Risicomanagement. Mark Vandersmissen & Steve Troupin Netwerk Organisatiebeheersing 24 Januari 2013

Transcriptie

1 1

2 Risicomanagement Mark Vandersmissen & Steve Troupin Netwerk Organisatiebeheersing 24 Januari

3 Agenda 1. Waarom risicomanagement 2. Verdere aanpak 3. Risicomanagementproces 4. Community-building 3

4 Waarom risicomanagement Ter ondersteuning van het management bij de strategische en operationele keuzes of overwegingen bij de verdere uitbouw van organisatiebeheersing Om afstemming in audit- en controlewerkzaamheden te verkrijgen 4

5 Risicomanagement en management Risicomanagement is bewust management Bij het bepalen van de strategie ook rekening houden met risico s hierbij Vb. SWOT en afleiden organisatiedoelstellingen Bij verdere doorvertaling van de strategie ook telkens de risico s meenemen Moet helpen bij overwegingen hoe de doelstellingen geconcretiseerd worden (procesverloop, verwerving middelen, ) Is onderdeel van de bedrijfsstrategie: Welke risico s worden genomen risicoappetijt Strategie van aanvaarden/vermijden/voorkomen Risico s nemen hoort bij ondernemen 5

6 Risicomanagement en organisatiebeheersing Vaststelling n.a.v. validatie-audits: Geringe uitbouw van risicomanagement bij een meerderheid van de entiteiten Uitbouw van een systeem van organisatiebeheersing: Te weinig op maat van de organisatie, rekening houdend met de diversiteit van organisaties, historiek van de organisaties Te bureaucratisch! Maturiteit 3: een doel op zich? Te weinig toegevoegde waarde? Risicomanagement zorgt voor maatwerk Aanpassingen aan organisatiebeheersing i.f.v. risico s organisatie Organisatiebeheersing moet afgestemd zijn op de behoeften, opdracht en processen organisatie Zorgt voor de juiste prioriteitenstelling 6

7 Risicomanagement en organisatiebeheersing Evolutie naar maturiteitsniveau 3 en verdere groei naar maturiteitsniveau 4 vergt uitgebouwd risicomanagement op organisatie- en procesniveau Gradaties in de score Omschrijving Onbestaand Binnen de organisatie bestaan geen of zeer weinig beheersmaatregelen. Controlebewustzijn is eerder laag en er worden weinig acties ondernomen om te komen tot een adequaat systeem van organisatiebeheersing (interne controlesysteem). Ad-hoc basis Op ad-hocbasis zijn binnen de organisatie beheersmaatregelen uitgewerkt. Het bewustzijn van de nood aan adequate beheersmaatregelen (interne controlemaatregelen) groeit, maar er is nog geen gestructureerde of gestandaardiseerde aanpak aanwezig. Het systeem van organisatiebeheersing (interne controlesysteem) draait meer rond personen dan rond systemen. Gestructureerde aanzet: Een eerste gestructureerde aanzet wordt gegeven tot de ontwikkeling van beheersmaatregelen. De beheersinstrumenten zijn bijgevolg in ontwikkeling, maar worden nog niet toegepast. Gedefinieerd (= niveau ) Beheersmaatregelen zijn aanwezig. Zij zijn gestandaardiseerd, gedocumenteerd, gecommuniceerd (en worden toegepast). Beheerst systeem (= niveau ) De beheersmaatregelen worden intern periodiek geëvalueerd en bijgestuurd. Er kan gesproken worden over een 'levend' adequaat en doeltreffend systeem van organisatiebeheersing. Geoptimaliseerd (= niveau ) De beheersmaatregelen worden voortdurend geoptimaliseerd via benchmarking 7 en het behalen van kwaliteitscertificaten of externe evaluaties. Het risicobewustzijn is gering. De risico's zijn niet of in geringe mate gekend en worden niet of op adhoc basis aangepakt. Het risicobewustzijn neemt toe. De risico's worden intuïtief en informeel aangepakt. Er is een evolutie naar risicomanagement. Hoog risicobewustzijn. De risico's worden formeel en gestructureerd aangepakt. Risicomanagement is aanwezig.

8 Risicomanagement en audit Goed risicomanagement Zorgt voor juiste auditkeuzes/prioriteiten Zorgt voor business alignment met audit indien risicomanagement uitgevoerd of gevalideerd door management Meer gedragenheid van auditfunctie en aanbevelingen! Risicomanagement is de vertrekbasis voor single audit Audit- en controleactoren stemmen planning en werkzaamheden af o.b.v. resultaten risicomanagement 8

9 Auditstrategie Auditopdrachten IAVA Focus op efficiënte en integere inzet van de overheidsmiddelen Rol management bij organisatiebeheersing Maximaal gebruik maken van de hefbomen binnen 9 de organisaties Keuze voor auditopdrachten bij processen met grote materialiteit Voorrang voor thema-audit met VO-brede impact Uitvoeren van detectie-audits Implementeer risicomanagement gebruik/upgrade ankerpunten Vertrek van risicoanalyse voor evaluatie organisatiebeheersing Uitbouwen van single audit Inzet auditcapaciteit op belangrijkste risico s Match? Vraag naar audits voor assurance over belangrijkste risico s Risicomanagement en analyse moet zorgen voor: Afstemming auditprioriteiten management- en politieke prioriteiten Effectiviteit organisatiebeheersing

10 Waarom risicomanagement ook een beetje omdat het moet Art. 33 kaderdecreet Bestuurlijk Beleid De departementen, de intern verzelfstandigde agentschappen en de extern verzelfstandigde agentschappen staan in voor de interne controle van hun bedrijfsprocessen en activiteiten. De interne controle is in het bijzonder gericht op : 1 het bereiken van de opgelegde doelstellingen en het effectief en efficiënt beheer van risico's; Art. 4 BVR betreffende controle en single audit De leidend ambtenaar is verantwoordelijk voor de risicoanalyse en risicomanagement op het niveau van de entiteit De controleactoren evalueren het door de entiteit geïnstalleerde risicomanagement Element van het beleidsgericht rapport Mededeling VR van 23/11/12 organisatiebeheersing

11 HOE AANPAKKEN 11

12 Wat willen we bereiken? We willen het algemeen risicobewustzijn binnen de entiteiten verhogen; stimuleren in denken van risico s We willen komen tot de uitbouw van een systeem van risicomanagement W We willen de kennis/competenties van ankerpunten inzake risicomanagement versterken/verhogen We willen de audit- en controle-activiteiten afstemmen op resultaten inzake risicomanagement Zie ook netwerk organisatiebeheersing van 23 april 2012 Maar ook Kennisdeling maximaliseren Generieke raamwerken voor VO 12

13 Hoe willen we dit bereiken? Herziening aanpak Netwerk april 2012 Nu: gefaseerde aanpak, gespreid over meerdere (3) jaren In 2012: selectie van 14 pilootentiteiten In 2013 e.v. verdere uitrol alle entiteiten uit werkterrein IAVA gelijktijdig betrekken iedereen een risicomanagementtraject laten doorlopen hetzij verderzetting en/of uitbreiding van een reeds gekozen traject hetzij vertrekken van een specifieke kernopdracht/doelstelling Ondersteuning door IAVA zie volgend punt 13

14 Beheersovereenkomsten en Risicomanagement Bewustwording RM Gefocuste implementatie op alle niveaus Integratie in nieuwe BO/MO Uitrol naar andere processen Organisatie Beheersovereen komst Leidend ambtenaar Ondernemingsplan Afdelingshoofd Doelst. 1 Doelst. 2 Doelst. 3 Medewerkers

15 Steve Troupin (IAVA) 1. Traject Risicomanagement Community-building 15

16 Traject Risicomanagement Stand van zaken 2. Plan van aanpak 3. Afbakening 4. Risico-identificatie 5. Risicobeoordeling en verder 6. Opvolging 16

17 1. Stand van zaken Van pilootentiteiten naar alle entiteiten Beknopte stand van zaken in beeld tegen midden februari Is er al iets beslist/gedaan op het vlak van RM? Is er principiële bereidheid om in het voorgestelde traject te stappen? Met welke contextuele elementen moet er rekening gehouden worden? Om de ondersteuning zo goed mogelijk in te plannen 17

18 2. Plan van aanpak Waarom Maatwerk Haalbaarheid Elke entiteit bereidt een plan van aanpak voor met: Scope Beschikbare middelen Samenhang met andere beheersinstrumenten Invulling van de verschillende fases Kalender IAVA bezorgt een advies over dat plan voordat het uitgevoerd wordt 18

19 3. Afbakening Relevantie primeert op volledigheid Voor de gekozen scope geeft de entiteit aan Wat ze al doet om haar doelstellingen te bereiken De invalshoek(en) voor risicoanalyse Wie informatie kan aanleveren Doel Interne planning Wat RM is/wat het niet is? Communicatie 19

20 4. Risico-identificatie Risico s zijn gebeurtenissen die gevolgen hebben voor de kwaliteitsvolle realisatie van doelstellingen Men start met de gekozen risicocategorieën en invalshoeken Bij risico-identificatie wordt er gevraagd: Wat kan de goede werking belemmeren? Oorzaken komen later aan bod, samen met nieuwe beheersmaatregelen 20

21 5. Risicobeoordeling en verder Management geeft aan wat prioritair moet aangepakt worden Op basis van Impact, waarschijnlijkheid, materialiteit, Maar ook eigen prioriteiten, buikgevoel Om de scope te bepalen van verdere stappen Verdere analyse van de oorzaken Nieuwe beheersmaatregelen Met het oog op de volgende beheers- of managementovereenkomst 21

22 6. Opvolging Rond elke mijlpaal van het plan van aanpak Informatie-uitwisseling Gesprek tussen auditor en ankerpunt Doel gesprek Evaluatie met het oog op het beleidsgericht rapport: is RM op koers of niet en waarom? Gerichte ondersteuning en informele vragen Workshops: vraag naar voorbeelden voor kennisdeling 22

23 Community-building 1. Visie 2. Management sensibiliseren 3. Opvolging 4. Workshops risicomanagement 5. Informele contacten bevorderen 23

24 1. Visie IAVA voert zelf geen risicoanalyses bij de entiteiten uit: hij sensibiliseert management hij volgt het RM-proces op hij organiseert workshops voor kennisdeling IAVA promoot geen one best way, hij moedigt een onderling leerproces door de entiteiten aan 24

25 2. Management sensibiliseren Draagvlak management essentieel IAVA licht de Managementcomités (Maco s) van de verschillende beleidsdomeinen in over deze vernieuwde aanpak Februari Maart 25

26 3. Workshops risicomanagement Het Netwerk OB wordt ingedeeld in werkgroepen Scope van RM (vb.: toezicht, subsidieverlening, infrastructuurbeheer, dienstverlening, adviesverlening, beleidsadvies, ) Flexibiliteit (ifv: stand van zaken, eigen trajecten, bestaande netwerken) Belang stand van zaken RM Doel: leren van elkaar Communicatie en debat over de stappen Discussie van problemen Inhoudelijke discussies/naar gezamenlijke producten 26

27 3. Eerste workshops RM: Leren van de pilootentiteiten Maart 2013 Agenda Informele ervaringsuitwisseling door ankerpunten van de pilootentiteiten 2012: Mocht u de oefening kunnen herbeginnen, wat zou u op dezelfde manier doen of niet en waarom? Panelgesprek: Wat kan van deze ervaring geleerd worden? Organisatie van de werkgroepen 27

28 4. Langetermijnperspectief Groepsgevoel: een community van/voor risicomanagers Informele contacten bevorderen Ook zonder tussenkomst van IAVA Naar een interactieve website IAVA trekt zich geleidelijk terug 28

29 Dank voor uw aandacht! Vragen of reacties? 29