificatie van de te bezoeken afdelingen en van de te interviewen personen en de voorbereiding van de interviews van alle personen opgenomen zijn in het auditprogramma. Dit auditprogramma moet de auditor inlichten welke auditmaatregelen dienen uitgevoerd te worden, wie van het auditteam de audit zal uitvoeren, welke steekproef er zal opgenomen worden en hoe deze samengesteld moet worden en wanneer de procedures moeten worden uitgevoerd en hoeveel tijd de gegevensverzameling of de tests in beslag zullen nemen. De materiële voorbereiding gaat vooral over praktische zaken zoals het nazicht van de vorige auditdossiers en aanmaak van het nieuwe auditdossiers, de aankondiging van de audit en de vastlegging van een budget. 63 De tweede fase is de uitvoering van de audit. De uitvoering van de audit is sterk afhankelijk van welke soort audit men gaat uitvoeren. Dit is ook vrij logisch, omdat ze niet hetzelfde onderwerp onderzoeken. 64 De derde fase is de afsluiting van de audit. Deze derde fase bestaat uit de afwerking en laatste nazicht van het dossier, de rapportering, de voortgangscontrole van de urenbesteding, het klassement van het dossier en de kwaliteitscontrole. De voortgangscontrole van de urenbesteding wordt gedaan om het budget qua prestaties met de werkelijke prestaties te vergelijken. De kwaliteitscontrole is iets dat in principe gedurende de hele audit gebeurt, maar deze wordt meestal pas in deze fase geformaliseerd. De laatste kwaliteitscontrole wordt meestal bij het afsluiten van het dossier uitgevoerd. De kwaliteitscontrole wordt gedocumenteerd en opgenomen bij het auditdossier. 65 De vierde fase is de opvolging. Hierbij worden de conclusies die getrokken werden tijdens de audit en in het auditrapport geformuleerd staan opgevolgd door het auditteam. Deze 63 Ibid., Ibid., Ibid.,

48 opvolging is net zoals bij het uitvoeren van de audit verschillend naar gelang de soort audit die uitgevoerd is. 66 Een ander model voor het uitvoeren van een audit is het zesstappenmodel, zoals de afbeelding toont. Het zesstappenmodel 67 Zoals men op de afbeelding hierboven kan zien bestaat het zesstappenmodel uit de volgende fases: De planning Het vooronderzoek Het veldwerk De rapportage De evaluatie De follow-up Zoals men kan zien is dit model op zich niet zo verschillend als het vorige model. Het grote verschil is vooral de visie die achter het model zit, waardoor men gekozen heeft voor het uitvoeren van een audit op te splitsen in zes fases. De reden om het uitvoeren van een audit in zes fases op te delen volgens dit model is dat de kwaliteit van de voorbereiding en afronding zeer bepalend zijn voor de totale beeldvorming en het effect van de audit. Dit model benadrukt ook dat hoewel de uitvoering van een audit hier in zes fases is opgedeeld het niet 66 Ibid., Driessen en Molenkamp, Internal auditing, 327, fig

49 altijd mogelijk is om bij elke fase een specifiek begin of einde af te bakenen. De fases vloeien dus eerder in elkaar over. In dit model is terugkoppeling altijd mogelijk als gevolg van bepaalde bevindingen. Dit model benadrukt ook dat er voorkomen moet worden dat fases veldwerk en rapportage te veel als een iteratief proces aanzien worden. 68 Dit zesstappenmodel wordt ook niet gezien als een model dat iets dat op zichzelf staat. Dit zesstappenmodel past in de planningscyclus, zoals men in de afbeelding hieronder kan zien. Het zesstappenmodel in de planningscyclus 69 De afbeelding hierboven illustreert dat het uitvoeren van een audit geen losstaand feit is. Het uitvoeren van een audit past binnen de werking van een auditdienst. We constateren dat de vier algemene fasen van een auditproces volgens Handboek auditing. Een inleiding nauwelijks verschillen van het zesstappenmodel. In deze masterproef gaat de voorkeur eerder naar het zesstappenmodel vanwege het feit dat er hier de nadruk wordt gelegd op de voorbereiding en op de afronding van een audit. Dit zijn belangrijke factoren voor het slagen van een audit. Dat het zesstappenmodel binnen een groter model past, is ook van belang, want in de realiteit moet een audit ook binnen de werking van een auditdienst bekeken worden. 68 Ibid., Ibid., 321, fig

50 Deel II: praktijk 3. Audit Vlaanderen In dit hoofdstuk komt de werking van Audit Vlaanderen aan bod. De werking van Audit Vlaanderen is van belang vanwege de single audit principe dat in Vlaanderen heerst. Audit Vlaanderen definieert dit als volgt: Single audit houdt in dat de werkzaamheden van verschillende controle-actoren op elkaar afgestemd zijn. De controleactoren wisselen ervaringen en informatie uit en bouwen daarop voort met respect voor elkaars opdrachten en bevoegdheden. Voor de geauditeerde organisaties zou dit op termijn minder controlelast moeten betekenen. 70 Als er een aparte auditinstantie zou opgericht worden voor een informatiegestuurde audit dan moet deze volgens de single audit principe op Audit Vlaanderen afgestemd zijn. Audit Vlaanderen heeft zoals besproken in hoofdstuk 1. Archiefdecreet en auditdecreet al de bevoegdheid om bij een deel van de zorgdragers een audit uit te voeren. Het is dus belangrijk te weten hoe Audit Vlaanderen te werk gaat. Met het Besluit van de Vlaamse Regering tot oprichting van het intern verzelfstandigd agentschap Audit Vlaanderen en tot wijziging van diverse besluit werd Audit Vlaanderen op 1 januari 2014 opgericht als een intern verzelfstandigd agentschap. 71 De missie van Audit Vlaanderen is, zoals ze in hun Charter vermelden, een onafhankelijke, objectieve en bekwame partner te zijn van de lokale besturen en van de Vlaamse administratie, bij de beheersing van financiële, wettelijke en organisatorische risico s, teneinde een toegevoegde waarde te creëren bij de uitbouw van een efficiënte, effectieve, ethische en kwaliteitsvolle organisatie. 72 Om hun onafhankelijkheid te waarborgen heeft Audit Vlaanderen een functionele relatie met twee auditcomités, namelijk het auditcomité van de Vlaamse administratie en het auditcomité van de lokale besturen. Beide auditcomités bestaan uit zeven leden, waarvan de meerderheid onafhankelijken zijn. Eén van de onafhankelijke leden is tevens voorzitter. In het Auditdecreet staat in artikel 19 het volgende over de auditcomités: Bij Audit Vlaanderen worden twee auditcomités opgericht, elk bestaande uit 7 leden : 70 Audit Vlaanderen, Auditcomité van de lokale besturen, en Auditcomité van de Vlaamse administratie, Jaarverslag 2014, Vlaamse Regering, Besluit van de Vlaamse Regering tot oprichting van het intern verzelfstandigd agentschap Audit Vlaanderen en tot wijziging van diverse besluiten. 72 Audit Vlaanderen, Auditcharter van het agentschap Audit Vlaanderen, 6. 50

51 1 het auditcomité van de Vlaamse administratie, bestaande uit 4 onafhankelijke deskundigen en 3 vertegenwoordigers van de Vlaamse Regering; 2 het auditcomité van de lokale besturen, bestaande uit 4 onafhankelijke deskundigen, 2 leden op voordracht van de Vereniging van Vlaamse Steden en Gemeenten en 1 lid op voordracht van de Vereniging van de Vlaamse Provincies. De minister bevoegd voor Binnenlands Bestuur of zijn vertegenwoordiger woont de vergadering van het auditcomité van de lokale besturen als waarnemer bij. De auditcomités staan in voor de aansturing en opvolging van, en de controle en het toezicht op Audit Vlaanderen. De beide auditcomités worden voorgezeten door een onafhankelijke deskundige. 73 Met het instaan voor de aansturing en opvolging van, en de controle en het toezicht op Audit Vlaanderen wordt het volgende bedoelt: 74 de auditcomités staan in voor de onafhankelijkheid van Audit Vlaanderen; via de beheersovereenkomst en het jaarlijks ondernemingsplan gebeuren de aansturing en de opvolging van, en het toezicht op Audit Vlaanderen; de auditcomités kunnen adviserend optreden naar de Vlaamse Regering toe; jaarlijks wordt een publiek toegankelijk verslag van hun activiteiten opgesteld door de auditcomités; de notulen van de vergaderingen van de auditcomités krijgt de Vlaamse Regering toegezonden. Hieronder wordt de positionering van de auditcomités tegenover de Vlaamse Regering en Audit Vlaanderen schematisch voorgesteld. 73 Vlaamse Overheid, Auditdecreet. 74 Audit Vlaanderen, Auditcomité van de lokale besturen, en Auditcomité van de Vlaamse administratie, Jaarverslag 2014,

52 Positionering auditcomités tegenover de Vlaamse Regering en Audit Vlaanderen 75 Audit Vlaanderen bestaat uit 46 medewerkers: 76 1 administrateur-generaal 1 staflid 1 communicatie en public relations 4 manager-auditoren 11 senior auditoren 25 auditoren 3 ondersteuning Het organigram van Audit Vlaanderen kan hieronder waargenomen worden. Organigram Audit Vlaanderen Audit Vlaanderen, Auditcharter van het agentschap Audit Vlaanderen, < geraadpleegd op 25 april

53 De afkortingen van de beleidsdomeinen van de Vlaamse administratie staan voor: Financiën en Begroting (FB) internationaal Vlaanderen (iv) Kanselarij en Bestuur (KB) Economie, Wetenschap en Innovatie (EWI) Mobiliteit en Openbare Werken (MOW) Werk en Sociale Economie (WSE) Cultuur, Jeugd, Sport en Media (CJSM) Onderwijs en Vorming (OV) Welzijn, Volksgezondheid en Gezin (WVG) Leefmilieu, Natuur en Energie (LNE) Landbouw en Visserij (LV) Ruimtelijke Ordening, Woonbeleid en Onroerend Erfgoed (RWO) Afhankelijk van waar Audit Vlaanderen een audit uitvoert, wordt er gesproken van een interne of een externe audit. Als Audit Vlaanderen een audit uitvoert bij de Vlaamse administratie, is het een interne audit. Als Audit Vlaanderen een audit uitvoert bij de lokale besturen, is het een externe audit. Dit is eerder aangehaald in hoofdstuk 1. Archiefdecreet en Auditdecreet. Audit Vlaanderen voert 5 verschillende soorten audits uit: organisatie-audits thema-audits procesaudits detectie-audits forensische audits Als Audit Vlaanderen een organisatie-audit uitvoert, gaat ze na of een organisatie over de nodige sturings- en beheersinstrumenten beschikt om goed te functioneren. Bij een organisatie-audit komt dus vooral de managementprocessen en de ondersteunende processen aan bod. Deze processen creëren namelijk de voorwaarden om de kernprocessen goed te kunnen uitvoeren. De auditoren gebruiken de Leidraad Organisatiebeheersing als 77 < geraadpleegd op 25 april

54 referentiekader voor het uitvoeren van een organisatieaudit. 78 In deze leidraden gaan ze uit van hun model voor organisatiebeheersing dat hieronder te zien is. Model organisatiebeheersing 79 Dit model gebruiken ze zowel voor de Vlaamse Overheid als voor de lokale besturen. In dit model is te zien dat organisatiebeheersing vanuit 10 verschillende thema s wordt benaderd. Deze thema s zijn 80 : Belanghebbendenmanagement; Doelstellingen, proces- en risicomanagement; Monitoring; Organisatiestructuur (ORG); Human resources management (HRM); Organisatiecultuur (CUL); Informatie en communicatie (ICO); 78 Audit Vlaanderen, Auditcomité van de lokale besturen, en Auditcomité van de Vlaamse administratie, Jaarverslag 2014, Berckmans e.a., Leidraad interne controle/organisatiebeheersing Vlaamse Overheid, Ibid. 54

55 Financieel management (FIM); Facilitymanagement (FAM); Informatie- en communicatietechnologie (ICT). Deze 10 thema s staan niet los van elkaar. Elk thema heeft verschillende raakpunten met de andere thema s. Er bestaat een constante wisselwerking tussen alle thema s. Elk van deze 10 thema s speelt een rol bij de 4 globale doelstellingen, nl. het bereiken van een effectieve, efficiënte, kwaliteitsvolle en integere werking van de organisatie. 81 Naast de 10 thema s kunnen we in dit model de PDCA-cyclus, zoals besproken in hoofdstuk 2. Theorieën rond auditing, opmerken. Die wordt zowel voor het model in het algemeen als per thema gebruikt. 82 In deze leidraden komt informatiebeheer aan bod bij de thema s Informatie en communicatie (ICO) en Informatie- en communicatietechnologie (ICT). Bij de Vlaamse overheid werkt Audit Vlaanderen met maturiteitsniveau s per thema, maar bij de lokale besturen niet. De reden hiervoor is dat Audit Vlaanderen de lokale besturen hier nog niet klaar voor schat. Het doel van deze maturiteitsniveau s is om voor een visualisering van de verbetering te zorgen. Audit Vlaanderen heeft het gevoel dat de lokale besturen zich zouden blind staren op deze maturiteitsniveau s, terwijl dit niet de bedoeling is. De vrees van Audit Vlaanderen hiervoor komt ook door het feit dat ze dit in mindere maten al aanvoelt bij de Vlaamse overheid. 83 In tegenstelling met een organisatie-audit wordt bij een thema-audit een specifiek thema binnen een organisatie onderzocht. Dit thema kan gelinkt zijn aan een kernproces (zoals de werking van de jeugddienst) of aan een van de management- of ondersteunende processen (bijvoorbeeld informatieveiligheid). Deze thema-audit wordt ongeveer gelijktijdig in meerdere organisaties uitgevoerd. Audit Vlaanderen maakt dan een individueel auditrapport voor elke geauditeerde organisatie en een globaal rapport met aandachtspunten en aanbevelingen die voor alle entiteiten uit het audituniversum en voor de beleidsmakers relevant kunnen zijn, en dit op basis van de resultaten van de uitgevoerde thema-audits. 84 Deze thema-audits worden aangestuurd door de auditcomités Ibid. 82 Audit Vlaanderen, Leidraad organisatiebeheersing voor lokale besturen, Gesprek op 24 februari 2016 met Sandra Dennis en Katrien Aerts. 84 Audit Vlaanderen, Auditcomité van de lokale besturen, en Auditcomité van de Vlaamse administratie, Jaarverslag 2014, Gesprek op 24 februari 2016 met Sandra Dennis en Katrien Aerts 55

56 Bij een procesaudit identificeert Audit Vlaanderen de risico s van een proces en gaat na in welke mate de bestaande beheersmaatregelen deze risico s voldoende afdekken. 86 Als Audit Vlaanderen een detectie-audit uitvoert, analyseert ze grote hoeveelheden gegevens op basis van een aantal risicofactoren aan de hand van moderne monitoringmechanismen. Het doel hiervan is ongebruikelijke, afwijkende of merkwaardige patronen waar te kunnen nemen. Hierna gaat Audit Vlaanderen na of deze patronen verklaarbaar, dan wel symptomatisch zijn voor mogelijke fouten en/of onregelmatigheden binnen het onderzochte proces. Een detectie-audit kan als gevolg hebben dat een procesaudit of een forensische audit zal moeten uitgevoerd worden. 87 Voor het bepalen van de keuze van een detectie-audit bestaan er twee criteria. Ten eerste moet het om een kwetsbaar proces gaan. En ten tweede moeten de onderliggende databases voldoende dataminingmogelijkheden bevatten om detectie mogelijk te maken. 88 Onder een forensische audit wordt het geheel van auditactiviteiten bestaande uit het verzamelen, controleren, bewerken, analyseren van en rapporteren over gegevens, met het oog op waarheidsbevinding en/of bewijsvoering verstaan. Een forensische audit dient uitgevoerd te worden binnen een geijkt referentiekader op het terrein van juridisch/financiële geschillen en/of onregelmatigheden zoals fraude. 89 De verdeling van de rapportage, en dus de rapporteringslijnen, voor de Vlaamse administratie kan volgens de schema s hieronder voorgesteld worden. 86 Audit Vlaanderen, Auditcomité van de lokale besturen, en Auditcomité van de Vlaamse administratie, Jaarverslag 2014, Ibid. 88 Ibid., Ibid.,

57 Rapporteringslijnen geplande audit Vlaamse administratie 90 Rapporteringslijnen ad-hoc audit Vlaamse administratie Audit Vlaanderen, Auditcharter van het agentschap Audit Vlaanderen, Ibid.,

58 Rapporteringslijnen forensische audit Vlaamse administratie 92 Het Besluit van de Vlaamse Regering tot oprichting van het intern verzelfstandigd agentschap Audit Vlaanderen en tot wijziging van diverse besluiten bepaalt in artikel 7, tweede lid dat rapportering minstens geschiedt aan: 93 de gemeenteraad bij een audit van de gemeente; de raad van bestuur bij een audit van het autonoom gemeentebedrijf; de Raad voor Maatschappelijk Welzijn bij een audit van het Openbaar Centrum voor Maatschappelijk Welzijn; 92 Ibid. 93 Vlaamse Regering, Besluit van de Vlaamse Regering tot oprichting van het intern verzelfstandigd agentschap Audit Vlaanderen en tot wijziging van diverse besluiten. 58

59 de algemene vergadering en de raad van beheer bij een audit van de vereniging, vermeld in titel VIII, hoofdstuk I, van het decreet van 19 december 2008 betreffende de organisatie van de openbare centra voor maatschappelijk welzijn; de provincieraad bij een audit van de provincie; de raad van bestuur bij een audit van het autonoom provinciebedrijf. De rapporteringslijnen van de lokale besturen zoals in de tabel hieronder voorgesteld worden. 94 ontwerprapport Definitief rapport Gemeente Secretaris 1. Secretaris 2. Burgemeester 3. Voorzitter gemeenteraad OCMW Secretaris 1. Secretaris 2. OCMW-voorzitter Provincie Griffier 1. Griffier 2. Gouverneur als voorzitter van de deputatie 3. Voorzitter provincieraad Autonoom gemeentebedrijf Hoogst ambtelijke 1. Hoogste ambtelijk verantwoordelijke verantwoordelijke 2. Voorzitter Raad van Bestuur 3. Voorzitter gemeenteraad Autonoom provinciebedrijf Hoogst ambtelijke 1. Hoogste ambtelijk verantwoordelijke verantwoordelijke 2. Voorzitter Raad van Bestuur 3. Voorzitter provincieraad OCMW-vereniging Hoogst ambtelijke 1. Hoogste ambtelijk 94 Audit Vlaanderen, Auditcharter van het agentschap Audit Vlaanderen,

60 verantwoordelijke verantwoordelijk 2. Voorzitter Algemene vergadering 3. Voorzitter Raad van Beheer 4. Voorzitter van de in artikel 7 van het oprichtingsbesluit vermelde organen van de leden van de vereniging. Audit Vlaanderen ziet zelf hun twee belangrijkste audits, de organisatie-audit en themaaudit, als iets ondersteunend. Dit is door de manier waarop ze deze uitvoeren. Bij elke fase van de audit gaan ze in dialoog met de geauditeerde. Ten slotte moet het management na het ontwerprapport aangeven hoe ze de aanbevelingen van Audit Vlaanderen zal aanpakken. Dit komt dan mee in het definitief rapport te staan. Verder ziet Audit Vlaanderen zich ook ondersteunend, omdat ze proberen best practices aan te reiken via de audits die ze al hebben uitgevoerd. Zo geven ze aan hoe een bepaalde instantie iets aanpakt in hun globale rapporten. 95 Voor Audit Vlaanderen is één audit per legislatuur bij elke organisatie uitvoeren momenteel het hoogst haalbare. 96 Audit Vlaanderen houdt echter wel rekening met welke stappen de organisatie zelf al heeft gezet. Als bijvoorbeeld een gemeente al een interne auditdienst heeft, gaat Audit Vlaanderen eerder kijken naar de werking van deze interne auditdienst. Als bijvoorbeeld een gemeente al reeds een kwaliteitsvolle zelfevaluatie heeft gedaan, gaat Audit Vlaanderen dit als een startpunt gebruiken bij de audit die ze zullen uitvoeren Gesprek op 24 februari 2016 met Sandra Dennis en Katrien Aerts. 96 Ibid. 97 Ibid. 60

61 4. Externe Audits in andere landen en regio s In dit hoofdstuk zal bekeken worden op welke manier externe audits uitgevoerd worden in andere landen en regio s. Dit is van belang om te zien of bepaalde insteken vanuit andere landen of regio s kunnen gebruikt worden voor de situatie hier in Vlaanderen. In het eerste deel gaat de audits in andere landen en regio s besproken worden. In het tweede deel wordt de risicoanalyse in informatiebeheer dat in Nederland voorkomt en hun rapport het rapport van de Werkgroep positionering archiefinspectie van de Branchevereniging Archiefinstellingen Nederland besproken. Gerald Maddens, Edwin Lefebre en Liesbeth De Clercq hebben onderzocht op welke manier externe audits bij lokale besturen worden uitgevoerd in verschillende landen en regio s. De landen en regio s die ze onderzocht hebben zijn Wallonië, Frankrijk, Verenigd Koninkrijk, Nederland, Zweden, Finland, Noordrijn-Westfalen en Nedersaksen. Ze vergelijken dit uiteraard met hoe dit in Vlaanderen door Audit Vlaanderen wordt gedaan. Het orgaan dat in Wallonië bevoegd is voor het uitvoeren van een externe audit bij de lokale besturen is het Centre Régional d Aide aux Communes. Het CRAC werd opgericht om structurele oplossingen te vinden voor de schulden van de lokale besturen. Het CRAC heeft dan ook vooral taken die financieel van aard zijn. Buiten deze heeft het CRAC ook nog andere taken. Zo begeleidt het de lokale besturen bij het opstellen van een beheersplan dat de bedoeling heeft om in verschillende stappen de financiële situatie te verbeteren. De lokale besturen kunnen ook een adviesstudie aanvragen bij het CRAC. Een dergelijke adviesstudie bestaat enerzijds uit een globale financiële en budgettaire controle en anderzijds uit een themastudie die bijvoorbeeld kan gaan over een sportcentrum of een bibliotheek. Het resultaat van een dergelijke adviesstudie kan bijvoorbeeld een beheersplan zijn. Het CRAC is verder ook verantwoordelijk voor de uitbetaling van de subsidies van de Waalse Overheid. Het CRAC kan ook korte termijnleningen verstrekken aan lokale besturen. Voor het uitvoeren van zijn taken bestaat het CRAC uit een beperkte staf en werkt het samen met private auditors. Het doel van de adviesstudies van het CRAC is om het lokaal bestuur op de hoogte te brengen van hun financiële situatie. Gedurende de studie wordt er voortdurend teruggekoppeld naar het lokaal bestuur. Het lokaal bestuur kan alsdan beslissen om de studie niet dieper te laten gaan dan dit, maar kan ook kiezen voor een diepere studie. Deze diepere studie heeft verschillende maatregelen in de vorm van een beheersplan als resultaat. De resultaten van de studie zijn enkel voor het lokaal bestuur in kwestie en de bevoegde minister bestemd. De 61

62 resultaten zijn echter niet bedoeld voor het grote publiek. Tussen de gemeenten worden er wel best practices verspreid door de Direction Etudes-Conseils. 98 In Frankrijk is de instantie dat we kunnen beschouwen als externe auditor voor de lokale besturen de Chambres régionales des comptes. Deze CRC s hebben drie taken: Hun eerste taak is een budgettaire controle. Dit is geen echte audit, maar een controle die gebeurt tijdens het beslissingsproces voor de budgettoewijzing. Hun tweede taak is een wettigheidscontrole. Hier ligt de nadruk op het financiële. Hier wordt de openbare boekhouding, in het bijzonder op het vlak van betalingen, gecontroleerd. Hun derde taak is een beheerscontrole. Deze taak wordt omschreven als een controle op de wettigheid van de bestuurshandeling en de zuinigheid waarmee middelen worden ingezet en de mate waarin vooropgestelde doelstellingen worden bereikt. Het Cour des Comptes en de Chambres Régionales et Territoriales des Comptes publiceren elk jaar hun Rapport Public Annuel. Dit rapport is voor het publiek toegankelijk met daarin hun bevindingen over de actuele situatie. Die bevindingen hebben betrekking op de publieke financiën, het politieke beleid en het publieke beheer. Het rapport bevat ook een reeks aanbevelingen. Er wordt ook steeds gekeken naar de opvolging van aanbevelingen uit vorige rapporten. 99 In Engeland was tot einde 2012 de Audit Commission de belangrijkste instantie voor de externe audit bij lokale besturen. Auditors werden door de AC aangesteld in verschillende openbare instellingen en bepaalden de standaarden die de auditors moesten gebruiken bij hun werk. De AC legde voornamelijk de focus op de manier waarop publieke middelen werden besteed. De AC stond de lokale besturen ook bij in het ontwikkelen van managementcapaciteiten. Verder werd ook het National Fraud Initiative beheerd door de commissie. Het National Fraud Initiative voerde de forensische audits uit. De lokale besturen werden verplicht door de Code of Audit Practice maatregelen te nemen om het werk van interne en externe auditoren op elkaar af te stemmen. De overheid besliste in 2010 om de AC grotendeels af te schaffen. Haar taken zouden getransfereerd worden naar private partners om een meer diverse markt te creëren. Na de uitbesteding werden in auditoren van de AC getransfereerd naar de private instellingen. Binnen de AC blijven een beperkt aantal medewerkers actief om de contracten te overzien. De AC publiceert jaarlijks verschillende rapporten. Deze rapporten hebben voornamelijk betrekking op financiën en management. 98 Maddens, Lefebre, en De Clercq, Externe audit in lokale besturen: een internationale vergelijking, Maddens, Lefebre, en De Clercq, Externe audit in lokale besturen: een internationale vergelijking,

63 Buiten deze specifieke rapporten publiceert het ook elk jaar een Annual Report and Accounts. Daarin staan de bevindingen en werkzaamheden van het afgelopen financiële jaar. Het doel van deze publicaties is de lokale besturen bij te staan bij het uitvoeren van hun taken. De AC probeert dit te doen met benchmarking en door het identificeren van best practices in verschillende lokale besturen. 100 In Nederland wordt er per provincie of gemeente met een afzonderlijke provinciale of gemeentelijke rekenkamer gewerkt. In overeenstemming met andere gemeenten kunnen gemeenten met een gemeenschappelijke rekenkamer werken. Voor provincies is het ook mogelijk om in overeenstemming met een gemeenschappelijke rekenkamer te werken. Een provincie of gemeente heeft ook de mogelijkheid om geen rekenkamer in te voeren, maar dan is de provincie of gemeente verplicht om een rekenkamerfunctie in te voeren. Het verschil tussen een rekenkamer en een rekenkamerfunctie ligt hem hier vooral in de onafhankelijkheid en samenstelling. De doeltreffendheid en doelmatigheid van het financieel beheer, de provinciale of gemeentelijke organisatie en het gevoerde beleid wordt onderzocht. Vele onderzoeken hebben betrekking op de interne bedrijfsvoering. Bij deze soort onderzoeken wordt er meer gekeken naar de interne processen van de provincie of gemeente dan naar de externe effecten of de resultaten van het beleid. De rekenkamer publiceert de onderzoeksresultaten in verschillende fasen van het onderzoek. Een eerste rapportage van de onderzoeksresultaten gebeurt wanneer een antwoord wordt ontvangen op de onderzoeksvragen. Deze resultaten zullen dan worden voorgelegd aan de ambtenaren en andere betrokkenen. Dit heeft als doel om ervoor te zorgen dat alles juist begrepen wordt. Er worden hier nog geen conclusies verbonden aan de antwoorden. Na deze fase komt er een conceptrapport. Pas na deze fase komt er een definitieve rapportage met conclusies en aanbevelingen. 101 In Zweden worden de auditors verkozen na de verkiezingen door de gemeenteraad. De gemeenteraad moet minstens vijf auditors voor een periode van vier jaar verkiezen. Elke auditor is onafhankelijk. De auditors voeren hun taken ook afzonderlijk van elkaar uit. De auditors moeten de activiteiten van het uitvoerend comité, de uitvoerende macht van de gemeente, controleren. Buiten deze uitvoerende comités controleren de auditeurs ook de andere gemeentelijke comités waaraan de gemeenteraad een deel van de uitvoerende macht heeft toegekend. De auditors vormen een interne dienst van de gemeente. Ze zijn echter wel verplicht om beroep te doen op externe experts. Deze externe experts worden meestal aangesteld via een aanbesteding. De taak van de auditors bestaat erin te controleren of het 100 Maddens, Lefebre, en De Clercq, Externe audit in lokale besturen: een internationale vergelijking, Ibid. 63

64 beleid efficiënt, correct en zuinig is uitgevoerd zoals het uitgestippeld werd door de gemeenteraad. De auditors voeren ook financiële audits uit op de gemeentelijke rekeningen. De auditors voeren min of meer ook een wettigheidscontrole uit, namelijk op inbreuken op de naleving van beslissingen van administratieve hoven en op de eigendomswetgeving. De auditors evalueren ook de interne controle binnen de comités. Slechts in bepaalde gevallen zijn onderzoeken naar private personen mogelijk. De auditors maken elk jaar een rapport met hun bevindingen aan de gemeenteraad over. In dit rapport zijn de bevindingen van de externe experts ook opgenomen. De auditors keuren in het rapport ook het financieel overzicht van het voorbije jaar goed. In het rapport geven de auditors ook een opinie over het al dan niet vrijstellen van bepaalde personen van de verantwoordelijkheid voor ernstige tekortkomingen of schade die ze hebben veroorzaakt. De gemeenteraad geeft hierover het uiteindelijke oordeel. Als dit oordeel niet overeenkomt met die van de auditors dan komt het finaal oordeel in het rapport. De auditors moeten voor al hun keuzes verantwoording afleggen. De aanbevelingen van de auditors zijn niet afdwingbaar. 102 In Finland is er geen vast orgaan die instaat voor de externe audits bij de lokale besturen. Het is echter wel verplicht voor elke Finse gemeente om een externe audit te laten uitvoeren. Het auditcomité wordt verkozen door de gemeenteraad. Zowel de voorzitter als de ondervoorzitter zijn raadsleden, maar de auditors zijn de belangrijkste actoren. Hun aanstelling gebeurt door de gemeenteraad. Deze auditors behoren niet tot de overheid en moeten geautoriseerd zijn door de Board of Chartered Public Finance Auditing. De wijze waarop de auditors de audits uitvoeren is grotendeels vrij te bepalen. Het auditcomité is verantwoordelijk voor de voorbereiding van de audits. Het controleert ook of de operationele en de financiële doelstellingen behaald zijn. Een andere verantwoordelijkheid van het auditcomité is de financiële gezondheid van de gemeente controleren. De auditors zijn verantwoordelijk voor het auditeren van de administratie, jaarrekeningen en de boekhouding. Bij deze audits wordt gecontroleerd of de informatie correct is alsook de wettigheid van de informatie. Elk financieel jaar moeten de auditors een rapport maken met de resultaten van de audit. In deze rapporten wordt ook aangegeven of de jaarrekening goedgekeurd wordt. Als bepaalde bestuurshandelingen of de financiën in strijd zijn met wettelijke bepalingen, wijst het rapport de verantwoordelijken hiervoor terecht. De terechtgewezen persoon heeft in het rapport wel steeds een recht van antwoord. De rapporten van de auditors zijn openbaar. De aanbevelingen die in het rapporten zouden kunnen staan, zijn niet afdwingbaar Ibid., Ibid. 64

65 In Duitsland worden de externe audits van de lokale besturen op het niveau van de deelstaten geregeld. Elke deelstaat mag de wettelijke organisatie van de audits zelf bepalen. Hierdoor bestaan er veel verschillen tussen de deelstaten. In het artikel van Gerald Maddens, Edwin Lefebre en Liesbeth De Clercq bekijken ze enkel de deelstaat Noordrijn-Westfalen en de deelstaat Nedersaksen. In Nedersaksen is de voorzitter van het Landesrechnungshof bevoegd voor de controle op de begroting en de financiën van de gemeenten, de Landkreises en de intercommunalen. Er wordt ook een wettigheidscontrole naast een financiële controle uitgevoerd. Het Rekenhof heeft ook een adviesfunctie. Hierbij wordt er gekeken of de besturen zuinig werken en welke verbeterpunten er mogelijk zijn. Op het einde van de audit deelt het Rekenhof de resultaten met de betrokken partijen. De informatie die gedeeld wordt, gaat over de financiële situatie en bevat voorstellen voor verbetering. Hierna publiceert het Rekenhof de definitieve resultaten in een rapport. Er wordt ook jaarlijks een gemeenterapport gepubliceerd met informatie over de werkzaamheden en de bevindingen in de gemeenten van het afgelopen jaar. In dit gemeenterapport geeft het Rekenhof een stand van zaken over de gemeentefinanciën, de schulden, de investeringen, van de gemeenten in de deelstaat weer. In dit rapport worden de bevindingen voor elke gemeente niet apart weergegeven, maar werkt het hof eerder aan de hand van voorbeelden. In het rapport staan ook de risico s en kansen en voorstellen voor verbeteringen. Met dit rapport wil het hof de Landtag informeren en voor het publiek de politieke besluitvorming transparanter maken. Op basis van de vaststellingen in de gemeenten tijdens de audits verspreidt het Rekenhof ook best practices naar de gemeenten toe. In Noordrijn-Westfalen worden de externe audits bij lokale besturen door een apart agentschap, namelijk het Gemeindeprüfungsanstalt Nordrhein-Westfalen uitgevoerd. De taken van de GPA zijn ongeveer dezelfde als in Nedersaksen met uitzondering van het feit dat de GPA ook kijkt naar de dienstverlening van de lokale besturen. De rapporten van de GPA delen aan de lokale besturen buiten de resultaten van die besturen ook de minima, maxima en medianen voor andere besturen. In de rapporten aan de gemeenten staan ook veel aanbevelingen voor verbeteringen. De GPA geeft verder de gemeenten een score van één tot vijf per indicator. De beste vijf lokale besturen worden hierbij bekendgemaakt zonder de individuele score te vermelden. Er wordt op deze manier gewerkt omdat de GPA belang hecht aan de vergelijking tussen de lokale besturen. De GPA publiceert in deze lijn ook benchmarkingrapporten voor verschillende soorten lokale besturen met best practices in verschillende domeinen Maddens, Lefebre, en De Clercq, Externe audit in lokale besturen: een internationale vergelijking,

66 Samengevat komen Gerald Maddens, Edwin Lefebre en Liesbeth De Clercq tot de tabel die te vinden op is in bijlage 1. Als Wallonië, Frankrijk, Verenigd Koninkrijk, Nederland, Zweden, Finland, Noordrijn-Westfalen en Nedersaksen vergelijken wordt met Vlaanderen, kan er opgemerkt worden dat in al deze landen of regio s: een performance audit uitvoert die kijkt naar de doelmatigheid, doeltreffendheid en zuinigheid van de lokale besturen bij de uitoefening van hun taken, een compliance audits uitvoert die controleert of de regels, procedures, wetgeving, beleidslijnen en afspraken met andere overheden worden nageleefd, of een financiële audit uitvoert die controleert of de informatie over de financiële toestand van een gemeente juist is. In Vlaanderen daarentegen wordt de nadruk gelegd op organisatiebeheersing. Dit zorgt ervoor dat de audits van Audit Vlaanderen veel breder zijn dan een performance, compliance of financiële audit. Verder valt ook op te merken dat in die landen of regio s er geen aandacht is voor informatiebeheer zoals in Vlaanderen. In de Verenigde Staten voert een onafhankelijke dienst audits en onderzoeken van de NARA uit binnen de National Archives and Records Administration een onafhankelijke dienst die audits en onderzoeken van de NARA uitvoert, namelijk de Office of the Inspector General. Het OIG ziet het als zijn hoofdtaak om economisch en efficiënt werken te stimuleren en fraude, verspilling en misbruik te voorkomen. Het OIG rapporteert halfjaarlijks de details van hun werkzaamheden gedurende de afgelopen zes maanden met de resultaten van de audits en onderzoeken, de aanbevelingen en andere verwezenlijkingen aan het Congres. 105 De audits die de OIG uitvoeren onderzoeken zoals ze zelf zeggen: - the management and financial operations of the agency, including its field offices the economy and efficiency with which agency operations are managed and the program results achieved program effectiveness compliance with laws, regulations, and internal policies in carrying out programs 106 De OIG voert onderzoeken uit naar crimineel; burgerlijk en administratief wangedrag gerelateerd aan de programma s en handelingen van de NARA. De onderzoeken bekijken specifieke beweringen, rapporten of andere informatie die mogelijke overtredingen van regels of wetgeving aantonen. Een onderzoek is meestal het resultaat van een ontvangen bewering < geraadpleegd op 08 maart < >, geraadpleegd op 08 maart < geraadpleegd op 08 maart

67 OIG voert dus financiële, compliance en performance audits uitvoert, maar geen audits betreffende informatiebeheer binnen een organisatie. Dit is een interne audit van NARA. Een externe audit uitgevoerd door NARA bij de lokale besturen is tijdens het onderzoek van deze masterproef niet waargenomen. In Canada worden op het hoogste audits uitgevoerd door de Office of the Auditor General of Canada. De OAG voert audits uit bij de federale overheid, ongeveer 40 Crown corporations en besturen van Nunavut, Yukon, Northwest Territories en ongeveer 20 territoriale corporaties en agentschappen. De OAG auditeert overheidsactiviteiten en milieu kwesties. Het type audits die de OAG uitvoert zijn financiële audits, performance audits en special examinations, dat de OAG definieert als een vorm van een performance audit bij Crown corporations. 108 De audits van de provincies en steden en gemeenten worden uitgevoerd door de auditdienst van de provincie, stad of gemeente. 109 Zo is er bijvoorbeeld de Office of the Auditor General of British Columbia. Deze is verantwoordelijk voor het uitvoeren van audits bij de entiteiten die gecontroleerd worden door of verantwoording moeten afleggen bij het provinciebestuur. De type audits die het uitvoert zijn financiële en performance audits. 110 De Australian National Audit Office is het hoogste niveau in Australië. De ANAO voert audits uit bij de entiteiten die onder de controle vallen van de Australische regering. De ANAO voert zowel financiële als performance audit uit. Elke staat in Australië heeft zijn eigen auditdienst. 111 Zo heeft New South Wales de Audit Office of New South Wales als auditdienst. Deze auditdienst voert financiële en performance audits en speciale rapporten uit. Deze auditdienst schrijft speciale rapporten om te controleren of specifieke wetgeving, directieven en regels in acht zijn genomen door de agentschappen van de overheid. 112 Verder heeft de Audit Office of New South Wales ook een kader ontwikkelt voor goed bestuur. Het agentschap maakt de vergelijking met een vuurtoren. Dit is duidelijk uit volgende zin: Good governance sets a clear direction, a way to get there and tracks progress. 113 Dit kader bestaat uit 8 principes en 17 componenten van bestuur in de publieke sector zoals te zien is in de afbeelding hieronder. 108 < >, geraadpleegd op 08 maart < >, geraadpleegd op 08 maart < geraadpleegd op 08 maart < geraadpleegd op 08 maart < geraadpleegd op 08 maart Audit office of New South Wales, New South Wales Auditor-General s Report, 1:37. 67

68 Governance Lighthouse van de Audit Office of New South Wales 114 In Nederland kan er op het vlak van kwaliteitszorg van informatiebeheer bepaalde zaken vastgesteld worden. Zo bestaat in de steden Rotterdam, Nijmegen en s-hertogenbosch het concept van risicoanalyse op vlak van informatiebeheer. 115 De stad Rotterdam voert een risicoanalyse uit op de bedrijfsprocessen binnen de stadsdienst Rotterdam. Het idee achter deze aanpak is dat niet elk bedrijfsproces evenveel records management maatregelen nodig heeft. Op basis van de risicoanalyse wordt bepaald tot welk niveau een bedrijfsproces behoort. Het laagste niveau is niveau 0, waar geen maatregelen moeten getroffen worden, en het hoogste niveau is niveau 3, waar de volledige set van maatregelen nodig is. De bijkomende waarde van de risicoanalyse is dat er een bewustwording van de waarde van informatie ontstaat binnen de organisatie en dat records management een belangrijke plaats heeft in de organisatie. 116 Ook Nijmegen voert een risicoanalyses uit op het vlak van informatiebeheer. Hier wordt de risicoanalyse uitgevoerd om te bepalen of iets opgenomen moet worden in het e-depot of niet. In Nijmegen bestaan er na de risicoanalyse dan ook maar 114 Ibid. 115 < geraadpleegd op 18 maart Ballaux en van Oss, Building a risk based records management governance for the City of Rotterdam. 68

69 twee statussen, namelijk een status waarin een opname in het e-depot noodzakelijk is en een status waarin een opname in het e-depot niet noodzakelijk is. Er bestaan in Nijmegen enkel twee beheersmaatregelen, omdat er ook maar twee statussen bestaan. Deze twee maatregelen zijn eerder beperkt. Ze luiden: een opname in het e-depot is noodzakelijk is op basis van de eisen van de opname in het e-depot een opname in het e-depot is niet noodzakelijk is. 117 Ook s-hertogenbosch voert een risicoanalyse uit. De stad probeert dit bottom-up aan te pakken. De stad gaat eerder in de vorm van een Quick-scan een risicoanalyse maken van de processen binnen elke afdeling van s-hertogenbosch. Deze is per afdeling echter wel vrijblijvend. Het resultaat van deze risicoanalyse is dat de afdelingshoofden meer inzicht hebben in de processen en dat het inzicht in het informatiebeheer voor de afdeling Documentaire Zaken vergroot. 118 De risicoanalyses zoals die in Nederland worden uitgevoerd, kunnen niet aanzien worden als een soort audit. Deze risicoanalyses hebben in het algemeen meer als doel om inzicht te krijgen welke beheersmaatregels er nodig zijn voor alle bescheiden om te voorkomen dat vitale documenten en dossiers verdwijnen. Uit het rapport van de Werkgroep positionering archiefinspectie van de Branchevereniging Archiefinstellingen Nederland uit 2014 blijkt dat interne audits door de archivaris bij lokale besturen niet of amper voorkomen. Een externe audit door een archiefinspectie laten uitvoeren sluiten ze echter niet uit. 119 De visie die in Vlaanderen heerst, om alle soorten audits door één auditinstantie te laten uitvoeren, komt hier niet in voor. Verder is op te merken dat de audits die in het rapport worden aangehaald nog altijd in de trend zijn van een audit van de archiefdienst waarin enkel de dienst zelf geauditeerd wordt, en niet de volledige organisatie zoals de lijn is van het Archiefdecreet en de visie van Audit Vlaanderen. Concluderend kan gesteld worden dat andere landen en regio s eerder financiële of performance audits uitvoeren. De manier waarop Audit Vlaanderen zijn audits bekijkt en uitvoert, lijkt niet terug te vinden in de andere landen en regio s. In alle andere landen en regio s is er ook niets terug te vinden over informatiebeheer bij hun audits. De via wetgeving opgelegde overheidsinspecties op de archiefdienst komt wel voor in de andere landen en regio s, maar dit is niet de wijze waarop het Archiefdecreet informatiebeheer en de controle 117 Powerpoint op < geraadpleegd op 18 maart Powerpoint op < geraadpleegd op 18 maart Werkgroep positionering archiefinspectie, Op dezelfde lijn verder? Advies van de Werkgroep positionering archiefinspectie in opdracht van BRAIN. 69

70 ervan ziet. De makers van het Archiefdecreet wilden zien dat er aan goed informatiebeheer wordt gedaan voor heel de organisatie en niet enkel voor de archiefdienst. De audits van Audit Vlaanderen die bij hun audits kijken naar de gehele organisatie op en dus ook naar informatiebeheer is dus een uniek en vernieuwend gegeven. Veel inspiratie uit andere landen en regio s kan er niet komen hierdoor. Er zijn wel een aantal zaken op te merken. De piste zoals in Zweden om zelf auditors aan te stellen of eventueel een interne auditdienst te hebben, is een interessante mogelijkheid voor de informatiegestuurde audit. Om zoals in Finland mensen persoonlijk verantwoordelijk te maken voor bepaalde fouten is geen goede piste voor een informatiegestuurde audit. Dit zorgt er zeker niet voor dat de audit als iets ondersteunend kan aanzien worden. Het kan misschien zelfs leiden tot een situatie waar niemand nog iets durft te doen uit schrik om fouten te maken. 70

71 5. I-monitor In dit hoofdstuk zal de I-monitor van dichterbij bekeken worden. De reden hiervoor is dat de I-monitor een mogelijke inspiratie kan zijn voor de informatiegestuurde audit. De I- monitor is een zelfevaluatie van de ICT bij de gemeenten en OCMW s met verschillende maturiteitsniveaus. De aanpak voor de bepaling van de maturiteitsniveaus kan als inspiratie gebruikt worden. De I-monitor is te plaatsen binnen het programma Vlaanderen Radicaal Digitaal van de Vlaamse Overheid. De I-monitor maakt deel uit van een project van de VVSG 120 en een project van V-ICT-OR, die onder de gezamenlijke noemer Uw gemeente radicaal digitaal werken. De twee projecten van de VVSG en V-ICT-OR maken deel uit van het programma Vlaanderen Radicaal Digitaal. Met deze projecten willen ze lokale besturen beleidsmatig en beleidsuitvoerend ondersteunen om zo ook het interbestuurlijk gegevensverkeer te verbeteren. De I-monitor levert informatie op voor de projecten van de VVSG en V-ICT-OR. Deze informatie kunnen ze gebruiken om hun ondersteuningsaanbod voor de lokale besturen op af te stemmen. 121 Dit kunnen bijvoorbeeld workshops zijn waar de gemeente/ocmw-secretaris, de IT-specialist en eventueel nog anderen uit de gemeente of OCMW op aanwezig zijn om op die manier organisatiebreed werken te ondersteunen. 122 In 2015 hebben ze een vergelijkbare zelfevaluatie uitgevoerd voor het gebruik van GIS-systemen binnen de gemeenten en OCMW s. 123 Het doel van de I-monitor is een stand van zaken weer te geven van de maturiteit met betrekking tot de informatiehuishouding en ICT van gemeenten en OCMW s. Deze zullen in de I-monitor geclassificeerd worden binnen een typologie of maturiteitsniveau. Bij de I- monitor wordt er onder andere gepeild of: 124 authentieke gegevensbronnen (doorheen de hele organisatie) gebruikt worden; voldoende aandacht wordt besteed aan informatieveiligheid; bij beslissingen een digitale impactanalyse gebeurt; 120 Afkorting voor de Vereniging van Vlaamse steden en gemeenten. 121 Agentschap Informatie Vlaanderen en Vereniging van Vlaamse Steden en Gemeenten vzw, I-monitor Digitale maturiteit van de gemeenten en OCMW s in Vlaanderen, Gesprek met Joris Gaens op 9 december Departement Informatie Vlaanderen en Vereniging van Vlaamse Steden en Gemeenten, GIS-monitor 2015: Wie doet wat? Informatie over lokale besturen. 124 Agentschap Informatie Vlaanderen en Vereniging van Vlaamse Steden en Gemeenten vzw, I-monitor Digitale maturiteit van de gemeenten en OCMW s in Vlaanderen, 6. 71

72 bij het uitdenken van processen voldoende aandacht gaat naar het vereenvoudigen, digitaliseren en de klantvriendelijkheid van die processen; de digitale volwassenheid van producten en diensten voldoende ontwikkeld is. De I-monitor moet ervoor zorgen dat in één oogopslag duidelijk wordt wat de ICT- en informatiematuriteit van een bepaalde gemeente of OCMW is. Met het type en de detailinformatie die bepaald worden samen met de I-monitor, zou het mogelijk moeten zijn om de digitale maturiteit van andere gemeenten en OCMW s te kunnen vergelijken met die van hun eigen gemeente en/of OCMW. De I-monitor wil dus het e-government aspect van de gemeenten en OCMW s in Vlaanderen bekijken. 125 Er bestaan 5 types (maturiteitsniveaus) bij de I-monitor. Elk type wordt voorgesteld met een bepaald symbool zodat er meteen een beeld kan gevormd worden bij het bekijken van een fiche. 126 Elk type heeft ook bepaalde kenmerken. Symbool type De kenmerken van type 1 zijn: 128 Diensten zijn eilandjes binnen de organisatie. Data worden per dienst bijgehouden; elke dienst heeft zijn eigen data waardoor er overlappende databestanden zijn waarvan de kwaliteit zeer pover is en vaak niet gestructureerd is. Er is weinig of geen aandacht voor informatieveiligheid. 125 Ibid. 126 Zie bijlage 2 voor een voorbeeld fiche van de GIS-monitor. De fiches van de I-monitor zijn op dit moment nog niet gepubliceerd. 127 Agentschap Informatie Vlaanderen en Vereniging van Vlaamse Steden en Gemeenten vzw, I-monitor Digitale maturiteit van de gemeenten en OCMW s in Vlaanderen, Ibid. 72

73 IT komt niet of nauwelijks voor in het woordenboek van het management. Procesmanagement is afwezig. Er is onvoldoende personeel om IT organisatiebreed uit te rollen. Door een gebrekkig informatiebeheer en gebrek aan visie is de e-dienstverlening ondermaats. Symbool type De kenmerken van type 2 zijn: 130 De overgang van type 1 naar type 2 verloopt vaak moeizaam omdat mensen moeten loskomen van het dienst- en afdelingsgebonden werken. Er is beginnende aandacht voor het delen van kerndata binnen een beperkt aantal diensten. Kwaliteit en hergebruik van de data nemen toe. Er is beginnende aandacht voor informatieveiligheid. Er is meer aandacht voor beleid en strategie en er wordt getracht om middelen in functie daarvan in te zetten. Procesmatig werken is nog steeds ad hoc en maakt geen deel uit van de managementstrategie van de organisatie. IT-personeel is vooral gefocust op helpdesk, technisch beheer, serveren systeembeheer. 129 Agentschap Informatie Vlaanderen en Vereniging van Vlaamse Steden en Gemeenten vzw, I-monitor Digitale maturiteit van de gemeenten en OCMW s in Vlaanderen, Ibid. 73

74 Informatie over aangeboden diensten is online raadpleegbaar, maar er zijn weinig of geen digitale transacties mogelijk. Het digitale loket bevat m.a.w. slechts informatie over het product. Om een minimum aan elektronische dienstverlening aan te bieden, is het lokale bestuur nog onvoldoende georganiseerd. Symbool type De kenmerken van type 3 zijn: 132 Er wordt in de hele organisatie meer en meer gebruik gemaakt van authentieke gegevensbronnen, maar de kwaliteit van de data staat nog niet volledig op punt. Er is een informatieveiligheidsconsulent aangesteld. Leidinggevenden staan meer op afstand aangezien de visie in grote lijnen bepaald is. De uitbouw van de gemeentelijke werking gebeurt meer en meer in functie van een klantgerichte organisatie. Procesmatig werken doet meer en meer zijn intrede binnen de organisatie, maar er is nog een lange weg te gaan (nog niet iedereen is overtuigd) Via het digitale loket kunnen een beperkt aantal transacties volledig digitaal verlopen, maar downloadbare formulieren zijn nog prominent aanwezig. 131 Agentschap Informatie Vlaanderen en Vereniging van Vlaamse Steden en Gemeenten vzw, I-monitor Digitale maturiteit van de gemeenten en OCMW s in Vlaanderen, Ibid. 74

75 Symbool type De kenmerken van type 4 zijn: 134 Er wordt in de hele organisatie gebruik gemaakt van authentieke gegevensbronnen. Kwaliteit en hergebruik zijn belangrijke aandachtspunten. De organisatie is een samenhangend geheel. De gemeente/ocmw werkt samen met andere overheden en externe organisaties wat zich uit in een vlotte uitwisseling van gegevens en een geïntegreerde overheidsdienstverlening op maat van de burger / klant. Er is een informatieveiligheidsconsulent en informatieveiligheidsplan. Beleidskeuzes en managementbeslissingen zijn voornamelijk gebaseerd op dataanalyses. Er wordt op alle niveaus voldoende structureel overleg gepleegd over strategische IT-onderwerpen. Er is een goed overzicht van processen. Waar mogelijk worden deze processen in de eerste plaats vereenvoudigd alvorens deze te digitaliseren. Bovendien worden enkel die processen gedigitaliseerd indien dit een betere dienstverlening als gevolg heeft. Een groot aantal diensten kunnen volledig digitaal worden afgenomen via het digitale loket. 133 Agentschap Informatie Vlaanderen en Vereniging van Vlaamse Steden en Gemeenten vzw, I-monitor Digitale maturiteit van de gemeenten en OCMW s in Vlaanderen, Ibid. 75

76 Symbool type De kenmerken van type 5 zijn: 136 Data en informatie worden organisatiebreed gedeeld en hergebruikt en voldoen aan de hoogste kwaliteitsnormen en worden waar nodig (automatisch) gedeeld met derden. Informatieveiligheid wordt gedragen door het hele bestuur. Het meerjarenplan zorgt voor een structureel draagvlak op het vlak van informatisering en elektronische dienstverlening. IT is een zaak van de hele organisatie en wordt voldoende ondersteund. Het bestuur is een procesgestuurde organisatie. De IT-dienst focust zich op IT-beleid en strategie in meerwaardeketens. Alle transacties kunnen elektronisch uitgevoerd worden en selfservice staat hoog in het vaandel. Aan de kenmerken van de types is te merken dat voor het opstellen hiervan inspiratie is opgedaan bij de mogelijke risico s en mogelijke beheersmaatregels die in leidraad organisatiebeheersing voor lokale besturen van Audit Vlaanderen staan. De I-monitor wordt eerst verstuurd naar de gemeente- of OCMW-secretaris. Deze vult de I-monitor zelf in of laat ze invullen door iemand anders binnen de gemeente of OCMW. Als er geen reactie komt, wordt er een herinnering verstuurd naar de secretaris. Indien er dan nog geen reactie komt, wordt de I-monitor rechtstreeks verstuurd naar de ICT-coördinatoren van de gemeente of OCMW. De provincies helpen bij het versturen van de herinneringen naar de gemeenten en OCMW s. Verder versturen V-ICT-OR, VVSG en Agentschap Informatie 135 Agentschap Informatie Vlaanderen en Vereniging van Vlaamse Steden en Gemeenten vzw, I-monitor Digitale maturiteit van de gemeenten en OCMW s in Vlaanderen, Ibid. 76

77 Vlaanderen herinneringen naar de gemeenten en OCMW s. Het invullen van I-monitor is echter vrijblijvend. 137 Het gevolg hiervan is dat de I-monitor ingevuld wordt door zeer verschillende personen. Een opsomming hieronder zal dit meteen duidelijk maken. 138 Gemeente- of OCMW secretaris Afdelingshoofd interne zaken Afdelingshoofd grondgebied zaken Milieuambtenaar grondgebied zaken Hoofd technische dienst Milieu / stedenbouwkundig ambtenaar Adviseur informatiemanagement consulent informatieveiligheid Diensthoofd Sociaal huis stafmedewerker beleid Administratief assistent dienst grondgebied zaken IT-professional Staf secretaris GIS medewerker Deskundige GIS OCMW voorzitter en schepen ICT Financieel beheerder gemeente ICT verantwoordelijke Diensthoofd ICT en GIS Afdelingshoofd Algemene en burgergerichte zaken Gemeentelijk stedenbouwkundig ambtenaar Projectmedewerker beleid GIS medewerker Medewerker dienst Ruimtelijke Ordening Administratief hoofddeskundige OCMW GIS / ICT medewerker dienst leefomgeving Directeur ondersteunende afdelingen OCMW Administratief medewerker systeembeheerder Systeem-coördinator GIS-coördinator GIS ambtenaar Informatieambtenaar 137 Mail Joris Gaens 11 februari Ibid. 77

78 Projectmedewerker planologie Maatschappelijk assistent Teamleider studie en mobiliteit Afdelingscoördinator interne organisatie Coördinator personeel en organisatie Diensthoofd ICT communicatie voor gemeente en OCMW Verantwoordelijke planning en vergunning Deskundige overheidsopdrachten / systeembeheerder Diensthoofd interne zaken Deskundige GIS en mobiliteit Stedenbouwkundig ambtenaar Strategisch coördinator Bestuurssecretaris logistieke dienst Applicatiespecialist afdeling databeheer Boekhouder veiligheidsconsulent Deskundige administratie Deskundige personeel en informatie Beleidsmedewerker personeel en organisatie Hoofd sociale dienst / ICT Communicatieambtenaar Hoofd facility Kwaliteitscoördinator Onthaal medewerker Het valt op dat veel verschillende functies de I-monitor hebben ingevuld. We kunnen wel opmerken dat vele functies dezelfde zijn, maar met een andere naamgeving. Verder zien we ook dat de structuur van de gemeente of OCMW meespeelt. Er valt ook op te merken dat sommigen de taak in verband met ICT bij hun hoofdfunctie krijgen. Een voorbeeld hiervan is Boekhouder veiligheidsconsulent. Hoewel in de I-monitor het thema informatiebeheer wel wordt aangeraakt, zien we dat geen enkele informatiebeheerder of archivaris de I-monitor heeft ingevuld. Hieronder staan de resultaten van de I-monitor 2016 grafisch voorgesteld. 78

79 Resultaten I-monitor voor de gemeenten 139 Resultaten I-monitor voor de OCMW s 140 Uit de I-monitor blijkt dat er vooral problemen zijn met informatiebeheer en informatieveiligheid zoals archivering, naamgeving, weten welke informatie men in huis heeft, ordeningsplan Agentschap Informatie Vlaanderen en Vereniging van Vlaamse Steden en Gemeenten vzw, I-monitor Digitale maturiteit van de gemeenten en OCMW s in Vlaanderen, Ibid. 79

80 Voor de I-monitor hebben Agentschap Informatie Vlaanderen, V-ICT-OR en VVSG bewust gekozen om geen vorm van samenwerking met Audit Vlaanderen aan te gaan. De reden hiervoor is dat ze dan naar hun mening niet de ondersteuning naar de gemeenten en OCMW s kunnen bieden die ze willen aanbieden. 142 Audit Vlaanderen weet dat de I-monitor bestaat. Zij zien dit als iets naast hen en staan er onverschillig tegenover. Volgens hen heeft er ook geen communicatie met Agentschap Informatie Vlaanderen, V-ICT-OR of VVSG over de I-monitor plaatsgevonden. 143 De I-monitor zal zeker nog één keer uitgevoerd worden deze legislatuur. Dit zou dan voor 2018 of 2019 zijn. Er is geen zekerheid of nadien de I-monitor nog zal uitgevoerd worden. Dit zal afhangen van de beleidsprioriteiten en interne beschikbaarheid Agentschap Informatie Vlaanderen en Vereniging van Vlaamse Steden en Gemeenten vzw, I-monitor Digitale maturiteit van de gemeenten en OCMW s in Vlaanderen. 142 Gesprek met Joris Gaens op 9 december Gesprek met Sandra Dennis en Katrien Aerts op 24 februari Mail van Joris Gaens, 1 maart

81 6. Gesprekken met de zorgdragers Het opzet van de informatiegestuurde audit is dat deze als iets ondersteunend wordt aanzien en niet per se controlerend door de zorgdragers. Daarom is het belangrijk om te weten wat de verwachtingen en wensen zijn van hen. Er zijn verschillende types zorgdragers Om die reden is er getracht geweest om de verwachtingen en wensen van al deze type zorgdragers via interviews in kaart te brengen. De interviews waren gebaseerd op de volgende vragen: Is een zelfevaluatie nuttig voor bepaalde zaken af te dwingen bij het management? Hoe ervaren de zorgdragers op dit moment een audit? Hoe kan een externe audit ondersteuning voor de zorgdragers bieden? Welke ondersteuning wensen de zorgdragers? Kennen de zorgdragers de I-monitor? Welke risico s zijn er binnen de zorgdrager? Zelfevaluatie wordt bij alle zorgdragers als een normale zaak beschouwd, maar er zijn toch verschillende kanttekeningen bij te noteren. Door zichzelf te evalueren kan je zien waar je staat. Zelfevaluatie op zich kan wel het eindpunt niet zijn. Een zelfevaluatie zonder enig gevolg heeft geen nut. 147 Velen van de zorgdragers kenden de zelfevaluatietool van de Coördinerende archiefdienst. 148 Deze zelfevaluatie is vooral gericht naar de informatiebeheerder / archivaris zelf toe en is gebaseerd op de doelstellingen die geformuleerd staan in het Archiefdecreet. 149 Over het algemeen waren de reacties positief. Eén van die positieve reacties kwam van Lieve Arnouts: De zelfevaluatietool is een bruikbaar instrument. Het geeft een zicht waar je staat. Als de resultaten in een grafiek gegoten worden, zoals bij die van de Coördinerende archiefdienst, 145 Zie bijlage 3 voor de tabel met alle geïnterviewden. 146 Er is getracht geweest om elk type zorgdrager te interviewen. Iedere geïnterviewde was een informatiebeheerder / archivaris, buiten bij Kampenhout (Laurien Martens is een kwaliteitszorgcoördinator, maar OCMW Kampenhout is lid van de Welzijnskoepel West-Brabant) en de Oostkustpolder (de Oostkustpolder heeft geen informatiebeheerder / archivaris, maar Caroline Vangampelaere neemt deze taak op zich). De gemeenten (& OCMW s) zijn hier nog eens opgesplitst in centrumsteden, middelgrote gemeenten en kleine gemeenten (deze komen door hun samenwerkingsverbanden). De reden hiervoor is dat er bij de gemeenten grote verschillen bestaan door hun grote. Om deze reden is het belangrijk om elke categorie gemeente te interviewen. 147 Gesprek met Marie Juliette Marinus op 8 maart Deze is te vinden op < geraadpleegd op 3 mei

82 kan het gebruikt worden om zaken af te dwingen bij het management. Het management houdt van visuele zaken. 150 Er waren wel een aantal opmerkingen van de zorgdragers over deze tool. Deze tool is specifiek gericht naar informatiebeheerders / archivaris toe. Hierdoor zijn de termen die in de tool voorkomen, te veel geformuleerd als vakjargon. Dit haalt Bram Dierckx zelf ook aan uit zijn ervaring als intergemeentelijke archivaris: Deze tool zelfstandig laten invullen door medewerkers van de gemeenten waarvoor ik werk, is moeilijk door de vele vakjargon dat erin voorkomt. Indien het meer uitgebreid zou zijn met definities en voorbeelden, zou de tool voor iedereen bruikbaar kunnen zijn. 151 Een andere opmerking op de tool was dan weer dat de mogelijkheden van de tool niet duidelijk worden gemaakt. Het is belangrijk dat bij de tool benadrukt wordt dat deze onder andere gekoppeld kan worden aan de doelstellingen in het meerjarenplan. Volgens mij zien de meesten deze link niet. 152 Een ander voorstel voor de zelfevaluatietool van de Coördinerende archiefdienst was om deze meer getrapt te maken. Eerst zou de zorgdrager zich moeten vergelijken met de basis rond informatiebeheer. Indien hier een slecht resultaat boven komt, is er zeker werk voor de boeg. Indien er een goed resultaat boven komt, kan de zorgdrager een uitgebreidere versie uitvoeren. Dit voorstel kwam vaak naar voren om tegemoet te komen aan de grote niveau verschillen die er bestaan tussen de zorgdragers. Een negatief punt dat regelmatig ter sprake kwam, was dat de zelfevaluatietool van de Coördinerende archiefdienst vaak zwart/wit werkt. Vele vragen kunnen enkel beantwoord worden met ja of neen, terwijl het antwoord genuanceerder kan zijn. Een ander negatief punt was dat deze tool toch eerder bedoelt lijkt te zijn voor de informatiebeheerder / archivaris om te zien hoe goed hij / zij werkt en niet om het management te sensibiliseren. Het probleem met een zelfevaluatietool is dat er al zo veel zelfevaluatietools op de markt bestaan. Sofie Descamps haalt zo bijvoorbeeld aan dat ze van plan was om te kijken naar de bruikbaarheid van de zelfevaluatietools die V-ICT-OR heeft. 153 Dit is ook een punt dat Laurien Martens aanhaalt: 150 Gesprek met Lieve Arnouts en Hassan Ben Toutouh op 16 maart Gesprek met Bram Dierckx op 17 maart Gesprek met Petra Vanhoutte op 18 maart Gesprek met Sofie Descamps op 2 maart

83 Er bestaan al zo veel zelfevaluatietools. Er zijn er van VVSG, V-ICT-OR, VERA 154 Het zou beter zijn moest er één zelfevaluatietool bestaan waarin alles geïncorporeerd is. 155 Veronique Bonkoffsky haalt dan weer aan dat er ook niet altijd de tijd is om een zelfevaluatietool in te vullen. 156 Niemand van de geïnterviewden had ervaring met een audit van Audit Vlaanderen. Audit Vlaanderen heeft ook niet bij alle geïnterviewden de bevoegdheid hiertoe. De enigste die wel ervaring had met Audit Vlaanderen, was Johan De Reu: Audit Vlaanderen heeft in 2014 een audit uitgevoerd in Dilbeek. Dit was allemaal op een goede manier gekaderd en kwam ondersteunend over. De audit viel dus best mee. Uit de audit is wel niets nieuws naar boven gekomen op vlak van informatiebeheer. Dit waren zaken die ik zelf ook wist. Dit was één van de eerste audits die Audit Vlaanderen had uitgevoerd bij een gemeente. Je voelde dat ze nog zoekende waren op dat moment. Er waren op dat moment ook nog geen best practices, omdat we één van de eerste waren. 157 De grote ondersteuning die iedereen ziet in een audit, is dat dit tot een sensibilisering van het management kan leiden. Audit Vlaanderen wordt als een autoriteit aanzien. Het management is meer geneigd om naar Audit Vlaanderen te luisteren dan naar de informatiebeheerder / archivaris (ook al zeggen beiden hetzelfde). Het is ook te merken aan de zorgdragers dat zelfs als Audit Vlaanderen bij hun geen bevoegdheid heeft, ze wel naar de resultaten van Audit Vlaanderen kijken. Dit is te merken aan Sarah Macquoy 158 en Sofie Descamps 159 die beiden Leidraad interne controle/organisatiebeheersing Vlaamse Overheid en de Leidraad organisatiebeheersing voor lokale besturen al hebben bekeken om dit eventueel te kunnen gebruiken. De ondersteuning die de zorgdragers wensten, zijn te herleiden naar twee punten, namelijk expertise en sensibiliseren. De nood aan expertise was niet bij elke zorgdrager even hoog. De meeste zorgdragers hadden vooral nood aan best practices. Bij de Oostkustpolder was de nood aan kennis het grootst. De gedeelde bevoegdheid van de Vlaamse overheid en de Federale overheid door de arresten van het Grondwettelijk Hof en de Raad van State over onder andere 154 Vlaams-Brabants steunpunt e-government 155 Gesprek met Laurien Martens en Nathalie Martens op 16 maart Gesprek met Frauke Dewilde en Veronique Bonkoffsky op 24 maart Gesprek met Johan De Reu op 29 maart Gesprek met Sarah Macquoy en Johan Poukens op 4 april Gesprek met Sofie Descamps op 2 maart

84 de polders en wateringen zorgt ook voor veel verwarring bij hen. Er is geen duidelijkheid bij wie ze juist moeten aankloppen om ondersteuning te krijgen. 160 Op vlak van sensibilisering wensen de zorgdragers vooral instrumenten waarmee ze het management kunnen sensibiliseren. De zorgdragers wensen dit vooral voor het digitale luik van informatiebeheer. Dit is iets wat Bart De Keyser onder andere aanhaalt: Op vlak van het papieren archief hebben we alles in orde. Binnen de provincie vinden het ook normaal dat we betrokken worden als het over het papieren archief gaat. Het digitale archief is een ander geval. Als het over het digitale gaat, is het voor ons moeilijker om inspraak daarin te hebben. 161 De zorgdragers halen hiervoor verschillende mogelijke verklaringen aan, zoals: in het organogram onder cultuur geplaatst zijn; de eigen kennis van ICT is niet groot genoeg; de scheiding die er wordt gecreëerd tussen ICT en informatiebeheer door mentaliteit, projecten V-ICT-OR, VERA Niemand van de geïnterviewden hadden al gehoord van de I-monitor. De enigste uitzondering was Hassan Ben Toutouh, omdat hij hierover aangesproken was geweest door de ICT van OCMW Aalst. Hij zei over de I-monitor het volgende: De I-monitor toont duidelijk de spanning die er bestaat tussen ICT en informatiebeheer. Hierdoor wordt de indruk geschept dat ICT en informatiebeheer van elkaar gescheiden werelden zijn, terwijl veel vragen in de I-monitor eigenlijk over informatiebeheer gaan. 162 Wat betreft de benchmarking die de I-monitor probeert te stimuleren met zijn publicatie door middel van de fiche te publiceren van elke gemeente en OCMW die deelgenomen heeft, bestaan er verschillende meningen bij de zorgdragers. Een eerste mening die zeer positief staat tegen zo n openlijke benchmarking is zoals Marie Juliette Marinus het verwoordt: Benchmarking is iets dat al gebruikt wordt voor beleidsvoering. Er moet geen schrik zijn dat er bespaard zal worden, omdat er aan benchmarking wordt gedaan. Als een zorgdrager een goede informatiebeheerder heeft en aan goed informatiebeheer doet, kan de zorgdrager niet meer zonder. 163 Anderen stellen zich dan weer vragen bij zo n openlijke benchmarking zoals in de publicaties van I-monitor en GIS-monitor: 160 Gesprek met Caroline Vangampelaere op 16 maart Gesprek met Bart De Keyser en Wendy Van de Camp op 11 maart Gesprek met Lieve Arnouts en Hassan Ben Toutouh op 16 maart Gesprek met Marie Juliette Marinus op 8 maart

85 Ik vraag me af of de context niet verloren gaat bij deze manier van publicatie. Punten geven is ook niet de manier om ondersteunend over te komen in plaats van controlerend. Benchmarking zorgt nog voor veel tegenstand op sommige gebieden en laat toe om de kleinere spelers zich in de rol van Calimero te plaatsen. 164 Anderen denken dan weer dat de benchmarking op een andere manier zou kunnen plaatsvinden. Bij de publicatie van de maturiteitsniveaus zoals bij de I-monitor bestaat er de kans dat dit eerder tot demotivatie zal leiden. Het zou beter zijn als er twee opties aangeboden zou worden. De eerste optie zou kunnen zijn dat het openbaar gepubliceerd wordt in het globaal rapport. De tweede optie zou kunnen zijn dat de resultaten verwerkt worden in gemiddelden per categorie in het globaal rapport en dat er op deze manier anoniem vergeleken kan worden. 165 Sommigen geven dan weer het risico aan op fixatie op het maturiteitsniveau dat het gebruik ervan inhoud. Zo haalt Vania Vande Voorde aan: Bij de Vlaamse overheid werkt Audit Vlaanderen al met maturiteitsniveaus bij hun audits. Je voelt toch aan dat dit gevoelige punten zijn. Je ziet dat van tijd dat men toch liever maturiteitsniveau 3 scoort dan maturiteitsniveau 2 en dat ze zich hierop misschien te veel op gaan focussen. 166 De aangehaalde risico s van de zorgdragers waren en zijn dan ook: Informatie wordt niet meer teruggevonden. Er is te veel eiland denken aanwezig binnen de zorgdrager. Er heerst een ad hoc mentaliteit. Te veel wordt naar één persoon toebedeeld. Er is geen zekerheid voor de beschikbaarheid van (digitale) informatie op lange termijn. Informatie is niet uit het documentmanagementsysteem te krijgen. Er heerst onwetendheid rond informatiebeheer. Er heerst een korte termijn visie. Er is een gebrek aan een projectmatige aanpak. Er wordt onwettelijk vernietigd. Er is een wildgroei aan programma s en applicaties. 164 Gesprek met Petra Vanhoutte op 18 maart Gesprek met Bram Dierckx op 17 maart Gesprek met Rebekka Artoos, Vania Vande Voorde en Renée Cambré op 10 maart

86 Er wordt ongeoorloofd gedigitaliseerd. Er is geen inspraak op het digitaal beleid. Informatiebeheer wordt niet volledig opgenomen in het informatieveiligheidsbeleid. 86

87 7. Eigen aanbevelingen 7.1. Aanbeveling en mening Om een informatiegestuurde audit ondersteunend te maken voor de zorgdragers moet er naar twee aspecten gekeken worden: de haalbaarheid de noden van de zorgdragers Haalbaarheid Voor de haalbaarheid moeten we eerst naar het rapport van PwC kijken. Het eerder uitgevoerde onderzoek van PwC had als resultaat dat er voor een informatiegestuurde audit 3,5 senior auditors en 1 audit manager nodig waren. 167 De vraag is of dit aantal niet te klein is ingeschat. Audit Vlaanderen heeft een veelvoud van personeelsleden in dienst in vergelijking met het cijfer dat het rapport van PwC aanhaalt en zij hebben een kleiner audituniversum. Buiten het feit of deze cijfers te klein zijn ingeschat of niet, kan de Coördinerende archiefdienst deze informatiegestuurde audits niet zelf uitvoeren. Ze hebben hier niet de middelen voor. Daarbij komend zou het oprichten van een nieuwe auditdienst voor de informatiegestuurde audit in regelrecht conflict staan met het single auditprincipe dat in Vlaanderen heerst Noden Voor de noden van de zorgdragers moeten we kijken naar de gesprekken die er met hen zijn geweest. De zorgdragers wensen een informatiegestuurde audit omdat dit tot sensibilisatie rond informatiebeheer zorgt. Deze sensibilisering is vooral op vlak van het digitale bij de meeste zorgdragers gewenst. Zoals de zorgdragers aanhalen bestaan er al vele verschillende zelfevaluatietools. Een nieuwe zelfevaluatietool is om deze reden niet hetgeen waar de zorgdragers naar verlangen. Vele informatiebeheerders / archivarissen voelen zich door projecten zoals I-monitor en verenigingen zoals V-ICT-OR buitenspel gezet op het digitale aspect van informatiebeheer. Het schept een ideebeeld dat ICT en informatiebeheer twee gescheiden werelden zijn, terwijl beiden juist veel raakvlakken met elkaar hebben Keuze Door de wensen van de zorgdragers en de haalbaarheid moest er gekeken worden om samen te werken met anderen. 167 PricewaterhouseCoopers, Finaal rapport. Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers,

88 I-monitor In het project van I-monitor stappen was een mogelijke optie. Voor deze optie is niet gekozen omwille van voornamelijk twee redenen: Er is geen zekerheid van de continuïteit van het project. Enkel de lokale besturen worden opgenomen in de I-monitor. Hierdoor ontbreekt een groot deel van het audituniversum. Audit Vlaanderen Voor de informatiegestuurde audit lijkt het dus de beste optie om samen te werken met Audit Vlaanderen. Dit is in lijn met het single auditprincipe. Audit Vlaanderen heeft ook een ervaren team auditors. In hun organisatie-audits is informatiebeheer ook opgenomen, weliswaar niet als een apart thema maar binnen twee andere thema s. Het is belangrijk dat Audit Vlaanderen een thema-audit rond informatiebeheer uitvoert. Door zo n thema-audit uit te voeren zullen er betere conclusies getrokken kunnen worden over hoe de situatie bij de zorgdragers op dit moment is, want bij de organisatie-audits wordt informatiebeheer eerder oppervlakkig onderzocht. Het is belangrijk dat Audit Vlaanderen zeer nauw samenwerkt met de Coördinerende archiefdienst. De taak van de Coördinerende archiefdienst is het ondersteunen van de zorgdragers op vlak van informatiebeheer en ze krijgen hiervoor ook lof van de zorgdragers. De Coördinerende archiefdienst stelt zelf al best practices ter beschikking van de zorgdrager bijvoorbeeld. Het is dan ook belangrijk dat de Coördinerende archiefdienst de resultaten van de audits omtrent informatiebeheer van Audit Vlaanderen kan inzien en analyseren. Op deze manier kan ze haar ondersteuning aanpassen aan de problemen worden vastgesteld. De Coördinerende archiefdienst heeft ook een grote kennis rond informatiebeheer. Met deze kennis kan ze Audit Vlaanderen helpen om de mogelijke risico s, mogelijke beheersmaatregelen, nuances van informatiebeheer te bepalen. Uit de gesprekken met Audit Vlaanderen blijkt dat er dienaangaande een bereidheid is om samen te werken met de Coördinerende archiefdienst. Vanwege de keuze om voor de informatiegestuurde audit samen te werken met Audit Vlaanderen is er gekozen om te kijken naar risicomatrices Cf. infra 88

89 Niveauverschillen Uit de gesprekken is naar voor gekomen dat niet iedereen op hetzelfde niveau staat op vlak van informatiebeheer. Zeker bij de kleinere zorgdragers zoals de polders en wateringen en de kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten is te merken dat ze nog zoekende zijn hoe hun informatiebeheer aan te pakken. Het is daarom belangrijk hen eerst te ondersteunen vooraleer er een mogelijke audit uitgevoerd zou worden bij deze kleinere zorgdragers. Zelfevaluatietool Coördinerende archiefdienst De zelfevaluatietool van de Coördinerende archiefdienst is een bruikbare tool voor de informatiebeheerder / archivaris zoals de zorgdragers aangeven. Mits een paar aanpassingen, zoals definities en best practices in de tool te verwerken en ze eventueel getrapt te maken, kan ervoor zorgen dat deze tool voor iedere zorgdrager bruikbaar wordt. Deze tool is echter niet gemaakt om te sensibiliseren en zal dus ook niet dezelfde kracht hebben van een audit. Deze tool zorgt voor de informatiebeheerder / archivaris om via introspectie na te gaan of hij / zij goed werk levert en de gevolgen van zijn inspanningen te kunnen inschatten. Risicomatrix Het resultaat van deze masterproef is uiteindelijk een risicomatrix. Audit Vlaanderen stelt zelf risicomatrices op voor zijn organisatie- en thema-audits. Deze matrices stellen ze ook ter beschikking zodat deze gebruikt kunnen worden als een vorm van zelfevaluatie vooraleer Audit Vlaanderen een audit komt uitvoeren. De risicomatrix opgesteld in deze masterproef is dus bruikbaar voor Audit Vlaanderen om te zien hoe ze haar informatiegestuurde audit zal uitvoeren, maar ook voor de zorgdragers om zichzelf te evalueren. In een risicomatrix wordt er gewerkt met mogelijke risico s indien een bepaalde doelstelling niet wordt behaald en welke beheersmaatregelen kunnen zorgen dat de doelstelling wel wordt behaalt. Deze manier van werken heeft meer kans om het management te sensibiliseren met betrekking tot het belang van een goed informatiebeheer. Risico s in verband met informatiebeheer zijn dezelfde voor alle zorgdragers ongeacht hun niveau. Hierdoor is een risicomatrix een hulpmiddel voor alle zorgdragers. Niet alle zorgdragers vallen onder de bevoegdheid van Audit Vlaanderen, maar uit de gesprekken met de zorgdragers is wel gebleken dat de zorgdragers die niet onder de bevoegdheid van Audit Vlaanderen vallen wel naar Audit Vlaanderen kijken. Om deze reden is de risicomatrix in deze masterproef bruikbaar voor alle zorgdragers opgesomd in het Archiefdecreet en niet enkel voor deze die onder de bevoegdheid van Audit Vlaanderen 89

90 vallen. Op deze manier kan er verder nagedacht worden om eventueel de bevoegdheid van Audit Vlaanderen uit te breiden of toch een aparte auditdienst op te richten puur voor de zorgdragers die niet onder de bevoegdheid van Audit Vlaanderen vallen. Extra mogelijkheid Buiten deze risicomatrix lijkt het ook interessant om in navolging van Zweden te bepalen dat de zorgdragers zelf auditors aanstellen of een interne auditdienst hebben. 169 Dit zou leiden tot een hogere frequentie van audits dan als enkel Audit Vlaanderen een audit zou uitvoeren waardoor het probleem van de zorgdragers die niet onder de bevoegdheid van Audit Vlaanderen vallen, ook gedeeltelijk opgelost wordt Risicomatrix Voor het bepalen van een risicomatrix zijn de processen belangrijk. Bij een risicomatrix zijn namelijk de doelstellingen gekoppeld aan de taken in het proces. 170 Het probleem bij informatiebeheer is dat er niet een duidelijk vastgelegd proces bestaat zoals bijvoorbeeld bij gemeentelijke belastingen en retributies. Desalniettemin is er in deze masterproef een poging gedaan om een procesmodel van informatiebeheer te maken. Het doel van dit procesmodel is een kapstok te zijn voor de risicomatrix. Het model moet tonen dat informatiebeheer kan aanzien worden als een proces en het maakt tegelijkertijd informatiebeheer ook meer visualiseerbaar. Het doelpubliek van het procesmodel en de risicomatrices zijn niet enkel de informatiebeheerders / archivarissen. Het procesmodel en de risicomatrix moeten bruikbaar zijn voor die bij de zorgdrager werken, want de informatiegestuurde audit is een audit die naar de hele zorgdrager kijkt en niet enkel de archiefdienst. Het procesmodel en de risicomatrix moeten ook bruikbaar zijn voor Audit Vlaanderen, want het is uiteindelijk dat agentschap die de audit zal uitvoeren Procesmodel Om het procesmodel te bepalen, is er in deze masterproef inspiratie gehaald uit het schematisch overzicht van de procedures van archiefbeheer van de werkgroep lokaal overheidsarchief van de Vlaamse Vereniging voor Bibliotheek, Archief & Documentatie. Hun schematisch overzicht van de procedures kan men hieronder zien. 169 Voor de zorgdragers die onder de bevoegdheid van Audit Vlaanderen vallen bestaat er al de mogelijkheid om via het raamcontract van Audit Vlaanderen audits te laten uitvoeren door een externe bureau. 170 Gesprek Katrien Aerts 10 maart

91 Schematisch overzicht van de procedures van archiefbeheer (artikel) In dit schematisch overzicht van de procedures van archiefbeheer wordt gekeken naar de werking van een gemeentearchief, maar informatiebeheer is veel breder dan dit. Procesmodel 1 Informatiebeheer is iets dat plaatsvindt binnen de hele zorgdrager en niet enkel binnen een afdeling van de zorgdrager. Daarom kwam ik in eerste instantie tot het procesmodel dat hieronder te zien is. 91

92 Tussenstap procesmodel informatiebeheer Zoals men kan zien is dit geen uitgebreid model. Het doel van dit procesmodel, zoals eerder vermeld, is een kapstok te zijn voor de risicomatrix. Het belangrijkste aan dit model zijn de rollen binnen het informatiebeheer. Op het beleidsniveau nemen er drie profielen rollen op binnen informatiebeheer, namelijk het management, de informatiebeheerder en de archivaris. Het management moet een kader creëren om een beleid rond informatiebeheer mogelijk te maken. Dit is een belangrijke stap in het proces van informatiebeheer, want zonder deze stap is er geen beleid mogelijk of draait het vierkant. De scheiding tussen de rol van de informatiebeheerder en de archivaris is de scheiding tussen de dynamische en de statische fase. De termen dynamisch en statisch zijn met opzet vermeden in het model, omdat de scheiding hieromtrent niet altijd even duidelijk is en dat dit jargon uit de archivistische wereld die voor anderen niet duidelijk is. Om deze redenen kiezen we ervoor om in dit model de taak van de informatiebeheerder te definiëren als het beheren van de informatie en de taak van de archivaris te definiëren als het beheren van het archief. De overgang tussen deze twee stappen is het verstrijken van de bewaartermijn. 92

93 Subproces 1 In het procesmodel Tussenstap procesmodel informatiebeheer is het beheren van de informatie opgenomen als een subproces. Subproces Beheren informatie van tussenstap procesmodel informatiebeheer Het subproces Beheren informatie bestaat uit twee stappen die tegelijkertijd worden uitgevoerd door de informatiebeheerder. Namelijk het vastleggen van de beheersregels en het toepassen van de beheersregels. Onder het vastleggen van de beheersregels worden onder andere het uitwerken van richtlijnen omtrent informatiebeheer voor de medewerkers van de zorgdrager verstaan. Onder het toepassen van de beheersregels wordt onder andere de advisering aan de medewerkers om deze richtlijnen uit te voeren verstaan. Subproces 2 In het procesmodel Tussenstap procesmodel informatiebeheer is het beheren van het archief opgenomen als een subproces. 93

94 Subproces Beheren archief van tussenstap procesmodel informatiebeheer Dit subproces is gebaseerd op de procesmodellering voor de werking van een archiefdienst van de werkgroep lokaal overheidsarchief van de Vlaamse Vereniging voor Bibliotheek, Archief & Documentatie. (artikel procesmodellering voor de werking van een archiefdienst). Zij hebben dit echter veel meer in detail gedaan. In dit subproces koos ik ervoor om te spreken van Aanbieden dienstverlening in plaats van gebruiken, omdat de term dienstverlening meer slaat op het openstellen van het archief voor zowel binnen de zorgdrager als buiten de zorgdrager dan de term gebruiken. Procesmodel 2 Na verder denkwerk en overleg met het Coördinerende archiefdienst werd de conclusie getrokken dat dit procesmodel (Tussenstap procesmodel informatiebeheer) niet helemaal klopt. De zaken die niet kloppen met betrekking tot het procesmodel zijn de volgende: De scheiding tussen de dynamische en de statische fase, ook al is ze niet expliciet vernoemd in het procesmodel, is niet duidelijk te stellen in de praktijk. Een verschil tussen informatie en archief maken puur op leeftijd van de stukken klopt niet. Het enige dat verandert binnen het informatieobject is de leeftijd, maar het informatieobject verandert zelf niet. Dit zorgt dus enkel voor verwarring. Om de informatiebeheerder en de archivaris als twee verschillende personen voor te stellen, klopt ook niet. Beiden doen immers hetzelfde. In de praktijk, zoals bij 94

95 gemeenten, is er geen onderscheid in functie tussen de archivaris en de informatiebeheerder en zijn dit één en de dezelfde persoon. De rol van de medewerkers komt niet voor in het procesmodel. Deze voeren in de praktijk wel de beheersregels uit. De taken bij het subproces Beheren informatie en het subproces Beheren archief kunnen samengevoegd worden. Daarom hervormden we, rekening houdend met de opmerkingen, het model. We komen dan tot het procesmodel hieronder. Procesmodel informatiebeheer Bij dit procesmodel zijn er net zoals de vorige drie rollen: het management de informatiebeheerder / archivaris 95

96 de medewerkers De rol van het management blijft in dit model onveranderd. Het management moet, zoals eerder vermeld, een kader creëren om een beleid rond informatiebeheer mogelijk maken. Dit is een belangrijke stap in het proces van informatiebeheer, want zonder deze stap is er geen beleid mogelijk en draait het vierkant. De twee andere rollen in dit procesmodel zijn wel veranderd. Zo is in het nieuwe model de rol van de informatiebeheer en de archivaris te aanzien als één. Dit is omdat, zoals eerder vermeld, de scheiding tussen de dynamische en de statische fase in de praktijk niet duidelijk te stellen: een verschil tussen informatie en archief maken puur op leeftijd is incorrect. De taken van de informatiebeheerder / archivaris zijn in dit model Vastleggen beheersregels Toepassen beheersregels Aanbieden dienstverlening Er is voor deze drie taken gekozen, omdat zowel de dynamische als de statische fase hierin te plaatsen zijn. Onder Vastleggen beheersregels wordt het uitwerken van richtlijnen omtrent informatiebeheer voor de medewerkers van de zorgdrager begrepen. Concrete voorbeelden hiervan zijn: afspraken en richtlijnen maken over naamgeving van dossiers, bestanden en mappen afspraken en richtlijnen maken in verband met bestandsformaten afspraken en richtlijnen in verband met verpakkingen bij overdrachten Onder Toepassen beheersregels wordt de beheertaken van de informatiebeheerder / archivaris begrepen. Voorbeelden hiervan zijn: het opstellen van een informatiebeheersplan 171 het opstellen van een inventaris het opzetten van een gemeenschappelijk klassement Onder Aanbieden dienstverlening wordt het helpen van de medewerkers bij het uitvoeren van de beheersregels begrepen. Voorbeelden hiervan zijn: het geven van workshops toegang geven tot het depot 171 Zie verder in dit hoofdstuk voor de definitie van een informatiebeheersplan. 96

97 een aanspreekpunt zijn De medewerkers hebben één taak in dit model, namelijk Uitvoeren beheersregels. Hieronder kan men het uitvoeren van de afspraken en regels die opgesteld zijn door de informatiebeheerder / archivaris, verstaan. Een voorbeeld hiervan is zinvolle namen geven aan dossiers, bestanden en mappen. De taken van de informatiebeheerder / archivaris en de medewerkers lopen parallel in dit procesmodel, omdat er in de praktijk geen duidelijke volgorde bestaat Risicomatrix In deze masterproef zullen er enkel risicomatrices voort komen binnenin de stappen waar het management of de informatiebeheerder / archivaris een rol in heeft. De rol van de medewerker is hier niet uitgewerkt, maar kan zeker ook gegoten worden in risicomatrices. Dit moet ook niet als een afgewerkt product gezien worden. Het moet eerder bekeken worden als een eerste stap welke vervolgens verder uitgewerkt kan worden. Het is dus een eerste voorstel. Voor deze risicomatrices is er inspiratie gehaald uit de Leidraad lokale besturen 172 en Leidraad Vlaamse overheid 173. De doelstellingen die in de risicomatrices voortkomen betreffen het informatiebeheer van de zorgdrager en zijn dus niet beperkt tot de archiefdienst van de zorgdrager. Dit komt door de intenties van het Archiefdecreet. 174 Een risicomatrix bestaat uit drie delen. Bovenaan staat de doelstelling. De mogelijke risico s staan links. Deze mogelijke risico s dienen gelezen te worden als indien niet aan de doelstelling wordt voldaan zijn dit de mogelijke risico s. Rechts staan de mogelijke beheersmaatregelen. Deze dienen gelezen te worden als mogelijke beheersmaatregelen om tot deze doelstelling te komen. De mogelijke risico s en mogelijke beheersmaatregelen zijn geen een één op één verhaal. Deze doelstelling kan vervult worden door het toepassen van de aangeboden mogelijke beheersmaatregelen. Door het vervullen van deze doelstelling kan de zorgdrager deze mogelijke risico s vermijden. Onder elke risicomatrix zal er uitleg en zullen er voorbeelden gegeven worden. De matrices zijn hier enkel gekoppeld aan de rollen die het procesmodel voorkomen. Het is mogelijk om bij het verder uitwerken van de risicomatrices deze wel te koppelen aan de taken uit het procesmodel. 172 Audit Vlaanderen, Leidraad organisatiebeheersing voor lokale besturen. 173 Berckmans e.a., Leidraad interne controle/organisatiebeheersing Vlaamse Overheid. 174 Zie 1. Archiefdecreet en Auditdecreet. 97

98 Rol van het management Er is een verantwoordelijke met helikopterview over de informatiehuishouding binnen de zorgdrager. Mogelijke risico s Mogelijke beheersmaatregelen - Het is niet duidelijk wie - Er is een verantwoordelijke met verantwoordelijk is voor het kennis ter zake aangesteld voor het informatiebeheer. informatiebeheer. - Er is geen uniformiteit binnen de - De zorgdrager biedt de zorgdrager. informatiebeheerder de - Er is geen aanspreekpunt binnen de mogelijkheid om bijkomende zorgdrager. opleidingen te volgen. - Er is geen overzicht van welke proces - De informatiebeheerder heeft deze gebonden informatie er binnen de rol als kerntaak en heeft voldoende zorgdrager is. tijd om deze uit te voeren. - - De rol van de informatiebeheerder is duidelijk gedefinieerd, omschreven en gecommuniceerd binnen de zorgdrager. - De zorgdrager creëert een draagvlak zodat de informatiebeheerder kan samenwerken met anderen binnen de zorgdrager. - In de doelstelling Er is een verantwoordelijke met helikopterview over de informatiehuishouding van de zorgdrager. zijn de twee belangrijkste termen verantwoordelijke en helikopterview. Mogelijke risico s Indien er geen verantwoordelijke is, dan is het niet duidelijk wie verantwoordelijk is voor het informatiebeheer, is er geen uniformiteit binnen de zorgdrager en is er geen aanspreekpunt binnen de zorgdrager. Dat er geen duidelijkheid is omtrent wie verantwoordelijk is en er geen aanspreekpunt is binnen de zorgdrager is vrij logisch als er 98

99 geen verantwoordelijke is voor het informatiebeheer. Dat er geen uniformiteit is binnen de zorgdrager als er geen verantwoordelijke is, komt alsdan door het feit dat er niemand is die de lijnen uitzet m.b.t. op welke manier er aan informatiebeheer zal gedaan worden en iedereen bijgevolg zijn eigen zin zal doen. Aangezien informatie uit de processen van de zorgdrager voortkomen, is het logisch dat zonder helikopterview er ook geen overzicht is van welk procesgebonden informatie binnen de zorgdrager aanwezig is. Er is namelijk niemand die een overzicht heeft over de hele zorgdrager om alle procesgebonden informatie in kaart te brengen. Mogelijke beheersmaatregelen Als er iemand met kennis ter zake is aangesteld voor het informatiebeheer, is er dus logischerwijze een verantwoordelijke. Door een verantwoordelijke met kennis ter zake aan te stellen voor het informatiebeheer, kan de zorgdrager de mogelijke risico s Het is niet duidelijk wie verantwoordelijk is voor het informatiebeheer, Er is geen uniformiteit binnen de zorgdrager en Er is geen aanspreekpunt binnen de zorgdrager indekken. Met kennis ter zake wordt bedoeld dat de verantwoordelijke voeling heeft met de verschillende problematieken die er zijn bij informatiebeheer en weet hoe hij / zij deze moet aanpakken. Per definitie wordt hiermee aangetoond dat de verantwoordelijke niet noodzakelijk een speciale opleiding zoals de Master na Master Archivistiek: Erfgoedbeheer en Hedendaags Documentbeheer moet gevolgd hebben, hoewel gekwalificeerd personeel natuurlijk altijd beter is dan niet-gekwalificeerd personeel. Het is vooral belangrijk dat de verantwoordelijke inzicht heeft in de zorgdrager, weet welke problemen er zich mogelijk kunnen stellen en hoe deze aan te pakken. Als de zorgdrager de informatiebeheerder de mogelijkheid biedt om bijkomende opleidingen te volgen, zorgt de zorgdrager ervoor dat de informatiebeheerder mee is met de nieuwste ontwikkelingen op het vlak van informatiebeheer. Hierdoor zal de informatiebeheerder zijn functie nog beter kunnen uitvoeren en zijn kennis voor een helikoptervisie te hebben over de zorgdrager verbeteren. Deze opleidingen kunnen cursussen zijn zoals: een opleiding voor people management business & application architecture business continuity management enterprise content management werken met SharePoint coaching 99

100 opleidingen zoals de Master na Master Archivistiek: Erfgoedbeheer en Hedendaags Documentbeheer Dat de informatiebeheerder deze rol als kerntaak heeft en voldoende tijd heeft om deze uit te voeren, is belangrijk voor de functie als informatiebeheerder. Indien deze niet zijn kerntaak is, zal men ook geen persoon hebben die zich hoofdzakelijk bezig houdt met informatiebeheer en komen alle opgesomde risico s boven. Iemand die bijvoorbeeld gemeentesecretaris is en tevens de rol als informatiebeheerder krijgt, zal altijd zijn taken als secretaris, zijnde zijn hoofdfunctie, voorrang geven op zijn taken als informatiebeheerder, zijn nevenfunctie, ook omdat de functie van secretaris al zeer tijdrovend is. Hierdoor zal het informatiebeheer van die gemeente altijd verwaarloosd worden. Buiten dat het zijn kerntaak moet zijn, moet de informatiebeheerder er ook over voldoende tijd beschikken om deze taak naar behoren te kunnen uitvoeren. Iemand die bijvoorbeeld de functie als informatiebeheerder heeft als zijn hoofdfunctie, maar tegelijk ook alle verslagen van de directieraad moet maken en voorbereiden, zal door deze nevenfunctie die veel tijd in beslag neemt, zijn hoofdfunctie niet naar behoren kunnen uitvoeren. Ook dit heeft als resultaat dat informatiebeheer verwaarloosd wordt. Door de rol van de informatiebeheerder duidelijk te definiëren, omschrijven en communiceren binnen de zorgdrager, creëert de zorgdrager een duidelijk kader en is het duidelijk voor de hele zorgdrager dat de aangestelde persoon verantwoordelijk is voor het informatiebeheer. Dit kan men doen aan de hand van: de functieomschrijving het organogram Doordat de zorgdrager een draagvlak creëert zodat de informatiebeheerder kan samenwerken met anderen binnen de zorgdrager, helpt de zorgdrager de informatiebeheerder om een helikoptervisie van de zorgdrager te bekomen. De personen en diensten om mee samen te werken zijn bijvoorbeeld: de ICT-dienst de kwaliteitsverantwoordelijke de milieuzorgcoördinator procesanalisten juristen 100

101 Al deze spelers binnen de zorgdrager hebben een raakvlak met informatiebeheer. Door samenwerking met hen mogelijk te maken zorgt de zorgdrager ervoor dat ze elkaar als partner gaan zien en niet als concurrent. Dit kan gedaan worden door bijvoorbeeld de informatiebeheerder overkoepelend in de zorgdrager te plaatsen of tenminste door een gelijke status (vb diensthoofd) als andere diensthoofden te geven. Hierdoor bestaat meer kans dat een informatiebeheerder zal samenwerken met bijvoorbeeld de ICT-dienst dan als de informatiebeheerder onder een tak van bijvoorbeeld cultuur wordt geplaatst. De zorgdrager kan dit vergemakkelijken door een werkcultuur te creëren waar werknemers samen werkt buiten zijn eigen afdelingen en niet aan eilandvorming doet. 101

102 De zorgdrager beschouwt informatiebeheer als een essentieel onderdeel van de processen. Mogelijke risico s Mogelijke beheersmaatregelen - Het informatiebeheer kan niet op een - Het management verwacht correcte en juiste manier uitgevoerd regelmatige rapportage over de worden. realisaties van de doelstellingen - Er is een gedeeltelijk of volledig van het informatiebeheer. informatieverlies bij bepaalde - De beleidslijnen en procedures in processen. verband met informatiebeheer zijn - Informatiebeheer wordt niet gedragen gevalideerd door het management. binnen de zorgdrager. - De zorgdrager stimuleert om - dienstoverschrijdend te werken en informatie te delen. - De informatiebeheerder wordt op structurele basis betrokken bij het opzetten van nieuwe applicaties, bij procesoptimalisaties - De doelstelling de zorgdrager beschouwt informatiebeheer als een essentieel onderdeel van de processen slaat vooral op het feit dat de zorgdrager informatiebeheer als vitaal beschouwt voor de werking van de instelling. Mogelijke risico s Dat het informatiebeheer niet op een correcte en juiste manier uitgevoerd kan worden een mogelijke risico is, is vrij logisch. Informatie maakt deel uit van de processen van de zorgdrager. Hierdoor is informatiebeheer een essentieel onderdeel van de processen. Deze argumentatie gaat ook op voor het mogelijke risico dat er een gedeeltelijk of volledig informatieverlies is bij bepaalde processen. Indien informatiebeheer niet als een essentieel onderdeel van de processen wordt aanzien krijgt de informatiebeheerder niet de mogelijkheid om aan informatiebeheer te doen bij alle processen van de zorgdrager. Hierdoor is er dus risico op informatieverlies. Het is vrij logisch dat als de zorgdrager informatiebeheer niet beschouwt als een essentieel onderdeel van de processen, informatiebeheer niet wordt gedragen binnen de zorgdrager. Als 102

103 het management informatiebeheer niet belangrijk vindt, is het onwaarschijnlijk dat de medewerkers het wel belangrijk zouden vinden. In zo n situatie zal de informatiebeheerder altijd tegenwerking ondervinden, zijn taak zal als onbelangrijk worden aanzien en hij / zij zal zeer moeilijk resultaten boeken. Mogelijke beheersmaatregelen Als het management regelmatige rapportage verwacht over de realisaties van de doelstellingen van het informatiebeheer geeft het ook naar de medewerkers van de zorgdrager aan dat informatiebeheer iets essentieels is. Door regelmatige rapportage te verwachten creëert het management ook betrokkenheid bij het informatiebeheer. Door de beleidslijnen en procedures in verband met informatiebeheer door het management te laten valideren toont het management dat informatiebeheer iets essentieels is. Daar bijkomend zorgt de validatie er voor dat de beleidslijnen en procedures in verband met informatiebeheer niet zomaar kunnen genegeerd worden door de medewerkers binnen de zorgdrager. Het geeft de informatiebeheerder dus meer slagkracht. Om informatiebeheer als iets essentieels binnen de zorgdrager te laten aanzien, is het stimuleren om dienstoverschrijdend te werken door de zorgdrager en informatie te delen noodzakelijk. Informatie komt voort uit de processen van de zorgdrager. De processen gebeuren niet in één enkele dienst van de zorgdrager. Dienstoverschrijdend werken is voor de informatiebeheerder dus essentieel. De zorgdrager kan dit stimuleren door, zoals eerder aangehaald, de informatiebeheerder een weloverwogen plaats te geven in het organogram. De informatiebeheerder betrekken op structurele basis bij het opzetten van nieuwe applicaties, bij procesoptimalisaties is belangrijk om informatiebeheer als een essentieel onderdeel van de processen te aanzien. Een voorbeeld hiervan is als de zorgdrager beslist om met een Documentmanagementsysteem te gaan werken. Indien de informatiebeheerder hierbij niet betrokken is, zal dit enkel uitgevoerd worden door ICT ers die vooral de technische kant kennen. Er zal dan waarschijnlijk niet nagedacht worden over het routinematig opnemen van informatieobjecten, de ordening, correcte toegang verlening, gebruikersidentificatie, geautoriseerde en gecontroleerde selectie, regelgeving, dat alle informatieobjecten zijn opgenomen, volledig dekkende methodologie, verantwoordelijkheden Dit zijn kortom de betrouwbaarheid, de integriteit, de overeenstemming met eisen, het bereik en systematiek van een systeem. De helikopterview van de informatiebeheerder blijft dan onbenut en holt men achter de feiten aan op het vlak van informatiebeheer. 103

104 De zorgdrager heeft een lange termijnvisie op het informatiebeheer. Mogelijke risico s - Er worden geen beslissingen of alleen ad hoc beslissingen genomen op het vlak van informatiebeheer. - De zorgdrager heeft geen prioriteiten in het uitvoeren van zijn taken. - De zorgdrager is niet op de hoogte van de nieuwe evoluties. - De zorgdrager loopt kansen mis voor samenwerking met partners. - Er ontstaan achterstanden op het vlak van informatiebeheer. - Men moet extra kosten maken om de achterstanden in te halen op het vlak van informatiebeheer - Er is een gedeeltelijk of volledig informatieverlies bij bepaalde processen. - Er is een wildgroei aan applicaties binnen de zorgdrager. - Mogelijke beheersmaatregelen - Informatiebeheer wordt opgenomen in de beleidsplannen van de zorgdrager. - De zorgdrager heeft een lange termijnvisie op de manier waarop hij zijn informatiebeheer wil organiseren om zijn doelstellingen te realiseren en zijn dienstverlening te optimaliseren. - De zorgdrager is bereid om middelen te voorzien voor informatiebeheer. - Mogelijke risico s Het is vrij logisch dat indien er geen lange termijnvisie binnen de zorgdrager is dat er geen beslissingen of alleen ad hoc beslissingen worden genomen op het vlak van informatiebeheer. Dit is een problematisch gegeven voor informatiebeheer, want bij informatiebeheer moet het management juist op lange termijn denken/kijken. De waarde van de procesgebonden informatie op de langere termijn wordt onderschat en nogal eens vergeten. Managers willen de problemen maar aanpakken als ze zich voordoen. Door zulke ad hoc beslissingen moeten ze echter onverwachts geld in zaken investeren, wat vermeden had kunnen worden. Als ze helemaal geen beslissing nemen worden de problemen alleen dramatischer. Een voorbeeld hiervan is de aankoop van een Documentmanagementsysteem of nog erger een 104

105 Groupwaresysteem. Veel zorgdragers kopen een dergelijk systeem zonder lange termijnvisie waarbij ze zich niet afvragen hoe ze de informatieobjecten in het systeem er weer uitkrijgen zonder informatieverlies als ze later van systeem zouden willen veranderen. Als de zorgdrager bij de verandering van het systeem moet vaststellen dat de informatieobjecten er niet meer uit te krijgen zijn, heeft de zorgdrager nog maar twee opties. De eerste optie is niks doen en dus de informatieobjecten zo over te zetten naar het andere systeem waardoor hij zeer veel informatieverlies riskeert. De tweede optie is vele manuren steken in het zoeken naar een oplossing om toch geen of in het slechtste geval minimaal mogelijk informatieverlies te hebben. Dit voorbeeld toont aan dat door geen of ad hoc beslissingen veel geld, efficiëntie en effectiviteit verspeeld werd welke vermeden hadden kunnen worden door een lange termijnvisie. Het is ook vrij logisch dat als geen lange termijnvisie binnen de zorgdrager is, dat de zorgdrager geen prioriteiten heeft in het uitvoeren van zijn taken. Als er geen lange termijnvisie bestaat, is er geen idee naar waar men naartoe wil. Er is dan ook geen idee welke zaken belangrijker zijn dan andere. Het gevaar hierbij is dat de belangrijke zaken niet worden aangepakt. Indien de zorgdrager geen lange termijnvisie heeft, bestaat de kans dat de zorgdrager niet op de hoogte is van de nieuwe evoluties. Bij het bepalen van een lange termijnvisie gaat de informatiebeheerder aftoetsen wat er zich in het veld allemaal afspeelt. Hij / zij kijkt of er bepaalde zaken bruikbaar zijn voor hun eigen situatie. Hij / zij verbreed zijn / haar horizon voor en door inspiratie. Indien de zorgdrager geen lange termijnvisie heeft, zal hij / zij dit niet doen. Zoals eerder al aangehaald, zal het management dan eerder ad hoc of geen beslissingen nemen. Hierdoor moet alles snel gaan en wordt er geen tijd genomen om te kijken naar anderen en zijn ze ook niet meer mee met de nieuwste evoluties. Zonder een lange termijnvisie loopt de zorgdrager ook het risico om kansen mis te lopen voor samenwerking met partners. Dit risico is duidelijker aan de hand van een paar voorbeelden. Zo kan het dat een zorgdrager helemaal niet kan samenwerken met een andere zorgdrager omdat de verschillen zodanig groot zijn geworden vanwege het visieloze beleid van een van beide zorgdragers. Een ander voorbeeld is dat beide zorgdragers wel kunnen samenwerken, maar dat er veel meer uit de samenwerking te halen was als er een lange termijnvisie was aanwezig geweest. Een concreet voorbeeld hiervan is als twee zorgdragers besluiten om samen een archiefdepot op poten te zetten. Als er geen lange termijnvisie is bij één van de twee zorgdragers, heeft deze zorgdrager geen idee hoe ze haar digitale informatieobjecten gaat aanpakken. Hierdoor mist deze de kans om ook gezamenlijk een e- 105

106 depot op te zetten. Bij het missen van kansen gaat het echter niet enkel over het mislopen van mogelijke partners, maar ook over het verminderen van de kwaliteit van de samenwerking. Het risico dat er achterstanden ontstaan op het vlak van informatiebeheer en dat de zorgdrager extra kosten moet maken om de achterstanden in te halen op het vlak van informatiebeheer indien er geen lange termijnvisie is, ligt in de lijn van het risico dat er ad hoc of geen beslissingen worden genomen. Indien er geen lange termijnvisie is, lost men de problemen pas op als ze zich voordoen. Men laat met andere woorden de zaken slabakken. Logischer wijze ontstaan er dus achterstanden. Deze achterstanden kosten geld en manuren die vermeden hadden kunnen worden, om ze weer op orde te krijgen. Het risico dat er een gedeeltelijk of volledig informatieverlies is bij bepaalde processen indien men geen lange termijnvisie heeft, ligt weer in het feit dat men de problemen pas aanpakt als ze zich voordoen. Maar vaak dienen we vast te stellen bij informatiebeheer dat als men de problemen pas aanpakt als ze zich voordoen het al te laat is. Het eerder aangehaalde voorbeeld van de aankoop van een documentmanagementsysteem of groupwaresysteem is hier ook bruikbaar. Het risico dat er een wildgroei is aan applicaties binnen de zorgdrager als er geen lange termijnvisie is, lijkt voor velen buiten de archivistische wereld niet als probleem beschouwd te worden. Het is het echter wel. Dit risico ligt weer in de lijn van de gedachtegang van ad hoc of geen beslissingen nemen. Denken dat problemen met een applicatie verholpen worden door een nieuwe applicatie aan te kopen om dit probleem op te lossen, is verkeerd. Immers, de wildgroei aan applicaties binnen een zorgdrager zorgt ervoor dat de informatieobjecten versnipperd en verspreid geraken over al deze applicaties. Het argument dat men met een zoekfunctie alles terugvindt, klopt evenmin. Elke zoekfunctie heeft namelijk een recall, mate waarin een informatiesysteem relevante informatie aanbiedt op een specifieke zoekvraag 175, en een precision, verhouding tussen relevante informatie en alle opgehaalde informatie 176. Door de versnippering en verspreiding van de informatieobjecten is er informatieverlies en kan men niet aan een efficiënt en effectief versiebeheer doen. Mogelijke beheersmaatregelen Door Informatiebeheer op te nemen binnen de beleidsplannen van de zorgdrager is de zorgdrager verplicht om een lange termijnvisie te hebben over informatiebeheer door in het beleidsplan de doelstellingen voor een bepaalde periode vast te leggen. Aldus worden de intenties van de zorgdrager op vlak van informatiebeheer verduidelijkt. 175 Slides cursus Hedendaags Documentbeheer van prof. Bart Ballaux academiejaar Ibid. 106

107 De zorgdrager heeft een visie op de manier waarop ze haar informatiebeheer wil organiseren om haar doelstellingen te realiseren en haar dienstverlening te optimaliseren. Deze beheersmaatregel ligt in het verlengde van de vorige beheersmaatregel. In de vorige beheersmaatregel legt men vast naar waar men naartoe wilt gaan. In deze beheersmaatregel legt men vast op welke manier dat men dat zal doen. Een belangrijk en niet te vergeten beheersmaatregel om een lange termijnvisie te bekomen is dat de zorgdrager bereid is middelen te voorzien voor informatiebeheer. Met middelen wordt niet per definitie geld bedoeld. Dit kan evengoed extra voltijdse equivalenten, materiaal, werkruimtes zijn. Door bereid te zijn om middelen te geven, geeft men de mogelijkheid om verder in de toekomst te denken en gestructureerde maatregelen te nemen. 107

108 Rol van de informatiebeheerder / archivaris De zorgdrager weet welke overheidsinformatie hij in huis heeft. Mogelijke risico s - Informatie wordt niet teruggevonden. - Informatie wordt dubbel opgeslagen. (versiebeheer, kwaliteit van de informatie) - De zorgdrager investeert in onnodig veel opslagcapaciteit en applicaties. - De verkeerde versie van een document wordt bezorgd. - Medewerkers vinden de informatie niet terug die ze nodig hebben voor hun taken. - De zorgdrager heeft onvoldoende kennis van al zijn roerend en onroerend patrimonium. - Mogelijke beheersmaatregelen - De zorgdrager bundelt informatie zo veel mogelijk in een (volledig) dossier. - De zorgdrager heeft afspraken rond dossiervorming. - De zorgdrager heeft duidelijke afspraken in verband met de toegang tot de informatie. - De zorgdrager heeft een duidelijke en onderhouden structuur voor het bewaren van informatie. - De zorgdrager heeft een actueel en gevalideerd informatiebeheersplan. - Mogelijke risico s Het is vanzelfsprekend dat als de zorgdrager niet weet welke overheidsinformatie het in huis heeft, het risico bestaat dat informatie niet wordt teruggevonden of minstens tot ernstig tijdsverlies lijdt om de gegevens alsnog terug te vinden. Verder zorgt het er ook voor dat de werking van de zorgdrager in het gedrang komt, want deze informatie is noodzakelijk voor het uitvoeren van zijn taken. Het risico dat medewerkers de informatie niet terugvinden die ze nodig hebben voor hun taken, is gekoppeld aan het vorige risico. Medewerkers hebben informatie nodig om hun taken naar behoren te kunnen uitvoeren. Als deze niet weten welke informatie er voor handen is en/of de aanwezige informatie niet kunnen terug vinden, bestaat het risico dat zij hun taak niet naar behoren kunnen uitvoeren. Dit kan gaan om een specifiek informatieobject, maar dit kan ook even goed om de juiste versie van een informatieobject gaan. Het risico dat informatie dubbel wordt opgeslagen, lijkt voor sommigen geen probleem te zijn, maar dat is het wel. Het dubbel opslaan van informatieobjecten ontstaat door: 108

109 een gebrek aan kennis van welke informatie reeds eerder opgeslagen werd twijfels over de versie het willen van een eigen kopie... Dit brengt met zich mee dat er problemen ontstaan die gerelateerd zijn aan versiebeheer en waardoor het niet meer duidelijk is welk informatieobject de correcte of recentste is. Bij aanpassingen van documenten door werknemers bestaat de kans dat men enkel aanpassingen zal uitvoeren in de ene of andere versie waardoor de inhoud van twee informatieobjecten met dezelfde naam niet meer gelijk zal zijn. De kwaliteit van de informatie komt aldus in het gedrang. Het risico dat de zorgdrager investeert in onnodig veel opslagcapaciteit en applicaties, is gekoppeld aan het vorige risico. Immers, de dubbele opslag van informatie zorgt ervoor dat er meer opslagcapaciteit nodig is. Deze opslagcapaciteit kan zowel digitale capaciteit als fysieke depotcapaciteit zijn. Dit zijn kosten die vermeden kunnen worden indien men weet welke informatie men in huis heeft. Bij het vergroten van de opslagcapaciteit worden meestal ook nieuwe applicaties aangekocht. Dit zorgt dan weer tot een wildgroei aan applicaties. Dit probleem is hierboven al besproken. Het risico dat de verkeerde versie van een document wordt bezorgd, komt al gedeeltelijk aan bod bij het risico dat informatie dubbel wordt opgeslagen. Zoals eerder aangehaald kan er geen goed versiebeheer zijn indien men niet weet welke informatie men in huis heeft. Het bezorgen van verkeerde versies is problematisch voor de zorgdrager. Als beleidsmakers met verkeerde versies moet werken, nemen ze beslissingen op verkeerde of niet up-to-date informatie en is een correcte beslissing uitgesloten. Wanneer een verkeerde versie naar een klant of burger wordt verstuurd, riskeert de verzendende instelling schade te lijden. Bovendien is het een slechte dienstverlening. Het risico bestaat dat als de zorgdrager niet weet welke informatie hij in huis heeft, hij onvoldoende kennis heeft van al zijn roerend en onroerend patrimonium. De eigendomsrechten van het roerend en onroerend patrimonium staan beschreven in informatieobjecten. Miskenning van deze aanwezige informatie kan leiden tot onjuiste invulling van haar bestaande eigendomsrechten. Dit kan gaan om eigendommen van grond, gebouwen, kunstwerken 109

110 Mogelijke beheersmaatregelen Als de zorgdrager informatie zo veel mogelijk bundelt in een (volledig) dossier, creëert de zorgdrager een veel groter overzicht welke ervoor zorgt hij beter weet welke informatie hij in huis heeft. Als de zorgdrager afspraken heeft rond dossiervorming, zorgt hij ervoor dat er meer uniformiteit is binnen zijn kader. Als dossiers door iedereen op dezelfde wijze worden opgesteld, zorgt de zorgdrager ervoor dat iedereen ook makkelijker informatie terugvindt en hij kan zien welke informatie aanwezig is. Afspraken rond dossiervorming zijn zeker belangrijk bij projecten. Projecten zijn meestal niet makkelijk in te passen binnen de structuur van de zorgdrager. Door duidelijke afspraken te maken over hoe men het dossier aangaande een project maakt, zorgt de zorgdrager ervoor dat het dossier van zo n project niet versnipperd, verspreid of verloren raakt. Als de zorgdrager een duidelijke en onderhouden structuur heeft voor het bewaren van informatie, heeft hij een goed overzicht. Door een duidelijke structuur zorgt de zorgdrager er dus voor dat elke medewerker weet welke informatie hij in huis heeft, waardoor die sneller informatie terugvindt en dus efficiënter en effectiever kan werken. Een duidelijke structuur is een structuur waar iedereen binnen de zorgdrager zich in kan vinden en die geen twijfel toelaat. Voor zo n structuur is er betrokkenheid van het management en de medewerkers nodig. Binnen de structuur moet een onderscheid gemaakt worden tussen de interne organisatie van de zorgdrager en de kerntaken. Met de interne organisatie wordt de dagelijkse organisatie van de zorgdrager bedoeld. Met de kerntaken worden de taken die de zorgdrager moet uitvoeren bedoeld. Zoals eerder aangehaald moet iedereen binnen de zorgdrager zich in deze structuur kunnen vinden en moet men de zorgdrager ook naar gebruiksvriendelijkheid kijken. Voor de beheersmaatregel De zorgdrager heeft een actueel en gevalideerd informatiebeheersplan is er wat uitleg over wat een informatiebeheersplan 177 is, nodig. Dit is een beheersinstrument dat de Coördinerende Archiefdienst als volgt definieert: Een informatiebeheersplan is een overzicht van alle informatieobjecten (documenten, dossiers, series,...) die binnen een zorgdrager worden gecreëerd of ontvangen. Door deze informatieobjecten te linken aan de verschillende werkprocessen, taken en functies waaruit ze ontstaan, worden ze opgehangen binnen een structuur. Daarnaast wordt per informatieobject een aantal beheersregels opgenomen Zie bijlage 4 voor het sjabloon van een informatiebeheersplan en bijlage 5 voor een ingevuld voorbeeld. 178 < geraadpleegd op 6 juli

111 Het informatiebeheersplan is dus een instrument dat alle informatie van een zorgdrager, gekoppeld aan de werkprocessen, taken en functies van de zorgdrager, in kaart brengt. Buiten het oplijsten van de informatie van de zorgdrager bestaat het plan uit beheersregels omtrent bestemming, bewaartermijn, openbaarheid, privacy en hergebruik. Verder worden er in een informatiebeheersplan ook gegevens opgenomen over de omschrijving van de informatie, de datering van de informatie, de drager van de informatie, de mogelijke relaties (parent, child, associatief) met andere informatieobjecten en de actualiseringsdatum van de informatie indien het om een herwerking gaat. Een actueel en gevalideerd informatiebeheersplan zorgt er dus voor dat de zorgdrager weet welke informatie hij in huis heeft 111

112 De zorgdrager beschikt over procedures en richtlijnen voor het beheer van informatie en deze zijn samen met de bijbehorende taken en verwachtingen duidelijk voor, bekend bij en gecommuniceerd naar alle medewerkers. Mogelijke risico s Mogelijke beheersmaatregelen - De werknemers beheren hun informatie - De zorgdrager heeft een actueel en volgens eigen principes en structuur en gevalideerd informatiebeheersplan. houden zich niet aan de richtlijnen, - Er worden opleidingen en systemen, afspraken,. binnen de informatiesessies georganiseerd zorgdrager omtrent informatiebeheer. waarop de beheersregels van - Er is een gedeeltelijk of volledig informatiebeheer worden informatieverlies bij bepaalde toegelicht. processen. - Er bestaat een individuele of op - Informatie wordt niet teruggevonden. dienstniveau begeleiding op het - Informatie wordt dubbel opgeslagen. vlak van informatiebeheer bij de - Er wordt informatie onwettelijk zorgdrager. vernietigd. - Er bestaat een aanspreekpunt - Er wordt informatie te lang bewaard. binnen de zorgdrager. - De zorgdrager kan intern of met - externen geen informatie uitwisselen of op een inefficiënte en ineffectieve manier. - Werknemers zien overheidsinformatie als eigen bezit. - De doelstelling De zorgdrager beschikt over procedures en richtlijnen voor het beheer van informatie en deze zijn samen met de bijbehorende taken en verwachtingen duidelijk voor, bekend bij en gecommuniceerd naar alle medewerkers moet ervoor zorgen dat er uniformiteit bestaat binnen de zorgdrager voor informatiebeheer. Mogelijke risico s Het grote risico als deze doelstelling niet wordt volbracht, is dat de werknemers hun informatie beheren volgens eigen principes en structuur en zich niet aan de richtlijnen, systemen, afspraken, houden binnen de zorgdrager omtrent informatiebeheer. Met andere 112

113 woorden, iedereen doet zijn eigen zin. Dit impliceert dat de dienstwerking deficiënt verloopt. Als medewerkers bijvoorbeeld hun procesgebonden informatie niet in een gemeenschappelijke mappenstructuur opslaan, zal de dienst bij een vraag van een klant over een dossier en bij afwezigheid van de medewerker die dit dossier beheert, geen antwoord kunnen geven. Uit dit risico volgen de risico s: Er is een gedeeltelijk of volledig informatieverlies bij bepaalde processen Informatie wordt niet teruggevonden Informatie wordt dubbel opgeslagen Er wordt informatie onwettelijk vernietigd Er wordt informatie te lang bewaard De zorgdrager kan geen of op een inefficiënte en ineffectieve manier informatie uitwisselen intern en extern Werknemers zien overheidsinformatie als eigen bezit. Dat het risico bestaat dat er een gedeeltelijk of volledig informatieverlies is bij bepaalde processen, komt door het feit dat iedereen zijn eigen zin kan doen zonder procedures en richtlijnen. Deze procedures en richtlijnen zijn er om te voorkomen dat er informatieverlies zou zijn. Als men zich hier niet aan houdt of er geen zijn, is dit risico dus reëel. De risico s Informatie wordt niet teruggevonden en Informatie wordt dubbel opgeslagen zijn reëel, omdat men zich niet aan de procedures en richtlijnen houdt of deze bestaan niet. Het gevaar van deze risico s is al aan bod gekomen bij de vorige risicomatrix. Het risico dat er informatie onwettelijk wordt vernietigd, komt door het feit dat iedereen zijn eigen zin kan doen als er geen procedures en richtlijnen bestaan of men zich niet hier aan houdt. Er bestaat dus de kans dat er binnen de zorgdrager informatie vernietigd wordt dat wettelijk nog niet vernietigd had mogen worden. Dit kan vele problemen veroorzaken. Deze wettelijke bepalingen hebben vaak te maken met beroepstermijnen. Als de zorgdrager het informatieobject voor de wettelijke bepaling en dus voor de beroepstermijn verstreken is, vernietigt, ontzegt de zorgdrager hiermee aan de betrokken partijen de mogelijkheid om in beroep te gaan. Dit heeft niet enkel te maken met beroepstermijnen. Deze wettelijke bepalingen kunnen ook vastgelegd zijn vanwege verantwoordingsplicht. Zo is de bewaartermijn op waarborgdossiers 10 jaar vanwege de verantwoordingsplicht. Het risico dat er informatie te lang wordt bewaard, lijkt op het eerste zicht geen probleem te zijn. Dit is het echter wel want ten eerste zorgt het voor inefficiëntie en ineffectiviteit binnen de zorgdrager. Immers, door informatie langer bij te houden dan nodig heeft de zorgdrager meer opslagcapaciteit nodig. Ten tweede is er informatie welke absoluut tijdig 113

114 dient vernietigd te worden. Dit gaat dan vooral om informatieobjecten die gevoelige persoonsgegevens bevatten. Bij deze informatieobjecten is men vaak verplicht om deze niet langer te bewaren dan nodig. Het risico dat de zorgdrager geen of op een inefficiënte en ineffectieve manier informatie kan uitwisselen intern en extern, komt doordat iedereen zijn eigen zin kan doen als er geen procedures en richtlijnen bestaan. Iedere werknemer creëert dus informatieobjecten op zijn eigen manier, slaat die op op zijn eigen manier Hierdoor kan men bij de zorgdrager intern op geen efficiënte en effectieve manier informatie uitwisselen, want iedereen doet alles anders. Dit geldt ook voor de externe uitwisseling, want de zorgdrager zal niet op één en dezelfde manier dit doen doordat iedere werknemer het anders aanpakt. Het simpele voorbeeld van een tabel opstellen en versturen kan hier verduidelijking in geven hoe dit voor inefficiëntie en ineffectiviteit zorgt. Stel: 3 werknemers van de zorgdrager en elk maken ze een tabel. De eerste doet dit met Excel, de tweede met Google spreadsheets en de derde met Word. Dit sturen ze elkaar alle drie door. De eerste laat het staan in het programma waarmee het is gemaakt, want die persoon kan met alle drie de programma s werken. De tweede drukt de tabellen af, want die werkt liever op papier. De derde zet alles om naar een pdf-formaat, want die heeft schrik dat hij iets aan de tabellen zal veranderen. Dit is niet efficiënt om de volgende redenen: Er worden verschillende dubbels van de documenten gecreëerd (elektronisch en op papier) die waarschijnlijk ook door de afzenders en ontvangers worden opgeslagen. De verantwoordelijkheid over wie wat duurzaam moet bewaren is onduidelijk, hetgeen een nieuwe uitwisseling bemoeilijkt. Door de conversie naar pdf-formaat en het afdrukken, de functionaliteiten van de programma s teniet gedaan. De formules zijn bijvoorbeeld hierdoor niet meer zien. De ICT dienst van de zorgdrager is verplicht om de verschillende programma s te ondersteunen. Excel, Google spreadsheets en Word zijn drie verschillende programma s. Deze drie programma s hebben niet alle drie dezelfde doelen. Excel en Google spreadsheets zijn gemaakt om berekeningen uit te voeren in de tabel, terwijl Word gemaakt is voor tekstverwerking. Excel, Word en Google spreadsheets hebben verschillende manieren van opslaan. Google spreadsheets wordt opgeslagen in Google cloud (waarschijnlijk dus juridisch onbeschermd), terwijl Excel en Word op de eigen computer, dus lokaal, worden opgeslagen. Indien er geen procedures en richtlijnen bestaan, bestaat het risico dat werknemers overheidsinformatie aanzien als eigen bezit. Zonder procedures en richtlijnen doen de 114

115 werknemers hun eigen zin en gaan ze de informatieobjecten ook meer als hun eigen bezit aanzien. Dit is onaanvaardbaar in het kader van een goed bestuur. Deze informatieobjecten behoren tot het openbaar domein. Professor Karel Velle zegt het volgende over het openbaar domein: Een arrest van 3 mei 1968 stelde dat een goed tot het openbaar domein behoort doordat het door een uitdrukkelijke of impliciete beslissing van de bevoegde overheid wordt bestemd tot het gebruik van allen, zonder onderscheid naar de persoon. Volgens dit arrest kan een goed dat ten gevolge van een beslissing van de bevoegde overheid tot het openbaar domein behoort, zijn status van openbaar domein slechts verliezen door een uitdrukkelijke beslissing van deze overheid, die het zijn bestemming voor het gebruik van allen ontneemt of door een handeling die in hoofde van deze overheid noodzakelijk een zodanige beslissing onderstelt. Het concept van de onvervreemdbaarheid van het openbaar domein (inaliénabilité) houdt in dat een dergelijk goed niet kan worden vervreemd bijvoorbeeld een andere bestemming of affectatie krijgt of vernietigd kan worden zolang het voor het gebruik door het publiek of voor de werking van een openbare dienst bestemd is. De affectatie is dus de grondslag van de onvervreemdbaarheid van het openbaar domein. Om dezelfde redenen de continuïteit en de regelmatigheid van de openbare dienst -, zijn de goederen van het openbaar domein onverjaarbaar (impresciptible). Zij kunnen bijgevolg niet bezwaard worden door zakelijke rechten zoals hypotheken of erfdienstbaarheden. Ze zijn niet vatbaar voor beslag (insaisissables), kunnen niet in de handel gebracht worden, verhuurd of geruild worden of verbeurd verklaard, enz. Art B.W. bepaalt overigens Men kan door verjaring de eigendom niet verkrijgen van zaken die buiten de handel zijn (On ne peut prescrire le domaine des choses qui ne sont point dans le commerce). De domanialiteit, de onverjaarbaarheid en de onvervreemdbaarheid zijn in deze ene zin uit het B.W. samengevat, die het openbaar domein uit het burgerlijk recht sluit. Art B.W. moet samen gelezen worden met art B.W. dat luidt: Om iets door verjaring te verkrijgen, is vereist een voortdurend en onafgebroken, ongestoord, openbaar, niet dubbelzinnig bezit, als eigenaar. 179 Deze informatieobjecten kunnen dus nooit of te nimmer eigendom zijn van de medewerkers van de zorgdrager. Hieruit volgt dat de medewerkers zich ook niet als zodanig mogen gedragen. Wel dienen zij de door de overheid opgelegde regels in verband met geheimhouding e.a. te respecteren. Mogelijke beheersmaatregelen 179 Velle, cursus archiefrecht,

116 In een informatiebeheersplan staan procedures en richtlijnen in verband met informatiebeheer beschreven. Het plan bevat procedures en richtlijnen over de openbaarheid, hergebruik, privacy, bewaartermijn, enz. Om die reden is het hebben van een actueel en gevalideerd informatiebeheersplan een mogelijke beheersmaatregel. Als er binnen de zorgdrager opleidingen en informatiesessies worden georganiseerd waarop de beheersregels van informatiebeheer worden toegelicht, zorgt de zorgdrager ervoor dat de procedures en richtlijnen duidelijk zijn en goed begrepen worden. Bovendien worden ze dan breder bekend gemaakt en gecommuniceerd naar alle medewerkers. Hierdoor vermijdt de zorgdrager dat de medewerkers hun eigen zin gaan doen en alle opgesomde risico s naar boven zullen/kunnen komen. Deze opleidingen en informatiesessies kunnen gaan over de naamgeving van documenten, dossiers en mappen, beheer, de mappenstructuur enz. Bij de zorgdrager heeft niet iedereen dezelfde functie en is dus niet iedereen evenveel bezig met informatiebeheer. Ook het niveau qua kennis van technologie kan verschillen. Om deze en andere redenen is er individuele of op dienstniveau begeleiding op het vlak van informatiebeheer nodig bij de zorgdrager. Zonder deze begeleiding bestaat de kans dat medewerkers hun eigen invulling geven aan informatiebeheer hetgeen weer leidt tot de hierboven weergegeven risico's. Het bestaan van een aanspreekpunt binnen de zorgdrager is een andere beheersmaatregel die gebruikt kan worden om deze doelstelling te vervullen. Medewerkers zullen altijd vragen hebben ondanks opleidingen en informatiesessies. Het is immers onmogelijk om alle mogelijke problemen of moeilijkheden te behandelen binnen een paar opleidingen of informatiesessies. Er kunnen ook altijd onverwachte problemen of moeilijkheden ontstaan. Om al deze redenen is er een aanspreekpunt nodig aan wie de medewerker zijn vragen in verband met informatiebeheer kan stellen. 116

117 De zorgdrager is zich bewust van de regelgeving in verband met privacy, openbaarheid en hergebruik op het vlak van informatiebeheer. Mogelijke risico s Mogelijke beheersmaatregelen - Informatie met gevoelige - De zorgdrager heeft een actueel en persoonsgegevens wordt openbaar gevalideerd informatiebeheersplan. gemaakt. - De zorgdrager heeft richtlijnen, - Het recht van het raadplegen van systemen, afspraken in functie informatie wordt onterecht ontzegd. van de privacy, openbaarheid en - Informatie wordt onterecht ter inzage hergebruik van de informatie. gegeven. - De zorgdrager heeft een - Informatie wordt onterecht niet informatieveiligheidsbeleid dat vrijgesteld voor hergebruik. gekoppeld is aan het beleid rond - Informatie wordt onterecht vrijgesteld informatiebeheer. voor hergebruik. - - De zorgdrager kan geen coherent informatieveiligheidsbeleid uitvoeren. - De zorgdrager wordt geconfronteerd met beroepen en schadeclaims. - Op informatieobjecten zijn regelgeving in verband met privacy, openbaarheid en hergebruik van toepassing. De belangrijkste regelgeving in Vlaanderen hieromtrent is het Archiefdecreet, het Decreet van 26 maart 2004 betreffende de openbaarheid van bestuur, de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en het in 2015 gewijzigde decreet van 27 april 2007 betreffende het hergebruik van overheidsinformatie, de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) 180 en de Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de 180 Deze verordening zal pas van kracht zijn vanaf 25 mei

118 voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad 181. Mogelijke risico s Bij het niet bewust zijn van de regelgeving omtrent privacy bestaat het risico dat informatie met gevoelige persoonsgegevens openbaar wordt gemaakt. Informatieobjecten met gevoelige persoonsgegevens kunnen niet zomaar ter inzage gegeven worden of openbaar gemaakt worden. Zo kan het bijvoorbeeld niet dat een medewerker zomaar het personeelsdossier van zijn collega kan inkijken, want een personeelsdossier bevat uiteraard gevoelige persoonsgegevens. Voorbeelden van gevoelige persoonsgegevens zijn: seksuele voorkeur evaluaties politieke overtuiging gerechtelijk verleden Bij het niet bewust zijn van de regelgeving omtrent openbaarheid bestaat het risico dat het recht van het raadplegen van informatie onterecht wordt ontzegd en dat informatie onterecht ter inzage wordt gegeven. Voor de openbaarheid van informatieobjecten bestaan er drie mogelijkheden. Ten eerste dat het informatieobject bekendgemaakt is. Dit betekent dat het informatieobject op één of andere manier al bekend is gemaakt naar de buitenwereld. Een voorbeeld hiervan is het verslag van de gemeenteraad dat gepubliceerd is op de website van de gemeente. Een tweede mogelijkheid is dat het informatieobject openbaar is. Dit betekent dat op het informatieobject geen uitzonderingen (meer) rusten en het dus met zekerheid openbaar is. In tegenstelling tot de vorige keuze zijn deze informatieobjecten niet gepubliceerd. Een voorbeeld zijn de verslagen van de gemeenteraad die niet op de website van de gemeente of via een ander medium zijn gepubliceerd. De derde mogelijkheid is dat het informatieobject in principe openbaar is. Dit betekent dat men het informatieobject in principe mag aanvragen voor inzage, maar dat de mogelijkheid bestaat dat er uitzonderingen in verband met de openbaarheid van toepassing zijn en dus de inzage, na afweging, geweigerd kan worden. Een voorbeeld hiervan is de inzage van een personeelsdossier van iemand anders. Een personeelsdossier bevat gevoelige persoonsgegevens, wat een uitzondering is inzake de openbaarheid. De openbaarheid van bestuur is in de Belgische Grondwet 181 Deze richtlijn moet omgezet worden door de Europese lidstaten in een nationale wetgeving tegen 6 mei

119 vastgelegd. Het onterecht ontzeggen van inzage van een informatieobject is iemand zijn grondwettelijk recht ontzeggen. Iemand onterecht inzage geven van een informatieobject kan echter vele problemen met zich meegeven. Deze informatieobjecten zijn juist afgeschermd om de persoonlijke levenssfeer van anderen, de economische belangen, financieel belang, commercieel belang, geheimhoudingsplicht te beschermen. Bij het niet bewust zijn van de regelgeving omtrent hergebruik bestaat het risico dat informatie onterecht niet wordt vrijgesteld voor hergebruik en dat informatie onterecht wordt vrijgesteld voor hergebruik. Het in 2015 gewijzigde decreet van 27 april 2007 betreffende het hergebruik van overheidsinformatie. Dit decreet is een omzetting van een nieuwe Europese richtlijn. Deze Europese richtlijn beoogde 182 : de betere ontsluiting van de beschikbare informatie en de verdere ontwikkeling van het gebruik ervan een bijdrage te leveren tot de economische groei en tot het scheppen van werkgelegenheid Door informatieobjecten te laten hergebuiken stimuleert de zorgdrager de verdere ontwikkeling van de informatie en levert hij een bijdrage tot de economische groei en tot het scheppen van werkgelegenheid. De zorgdrager krijgt hiermee dus een kans om iets terug te geven aan de maatschappij. Het informatieobject is evenwel niet herbruikbaar indien een uitzondering inzake openbaarheid van toepassing is, waardoor de zorgdrager altijd heel voorzichtig en weloverwogen moet omgaan met het vrijgeven van de info. Als de zorgdrager zich niet bewust is van de regelgeving inzake privacy, openbaarheid en hergebruik bestaat het risico dat de zorgdrager geen coherent informatieveiligheidsbeleid kan uitvoeren. Informatieobjecten die gevoelige persoonsgegeven of uitzonderingen inzake openbaarheid en hergebruik bevatten, moeten meer beschermd worden. Als de zorgdrager zich niet bewust is van de regelgeving inzake privacy, hergebruik en openbaarheid, weet de zorgdrager niet welke informatieobjecten sterker beschermd moeten worden en kan hij dus geen coherent informatieveiligheidsbeleid uitvoeren. Nemen we het voorbeeld van de personeelsdossiers, die vaak heel wat gevoelige persoonsgegevens bevatten. Als de zorgdrager zich niet bewust is van de regelgeving inzake privacy, hergebruik en openbaarheid, bestaat de kans dat de zorgdrager gegevens onterecht openbaar maakt of ter beschikking stelt. Als de zorgdrager zich niet bewust is van de regelgeving inzake privacy, openbaarheid en hergebruik bestaat het risico dat de zorgdrager wordt geconfronteerd met beroepen en schadeclaims. Iedereen heeft het recht om een verzet in te dienen tegen hergebruik enerzijds 182 Velle, cursus archiefrecht,

120 en in verzet te gaan tegen het onterecht ontzeggen van inzage anderzijds. De beroepsinstanties die hiervoor bestaan zijn de Commissie voor de bescherming van de persoonlijke levenssfeer en de beroepsinstantie inzake openbaarheid van bestuur en hergebruik van overheidsinformatie. Als iemand bijvoorbeeld inzage in de verslagen van de gemeenteraad wordt ontzegd, kan deze persoon naar de beroepsinstantie inzake openbaarheid van bestuur en hergebruik van overheidsinformatie stappen. Deze beroepsinstantie zal de betreffende gemeente hiervoor dan op de vingers tikken, want de verslagen van de gemeenteraad zijn openbaar. Als iemands gevoelige persoonsgegevens op een onterechte manier verwerkt (en dus herbruikt) worden, kan deze persoon hiertegen verzet aantekenen bij de verantwoordelijke voor de verwerking. De zorgdrager kan hiervoor ook op de vingers getikt worden door de Commissie ter bescherming van de persoonlijke levenssfeer. Het risico is echter nog groter dan enkel de uitspraken van deze beroepsinstanties. Zo staat er in de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens in artikel 15bis het volgende: Indien een betrokkene schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens deze wet bepaalde voorschriften, zijn het hiernavolgende tweede en derde lid van toepassing, onverminderd de aanspraken op grond van andere wettelijke regels. De verantwoordelijke voor de verwerking is aansprakelijk voor de schade die voortvloeit uit een handeling in strijd met de bij of krachtens deze wet bepaalde voorschriften. Hij is van deze aansprakelijkheid ontheven indien hij bewijst dat het feit dat de schade heeft veroorzaakt hem niet kan worden toegerekend 183 Hieruit kan afgeleid worden dat indien de zorgdrager iemand schade berokkend door gevoelige persoonsgegevens openbaar te maken of deze op een ongeoorloofde manier verwerkt, het slachtoffer naar de rechtbank kan stappen met een schadeclaim. Mogelijke beheersmaatregelen In een informatiebeheersplan staan procedures en richtlijnen voorgeschreven in verband met openbaarheid, privacy en hergebruik. Om die reden is het hebben van een actueel en gevalideerd informatiebeheersplan een mogelijke beheersmaatregel. Door een informatiebeheersplan op te stellen gaat de zorgdrager bewust om met regelgeving inzake privacy, openbaarheid en hergebruik die van toepassing is op de informatieobjecten. Als de zorgdrager richtlijnen, systemen, afspraken heeft in functie van de privacy, openbaarheid en hergebruik van de informatie, zorgt de zorgdrager dat er een bewustzijn 183 Ministerie van Justitie, Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. 120

121 omtrent deze regelgeving ontstaat. Als deze richtlijnen en afspraken uitgeschreven worden en actief worden gecommuniceerd, raken de medewerkers zich bewust van deze regelgeving, De zorgdragers moeten deze regelgeving ook implementeren in hun systemen, bijvoorbeeld door toegangsrechten te bepalen, zodat enkel gerechtigden het informatieobject kunnen inkijken. Dat de zorgdrager een informatieveiligheidsbeleid heeft dat gekoppeld is aan het beleid rond informatiebeheer, is ook een mogelijke beheersmaatregel. Het doel van deze beheersmaatregel is dat bij het informatieveiligheidsbeleid niet enkel naar technische zaken zoals bijvoorbeeld virussen en login-id s wordt gekeken, maar ook naar de regelgeving inzake privacy, openbaarheid en hergebruik. De veiligheidsconsulent, IT er, informatiebeheerder moeten alsdan tot een gezamenlijk beleid komen. Als dit niet het geval is, bestaat het risico dat de zorgdrager geen coherent informatieveiligheidsbeleid kan uitvoeren. 121

122 Alle procesgebonden informatie wordt op een correcte en efficiënte manier beheerd. Mogelijke risico s Mogelijke beheersmaatregelen - Informatie wordt niet teruggevonden. - De inkomende en uitgaande post en - Vragen raken verloren. mails worden op een efficiënte en - Vragen worden te laat beantwoord. door de zorgdrager vastgelegde - Vragen over de dienstverlening komen wijze beheerd. pas na lange tijd op de juiste plek - De zorgdrager heeft een duidelijk terecht. en logische informatie structuur. - De zorgdrager maakt procedure fouten - Informatie wordt een unieke en tijdens zijn dienstverlening. zinvolle naam gegeven. - De zorgdrager kan geen efficiënt - Bij de informatie wordt metadata versiebeheer doen. toegevoegd. - - De zorgdrager heeft regels en afspraken over de dragers met aandacht voor de lange termijn en preservatie. - Met alle procesgebonden informatie wordt niet enkel de informatie die de zorgdrager zelf creëert, bedoeld, maar ook alle inkomende en uitgaande informatie. Onder vastlegging kan men registratie en classificatie verstaan. Mogelijke risico s Als de zorgdrager alle procesgebonden informatie niet op een correcte en efficiënte manier heeft beheerd, bestaat het risico dat informatie niet wordt teruggevonden. Als de zorgdrager bijvoorbeeld geen zinvolle naamgeving geeft aan een informatieobject of het informatieobject niet logisch ordent, is de kans zeer groot dat dit informatieobject niet meer teruggevonden wordt. Zoekmachines kunnen dit probleem niet helemaal oplossen, want die hebben zelf hun eigen tekortkomingen. Daarnaast kan de zoekmachine niks veranderen aan het feit dat een niet-zinvolle naam werd gegeven aan de informatie. Of als een medewerker bijvoorbeeld afkortingen gebruikt, bestaat de kans dat anderen die afkortingen niet kennen en het informatieobject dus niet of zeer moeilijk gevonden kan worden. De risico s Vragen raken verloren, Vragen worden te laat beantwoord en Vragen over de dienstverlening komen pas na lange tijd op de juiste plek terecht zijn met elkaar verbonden. 122

123 Al deze risico s hebben te maken met vragen. Deze vragen hebben een bepaalde functie en moeten op correcte wijze beantwoord worden. De antwoorden passen in het (kwaliteits)kader van de interne / externe dienstverlening of bestaan uit adviezen bij het nemen van beslissingen. Als vragen te laat worden beantwoord en/of pas na lange tijd bij de juiste persoon terecht komen, worden beslissingen genomen zonder advies, omdat dit te laat of niet gegeven werd. Mogelijk overschrijdt de zorgdrager wettelijke responstermijnen. Bovendien worden burgers niet geholpen door de zorgdrager, terwijl dienstverlening aan de burger verschaffen toch één van de hoofdtaken van een openbare instelling is. De zorgdrager verschaft geen dienstverlening intern waardoor de medewerker in kwestie hierop blijft wachten (en dus veel tijd verliest) of een beslissing op eigen initiatief gaat nemen. In de wetgeving staan bepaalde termijnen voorgeschreven in verband met de werking van de zorgdrager. Als de zorgdrager alle procesgebonden informatie niet op een correcte en efficiënte manier beheert, bestaat het risico dat de zorgdrager procedurefouten maakt tijdens zijn dienstverlening. We geven een voorbeeld. Een burger heeft gewerkt voor een gemeente en dient een verzoek tot inzage van zijn personeelsdossier in (in het kader van openbaarheid van bestuur). Dit verzoek moet aan bepaalde criteria/eisen voldoen, maar ook het beantwoorden van dit verzoek moet aan bepaalde eisen voldoen. Zo staat in artikel 20 paragraaf 2 van het decreet betreffende de openbaarheid van bestuur het volgende: De aanvraag wordt zo spoedig mogelijk en uiterlijk binnen vijftien kalenderdagen schriftelijk, per fax of per beantwoord. Als een aanvraag overeenkomstig artikel 18 kennelijk onredelijk is of op een te algemene wijze geformuleerd is, begint een nieuwe termijn van 15 dagen te lopen vanaf het moment dat de aanvrager zijn aanvraag gespecificeerd of vervolledigd heeft. Indien de aanvraag wordt afgewezen op grond van artikel 11, 2, dan vermeldt de beslissing welke instantie verantwoordelijk is voor de afwerking van het bestuursdocument, alsmede de geschatte termijn voor de voltooiing ervan. Als de instantie oordeelt dat de gevraagde informatie moeilijk tijdig te verzamelen is, of als de toetsing van de aanvraag tot openbaarmaking aan de uitzonderingen, bedoeld in artikelen 11 tot 15 moeilijk tijdig uit te voeren is, dan deelt de instantie aan de aanvrager mee dat de termijn van vijftien kalenderdagen verlengd wordt tot een termijn van dertig kalenderdagen. De verlengingsbeslissing vermeldt de reden of de redenen voor het uitstel. 184 Als de burger geen antwoord krijgt binnen de gestelde termijn kan hij naar de beroepsinstantie inzake openbaarheid van bestuur en hergebruik van overheidsinformatie stappen. 184 Ministerie van de Vlaamse Gemeenschap, Decreet betreffende de openbaarheid van bestuur. 123

124 Als de zorgdrager alle procesgebonden informatie niet op een correcte en efficiënte manier beheert, kan de zorgdrager ook niet weten welke versie van een informatieobject de juiste is. Met andere woorden bestaat het risico dat de zorgdrager geen efficiënt versiebeheer kan doen. Een voorbeeld hiervan is het niet juist aanduiden welke versie de kladversie van het informatieobject is en welke de definitieve versie. De problemen die een niet efficiënt versiebeheer met zich meebrengt, werd al eerder besproken. Mogelijke beheersmaatregelen Een mogelijk beheersmaatregel is dat de zorgdrager de inkomende en uitgaande post en mails op een efficiënte en door de zorgdrager vastgelegde wijze beheert. Hiermee wordt onder meer registratie, ontsluiting, verspreiding en ordening bedoeld. Een voorbeeld heeft betrekking op de mailbox. Zo kan de zorgdrager best niet alle mails in postvak in laten staan, maar deze plaatsen in een klassement. Verder kan de zorgdrager de mails elke keer een zinvolle onderwerpsnaam geven. Deze twee zaken zorgen er al voor dat mails makkelijker terug gevonden worden. Een andere beheersmaatregel die kan helpen is dat de zorgdrager een duidelijk en logische informatie structuur heeft. Dit is een structuur waarin de zorgdrager de informatieobjecten in ordent zoals in een gemeenschappelijk klassement, vaak een mappenstructuur genoemd. Ze is cruciaal omdat de mappenstructuur de context van de dossiers en documenten weergeeft. Het opzetten van een uniforme structuur binnen een organisatie en voor diverse diensten is een behoorlijke onderneming. Bij zo n structuur is de betrokkenheid van het management en de medewerkers wel noodzakelijk. Een zeer belangrijke beheersmaatregel is dat aan informatie een unieke en zinvolle naam wordt gegeven. Dit is één van de eerste stappen bij de vastlegging van een informatieobject. Als de zorgdrager dit niet doet, is de kans zeer groot dat alle opgesomde risico s naar boven komen. Als er een zinvolle naam wordt gegeven aan een informatieobject is het de bedoeling dat iedereen binnen en buiten de zorgdrager hierdoor meteen een idee heeft over wat het gaat. Het is dus uit den boze om bijvoorbeeld afkortingen te gebruiken, bij gebrek aan algemene kennis waarvoor ze symbool staan. Als de zorgdrager geen unieke naam geeft, kan de zorgdrager zeker geen goed versiebeheer uitvoeren met alle gevolgen en problemen van dien. Een andere beheersmaatregel is dat bij de informatie metadata wordt toegevoegd. Metadata zijn gegevens die iets meer zeggen over: wie de informatie heeft geregistreerd en wanneer de vorm van de informatie waar de informatie past in het proces 124

125 de inhoud van de informatie het formaat van de informatie de toegang tot de informatie de wijzigen van de informatie de migraties van de informatie de raadplegingen van de informatie Sommige van deze gegevens kunnen echter automatisch toegevoegd worden. Deze gegevens zijn belangrijk voor: Versiebeheer Toegangsbeheer Informatieveiligheid Bij de beheersmaatregel De zorgdrager heeft regels en afspraken over de dragers met aandacht voor de lange termijn en preservatie moet er eerst uitleg zijn over wat juist een drager is. Een drager is het materiaal waarop of het programma waarin het informatieobject is opgemaakt. Het is van belang dat er regels en afspraken hierover zijn, want niet elke drager is geschikt voor lange termijn bewaring. Zo bestaat er goede en slechte kwaliteit papier om te gebruiken als drager. Als een informatieobject een lange termijn bewaring heeft, is het logisch dat de zorgdrager goede kwaliteit papier hiervoor gebruikt. Dit principe geldt ook voor programma s. Er bestaan namelijk goede en slechte formaten voor lange termijn bewaring. Zo is een TIFF formaat bijvoorbeeld een beter formaat dan een JPEG formaat voor een digitale foto. Het is dus belangrijk op voorhand na te denken welke drager te gebruiken. De zorgdrager beschikt over een actief, planmatig en beargumenteerd selectiebeleid van overheidsinformatie. Mogelijke risico s Mogelijke beheersmaatregelen - Informatie wordt vernietigd voor de - De zorgdrager beschikt over bewaartermijn verstreken is. richtlijnen, systemen, afspraken, - De zorgdrager perkt op een onwettige procedures voor de vernietiging manier de openbaarheid in. van informatie. - Vernietiging gaat in tegen juridische - De zorgdrager past geldende regels bepalingen en afspraken toe met betrekking tot - De zorgdrager investeert in onnodig vernietiging. 125

126 veel opslagcapaciteit. - Informatie wordt niet teruggevonden. - De zorgdrager kan geconfronteerd worden met schadeclaims. - Informatie wordt niet volgens geldende procedures vernietigd. - - De zorgdrager heeft een actueel en gevalideerd informatiebeheersplan. - De zorgdrager beschikt over de nodige goedkeuringen voor het uitvoeren van vernietiging. - Bij deze doelstelling horen eerst een paar woorden uitleg. Selectie is het denkwerk voor het vernietigen. Het is het bepalen van de bewaartermijnen en de bestemming. Selectie moet actief uitgevoerd worden, want de zorgdrager verandert door de tijd heen door bijvoorbeeld hervormingen en nieuwe technologieën. Het selectiebeleid moet dus mee volgen. De selectie moet planmatig aangepakt worden, want het selectiebeleid gaat over de hele zorgdrager. Selectie is geen exacte wetenschap. In sommige gevallen staat het in de wetgeving omschreven en bepaald maar voor het overgrote deel is dit niet het geval. De zorgdrager moet dus beargumenteren waarom hij deze beslissing heeft genomen. Mogelijke risico s De risico s Informatie wordt vernietigd voor de bewaartermijn verstreken is, De zorgdrager perkt op een onwettige manier de openbaarheid in en Vernietiging gaat in tegen juridische bepalingen zijn met elkaar verbonden. Het is vrij logisch dat als de zorgdrager niet beschikt over een actief, planmatig en beargumenteerd selectiebeleid van overheidsinformatie, het risico zeer groot is dat informatie vernietigd wordt voor de bewaartermijn verstreken is. Op de informatieobjecten die vernietigd werden voor de bewaartermijn verstreken is, gold nog openbaarheid van bestuur. Door deze informatieobjecten voor de bewaartermijn te vernietigen, wordt de openbaarheid op een onwettige manier ingeperkt. Een voorbeeld kwam onlangs in de Nederlandse pers. 185 Daar had het ministerie van Volksgezondheid, Welzijn en Sport mailverkeer vernietigd voor de bewaartermijn verstreken was. Er zijn vermoedens dat er mailverkeer was tussen het ministerie van Volksgezondheid, Welzijn en Sport en de gemeente Utrecht over het inzetten van loktieners om het alcoholbeleid in cafés te controleren. Politici en horecaondernemers vonden het gebruik van loktieners uitlokking en vroegen om opheldering. Omdat dit mailverkeer voor de bewaartermijn vernietigd werd, perkte het ministerie van Volksgezondheid, Welzijn en Sport de openbaarheid de facto in en was een 185 < geraadpleegd op 15 juli

127 volledige opheldering rond deze zaak niet meer mogelijk. Op sommige informatieobjecten berust een juridische bewaartermijn, bijvoorbeeld overheidsopdrachtendossiers. Deze moeten juridisch gezien 10 jaar na afhandeling bijgehouden worden vanwege de verantwoordingsplicht. Als de zorgdrager deze overheidsopdrachtendossiers voordien al vernietigt gaat de zorgdrager in tegen de wetgeving en zijn verantwoordingsplicht. Uiteraard zijn dit slechts enkele voorbeelden. De risico s De zorgdrager investeert in onnodig veel opslagcapaciteit en Informatie wordt niet teruggevonden ontstaan als de zorgdrager niet aan selectie (en dus ook niet aan vernietiging) doet. De zorgdrager bewaart met andere woorden veel zaken veel te lang, vaak uit onvertrouwdheid met de selectieregels en omdat hij schrik heeft iets kwijt te doen. Dat kost vaak onnodig veel opslagcapaciteit. Hoe meer informatieobjecten de zorgdrager bijhoudt, hoe minder kans de zorgdrager ook heeft om een informatieobject te vinden. Het risico bestaat ook dat de zorgdrager mogelijk geconfronteerd kan worden met schadeclaims. Als iemand schade berokkent wordt door het onwettig vernietigen van informatie kan deze persoon een schadeclaim formuleren. Als een zorgdrager bijvoorbeeld informatie vernietigd die nodig is voor de pensioenberekening van een van zijn werknemers, kan deze naar de rechtbank stappen vanwege de schade die hij oploopt door het mindere pensioen dat hij hierdoor zal ontvangen. Een ander risico is dat informatie niet volgens geldende procedures wordt vernietigd. Vooraleer de zorgdrager iets mag vernietigen, moet de zorgdrager de nodige goedkeuringen voor zijn selectiebeleid ontvangen. Zo moet een departement van de Vlaamse overheid de goedkeuring krijgen van de Selectiecommissie Vlaamse overheid over het informatiebeheersplan en dient deze ook bekrachtigd te worden door de Vlaamse regering. Indien het departement van de Vlaamse overheid geen goedgekeurd informatiebeheersplan bezit, moet het departement toestemming krijgen voor zijn vernietigingsaanvraag van de Selectiecommissie Vlaamse overheid. Als de zorgdrager dus geen actief, planmatig en beargumenteerd selectiebeleid over overheidsinformatie bezit, is de kans op dit risico zeer groot. Mogelijke beheersmaatregelen De beheersmaatregel De zorgdrager beschikt over richtlijnen, systemen, afspraken, procedures voor de vernietiging van informatie zorgt ervoor dat een selectiebeleid planmatig wordt uitgevoerd. Hierdoor wordt een planmatige aanpakmogelijk.. De beheersmaatregelen De zorgdrager past de geldende regels en afspraken toe met betrekking tot vernietiging en De zorgdrager beschikt over de nodige goedkeuring voor het 127

128 uitvoeren van vernietiging zorgen ervoor dat het selectiebeleid beargumenteerd is. Door zich aan de geldende regels en afspraken te houden kan de zorgdrager al beargumenteren dat zijn selectiebeleid op deze regels en afspraken is afgestemd. Om de nodige goedkeuringen te verzamelen, is de zorgdrager verplicht om zich te verantwoorden over zijn beslissingen bij zijn selectiebeleid en moet de zorgdrager deze dus beargumenteren. Een informatiebeheersplan bevat velden in verband met de bestemming en de bewaartermijnen. De zorgdrager heeft een actueel en gevalideerd informatiebeheersplan is dus een mogelijke beheersmaatregel. In zo n informatiebeheersplan moeten er ook altijd argumenten geformuleerd worden voor de gemaakte keuzes. Een informatiebeheersplan moet ook actueel zijn om goedgekeurd te worden. 128

129 De zorgdrager monitort en evalueert de manier waarop informatie beheerd wordt. Mogelijke risico s - Fouten op het vlak van informatiebeheer worden niet ontdekt. - De zorgdrager maakt geen verbetering in zijn werking en loopt efficiëntie winsten mis. - De doelstellingen van de zorgdrager worden niet bereikt. - De zorgdrager kan geen evolutie aantonen van zijn realisaties. - Mogelijke beheersmaatregelen - De zorgdrager volgt de realisatie van de doelstellingen op en stuurt bij indien nodig. - De zorgdrager evalueert regelmatig zijn informatiebeheer en stuurt waar nodig bij. - De zorgdrager volgt de richtlijnen, systemen, afspraken rond informatiebeheer regelmatig op en past ze indien nodig aan. - Problemen op vlak van informatiebeheer worden opgemerkt en de informatiebeheerder tracht deze opgemerkte problemen op te lossen. - De zorgdrager rapporteert (intern of extern afhankelijk van de monitoring en evaluaties) de resultaten van zijn monitoring en evaluaties. - Monitoring en evaluatie zijn twee zaken die essentieel zijn om de werking van een zorgdrager, ook op het vlak van informatiebeheer, te verbeteren. Mogelijke risico s Als de zorgdrager niet aan monitoring doet, bestaat het risico dat fouten op het vlak van informatiebeheer niet worden ontdekt. Dit is uiteraard een probleem voor de zorgdrager, want fouten op vlak van informatiebeheer kunnen verstrekkende gevolgen hebben. Als de zorgdrager bijvoorbeeld nooit zijn toegangsrechten monitort gaat de zorgdrager bijvoorbeeld 129

130 niet kunnen opmerken dat onbevoegde mensen andermans personeelsdossier (kunnen) inkijken. Het risico bestaat dat indien de zorgdrager geen monitoring of evaluaties uitvoert, de doelstellingen van de zorgdrager niet worden bereikt. Zonder monitoring ziet de zorgdrager niet welke fouten er worden gemaakt. Zonder evaluaties kan de zorgdrager ook geen verbeteringen aanbrengen en efficiëntiewinsten boeken. Een openbare instelling is verplicht om zich te verantwoorden voor zijn activiteiten. Als de zorgdrager niet aan monitoring doet, kan de zorgdrager niet zien wat hij het afgelopen jaar heeft gerealiseerd. Als de zorgdrager geen evaluaties uitvoert, kan de zorgdrager de resultaten niet met die van andere jaren of met andere zorgdragers vergelijken. Hierdoor bestaat het risico dat de zorgdrager geen evolutie kan aantonen van zijn realisaties en zwak staat bij het verantwoorden van zijn activiteiten. Mogelijke beheersmaatregelen De beheersmaatregelen De zorgdrager volgt de realisatie van de doelstellingen op en stuurt bij indien nodig, De zorgdrager evalueert regelmatig zijn informatiebeheer en stuurt waar nodig bij, De zorgdrager volgt de richtlijnen, systemen, afspraken rond informatiebeheer regelmatig op en past ze indien nodig aan, Problemen op vlak van informatiebeheer worden opgemerkt en tracht deze op te lossen en De zorgdrager rapporteert de resultaten van zijn monitoring en evaluaties zijn allemaal verschillende vormen van monitoring en evaluaties. De zorgdrager volgt de zaken op, analyseert zijn observaties en stuurt bij om te verbeteren. 130

131 Conclusie Het Archiefdecreet biedt in artikel 9 de mogelijkheid om een informatiegestuurde audit uit te voeren bij de zorgdragers. De audit is een belangrijk aspect om het informatiebeheer bij de zorgdragers in Vlaanderen naar een hoger niveau te tillen. Een audit is het sleutelstuk tot de borging van de vooruitgang die geboekt is. Tussen het toepassingsgebied van het Archiefdecreet en die van het Auditdecreet bestaat er een overlap. Deze overlapping is echter niet makkelijk te bepalen door de verschillende terminologie die in beide decreten gebruikt worden. Beide decreten zijn duidelijk niet op elkaar afgestemd. De uiteindelijke overlap tussen het toepassingsgebied van beide decreten is groot, maar ze overlappen elkaar niet volledig. Het toepassingsgebied van het Archiefdecreet is ruimer dan dat van het Auditdecreet, wat maakt dat hett audituniversum van het Archiefdecreet groter is dan dat van het Auditdecreet. Ongeveer 70% van de zorgdragers die onder het Archiefdecreet vallen, behoren niet tot het audituniversum van het Auditdecreet. Deze behoren dus ook niet tot de bevoegdheid van Audit Vlaanderen. Dit cijfer is te nuanceren, want het aantal zorgdragers fluctueert bijna dagelijks. Daarnaast bestaat deze 70% aan zorgdragers ongeveer voor 90% uit kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten, welke door de bevolking toch minder geïdentificeerd worden als exponenten van de Vlaamse overheid. In deze cijfers zitten bovendien de polders en wateringen, welke ondanks hun belang- toch eerder een kleine invloed hebben op het dagelijkse leven. Het is duidelijk dat auditing een veel breder begrip kan zijn dan enkel de financiële audit waarmee auditing doorgaans geassocieerd wordt. Auditing behoort tot de laatste stap van de pdca-cyclus en moet tot de verbetering van de organisatie zorgen. Bij een goede audit wordt er altijd getracht om de geauditeerde te betrekken bij het hele proces. Een goede audit tracht de organisatie te verbeteren en deze te ondersteunen door onder meer de aanbevelingen die er worden meegegeven. Auditing gelijk stellen als iets niet ondersteunend, is dus niet correct. Een informatiegestuurde audit is echter niet te plaatsen in een bepaald type audit, omdat informatiebeheer juist zo veel raakpunten heeft. Audit Vlaanderen voert verschillende soorten audits uit. Het departement trekt wel de kaart van organisatiebeheersing met de organisatie-audits en de specifiek gerichte thema-audits. Met de organisatie-audit en met de thema-audit tracht ze de organisatie een betere greep te geven op haar werking en een verbetering van deze werking. Audit Vlaanderen wilt zich opstellen als een partner van de geauditeerde. Ze streeft ernaar, door onder andere de manier 131

132 waarop ze haar audits uitvoert en de best practices die ze aanbiedt in haar rapporten, eerder ondersteunend te zijn voor de geauditeerden te zijn dan controlerend. Het is opvallend als we naar andere landen en andere regio s kijken dat de aanpak van Audit Vlaanderen en de informatiegestuurde audit zoals beschreven in artikel 9 van het Archiefdecreet een vrij uniek gegeven blijken te zijn. Het is dus moeilijk om inspiratie te halen uit de internationale wereld. De piste zoals in Zweden echter om zelf auditors aan te stellen of eventueel een interne auditdienst te hebben, is wel een interessante mogelijkheid voor de informatiegestuurde audit. Als we in Vlaanderen zelf kijken zou de I-monitor een mogelijke inspiratiebron voor de informatiegestuurde audit kunnen zijn vanwege het gebruik van maturiteitsniveaus. De zeer openlijke publicatie van de resultaten schrikt de meeste zorgdragers evenwel af als dit ook op vlak van informatiebeheer zou gebeuren. Verder lijkt het er ook op dat vele zorgdragers nog niet klaar zijn voor maturiteitsniveaus. Vele zorgdragers hebben ook het gevoel dat projecten zoals de I-monitor een scheiding creëert tussen ICT en informatiebeheer. De onzekerheid over de toekomst van dit project maakt de I-monitor ook niet interessant om in het project te stappen voor de informatiegestuurde audit. De ondersteuning die de zorgdragers wensen, is te herleiden tot twee punten, namelijk expertise en sensibiliseren. De nood aan expertise was niet bij elke zorgdrager even hoog. De meeste zorgdragers hadden vooral nood aan best practices. Bij de polders en wateringen (en met grote waarschijnlijkheid ook de kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten) is de nood aan expertise zeer hoog. De zorgdragers zien de informatiegestuurde audit als een middel om het management en de medewerkers te sensibiliseren over het belang van informatiebeheer voor de werking van de zorgdrager en zeker op vlak van het digitale aspect van informatiebeheer. Daar vrezen de ondervraagden dat de meeste risico s liggen, maar dat ze als informatiebeheer / archivaris er niet altijd bij betrokken worden. De aanbeveling van dit onderzoek is dat, gelet op het single audit principe de informatiegestuurde audit en de beperkte middelen die het Coördinerende archiefdienst heeft, de informatiegestuurde audit best uitgevoerd wordt door Audit Vlaanderen. Een sterke samenwerking tussen beide partijen is hier echter van groot belang. Audit Vlaanderen heeft de expertise in huis op vlak van auditing, maar de Coördinerende archiefdienst heeft de expertise in huis op vlak van informatiebeheer. Beide expertises zijn belangrijk voor de informatiegestuurde audit. Niet alle zorgdragers vallen onder de bevoegdheid van Audit Vlaanderen. Om deze reden is er in de masterproef geopteerd voor een risicomatrix, het uiteindelijke resultaat van deze masterproef. 132

133 Deze risicomatrix kan zowel gebruikt worden door Audit Vlaanderen als door de zorgdragers zelf. Het gebruik van doelstellingen, mogelijke risico s en mogelijke beheersmaatregelen moet de zorgdrager helpen om een correcte inschatting te kunnen maken over het belang van informatiebeheer voor haar werking. Sensibiliseren door auditeren, luidt de aanbeveling. De optie om zoals in Zweden zelf auditors aan te stellen of eventueel een interne auditdienst te hebben, kan/moet ook overwogen worden voor de informatiegestuurde audit. Op deze manier zou het probleem van de niet volledig overlappende audituniversums van het Archiefdecreet en het Auditdecreet gedeeltelijk opgelost kunnen worden. Het zou bovendien de frequentie van de audits kunnen verhogen. In deze masterproef is de praktische haalbaarheid van de optie om zoals in Zweden zelf auditors aan te stellen of eventueel een interne auditdienst te hebben, niet nagegaan. Ze is dus louter theoretisch. Ten slotte willen we erop wijzen dat we met deze masterproef slechts een eerste studie hebben gedaan. We konden hierin niet exhaustief zijn; dat was niet de bedoeling. Het veld van instellingen is divers en er zijn ongetwijfeld onderling verschillende niveaus en snelheden. Daarom is verder onderzoek nodig. Toch menen we dat we met ons onderzoek een bijdrage hebben geleverd om het informatiebeheer bij de Vlaamse zorgdragers te professionaliseren. Dat hier anno 2016 nog werk aan de winkel is, zal niemand durven ontkennen. 133

134 Bibliografie Literatuur Agentschap Informatie Vlaanderen, en Vereniging van Vlaamse Steden en Gemeenten vzw. I-monitor Digitale maturiteit van de gemeenten en OCMW s in Vlaanderen, Audit Commission. On target. The practice of performance indicators. Londen: Audit Commission, Audit office of New South Wales. New South Wales Auditor-General s Report. Vol vols. Sydney: Audit office of New South Wales, Audit Vlaanderen. Auditcharter van het agentschap Audit Vlaanderen, Controleprogramma gemeentelijke belastingen en retributies, 16 februari Leidraad organisatiebeheersing voor lokale besturen. Brussel: Audit Vlaanderen, Structurele bevindingen uit de eerste reeks organisatie-audits bij lokale besturen. Globaal rapport. Brussel, 14 december Thema-audit gemeentelijke belastingen en retributies. Globaal rapport. Brussel, 16 februari Thema-audit Informatiebeveiliging. Globaal rapport. Brussel, 3 februari Audit Vlaanderen, Auditcomité van de lokale besturen, en Auditcomité van de Vlaamse administratie. Jaarverslag Brussel, Ballaux, Bart, en Jeroen van Oss. Building a risk based records management governance for the City of Rotterdam. In Proceedings of the DLM Forum - 7 th Triennial Conference Making the information governance landscape in Europe November Lisbon, Portugal, bewerkt door José Borbinha, Zoltán Szatucsek, en Seamus Ross, Lissabon: Biblioteca Nacional de Portugal, Barrezeele, Lode. Jaarverslag Audit Vlaanderen: voor het eerst audits bij lokale besturen. Audit, Control & Governance 18, nr. 13 (2015): 5 7. Beens, Jan, Roelof Braad, en Frans Smit, red. Profiteer, profileer, prioriteer: gedachten en handreikingen voor professionalisering van het archieftoezicht. Den Haag: Stichting Archiefpublicaties, Berckmans, Rita, Falke Meyers, Tina Ponjaert, Lieven Tydgat, Mark Vandersmissen, Dieter Vanhee, Bart Van Hoorebeeck, en Willy Verschuere, red. Leidraad interne controle/organisatiebeheersing Vlaamse Overheid. Brussel: Departement Bestuurszaken,

135 Boudry, Elke, Filip De Rynck, Sarah Janssens, en Sabine Rotthier. E-government: nieuwe kans of nieuw probleem : achter de schermen in Vlaamse gemeenten. Beter management in de lokale besturen 1. Brugge: Die Keure, Canada, Office of the Auditor General, Canada, Parliament, en House of Commons. Report of the Auditor General of Canada. Chapter 7, Chapter 7, commissie Efficiëntiewinst voor de Lokale Besturen. Rapport met aanbevelingen. s.l., 1 juli De Peuter, Bart, Joris De Smedt, en Geert Bouckaert. Handleiding beleidsevaluatie. Vol. 3: Evaluatietechnieken. 4 vols. Leuven: Steunpunt Beleidsrelevant Onderzoek - Bestuurlijke Organisatie Vlaanderen, Handleiding beleidsevaluatie. Vol. 1: Evaluatiedesign en-management. 4 vols. Leuven: Steunpunt Beleidsrelevant Onderzoek - Bestuurlijke Organisatie Vlaanderen, De Peuter, Bart, Joris De Smedt, Wouter Van Dooren, en Geert Bouckaert. Handleiding beleidsevaluatie. Vol. 2: monitoring van beleid. 4 vols. Leuven: Steunpunt Beleidsrelevant Onderzoek - Bestuurlijke Organisatie Vlaanderen, Departement Informatie Vlaanderen, en Vereniging van Vlaamse Steden en Gemeenten. GIS-monitor 2015: Wie doet wat? Informatie over lokale besturen, D hoedt, Bob, en Geert Bouckaert. Performance auditing: een inleiding. Leuven: KUL Instituut voor de overheid, Dries, Rudi, Lieven Van Brussel, en Marleen Willekens. Handboek auditing. Antwerpen: Intersentia, Driessen, A. J. G., en A. Molenkamp. Internal auditing: een managementkundige benadering. Deventer: Kluwer, Guilliams, Eddy, Steven Van Roosbroek, en Veerle Vanderlinden. Audit Vlaanderen van start. Lokaal, nr. 7 (juli 2014): Guilliams, Eddy, en Veerle Vanderlinden. Een jaar Audit Vlaanderen. Lokaal, nr. 6 (juni 2015): 24. Maddens, Gerald, Edwin Lefebre, en Liesbeth De Clercq. Externe audit in lokale besturen: een internationale vergelijking. BinnenBand 18, nr. 81 (2013): Ministerie van de Vlaamse Gemeenschap. Decreet betreffende de openbaarheid van bestuur, kaderdecreet bestuurlijk beleid, Ministerie van Justitie. Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens,

136 PricewaterhouseCoopers. Finaal rapport. Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers. s.l., Robbins, Stephen P, Mary Coulter, Esther Hurkmans-Nekkers, Yvonne Philippa, Jonas de Vries, en Studio Imago (Amersfoort). Management in sociaalagogische beroepen. 2de ed. Amsterdam: Pearson Education, Roosbroek, Steven. De Vlaamse publieke sector doorgelicht. Een nieuw agentschap voor audits bij lokale besturen en de Vlaamse administratie. Vlaams tijdschrift voor Overheidsmanagement 4 (2013): Severi, Bart. Archiefdecreet: nieuwe kansen voor de informatiehuishouding. BinnenBand 16, nr. 75 (2011): Creating Archival Legislation in a Federal State: The Case of Flanders. In Archives without borders : proceedings of the International Congress in The Hague, August 30-31, 2010, bewerkt door Hilde van Engen, Gustaaf Janssens, Godfried Kwanten, en Klaartje Pompe, Berchem: Vlaamse Vereniging voor Bibliotheek, Archief & Documentatie, Reguleringsimpactanalyse voor de uitvoering van het Archiefdecreet. Brussel, s.d.. Reguleringsimpactanalyse voor het Archiefdecreet. Brussel, s.d. Stevens, Ronald. Met open vizier: auditing als stimulerende interventie. Ridderprint, Van Bouwel, Jana. Meten om te weten: het opzetten van een monitoringbeleid voor zorgdragers in Vlaanderen. Vrije Universiteit Brussel, Van Loocke, Eddy, en Put Vital. De impact van performance auditing: slow and subtle? In Efficiëntie en effectiviteit van de publieke sector in de weegschaal, bewerkt door Dries Verlet en Carl Devos, Brussel: Vlaamse Overheid, Van Roosbroek, Steven. De externe audit: een nieuwe stap in de richting van professioneler werken. Stuur, nr. 2 (2013): Externe audit in de startblokken. Lokaal, nr. 3 (maart 2013): 6 9. Vanderlinden, Veerle, en Steven Van Roosbroek. Audit Vlaanderen: lessen uit de testaudits. Lokaal, nr. 4 (april 2014): Naar een gedragen leidraad voor interne controle. Lokaal, nr. 7 (juli 2013): Velle, Karel. cursus archiefrecht. s.l., Vlaamse Adviesraad voor Bestuurszaken. Advies bij externe audit voor de lokale en provinciale besturen. Brussel, 29 april Advies bij voorontwerp van decreet betreffende de bestuurlijk-administratieve archiefwerking. Brussel, 9 juni Vlaamse Gemeenschap. Gemeentedecreet,

137 Vlaamse Overheid. Decreet betreffende de bestuurlijk-administratieve archiefwerking, Decreet houdende de organisatie van audittaken bij de Vlaamse administratie en de lokale besturen en tot wijziging van het kaderdecreet bestuurlijk beleid van 18 juli 2003, het Gemeentedecreet van 15 juli 2005, het Provinciedecreet van 9 december 2005, het decreet van 19 december 2008 betreffende de organisatie van de openbare centra voor maatschappelijk welzijn, het decreet van 27 maart 2009 betreffende radioomroep en televisie, het decreet van 8 juli 2011 houdende regeling van de begroting, de boekhouding, de toekenning van subsidies en de controle op de aanwending ervan, en de controle door het Rekenhof en het decreet van 13 juli 2012 houdende bepalingen tot begeleiding van de tweede aanpassing van de begroting 2012, Ontwerp van het Decreet houdende de organisatie van audittaken bij de Vlaamse administratie en de lokale besturen en tot wijziging van het kaderdecreet bestuurlijk beleid van 18 juli 2003, het Gemeentedecreet van 15 juli 2005, het Provinciedecreet van 9 december 2005, het decreet van 19 december 2008 betreffende de organisatie van de openbare centra voor maatschappelijk welzijn, het decreet van 27 maart 2009 betreffende radio-omroep en televisie, het decreet van 8 juli 2011 houdende regeling van de begroting, de boekhouding, de toekenning van subsidies en de controle op de aanwending ervan, en de controle door het Rekenhof en het decreet van 13 juli 2012 houdende bepalingen tot begeleiding van de tweede aanpassing van de begroting 2012, Vlaamse Regering. Artikelsgewijze bespreking bij het Besluit tot regeling van het archiefbeheer. Brussel, s.d.. Besluit van de Vlaamse Regering met betrekking tot de organisatie van de Vlaamse administratie, Besluit van de Vlaamse Regering tot oprichting van het intern verzelfstandigd agentschap Audit Vlaanderen en tot wijziging van diverse besluiten, Memorie van toelichting. Ontwerp van decreet betreffende de bestuurlijkadministratieve archiefwerking, Werkgroep Lokaal Overheidsarchief. Procesmodellering voor de werking van een archiefdienst. In Wie klasseert, die vindt: hedendaags document- en archiefbeheer in besturen en organisaties, bewerkt door Inge Schoups, Roeland Verhaert, Joris Vanderborght, Hilde De Bruyne, Marian Verbeek, Petra Vanhoutte, en Lisa Van Hout, III.C.4-III.C.6. Brussel: Uitgeverij Politeia, Werkgroep positionering archiefinspectie. Op dezelfde lijn verder? Advies van de Werkgroep positionering archiefinspectie in opdracht van BRAIN. s.l., oktober

138 Websites < geraadpleegd op 08 maart < geraadpleegd 08 maart < >, geraadpleegd op 08 maart < geraadpleegd op 08 maart < geraadpleegd op 8 maart < op 25 april < geraadpleegd op 25 april < geraadpleegd op 25 april < geraadpleegd op 25 april < geraadpleegd 08 april < geraadpleegd op 18 maart < geraadpleegd op 15 juli < geraadpleegd op 08 maart < geraadpleegd op 08 maart < geraadpleegd op 03 mei < geraadpleegd op 25 april < geraadpleegd op 07 april < geraadpleegd op 7 april < geraadpleegd op 20 juli < geraadpleegd op 07 april < geraadpleegd op 7 april < geraadpleegd op 25 april

139 Bijlagen Bijlage 1 Land/regio Focus/soort Auditeur Onafhankelijk en Rapportering kwaliteit auditeurs Vlaanderen Interne controle Audit Vlaanderen Aansturing door Klassiek auditrapport Forensisch auditcomité Rapportering aan de comité en lokaal bestuur Wallonië Financiële Compliance Centre Régional / Rapportering aan d aide aux Communes bevoegde minister en besturen zelf Best practices Frankrijk Financiële Chambres Régionales Onafzetbaarheid Rapporten Forensische des Comptes magistraten Jaarlijks publiek rapport Performance (regionaal rekenhof) Collegiale met algemene Compliance besluitvorming bevindingen voor regio Hoor en wederhoor Engeland Compliance Audit Aanstelling door Rapporten Performance Commission/private centrale Jaarlijks publiek rapport auditeurs overheidsinstanties met algemene Financiering en budget Budget: 0.91 euro per inwoner Uitgaven: 1,32 euro per inwoner / Kosten: 3,4 euro per inwoner 139

140 Codes of Audit Practice bevindingen voor Audit Quality Review Engeland Team Nederland Interne controle Lokale Benoeming voor Publieke rapporten per Budget: 1,08 euro per Compliance rekenkamer(functie)s minstens 2 gemeente inwoner Performance raadstermijnen Verschillend per gemeente Zweden Interne controle Politiek verkozen Auditreglement Jaarlijks rapport per Budget: 4,39 euro per Financiële auditeurs bijgestaan Per instelling meerdere gemeente inwoner Compliance door externe experten van elkaar onafhankelijke auditeurs SKYREV: auditvereniging. Geeft certificaten en zet standaarden. Finland Interne controle Auditcomité van de Finnisch Board for Rapporten Budget: 3,8 euro per Financiële gemeenteraad en Chartered Jaarlijks publiek rapport inwoner Compliance private auditeurs Public finance per gemeente Auditors: moet auditeur Goedkeuring 140

141 Noordrijn- Westfalen Nedersaksen geschikt verklaren, jaarrrekening voorziet training en geeft advies. Financiële Gemeindeprüfungsangs Toezicht door Rapporten per Budget: 2,02 euro per Performance t Ministerie gemeente inwoner alt (staatagentschap) Binnenlandse Zaken Bechmarketingrapporte n Best practices Financiële Landerechnunghof Volledig onafhankelijke Jaarlijks publiek rapport Uitgaven: 0,85 euro per Performance (rekenhof deelstaat) rekenkamer met inwoner algemene bevindingen voor deelstaat Aanbevelingen Best practices Internationale vergelijking van externe audits door Gerald Maddens, Edwin Lefebre en Liesbeth De Clercq Maddens, Lefebre, en De Clercq, Externe audit in lokale besturen: een internationale vergelijking,

142 Bijlage 2 Voorbeeld fiche GIS-monitor Departement Informatie Vlaanderen en Vereniging van Vlaamse Steden en Gemeenten, GIS-monitor 2015: Wie doet wat? Informatie over lokale besturen,