Vlaamse provincies Opleiding interne controle Oktober 2007 PwC
Doelstellingen van de opleiding 1. Inzicht krijgen in het begrip «interne controle» (beheersing van processen) 2. Inzicht krijgen in het opzetten van een intern controle systeem 3. In staat zijn om het eigen systeem van interne controle te beoordelen 4. In staat zijn verbeteringen aan te brengen aan het systeem van interne controle
Agenda 1. Inleiding: wat is interne controle juist? 2. Statements of interne controle: wat houdt dit in? 3. Bronnen/autoriteiten op het vlak van interne controle 4. Interne controle implementeren: ORCA 5. Cases / Voorbeelden
Agenda 1. Inleiding: wat is interne controle juist? Definities Basisprincipes De 5 componenten van interne controle 2. Statements of interne controle: wat houdt dit in? 3. Bronnen/autoriteiten op het vlak van interne controle 4. Interne controle implementeren: ORCA 5. Cases / Voorbeelden
Wat is Interne Controle (IC) Interne controle moet bijdragen tot het bereiken van de doelstellingen van de organisatie Publieke sector: rechtszekerheid, rechtsgelijkheid en rechtmatigheid + effectiviteit, efficiëntie en spaarzaamheid (economy economisch gebruik), ethiek
Het provinciedecreet In art. 95,96 en 97 van het decreet wordt aangegeven dat de provincies belast zijn met interne controle van hun activiteiten.... De griffier stelt het systeem van interne controle vast en rapporteert hierover jaarlijks aan de deputatie en de provincieraad Dit gegeven is een element van behoorlijk bestuur (good governance) en is niet nieuw in de internationale publieke sector... Slide 6
Interne controle volgens het provinciedecreet Interne controle is een geheel van maatregelen en procedures om een redelijke zekerheid te verschaffen over: het bereiken van de beoogde doelstellingen, het naleven van de regelgeving de beschikbaarheid van betrouwbare financiële en beheersinformatie het efficiënt en economisch gebruik van middelen het beschermen van de activa het voorkomen van fraude Provincie Oost-Vlaanderen Slide 7
Definitie Interne Controle Committee of Sponsoring Organizations (COSO) of the Treadway Commission - 1992 Interne controle volgens COSO Interne controle is een door de leiding tot stand gebracht proces om een redelijke zekerheid te verschaffen omtrent de realisatie van de volgende categorieën van doelstellingen: effectiviteit en efficiëntie van bedrijfshandelingen; betrouwbaarheid van financiële verslaggeving; naleving van toepasselijke rechtsregels (wetten en voorschriften). vrijwaring van activa tegen ongeoorloofd gebruik en/of ongeoorloofde transacties Algemene raamwerken: COSO (USA) COCO (CANADA) Het Cadbury rapport (UK)... Specifiek IT-raamwerk: CobiT Interne controle volgens provinciedecreet (VL) Interne controle is een geheel van maatregelen en procedures om een redelijke zekerheid te verschaffen over: het bereiken van de beoogde doelstellingen, het naleven van de regelgeving de beschikbaarheid van betrouwbare financiële en beheersinformatie het efficiënt en economisch gebruik van middelen het beschermen van de activa het voorkomen van fraude
Basisprincipes van interne controle 1. Interne controle is de zaak van iedereen in de organisatie (niet enkel van de griffier) 2. Interne controle is een continu proces (dwz. veranderend) -> Risico s veranderen, controles dus ook 3. IC geeft redelijke maar geen absolute zekerheid 4. Controles kosten geld, dus moeten afgewogen worden tov. de risico s... Compenserende controles zijn mogelijk 5. Interne controlemaatregelen bestaan enkel om risico s af te dekken en zijn geen doel op zich Slide 9
Basisprincipes interne controle 1. Interne controle is de zaak van iedereen in de organisatie het management is ultiem verantwoordelijk voor de goede werking van het intern controlesysteem maar elke medewerker is mede verantwoordelijk voor de optimale werking ervan op welk niveau van de organisatie hij of zij zich ook bevindt 2. Interne controle is een continu proces IC is geen gebeurtenis of een éénmalige activiteit, maar een geheel van acties en activiteiten die ingebed zijn in de dagelijkse werking van de instelling => dit veronderstelt een attitude van verantwoordelijkheidszin, risicoalertheid en pro-actief handelen «Nieuwe» visie COSO Kubus «Traditionele» visie Slide 10
Basisprincipes interne controle 3. Redelijke zekerheid Beperkingen van elk intern controle systeem Beoordelingsfouten Onzorgvuldigheid Samenspanning Overreding/Ingrijpen door het management Wijzigende omgeving of organisatie Kosten/Baten Slide 11
Wat is jullie rol bij het uitrollen van een IC systeem De interne controlefacilitatoren hebben een ondersteunende rol en faciliteren (dwz. ondersteunen, sensibiliseren en fungeren als klankbord voor iedereen binnen de organisatie die werk moet maken van Interne controle (re)design binnen zijn/haar processen). Zij worden opgeleid en gecoacht in hun rol door PwC. Hun belangrijkste taken zijn: Bestaande informatie (huishoudelijk reglement, procedures, deontologische code, procesbeschrijvingen enz ) opzoeken en beschikbaar stellen Binnen de organisatie de nodige praktische afspraken maken vb. voor de plaatsbezoeken, opleidingen en workshops (overleg met leidinggevenden, uitsturen uitnodigingen, reserveren zalen,...) Het stuurgroeplid ondersteunen door de deliverables kritisch door te nemen, het project actief op te volgen Orchestreren van de control self assessment van de controleomgeving (mee bepalen van de representatieve steekproef van medewerkers, uitsturen van de vragenlijsten, deelnemen aan de workshop,...) Opvolgen van de interne communicatie ivm het project binnen het bestuur Deelname aan de riskmappingworkshops (1 generieke workshop en een specifieke voor zijn/haar bestuur) Actief meewerken aan de uitwerking van deliverables (vb. kritisch nalezen van het handboek, aanbrengen van beste praktijken uit het bestuur,...) Samen met de trekkers een eigen opleidingsstrategie ontwerpen voor het bestuur die als input kan dienen voor het actieplan per provincie
De componenten van interne controle 5 componenten Monitoring Informatie en communicatie Controleactiviteiten Risico inschatting Controleomgeving Slide 13
De componenten van interne controle Controleomgeving «De controleomgeving bepaalt de cultuur binnen de organisatie en beïnvloedt de bewustheid van het personeel voor beheersing» Integriteit en zakelijke ethiek Deskundigheid van de medewerkers Tone at the top: voorbeeldfunctie Filosofie van het management Stijl van leidinggeven Sturing Organisatiestructuur Verantwoordelijkheden Delegatie HR management Slide 14
De componenten van interne controle Controleomgeving binnen het project 1. Samen met interne controlefacilitatoren de scope bepalen (subculturen - populatie) 2. Self assessment begeleiden 3. Resultaten rapporteren 4. Workshop met leidinggevenden voor de definitie van actiepunten 5. Opnemen actiepunten in het actieplan per provincie Slide 15
Taken ICF: Workshop Controleomgeving self assessment organisatie&voorbereiding bespreking vragenlijsten: maandag 15 oktober namiddag Opvolgen antwoorden controleomgeving self assessment (ev. rappels sturen): 7 en 8 november Doornemen analyserapport controleomgeving self assessment van de provincie tussen 21 november en 27 november Workshop actiepunten controleomgeving met leidinggevenden naar aanleiding van het analyserapport controleomgeving. Bespreking actiepunten controleomgeving per provincie Slide 16
De componenten van interne controle Risico-inschatting «Risico s permanent in kaart brengen (risico-identificatie) en de mogelijke impact ervan op de doelstellingen bepalen (risico-inschatting)» strategische risico s politieke risico s natuurlijke risico s operationele risico s financiële risico s Identificeer wijzigende factoren die nieuwe risico s teweeg brengen Slide 17
Wat zijn risico s? Risico s zijn externe en interne factoren die het bereiken van de doelstellingen van een organisatie kunnen bedreigen bedreiging reputatie misbruik non conformiteit veranderingen
Toprisico s: analyse van recente organisatiefraudes diefstal van informatie fraude met jaarrekeningen belangenvermenging en corruptie parallelle circuits diefstal en heling van goederen onkostenvervalsing witwassen BTW-carrousels Slide 19
risk based interne controle De risicomap Risico = Probabiliteit x Impact Typische categorisatie: Laag - Middel - Hoog of andere meer kwantitatieve of kwalitatieve modellen High Impact Medium Low Low Medium High Hoe? via een adequaat en effectief systeem van interne controle Probability
risk based interne controle De volledige risk management cyclus Doelstellingen Strategische en operationele planning Risico Identificatie Risico Evaluatie Bruto Risico Risk Management Raamwerk Vermijden Overdragen Beheersmaatregelen Verminderen Aanvaarden Netto Risico Output van de Risk Management Cyclus Escalatie / Beslissing Communicatie & Rapportering Slide 21
De componenten van interne controle Risico-inschatting binnen het project 1. Overzicht van soorten processen (controletechnisch) voorbereiden 2. Gesprekken met griffiers: doelstellingen/strategische risico s 3. Plaatsbezoeken en voorbereidende gesprekken 4. Horizontale workshop met stuurgroepleden en interne Controlefacilitatoren 5. Workshop per provincie op basis van generiek risicoprofiel 6. Risk map per provincie Slide 22
Taken ICF: Facultatief: bijwonen gesprek PwC/griffier tussen 17 oktober en 26 oktober Facultatief: bijwonen plaatsbezoeken risico-analyse tussen 3 oktober en 5 november Bijwonen generieke riskworkshop op woensdag 7 november namiddag Bijwonen workshop riskmapping met leidinggevenden in de provincie in de week van 12 tot 19 november Doornemen risico-analyses per provincie tussen 26 november en 30 november Slide 23
De componenten van interne controle Controleactiviteiten «Controle activiteiten of controlemaatregelen zijn systematische activiteiten of procedures (manueel of geautomatiseerd) georganiseerd om risico s te beheersen» Management controles (PBP, begroting, benchmarking, meerjarenplanning,..) Fysische controles (brandveiligheid, overstroming, toegangscontroles, ) Administratieve controles (gericht op administratieve en operationele processen) Functiescheiding IT controles (gericht op geautomatiseerde processen, ) Elke organisatie heeft eigen mix nodig afhankelijk van de risico s die zich stellen Slide 24
De componenten van interne controle Controleactiviteiten binnen het project 1. Uitwerken van een praktisch handboek dat door alle diensten kan worden gebruikt 2. Opleiding per provincie Taken ICF: (Re)design controlemaatregelen op processen bekijken van de processen in januari 2008 Opleiding controlemaatregelen Slide 25
De componenten van interne controle Informatie & communicatie «Informatiedoorstroming doorheen heel de organisatie is nodig om de om de gehele organisatie te beheersen en het bereiken van de doelstellingen te monitoren» Zowel intern als extern informatie moet doorheen de organisatie gecommuniceerd worden zodat ze op de juiste plaats gebruikt kan worden Management informatie moet : Relevant, Beschikbaar, Betrouwbaar, en Toegankelijk zijn. Slide 26
De componenten van interne controle Monitoring «Monitoring is het continue proces van overzicht van de consequente en juiste werking van interne controlemaatregelen»!!! Audit is een onderdeel van een systeem van interne controle Permanente bewaking van het systeem van interne controle door het management zelf : supervisie, opvolgen van de rapportering en het nemen van gepaste acties ter bijsturing, klachten, etc Rapporteren en opvolging van aandachtspunten Punctuele bewakingsactiviteiten door een onafhankelijke entiteit (bijv. interne of externe audit) : ad hoc evaluaties of audits Slide 27
De componenten van interne controle Informatie / Communicatie & Monitoring binnen het project 1. Self assessment 2. Actiepunten => Het project mondt uit in een actieplan voor de verdere versterking van interne controle Taken ICF: Voorbereiding van de self assessment informatie en communicatie (werkvergadering met ICF) Launch self assessment vragenlijst voor alle provincies: 23 januari 2008 (invullen voor 11 februari 2008) Bespreking actiepunten informatie en communicatie met ICF Slide 28
Agenda 1. Inleiding: wat is interne controle juist? 2. Statements of interne controle: wat houdt dit in? 3. Bronnen/autoriteiten op het vlak van interne controle 4. Interne controle implementeren: ORCA 5. Cases / Voorbeelden
Interne controle statements Ook in andere sectoren en landen wordt er steeds meer aandacht besteed aan het afleggen van verantwoording over het goed beheer, interne controle en beheersing van de risico s. In Nederland werd recent een referentiekader mededeling over de bedrijfsvoering ingevoerd waarbij de bevoegde minister rapporteert over het goed beheer binnen zijn administratie. Slide 30
Interne Controle statements In het referentiekader Mededeling over de bedrijfsvoering is de volgende standaardtekst voor de mededeling over de bedrijfsvoering opgenomen. In het begrotingsjaar 20xx is op een gestructureerde wijze aandacht besteed aan de bedrijfsvoering van het ministerie van Op basis van een risicoanalyse is een systematische afweging gemaakt inzake de in te zetten instrumenten van sturing en beheersing. Dit omvat mede het vaststellen van het van toepassing zijnde normenkader en de uitgangspunten voor opname van aandachtspunten in deze mededeling. Een en ander heeft in het begrotingsjaar 20xx geresulteerd in beheerste bedrijfsprocessen binnen het ministerie van Daarbij is een aantal punten naar voren gekomen ten aanzien waarvan de volgende verbeteracties zijn (worden) gestart. In de mededeling is daarnaast ruimte gelaten voor het vermelden van departementsspecifieke normen en bijzondere risico s in de bedrijfsprocessen. Verdere info: zie www.rekenkamer.nl/9282000/d/p287referentiekadervbtb.pdf Slide 31
Agenda 1. Inleiding: wat is interne controle juist? 2. Statements of interne controle: wat houdt dit in? 3. Bronnen/autoriteiten op het vlak van interne controle 4. Interne controle implementeren: ORCA 5. Cases / Voorbeelden
Autoriteiten op het vlak van interne controle (naast COSO) August 14, 2007 The IIA and INTOSAI Sign Agreement The Institute of Internal Auditors and The International Organization of Supreme Audit Institutions Sign Agreement Global organizations enter working alliance ALTAMONTE SPRINGS, Fla. USA - Officials from The Institute of Internal Auditors (IIA) have signed a Memorandum of Understanding (MOU) with The Professional Standards Committee (PSC) of the International Organization of Supreme Audit Institutions (INTOSAI). The MOU outlines plans for cooperation in a variety of areas including mutual support on strategic directives and sharing knowledge when developing professional practices frameworks. "We are very pleased with this collaborative arrangement, for both The IIA and the internal audit profession. In particular, The IIA will draw on the wealth of experience that INTOSAI has gathered in the field of government auditing and will apply this experience in our work," said IIA President Dave Richards IIA: www.theiia.org (Internationale beroepsvereniging van interne auditors) Intosai: www.intosai.org (Internationale vereniging van rekenkamers)
Autoriteiten op het vlak van interne controle (naast COSO) Goede nederlandstalige bronnen referentiekaders: NIVRA, handreiking interne beheersing (NL) Interne audit van de Vlaamse Gemeenschap, handreiking IBR, richtlijnen en boek, een praktische kijk op administratieve organisatie en interne controle, Standaard Uitgeverij, ISBN 90 341 9696 8 Slide 34
Agenda 1. Inleiding: wat is interne controle juist? 2. Statements of interne controle: wat houdt dit in? 3. Bronnen/autoriteiten op het vlak van interne controle 4. Interne controle implementeren: ORCA Het starten met interne controle Controlemaatregelen in administratieve en operationele processen Functiescheiding IT Controles Conclusie ORCA - analyse 5. Cases / Voorbeelden
Het starten met interne controle Stappenplan uit te voeren op alle niveau s van de organisatie Per niveau/proces: Missie strategisch Aligneren N O - Objectieven? / Controleobjectieven? ORC ORC Aligneren Aligneren Aligneren R - Risico s? C - Controlemaatregelen? A - Aligneren operationeel N-2. N-1 ORC ORC Processen. ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC Slide 36
Controlemaatregelen in administratieve en operationele processen Controledoelstellingen Authorisatie: diegene die een transactie uitvoert is daartoe gemachtigd Volledigheid: alle transacties/verwerkingen zijn geregistreerd Tijdigheid: de administratieve transacties zijn tijdig Juistheid: de transacties zijn correct geregistreerd Echtheid: er zijn geen fictieve of dubbele transacties Eigendomsrecht: de activa in de jaarrekening behoren de instelling toe Cut off: de transactie is geregistreerd in de juiste periode Waardering: transacties zijn voor juist bedrag, volgens waarderingsregels geregistreerd Adequaatheid van het systeem van interne controle: per controledoelstelling moeten de gepaste controlemaatregelen in de processen ingebed zijn of omgekeerd: de controlemaatregel(en) moet(en) sluitend zijn in functie van de controledoelstelling Slide 37
Controlemaatregelen in administratieve en operationele processen Bijvoorbeeld: innen van heffingen Impact Opbrengsten zijn minder dan geraamd Controledoelstellingen ivm dit risico? Probability Slide 38
Controlemaatregelen in administratieve en operationele processen Bijvoorbeeld: Controledoelstellingen ivm dit risico? Oa. volledigheid, tijdigheid en juistheid van de ontvangsten Controlemaatregelen? Slide 39
Functiescheiding Aandachtspunten ivm functiescheiding functiescheiding moet permanent zijn (ook bij vervangingen) functiescheiding moet ondersteund worden door een adequaat profielbeheer en aangepaste toegangscontrole tot/in de ITsystemen Slide 40
IT controles TOEPASSING : IT : grijze zone:. Dossierbeheer. Aankopen. Personeelsbeheer. Boekhouding. Rapportering. LOGISCHE BEVEILIGING. FYSIEKE BEVEILIGING. COMPUTER UITBATING. ONTWIKKELING. WIJZIGINGEN -computer controles en toepassingsspecifieke controles overlappen elkaar trend: -meer computer controles en minder toepassingsspecifieke controles -meer geautomatiseerde toepassingsspecifieke controles en minder manuele controles Slide 41
Interne controle in IT applicatie Basis Gegevens Transactie Input Edit Verwerk Output Informatie Transactie Gegevens IT Slide 42
Conclusie: ORCA analyse van een proces map de processtappen (niet noodzakelijk flow chart van het volledige proces), bijvoorbeeld: belastingen: heffen, innen, handhaven map de waardekringloop definieer de (controle) objectieven definieer de risico s evalueer welke beheersmaatregelen adequaat zijn evalueer of ze ook effectief worden toegepast ga na of de controlemaatregelen gealligneerd zijn met de doelstellingen van het proces (kostprijs van de controle verantwoord? ongewenste neveneffecten voor de doelgroep?) Slide 43
Conclusie - stappenplan uit te voeren op alle niveau s van de organisatie Per niveau/proces: bijvoorbeeld Missie strategisch Transparantie, eerlijk omgaan met partners, efficiënt en zuinig werken N ORC ORC Aligneren Aligneren Aligneren Aligneren N-1 Aankopen bij de meest voordelige leverancier Tijdig, juiste hoeveelheden beschikbaar hebben operationeel N-2. ORC ORC Processen. ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC ORC Slide 44
ORCA analyse Voorbeeld: Aankoopproces Behoefte detecteren Markt raadplegen Bestelling Levering Voorraadbeheer Boekhouding Slide 45
ORCA analyse Voorbeeld (niet exhaustief) van een O-R-C analyse voor een aankoopproces Slide 46
Agenda 1. Inleiding: wat is interne controle juist? 2. Statements of interne controle: wat houdt dit in? 3. Bronnen/autoriteiten op het vlak van interne controle 4. Interne controle implementeren: ORCA 5. Cases / Voorbeelden
ORCA analyse Voorbeeld: aanwervingsprocedure personeel Slide 48
ORCA analyse Voorbeeld selectieprocedure personeel Controledoelstellingen? Risico s? Controlemaatregelen? Slide 49
Data die nog moeten vastgelegd worden. 1. overlegvergadering met ICF en projectleiding P2 in januari (niet W VL) 2. opleiding controlemaatregelen voor leidinggevenden na 9/4/2007 3. werkvergadering functionele vereisten voor de elektronische opvolging van het ICS met ICF (week 10/3) 4. actiepunten controlemaatregelen overleg met ICF (week 19/3) 5. werkvergadering actieplan in functie van de agendering van het geïntegreerd actieplan op deputatie (voor eind mei)