Organisatie-audit bij de Entiteit X

Transcriptie

1 Organisatie-audit bij de Entiteit X Rapport Auditopdracht x xx xx 2017

2 Deze opdracht is uitgevoerd in overeenstemming met de internationale standaarden van het Institute of Internal Auditors (IIA). Elke vijf jaar evalueert een externe instantie of Audit Vlaanderen deze standaarden naleeft.

3 Auditteam: X X, auditor X X, auditor X X, manager-auditor Organisatie-audit bij de Entiteit X Rapport Auditopdracht x xx xx 2017

4 INHOUDSOPGAVE Samenvatting 5 Conclusie thema x 7 Managementreactie 8 Aanbevelingentabel 9 Bijlage 1: Situering entiteit X 10 Bijlage 2: Auditdoelstellingen, -reikwijdte en -aanpak 11 Bijlage 3: Overzicht inherente risico s 15 Bijlage 4: Overzicht aanbevelingen en verbeterpunten 16 Bijlage 5: Verzendlijst 17 4

5 SAMENVATTING Deze inleidende paragraaf bevat een korte omschrijving van de geauditeerde entiteit en de door Audit Vlaanderen gehanteerde aanpak, auditdoelstellingen en -reikwijdte. ALGEMENE CONCLUSIE Deze paragraaf geeft aan hoeveel risico s geïdentificeerd werden en als inherent hoog ingeschat werden. Voor deze risico s geeft Audit Vlaanderen of er voldoende mature beheersmaatregelen aanwezig zijn en in welke mate deze de risico s als voldoende effectief inperken. Er wordt aangegeven of er bv. een hoge/lage mate van risicobeheer is of er verdere optimalisatie m.b.t. de beheersmaatregelen aangewezen is. In een overzichtstabel wordt per risico de mate van risicobeheer en eventueel geformuleerde aanbevelingen en verbeterpunten weergegeven. Nr. 1 Thema Beknopte risico-omschrijving Mate van risicobeheer Nr. A/V Pagina rapport Belangrijke risico s waarvan de beheersmaatregelen door Audit Vlaanderen werden geëvalueerd X X A1 p. x-x X X V1 p. x-x Belangrijke risico s waarvoor entiteit X de maturiteit van de aanwezige beheersmaatregelen als laag inschat X X A2 / X X A3 / Legende M.b.t. dit risico werd vastgesteld dat de aanwezige beheersmaatregelen het risico in onvoldoende mate inperken. Er is bijgevolg een lage mate van risicobeheer. M.b.t. dit risico zijn beheersmaatregelen aanwezig die het risico tot een aanvaardbaar niveau inperken. Mogelijkheden tot optimalisatie werden vastgesteld. M.b.t. dit risico is een geheel van beheersmaatregelen aanwezig die het risico inperken. Er is een hoge mate van risicobeheer aanwezig. De detailvaststellingen en de conclusie per thema worden hieronder kort toegelicht. 1 De volledige lijst van de geïdentificeerde inherente risico s is terug te vinden in bijlage 3. 5

6 X X, Auditor X X, Auditor X X, Manager-auditor Eddy Guilliams, Administrateur-generaal 6

7 CONCLUSIE THEMA X ONDERZOCHTE RISICO S Deze paragraaf bevat een overzicht van de onderzocht risico s voor het geselecteerde thema. Deze risico s werden door de entiteit als inherent hoog ingeschat met mature beheersmaatregelen. Voor deze risico s evalueerde Audit Vlaanderen of de aanwezige beheersmaatregelen het risico inderdaad voldoende inperken. Maturiteit beheersmaatregelen 1 2 Inherent risicoprofiel Figuur 1: Residueel risicoprofiel thema 1 GEËVALUEERDE BEHEERSMAATREGELEN Audit Vlaanderen geeft in deze paragraaf aan welke beheersmaatregelen aanwezig zijn om de risico s in te perken en of deze de risico s al dan niet effectief inperken. CONCLUSIE Deze concluderende paragraaf doet een uitspraak over de mate van risico-afdekking en eventuele aanbevelingen (in het geval van een lage risico-afdekking) of verbeterpunten (in het geval van een gemiddelde risico-afdekking). 7

8 MANAGEMENTREACTIE In dit onderdeel wordt de door de geauditeerde entiteit geformuleerde managementreactie integraal opgenomen. 8

9 AANBEVELINGENTABEL Nr. Aanbeveling Streefdatum Verantwoordelijke/ initiator Actieplan of opmerkingen A1 A2 A3 A4 A5 9

10 BIJLAGE 1: SITUERING ENTITEIT X Deze bijlage bevat een omschrijving van de geauditeerde entiteit, incl. de huidige structuur (organigram), de samenstelling (aantal personeelsleden) en het beschikbare budget. 10

11 BIJLAGE 2: AUDITDOELSTELLINGEN, - REIKWIJDTE EN -AANPAK AUDITDOELSTELLINGEN EN -REIKWIJDTE Audit Vlaanderen evalueerde bij entiteit X of voor geselecteerde thema s uit de Leidraad interne controle / organisatiebeheersing de belangrijkste inherente risico s door adequate beheersmaatregelen ingeperkt worden. De focus bij deze opdracht lag op het beoordelen van de opzet (of de architectuur) 2 van de beheersmaatregelen. Bepaalde maatregelen werden getest. AUDITAANPAK De aanpak van deze opdracht verliep in drie fases: 1. Evaluatie van de maturiteit van het (organisatiebrede) risicomanagement binnen entiteit X: De maturiteit van het proces van risico-identificatie en evaluatie en het proces van risicobeheer werd ingeschat. De gewogen gemiddelde maturiteit voor het proces risico-identificatie en -evaluatie wordt ingeschat op maturiteitsniveau x en voor het proces risicobeheer op maturiteitsniveau x. Onderstaande tabel geeft het gedetailleerde resultaat van deze maturiteitsinschatting weer. Nadere toelichting over het gehanteerde maturiteitsmodel is opgenomen onder Maturiteitsmodel. Inschatting Doelstellingen en risicocascade 0 Betrokkenen bij de risico-identificatie 1 Methodiek risico-identificatie 2 Risico-identificatie en evaluatie Methodiek risico-evaluatie 3 Medewerkers, rollen en verantwoordelijkheden 4 Periodiciteit van de risicoanalyse 5 Procesdocumentatie van de risicoanalyse 0 Gewogen gemiddelde maturiteitsinschatting 2,1 2 Bij het beoordelen van de architectuur wordt nagegaan in welke mate de beheersmaatregelen aanwezig zijn, worden toegepast, opgevolgd en bijgestuurd door het management. Ook de communicatie en toelichting over deze beheersmaatregelen aan de medewerkers worden geëvalueerd. 11

12 Inschatting Risicostrategie 0 Risicorespons 1 Risicobeheer Architectuur en operationele effectiviteit van de beheersmaatregelen voor de kernprocessen Architectuur en operationele effectiviteit van de beheersmaatregelen voor de ondersteunende processen 2 3 Medewerkers, rollen en verantwoordelijkheden 4 Gewogen gemiddelde maturiteitsinschatting 1,9 Legende Onbestaand Intuïtief/ ad hoc Gestructureerde aanzet Gedefinieerd Beheerst/ meetbaar Geoptimaliseerd 2. Inschatting van het belang van de thema s uit de Leidraad interne controle / organisatiebeheersing voor entiteit X aan de hand van 5 parameters: Impact op de doelstellingen; Complexiteit van wet- en regelgeving: Financieel belang (van het thema in de totaliteit van de organisatie); Effect op de dagelijkse werking; Integriteit, beschermen van activa of voorkomen van fraude. Deze weging resulteerde voor entiteit X in x prioritaire thema s die in aanmerking kwamen voor deze organisatie-audit: Thema x, Thema x. 3. De uitvoering van de eigenlijke organisatie-audit: Deze paragraaf geeft een indicatie van de uitgevoerde auditwerkzaamheden 12

13 MATURITEITSMODEL Ref. Risicomanagement elementen Inschatting 0 Inschatting 1 Inschatting 2 Inschatting 3 Inschatting 4 Inschatting 5 Onbestaand Intuïtief / ad hoc Gestructureerde aanzet (Plan) Gedefinieerd (Do) Beheerst / Meetbaar (Check & Act) Geoptimaliseerd E1 Doelstellingen en risicocascade Risico's worden ad hoc / intuïtief geïdentificeerd zonder rekening te houden met de context (omgeving, doelstellingen,...) van de organisatie. Er bestaat geen directe link met de doelstellingen van de organisatie of thema's uit de leidraad. De belangrijkste risico's worden high-level in kaart gebracht, rekening houdend met de context en het doelstellingenkader van de organisatie. Risico's werden geïdentificeerd in functie van de strategische en operationele doelstellingen van de organisatie (eventueel op basis van de thema's uit de leidraad) en de procesdoelstellingen van de belangrijkste kernprocessen. Risico's werden geïdentificeerd in functie van de strategische en operationele doelstellingen van de organisatie (eventueel op basis van de thema's uit de leidraad). Een cascade van de risico's is aanwezig voor alle kernprocessen, de belangrijkste ondersteunende processen en strategische projecten. Risico's worden geïdentificeerd in functie van de strategische en operationele doelstellingen van de organisatie of de thema's uit de leidraad. Een verdere cascade van de risico's is aanwezig voor alle processen en projecten die een direct of indirect relevant belang hebben bij de realisatie van de missie van de organisatie. E2 Betrokkenen bij de risico-identificatie De risicoanalyse wordt uitgevoerd door één of enkele individuen binnen de organisatie. Een beperkt aantal sleutelpersonen binnen de organisatie werd betrokken bij de risicoanalyse. De afdelingshoofden en de belangrijkste kernproceseigenaren worden betrokken bij de risicoanalyse. De afdelingshoofden, alle kernproceseigenaren en de belangrijkste ondersteunende proceseigenaars worden betrokken bij de risicoanalyse. De steekproef houdt rekening met de organisatiestructuur of geografische locaties van de organisatie. Management, alle kernproceseigenaren en alle ondersteunende proceseigenaars worden betrokken bij de risicoanalyse. De steekproef houdt rekening met de organisatiestructuur of geografische locaties van de organisatie. Ook specialisten in bepaalde vakgebieden worden betrokken in de risicoanalyse. Externe specialisten werden geconsulteerd indien nodig. De leidend ambtenaar wordt niet of ad hoc betrokken bij de risicoidentificatie. De leidend ambtenaar wordt beperkt betrokken bij de risico-identificatie. De leidend ambtenaar wordt betrokken bij de risicoidentificatie. Het topmanagement (N, N-1) werd betrokken bij de risicoidentificatie. Het topmanagement (N, N-1) werd betrokken bij de risico-identificatie. E3 Methodiek risicoidentificatie Intuïtieve identificatie van de risico's zonder gebruik te maken van een gestructureerd kader. Intuïtieve identificatie van de risico's zonder gebruik te maken van een gestructureerd kader. Risico's worden gegroepeerd rekening houdend met aard en omvang van de individuele risico's en geconsolideerd. De risico-identificatie gebeurt aan de hand van een gestandaardiseerde risicoclassificatie (risicotypologie). Risico's worden gegroepeerd rekening houdend met aard en omvang van de individuele risico's en geconsolideerd. De risico-identificatie gebeurt aan de hand van een gestandaardiseerde risicoclassificatie (risicotypologie). De geïdentificeerde risico's worden kritisch besproken in een interview. Risico's worden gegroepeerd rekening houdend met aard en omvang van de individuele risico's en geconsolideerd door meerdere personen. De risico-identificatie gebeurt aan de hand van een gestandaardiseerde risicoclassificatie (risicotypologie). De geïdentificeerde risico's worden kritisch besproken in een interview. De risicoclassificatie (risicotypologie) wordt periodiek geëvalueerd en geoptimaliseerd. Risico's worden gegroepeerd rekening houdend met aard en omvang van de individuele risico's en geconsolideerd door meerdere personen. Er gebeurt een validatie door de leidend ambtenaar. Er gebeurt een validatie door het topmanagement (N, N-1). Er gebeurt een validatie door het topmanagement (N, N-1). Risicoidentificatie en - evaluatie E4 Methodiek risicoevaluatie Er is een intuïtieve rangschikking van de risico's. Schalen om risico's in te schatten naar waarschijnlijkheid (=kans op voorkomen) en impact (=ernst) zijn impliciet of niet aanwezig of meerdere schalen worden binnen de organisatie gehanteerd. Risico's worden geëvalueerd naar waarschijnlijkheid (=kans op voorkomen) en impact (=ernst). Deze analyse gebeurt aan de hand van gedefinieerde en door het management gevalideerde schalen, aangepast aan het doel van de risicoanalyse en resulteert in een kwantitatieve of kwalitatieve rangschikking van de risico's (=risicoprofiel). Risico's worden geëvalueerd naar waarschijnlijkheid (=kans op voorkomen) en impact (=ernst). Deze analyse gebeurt aan de hand van gedefinieerde en door het management gevalideerde schalen, aangepast aan het doel van de risicoanalyse en resulteert in een kwantitatieve of kwalitatieve rangschikking van de risico's (=risicoprofiel). De gehanteerde schalen worden geëvalueerd en bijgestuurd bij grote wijzigingen aan de organisatie, haar doelstellingen of haar omgevingsfactoren. Risico's worden geëvalueerd naar waarschijnlijkheid (=kans op voorkomen) en impact (=ernst). Deze analyse gebeurt aan de hand van gedefinieerde en door het management gevalideerde schalen, aangepast aan het doel van de risicoanalyse en resulteert in een kwantitatieve of kwalitatieve rangschikking van de risico's (=risicoprofiel). De gehanteerde schalen worden periodiek geëvalueerd, geïnspireerd op beste praktijken en indien nodig geoptimaliseerd. De resultaten worden niet besproken en gevalideerd doortopmanagement (N, N-1) van de organisatie. De resultaten worden niet of beperkt besproken door topmanagement (N, N-1) van de organisatie. De resultaten worden besproken en gevalideerd door het topmanagement (N, N-1). De resultaten worden besproken en gevalideerd door het topmanagement (N, N-1). De resultaten worden besproken en gevalideerd door het topmanagement (N, N- 1). E5 Medewerkers, rollen en verantwoordelijkheden Rollen en verantwoordelijkheden van de medewerkers die de risicoanalyse uitvoeren zijn niet duidelijk bepaald. Verschillende medewerkers nemen dit op. Het team van medewerkers dat de risicoanalyse uitvoert is weinig of niet opgeleid. Er is een verantwoordelijke voor de coördinatie en uitvoering van de risicoanalyse aangesteld. Het team van medewerkers dat de risicoanalyse uitvoert is weinig of niet opgeleid. Er is een verantwoordelijke voor de coördinatie en uitvoering van de risicoanalyse aangesteld. De rollen en verantwoordelijkheden van de betrokkenen in het risicoanalyseproces liggen vast en worden gecommuniceerd.het team van medewerkers dat de risicoanalyse uitvoert is opgeleid. Er is een verantwoordelijke voor de coördinatie en uitvoering van de risicoanalyse aangesteld. De rollen en verantwoordelijkheden van de betrokkenen in het risicoanalyseproces liggen vast en worden gecommuniceerd. Ze worden periodiek geëvalueerd en bijgestuurd.risicobewakers zijn aangesteld.het team van medewerkers dat de risicoanalyse uitvoert is ervaren en beschikt over de nodige competenties. Er is een verantwoordelijke voor de coördinatie en uitvoering van de risicoanalyse aangesteld. De rollen en verantwoordelijkheden van de betrokkenen in het risicoanalyseproces liggen vast en worden gecommuniceerd. De rollen en verantwoordelijkheden worden voortdurend geëvalueerd en bijgestuurd.risicobewakers zijn aangesteld.er is een nauwe samenwerking tussen de verantwoordelijke voor risicobeheer en andere controle actoren binnen de organisatie belast met risicobeheer zoals de veiligheidscoördinator, juridische dienst,...het team van medewerkers dat de risicoanalyse uitvoert is ervaren, beschikt over de nodige competenties en wordt regelmatig bijgeschoold in hun kennis en vaardigheden. E6 Periodiciteit van de risicoanalyse De risicoanalyse wordt ad hoc uitgevoerd. De risicoanalyse wordt ad hoc uitgevoerd of geactualiseerd bij wijzigingen aan de organisatie, haar doelstellingen of haar omgevingsfactoren. Periodiek wordt een volledige risicoanalyse uitgevoerd. Periodiek wordt een volledige risicoanalyse uitgevoerd. Risicobewakers zijn aangesteld en rapporteren tussentijds aan de verantwoordelijke voor risicoanalyse over wijzigingen aan het risicoprofiel. Periodiek wordt een volledige risicoanalyse uitgevoerd. Risicobewakers zijn aangesteld en rapporteren voortdurend aan de verantwoordelijke voor risicoanalyse over wijzigingen aan het risicoprofiel. De risicoanalyse wordt voortdurend geactualiseerd op basis van de input van de risicobewakers. Tussentijds evalueert het topmanagement (N,N-1) of een actualisatie van de bestaande risicoanalyse noodzakelijk is. Tussentijds evalueert het topmanagement (N,N-1) of een actualisatie van de bestaande risicoanalyse of een volledige risicoanalyse noodzakelijk is. Tussentijds evalueert het topmanagement (N,N-1) of een volledige risicoanalyse noodzakelijk is. E7 Procesdocumentatie van de risicoanalyse Er is geen formele en gestructureerde methodiek voor het uitvoeren van de risicoanalyse. De identificatie en inschatting van de risico's gebeurt ad hoc. De methodiek voor de uitvoering van de risicoanalyse wordt vrij gestandaardiseerd uitgevoerd, maar is niet gedocumenteerd/geformaliseerd. Er is een gestandaardiseerde en gedocumenteerde/geformaliseerde en gecommuniceerde methodiek voor risicoanalyse aanwezig. Er is een gestandaardiseerde en gedocumenteerde/geformaliseerde en gecommuniceerde methodiek voor risicoanalyse aanwezig. Deze methodiek wordt periodiek beoordeeld op zijn effectiviteit en indien nodig aangepast. Er is een gestandaardiseerde en gedocumenteerde/geformaliseerde en gecommuniceerde methodiek voor risicoanalyse aanwezig. Deze methodiek wordt periodiek beoordeeld op zijn effectiviteit en geïnspireerd op beste praktijken en indien nodig geoptimaliseerd. 13

14 Ref. Risicomanagement elementen Inschatting 0 Inschatting 1 Inschatting 2 Inschatting 3 Inschatting 4 Inschatting 5 Onbestaand Intuïtief / ad hoc Gestructureerde aanzet (Plan) Gedefinieerd (Do) Beheerst / Meetbaar (Check & Act) Geoptimaliseerd Er is een intuïtieve strategie van risicobeheersing voorhanden. Er is een gedeeld begrip tussen de directie, het management en de proceseigenaren omtrent de strategie van risicobeheersing. Er is een gestandaardiseerde en gedocumenteerde / geformaliseerde en gecommuniceerde strategie van risicobeheersing aanwezig. Er is een gestandaardiseerde en gedocumenteerde / geformaliseerde en gecommuniceerde strategie van risicobeheersing aanwezig. Er is een gestandaardiseerde en gedocumenteerde / geformaliseerde en gecommuniceerde strategie van risicobeheersing aanwezig. Deze strategie wordt periodiek beoordeeld op zijn effectiviteit en indien nodig geoptimaliseerd. E8 Risicostrategie De strategie van risicobeheersing en het risicobewustzijn zijn gedragen door het topmanagement (N, N-1) en diegene(n) belast met de beheersverantwoordelijkheid. De strategie van risicobeheersing en het risicobewustzijn zijn gedragen door het topmanagement (N, N-1), diegene(n) belast met de beheersverantwoordelijkheid en de medewerkers. De strategie van risicobeheersing en het risicobewustzijn zijn gedragen door de verantwoordelijken voor de directie, diegene(n) belast met de beheersverantwoordelijkheid en de medewerkers. Acties worden ad hoc ondernomen of wanneer risico's zich voordoen (reactief). Dit is niet geformaliseerd. Actieplannen voor de geïdentificeerde toprisico's worden opgesteld, maar zijn niet volledig of consistent. Actieplannen voor de geïdentificeerde toprisico's worden opgesteld en geformaliseerd. Actieplannen voor geïdentificeerde toprisico's worden opgesteld en geformaliseerd. Actieplannen voor geïdentificeerde toprisico's worden opgesteld en geformaliseerd. E9 Risicorespons De uitvoering van de actieplannen wordt niet gestructureerd opgevolgd door het management. De uitvoering van de actieplannen wordt slechts ad hoc of toevallig opgevolgd door het management. De voortgang van actieplannen ter beheersing van de risico's wordt gemonitord. De voortgang van actieplannen ter beheersing van de risico's wordt gemonitord. Tussentijds wordt er gerapporteerd over de voortgang van actieplannen ter beheersing van de risico's en indien nodig bijgestuurd. De voortgang van actieplannen ter beheersing van de risico's wordt gemonitord. Tussentijds wordt er gerapporteerd over de voortgang van actieplannen ter beheersing van de risico's en indien nodig bijgestuurd. De opvolging en bijsturing is geïnspireerd op beste praktijken. Risicobeheer E10 Architectuur en operationele effectiviteit van de beheersmaatregelen voor de kernprocessen De beheersmaatregelen zijn intuïtief en niet gedocumenteerd. Bepaalde beheersmaatregelen zijn gedefinieerd en gecommuniceerd andere zijn impliciet aanwezig. De beheersmaatregelen voor de belangrijkste kernprocessen zijn gedefinieerd en gecommuniceerd. De beheersmaatregelen voor de belangrijkste kernprocessen zijn gedefinieerd en gecommuniceerd. De operationele effectiviteit van de beheersmaatregelen wordt gecontroleerd. De beheersmaatregelen zijn gedefinieerd en gecommuniceerd. De operationele effectiviteit van de beheersmaatregelen wordt gecontroleerd. De architectuur van de beheersmaatregelen wordt periodiek bijgestuurd en zijn geïnspireerd op beste praktijken. E11 Architectuur en operationele effectiviteit van de beheersmaatregelen voor de ondersteunende processen De beheersmaatregelen zijn intuïtief en niet gedocumenteerd. Bepaalde beheersmaatregelen zijn gedefinieerd en gecommuniceerd andere zijn impliciet aanwezig. De beheersmaatregelen voor de belangrijkste ondersteunende processen zijn gedefinieerd en gecommuniceerd. De beheersmaatregelen voor de belangrijkste ondersteunende processen zijn gedefinieerd en gecommuniceerd. De operationele effectiviteit van de beheersmaatregelen wordt gecontroleerd. De beheersmaatregelen zijn gedefinieerd en gecommuniceerd. De operationele effectiviteit van de beheersmaatregelen wordt gecontroleerd. De architectuur van de beheersmaatregelen wordt periodiek bijgestuurd en zijn geïnspireerd op beste praktijken. E12 Medewerkers, rollen en verantwoordelijkheden De rollen en verantwoordelijkheden in het risicobeheersingsproces zijn niet bepaald maar zijn afhankelijk van de medewerkers. Het management wordt ad hoc betrokken bij de opmaak en uitvoering van de actieplannen. Rollen en verantwoordelijkheden in het risicobeheersingsproces zijn bepaald doch niet geformaliseerd. Het management wordt ad hoc betrokken bij de opmaak en uitvoering van de actieplannen. Rollen en verantwoordelijkheden in het risicobeheersingsproces liggen vast en zijn geformaliseerd. Het management is betrokken bij de opmaak en opvolging van de uitvoering van de actieplannen. Rollen en verantwoordelijkheden in het risicobeheersingsproces liggen vast en zijn geformaliseerd. Ze worden periodiek geëvalueerd en bijgestuurd. Het management is betrokken bij de opmaak en opvolging van de uitvoering van de actieplannen. Rollen en verantwoordelijkheden in het risicobeheersingsproces liggen vast en zijn geformaliseerd. Ze worden voortdurend geëvalueerd en bijgestuurd. Het management is betrokken bij de opmaak, evaluatie en opvolging van de uitvoering van de actieplannen. 14

15 BIJLAGE 3: OVERZICHT INHERENTE RISICO S 3 Deze bijlage bevat een overzicht van de geïdentificeerde inherente risico s per thema. 3 Dit overzicht bevat de uitgebreide formulering van de diverse risico s zoals die gebruikt werd op de workshop risico-evaluatie op datum XX XX. 15

16 BIJLAGE 4: OVERZICHT AANBEVELINGEN EN VERBETERPUNTEN Deze bijlage bevat een overzicht van de geformuleerde aanbevelingen en verbeterpunten, incl. de prioriteit ervan. Legende De aanwezige beheersmaatregelen dekken het aanwezige risico onvoldoende in. Er werden aanbevelingen geformuleerd met hoge prioriteit. De aanwezige beheersmaatregelen dekken het aanwezige risico in grote mate in. Er werden verbeterpunten geformuleerd met gemiddelde prioriteit. Er zijn voldoende beheersmaatregelen aanwezig die het risico mitigeren. Er werden enkel verbeterpunten met lage prioriteit. 16

17 BIJLAGE 5: VERZENDLIJST Het rapport wordt verstuurd naar: Entiteit X De heer X X De heer X X De heer X X De bevoegde ministers De heer X X De heer X X De heer X X Functie Functie Functie Functie Functie Functie De bevoegde minister voor interne audit De heer Geert Bourgeois De leden van het auditcomité van de Vlaamse administratie De onafhankelijke leden De heer Luc Discry De heer Jean-Pierre Bostoen Mevrouw Diane Breesch Mevrouw Saskia Van Uffelen Minister-president van de Vlaamse Regering en Vlaams minister van Buitenlands Beleid en Onroerend Erfgoed Voorzitter van het auditcomité en onafhankelijk deskundige Onafhankelijk deskundige Onafhankelijk deskundige Onafhankelijk deskundige De vertegenwoordigers van de Vlaamse Regering Mevrouw Miet Vandersteegen Raadgever van de minister-president van de Vlaamse Regering De heer Sas van Rouveroij van Vertegenwoordiger van de Vlaamse Regering Nieuwaal De heer Martin Ruebens Secretaris-generaal Departement Kanselarij en Bestuur De secretaris van het auditcomité De heer Guido Collin Het Rekenhof Mevrouw Hilde François Adviseur Departement Kanselarij en Bestuur Voorzitter van het Rekenhof 17