Leidraad Interne Controle / Organisatiebeheersing
Werkgroep Verfijning leidraad interne controle Luc Lathouwers, secretaris-generaal departement Bestuurszaken Hedwig Van der Borght, secretaris-generaal departement Financiën en Begroting Eddy Guilliams, administrateur-generaal Interne Audit van de Vlaamse Administratie Mark Vandersmissen, Interne Audit van de Vlaamse Administratie Carolina Stevens, departement Bestuurszaken Willy Verschuere, departement Financiën en Begroting Jan Debucquoy, Rekenhof Marc De Wolf, Rekenhof Lieven Tydgat, Rekenhof Tina Ponjaert, beleidsdomein Onderwijs en Vorming Rita Berckmans, VDAB Leo Van Loo, Kind en Gezin Kurt Debruyne, Inspectie van Financiën Bert Maertens, kabinet Minister Bourgeois Martin Ruebens, kabinet Minister-President Peeters Karel Hauman, kabinet Viceminister-President Van Mechelen Bijgewerkt tot 1 december 2007
Woord Vooraf Het hervormingsproces Beter Bestuurlijk Beleid besteedt veel aandacht aan interne controle of. Meer operationele autonomie houdt ook in dat elke organisatie verantwoordt welk beleid is gevoerd en welke doelstellingen zijn behaald. Een goede zorgt ervoor dat een organisatie is afgestemd op het behalen van haar doelstellingen en biedt een redelijke zekerheid dat die doelstellingen ook werkelijk worden bereikt. Organisatiebeheersing of interne controle betekent geen extra werk bovenop de normale werking. Binnen iedere organisatie bestaan al heel wat maatregelen al is zij zich daar niet altijd even bewust van. De voorliggende leidraad biedt een referentiekader om het bestaand interne controlesysteem te identificeren, in kaart te brengen én verder te ontwikkelen. Daarnaast wordt ook een evaluatierooster ter beschikking gesteld als hulpmiddel bij de uitvoering van een zelfevaluatie. De verantwoordelijkheid om een degelijke uit te bouwen ligt bij de lijnmanager. Hij of zij kan dit echter niet alleen. Interne controle is, net als kwaliteit, een zaak waar iedereen in de organisatie elke dag opnieuw mee bezig hoort te zijn. Een organisatie kan de leidraad gebruiken om alle neuzen in dezelfde richting te krijgen en alle medewerkers nog bewuster te maken van het belang van interne controle en hen te betrekken bij een stelselmatige verbetering van de organisatie(beheersing). Veel succes met het gebruik van deze leidraad. Kris Peeters Dirk Van Mechelen Geert Bourgeois Minister-President van Viceminister-President van Vlaams Minister van de Vlaamse Regering de Vlaamse Regering Bestuurszaken, Vlaams Minister van Vlaams Minister van Financiën Buitenlands Beleid, Institutionele Hervormingen en Begroting en Media en Toerisme Havens, Landbouw, Zeevisserij Ruimtelijke Ordening en Plattelandsbeleid
Inhoudsopgave I. Inleiding 7 I ALGEMENE SITUERING 9 2 DOEL EN FILOSOFIE VAN DE LEIDRAAD 10 3 RAAMWERKEN 11 3.1 COSO, ERM en INTOSAI 11 3.2 Deugdelijk overheidsbestuur 11 3.3 Relatie met het CAF-model 12 3.4 Beleid en doelstellingen 13 4 STRUCTUUR LEIDRAAD 14 5 DE LEIDRAAD ALS ZELFEVALUATIE-INSTRUMENT 16 II. Thema s van 17 1 DOELSTELLINGEN, PROCES- EN RISICOMANAGEMENT 19 1.1 Beschrijving 19 1.2 Doelstellingen en beheersmaatregelen m.b.t. 22 doelstellingen, proces- en risicomanagement 1.3 Relevante documenten en websites 27 2 BELANGHEBBENDENMANAGEMENT 29 2.1 Beschrijving 29 2.2 Doelstellingen en beheersmaatregelen m.b.t. 30 belanghebbendenmanagement 2.3 Relevante documenten 31 3 MONITORING 33 3.1 Beschrijving 33 3.2 Doelstellingen en beheersmaatregelen m.b.t. monitoring 34 3.3 Relevante documenten en websites 36
4 ORGANISATIESTRUCTUUR 39 4.1 Beschrijving 39 4.2 Doelstellingen en beheersmaatregelen m.b.t. 40 organisatiestructuur en projectmanagement 4.3 Relevante documenten 45 5 HUMAN RESOURCES MANAGEMENT (HRM) 47 5.1 Beschrijving 47 5.2 Doelstellingen en beheersmaatregelen m.b.t. HRM 47 5.3 Relevante documenten en websites 54 6 ORGANISATIECULTUUR 57 6.1 Beschrijving 57 6.2 Doelstellingen en beheersmaatregelen m.b.t. organisatiecultuur 58 6.3 Relevante documenten en sites 61 7 INFORMATIE EN COMMUNICATIE 63 7.1 Beschrijving 63 7.2 Doelstellingen en beheersmaatregelen m.b.t. informatie 64 en communicatie 7.3 Relevante documenten en sites 67 8 FINANCIEEL MANAGEMENT 69 8.1 Beschrijving 69 8.2 Doelstellingen en beheersmaatregelen m.b.t. financieel 70 management 8.3 Relevante documenten en websites 73 9 FACILITYMANAGEMENT 75 9.1 Beschrijving 75 9.2 Doelstellingen enbeheersmaatregelen m.b.t. facilitymanagement 76 9.3 Relevante documenten en websites 79 10 INFORMATIE EN COMMUNICATIETECHNOLOGIE (ICT) 81 10.1 Beschrijving 81 10.2 Doelstellingen en beheersmaatregelen m.b.t. ICT 82 10.3 Relevante documenten 87 11 VERANDERINGSMANAGEMENT 89 11.1 Beschrijving 89 11.2 Doelstellingen en beheersmaatregelen m.b.t. veranderingsmanagement 90 11.3 Relevante documenten en websites 94 12 VERKLARENDE WOORDENLIJST 95
I. Inleiding
ALGEMENE SITUERING I. Algemene situering Het hervormingsproces Beter Bestuurlijk Beleid kent het lijnmanagement meer operationele autonomie toe en koppelt daaraan een grotere responsabilisering. Het management is verantwoordelijk om, binnen de beleids- en beheerscyclus, de activiteiten op het vlak van sturen, beheersen, verantwoorden en toezicht houden met de nodige openheid, integriteit en verantwoordingsplicht uit te voeren. Dat geheel van beheersmaatregelen wordt ook interne controle of genoemd. Het kan worden omschreven als het proces dat door het management én het personeel wordt ondernomen om redelijke zekerheid te krijgen dat de doelstellingen van de organisatie worden gerealiseerd. Interne controle of is niet nieuw. Iedereen is er dagelijks mee bezig, ook al is dat niet altijd bewust. Met behulp van de leidraad kan het bestaande interne controlesysteem worden geëxpliciteerd en verfijnd. Interne controle / is immers, net als het kwaliteitsbewustzijn, een zaak van iedereen. Artikel 33 van het kaderdecreet bestuurlijk beleid (hierna kaderdecreet genoemd) bepaalt dat de departementen, de intern verzelfstandigde agentschappen en de extern verzelfstandigde agentschappen moeten instaan voor de interne controle van hun bedrijfsprocessen en activiteiten. Interne controle is volgens het decreet in het bijzonder gericht op: u het effectief en efficiënt beheer van risico s u de betrouwbaarheid van de financiële en beheersrapportering u de naleving van de regelgeving en de procedures u de effectieve en efficiënte werking van de diensten u de bescherming van activa. Op 1 september 2006 keurde de Vlaamse Regering de nota De generieke elementen van de beheersovereenkomsten in de vernieuwde Vlaamse overheid goed. Die nota bepaalt dat iedere beheersovereenkomst onderstaande formulering inzake interne controle moet bevatten. Tevens werd beslist dat ook de departementen deze generieke principes via de individuele planning of managementovereenkomst moeten opnemen. Uiterlijk één jaar na aanvang van de beheersovereenkomst beschikt het agentschap over een uitgeschreven en gedocumenteerd systeem van interne controle, opvraagbaar door de functioneel bevoegde minister en de ministers bevoegd voor Financiën & Begroting en Bestuurszaken, dat in minstens de elementen zoals bepaald in artikel 33 van het kaderdecreet Bestuurlijk Beleid behelst. Vanaf het tweede jaar na aanvang van de beheersovereenkomst wordt het proces van interne controle minstens één maal per jaar door het management geëvalueerd op zijn actualiteit, eventueel bijgewerkt en opnieuw gevalideerd. Op 20 juli 2007 (VR/2007/20.07/MED.12) werd deze generieke bepaling gewijzigd. Een entiteit die eind 2008 beschikt over een stappenplan dat aangeeft hoe zij een uitgewerkt systeem van interne controle / (minstens maturiteitsniveau 3) zal behalen, krijgt ruimte tot eind 2010 in plaats van tot eind 2008. De voorliggende leidraad is opgesteld door de werkgroep verfijning leidraad interne controle op basis van de leidraad van de Interne Audit van de Vlaamse Administratie. De departementen Bestuurszaken, Financiën en Begroting, Interne Audit van de Vlaamse Administratie, het Rekenhof, Inspectie van Financiën en vertegenwoordigers van de verzelfstandigde agentschappen en departementen werkten hieraan mee. De betrokkenheid van deze controle-instanties geeft aan dat zij deze leidraad als een volwaardig instrument voor beschouwen.
2. Doel en filosofie van de leidraad De leidraad interne controle / wil het begrip interne controle op een bevattelijke wijze schetsen. De leidraad geeft aan de hand van een aantal doelstellingen aan welke elementen aanwezig moeten zijn om te komen tot een redelijke beheersing van de activiteiten of processen. De leidraad steunt daarvoor op het concept van de, dat synoniem is voor interne controle op organisatieniveau. Organisatiebeheersing omvat de wijze waarop een organisatie (departement, EVA, IVA met en zonder rechtspersoonlijkheid) haar doelstellingen bepaalt, hoe zij zich organiseert om die doelstellingen op een efficiënte, effectieve, ethische en kwaliteitsvolle manier tot stand te brengen, op te volgen en tijdig bij te sturen waar nodig en hoe zij verantwoording aflegt aan haar belanghebbenden. In een top-down benadering van interne controle / is het raadzaam dat eerst de algemene voorwaarden omtrent aansturing en beheersing van een organisatie vervuld zijn alvorens te focussen op de proces- en taakgebonden controles. Om de mate van te beoordelen, wordt de volledige management control cyclus doorlopen. Die cyclus wordt in de Angelsaksische literatuur kort aangeduid met plan, do, check, adjust (of act) (PDCA-cyclus). u Plan: het plannen focust op de organisatiedoelstellingen zelf en de wijze waarop deze doelstellingen tot stand zijn gekomen. u Do: na vastlegging van de organisatiedoelstellingen wordt de organisatie zo uitgebouwd dat ze deze doelstellingen kan realiseren op een efficiënte, effectieve, ethische en kwaliteitsvolle manier. u Check: om erover te waken dat de ontplooide activiteiten maximaal gericht zijn op de realisatie van de doelstellingen is een regelmatige opvolging noodzakelijk. u Adjust/act: op basis van de vergaarde opvolgingsinformatie zal waar nodig bijsturing plaats vinden. De leidraad interne controle / is bedoeld als referentiekader om een zelfevaluatie van de uit te voeren. Met behulp van de beheersmaatregelen of stellingen kan elke organisatie per deelthema nagaan in welke mate de eigen beheersmaatregelen al voldoende zijn of dat verdere uitwerking vereist is. Deze zelfevaluatie dient steeds met de nodige kennis van de organisatie uitgevoerd te worden. Het documenteren van de maatregelen inzake is geen doel op zich, maar een hulpmiddel voor de organisatie om zich ervan te verzekeren dat alle nodige beheersmaatregelen genomen zijn, om nieuwe mensen op te leiden, om op terug te vallen wanneer iets fout gaat, enzovoort. De inhoud van de leidraad is misschien vanzelfsprekend voor grote organisaties die al vertrouwd zijn met de begrippen interne controle en, maar kan kleine organisaties afschrikken. Die angst is onterecht. Een goede is afgestemd op de aard en grootte van de organisatie en is bij kleine organisaties eenvoudiger en beperkter dan bij grote, complexe organisaties. Deze zelfevaluatie vormt de basis voor een actieplan om het organisatie-/beheersinstrumentarium te verbeteren en het maturiteitsniveau van de stelselmatig te verhogen. 10
3. Raamwerken De leidraad verenigt de thema s van het COSO- 1 / ERM-model 2 (zie 3.1 COSO, ERM en INTOSAI) en de principes van deugdelijk overheidsbestuur (zie 3.2 Deugdelijk Overheidsbestuur) om een zo ruim mogelijke invulling te geven aan het begrip interne controle /. Deze raamwerken leveren de theoretische onderbouw voor een efficiënte, effectieve, kwaliteitsvolle en ethische organisatie(beheersing). De praktische uitwerking van de thema s voor maakt zoveel mogelijk gebruik van normen die algemeen aanvaard zijn binnen de Vlaamse administratie. Er dient opgemerkt te worden dat de raamwerken zoals COSO en INTOSAI 3 interne controle niet alleen organisatiebreed benaderen, maar ook vragen dat de interne controle op lagere niveaus van de organisatie (zoals afdelingen, budgetcentra, ) op orde is. In deze leidraad worden voor die lagere niveaus geen te behalen minima of prioriteiten vooropgesteld. 3.1 COSO, ERM en INTOSAI Het COSO-model is een internationaal aanvaard referentiekader voor interne controle. Volgens het COSOraamwerk bestaat interne controle uit vijf componenten die elkaar wederzijds beïnvloeden en die er samen voor zorgen dat het management de organisatie op een degelijke manier beheerst. Die componenten zijn: de controleomgeving, de risicoanalyse, de controleactiviteiten, informatie en communicatie, en tenslotte monitoring. Het ERM-raamwerk (ook COSO II genoemd) is een model voor geïntegreerd risicomanagement. Het beschrijft het proces van identificatie, evaluatie, beheersing en communicatie van risico s vanuit een geïntegreerd en organisatiebreed perspectief. Het raamwerk bevat acht componenten: interne omgeving, bepalen van doelstellingen, identificatie van risico s, inschatten van risico s, beheersen van risico s, implementeren van interne controlemaatregelen, informatie en communicatie en monitoring. Het ERM-raamwerk beschouwt interne controle, zoals uitgewerkt in het COSO-raamwerk, als één van de manieren om risico s te beheersen. INTOSAI heeft het COSO-raamwerk aangepast voor de publieke sector. Het legt meer nadruk op ethisch gedrag, voorkomen van fraude en corruptie en vrijwaren van overheidsmiddelen. 3.2 Deugdelijk overheidsbestuur Volgens de toelichting bij het kaderdecreet houdt deugdelijk overheidsbestuur (government governance) in dat alle activiteiten van de beleids- en beheerscyclus (sturen, beheersen, verantwoorden en toezicht houden) met de nodige openheid, integriteit en verantwoordingsplicht worden uitgevoerd. De overheidssector staat vanuit de maatschappij onder druk om met minder middelen een betere dienstverlening aan te bieden. De burger wil waar voor zijn belastinggeld. Daarbij moet de overheid ook het algemeen belang en de individuele rechten van de burgers beschermen. Haar dienstverlening moet dan ook op een ethisch verantwoorde wijze gebeuren, met respect voor de 3 R s (rechtmatigheid, rechtszekerheid en rechtsgelijkheid). Daarom legt deze leidraad bij de doorlichting van de de klemtoon op de mate waarin de organisatie effectief, efficiënt, ethisch en kwaliteitsvol werkt. Dat veronderstelt een duidelijke verantwoordelijkheidsafbakening tussen de betrokken actoren (parlement, regering, administratie en burger) en het verschaffen van transparante verantwoordingsinformatie aan de overheid en de burger over het bereiken van de doelstellingen. Een recente trend is de groeiende aandacht voor duurzame ontwikkeling 4 (sustainability). Het beheersen van de organisatie, het werken aan kwaliteit en het behouden van een externe focus (omgevingsanalyse en belanghebbendenmanagement) gaan immers hand in hand. 1 Internal Control Integrated Framework van the Commitee of Sponsoring Organizations of the Treadway Commission (1992). 2 ERM: Enterprise Risk Management Framework. 3 INTOSAI: International Organisation of Supreme Audit Institutions: http://www.intosai.org/en/portal/documents/intosai/audit_related/documentsgoal1/. 4 Voor het in kaart brengen van de duurzame ontwikkeling binnen de organisatie en het beleidsdomein is er de DOMA handleiding (met scoreblad). Duurzame ontwikkeling werd bovendien decretaal verankerd op 9 november 2007: http://www2.vlaanderen.be/ned/sites/snelinfo/snelinfo2007/0755.htm. 11
3.3 Relatie met het CAF-model De leidraad interne controle / vertoont een aantal gelijkenissen en parallellen met het CAF-model 5. Toch zijn er een aantal essentiële verschillen en belangrijke nuances. u Zoals aangegeven vindt de leidraad zijn oorsprong in COSO en ERM, raamwerken voor interne controle. Het CAF-model is afgeleid van het EFQM-model 6, een managementmodel voor kwaliteit in brede zin (zie www.kwaliteitsnetwerk.be). u De leidraad focust op, terwijl het CAF-model zich richt op organisatieverbetering. Vanzelfsprekend leidt ook de leidraad tot organisatieverbetering, maar door de verschillende invalshoek en finaliteit, kan het resultaat van een zelfevaluatie verschillend zijn naargelang het gehanteerde model (bv. een maatregel ter verbetering van de klantgerichtheid kan in conflict komen met een principe van interne controle zoals functiescheiding ). u De leidraad resulteert in een actieplan met betrekking tot de aanwezigheid en aangepastheid van instrumenten om de organisatie te beheersen, terwijl het CAF-model zich richt op acties om de resultaten te verbeteren ten aanzien van de burger/klant, de medewerkers, de omgeving en de kernactiviteiten. u De leidraad gaat vooral in op de organisatorische randvoorwaarden ( factoren in CAF-jargon), maar minder op de resultaatsgebieden. Die randvoorwaarden worden gedetailleerder uitgewerkt dan in het CAF-model. Naast de aangehaalde verschillen zijn er ook opvallende gelijkenissen tussen beide modellen. u Zowel de leidraad als het CAF-model maken een foto van de organisatie. Op basis van die momentopname worden zowel de sterke punten als de verbeterpunten van de organisatie in kaart gebracht en wordt een actieplan met verbeteracties opgesteld. u Beide modellen gebruiken de PDCA-cyclus (plan, do, check, act) om de maturiteit in te schatten (bij de leidraad) of scores toe te kennen (bij het CAF). u Door de zelfevaluatie periodiek te herhalen, is het mogelijk de eigen ontwikkeling van de organisatie bij beide modellen op te volgen. Informatie verzameld bij een CAF-zelfevaluatie, is bruikbaar bij een zelfevaluatie op basis van de leidraad (zie verder), én omgekeerd. Om dubbel werk te vermijden, zijn er vertaalmatrices uitgewerkt 7 om van het ene model naar het andere over te stappen. Vanzelfsprekend is de afdekking niet 100%. Men moet bij deze oefening blijvend rekening houden met het verschil in invalshoek en finaliteit van beide modellen. Meestal zullen een aantal nuanceringen en aanvullingen noodzakelijk zijn om het beeld te vervolledigen. 12 5 Het CAF-model (Common Assessment Framework) is een generiek Europees gemeenschappelijk zelfevaluatiekader voor overheidsdiensten. 6 EFQM = European Foundation for Quality Management. 7 Deze documenten zijn beschikbaar op de website interne controle/: http://bz.vonet.be/internecontrole of www.vlaanderen.be/internecontrole.
3.4 Beleid en doelstellingen De doelstellingenhiërarchie binnen de Vlaamse administratie moet ertoe leiden dat het regeerakkoord en de beleids- of strategische doelstellingen van de ministers worden vertaald in strategische en operationele doelstellingen voor de organisaties van de Vlaamse administratie. Contractmanagement zorgt ervoor dat de strategische en operationele doelstellingen van elk departement, IVA en EVA aansluiten bij de beleidsdoelstellingen van de regering. De vertaling naar meetbare doelstellingen gebeurt door middel van beheersovereenkomsten, ondernemingsplannen, managementovereenkomsten, jaaractieplannen, enz. Regeerakkoord Regeerprogramma Strategisch plan minister X Legislatuur Beleidsnota Contractmanagement Departement IVA, EVA input voor Beheersovereenkomst Operationeel plan minister X Jaarlijks Beleidsbrief input voor Ondernemingsplannen Het management van ieder departement, IVA of EVA (N-niveau) communiceert de strategische en operationele doelstellingen binnen de organisatie. Het management schat de risico s in die aan de voorgenomen strategie zijn verbonden en werkt een geïntegreerd risicomanagementsysteem om die risico s te beheersen uit. De maatregelen waarin de organisatie voorziet om de (belangrijkste) risico s te beheersen, vormen de of interne controle. Een goede is een noodzakelijke voorwaarde om de vooropgestelde doelstellingen van de organisatie te realiseren. De geeft richting en inhoud aan de verschillende beheersings- en sturingsprocessen op niveau van de volledige organisatie, maar ook op onderliggende niveaus. Het is dus van primordiaal belang dat de een adequate en effectieve invulling krijgt. 13
4. Structuur leidraad Het begrip wordt benaderd vanuit 11 verschillende thema s, gebaseerd op het COSO/ ERM-model en de principes van deugdelijk overheidsbestuur: u Doelstellingen, proces- en risicomanagement (DPR) u Belanghebbendenmanagement (BHM) u Monitoring (MON) u Organisatiestructuur (ORG) u Human resources management (HRM) u Organisatiecultuur (CUL) u Informatie en communicatie (ICO) u Financieel management (FIM) u Facility management (FAM) u Informatie- en communicatietechnologie (ICT) u Veranderingsmanagement (VER) Een degelijke en coherente invulling van elk van deze thema s, afgestemd op de opdracht van de organisatie, leidt tot een goede die een effectief antwoord biedt aan de strategische risico s. Schematisch kan het model voor als volgt voorgesteld worden: EFFECTIVITEIT PLAN Belanghebbendenmanagement Doelstellingen, proces- en risicomanagement INTEGRITEIT ACT DO HRM FIM ORG CUL ICO FAM ICT Veranderingsmanagement KWALITEIT CHECK Monitoringsystemen EFFICIENTIE De elf thema s van staan niet los van elkaar. Elk thema heeft tal van raakpunten met de andere thema s. Tussen de thema s bestaat een voortdurende wisselwerking. Centraal staat het thema doelstellingen, proces- en risicomanagement dat de inhoud van de andere thema s aanstuurt. Elk thema levert een eigen bijdrage aan de realisatie van deze organisatiedoelstellingen. 14
Zo zorgen de thema s monitoring en financieel management ervoor dat de organisatie stelselmatig kan opvolgen in welke mate de vooropgestelde operationele en financiële doelstellingen worden bereikt. Het thema informatie- en communicatietechnologie voorziet in een geschikte ICT-omgeving om die informatiestromen te ondersteunen. Het personeel dat hiervoor instaat, komt aan bod in het thema Human Resources Management. En zo verder. Een degelijke en coherente invulling van elk van de thema s, afgestemd op de opdracht van de organisatie, leidt tot een goede, die een effectief antwoord biedt op de strategische risico s. Ieder thema speelt een rol met betrekking tot de vier globale doelstellingen inzake : effectiviteit, integriteit, kwaliteit en efficiëntie (EIKE). Bij effectiviteit ligt de focus op organisatorische effectiviteit, waarmee de mate wordt bedoeld waarin een organisatie haar verbintenissen inzake output nakomt. Men kan nagaan in welke mate de organisatie over instrumenten beschikt om haar doelstellingen te kunnen realiseren ( de juiste dingen doen ). De evaluatie van deze globale doelstelling kan gebeuren, hoofdzakelijk op basis van de bevindingen bij de thema s Doelstellingen, proces- en risicomanagement, Belanghebbendenmanagement en Monitoring. Het criterium integriteit richt zich op de mate waarin de organisatie over instrumenten beschikt die gericht zijn op de versterking van de integriteit van de organisatie in haar geheel en van het integer handelen van de individuele personeelsleden. Integriteit zit in meerdere of mindere mate verweven in bijna alle thema s van de leidraad. Kwaliteit slaat op de mate waarin de organisatie voldoet aan de verwachtingen van interne en externe belanghebbenden en streeft hierbij naar voortdurende verbetering. De nadruk ligt in de leidraad vooral op het niveau van de globale en op de kwaliteit van de kernprocessen. De inschatting van deze doelstelling kan men maken op basis van bevindingen dwars door alle thema s heen. Op het vlak van efficiëntie kan nagegaan worden in welke mate de organisatie over instrumenten beschikt die haar toelaten de verkregen middelen zo rationeel mogelijk in te zetten ( de dingen juist doen ). De evaluatie van efficiëntie kan gebeuren op basis van de bevindingen bij de ondersteunende thema s uit het model van, namelijk Organisatiestructuur, Human resources management, Organisatiecultuur, Informatie en communicatie, Financieel management, Facility management, Informatieen communicatietechnologie. De vier globale doelstellingen inzake (EIKE) worden verder niet afzonderlijk uitgewerkt, net omdat een evaluatie ervan afgeleid is van de bevindingen bij de verschillende thema s van het model. Een behoorlijke invulling van elk van de elf thema s, afgestemd op de opdracht van de organisatie, evenals de coherente onderlinge samenhang, moet er toe leiden dat het geheel de nodige omkadering creëert voor een goede en een effectief antwoord biedt aan de globale stuur- en beheersingsrisico s. De inhoud van de afzonderlijke thema s komt in de volgende hoofdstukken aan bod. Ieder thema bestaat uit een aantal subthema s, waarvoor telkens één (of meer) doelstelling(en) inzake worden uitgewerkt. Die doelstellingen zijn algemene principes waaraan een organisatie moet voldoen om een adequate en effectieve invulling van te verkrijgen. Deze doelstellingen worden geïllustreerd met beheersmaatregelen: het gaat om stellingen die aangeven hoe de doelstellingen in de praktijk kunnen worden ingevuld. Die opsomming is zeker niet volledig. Voor de vermelde beheersmaatregelen zijn nog tal van alternatieven mogelijk, die eveneens bijdragen tot een goede invulling van de doelstellingen. Niet alle beheersmaatregelen of stellingen zijn algemeen toepasbaar. De toepasbaarheid hangt af van het type van organisatie, haar opdracht of andere specifieke organisatiekenmerken. Elk hoofdstuk bevat een tabel, die als hulpmiddel gebruikt kan worden bij het bepalen van het eigen maturiteitsniveau inzake. Concreet houdt de (zelf)beoordeling in dat voor elk van de thema s en doelstellingen van een inschatting van 0 tot 5 wordt gegeven. De betekenis van de scores en de relatie met risicomanagement zijn weergegeven in het maturiteitsmodel (zie punt 5 De leidraad als zelfevaluatie-instrument). 15
5. De leidraad als zelfevaluatie-instrument De leidraad kan worden gehanteerd als instrument voor zelfevaluatie van de. Dit proces van zelfevaluatie kan flexibel verlopen, afhankelijk van de context van de organisatie (bv. grootte en complexiteit van de organisatie, beschikbaarheid van mensen en middelen). Er is een globaal stappenplan te vinden op de website interne controle/. Dit stappenplan geeft het mogelijke verloop van een proces van zelfevaluatie aan, maar is echter geen precies te volgen checklist. Een evaluatierooster wordt in een apart document ter beschikking gesteld. Organisaties kunnen zo aan de hand van de leidraad op een gedetailleerde wijze hun sterke punten in kaart brengen en aandachtspunten (zwakke punten, leemtes) op het vlak van aangeven. Bij het uitvoeren van de zelfevaluatie is de leidraad niet op te vatten als een checklist tot op het niveau van de randvoorwaarden/stellingen/voorbeelden. Deze zijn eerder concretiseringen van de controledoelstellingen en voorbeelden van beheersmaatregelen. De subthema s en doelstellingen inzake moeten wel systematisch behandeld worden. De concrete instructies voor het gebruik van het evaluatierooster en het verloop van de zelfevaluatie worden in het evaluatierooster zelf verder toegelicht. Op basis van de bevindingen kan per thema een inschatting van de maturiteit worden gedaan aan de hand van het onderstaande maturiteitsmodel. Dit model is gebaseerd op de principes van COBIT en CAF. Deze maturiteitsinschatting kan richtinggevend zijn voor het bepalen van prioriteiten voor verbeteracties en/ of het invoeren van bijkomende beheersmaatregelen 8. Daarnaast kan een organisatie haar evolutie meten op het vlak van. Bovendien kunnen zo goede praktijken geïdentificeerd worden. Een verdere toelichting over de wijze van inschatten ( Hoe scoren? ) wordt aangegeven in het evaluatierooster. Gradaties 0 1 2 3 4 5 Omschrijving Onbestaand Binnen de organisatie bestaan geen of zeer weinig beheersmaatregelen. Het controlebewustzijn is eerder laag en er worden weinig acties ondernomen om te komen tot een adequaat systeem van (interne controlesysteem). Ad-hoc basis Op ad-hoc basis zijn binnen de organisatie beheersmaatregelen uitgewerkt. Het bewustzijn van de nood aan adequate beheersmaatregelen (interne controlemaatregelen) groeit, maar er is nog geen gestructureerde of gestandaardiseerde aanpak aanwezig. Het systeem van (interne controlesysteem) draait meer rond personen dan rond systemen. Gestructureerde aanzet Een gestructureerde aanzet wordt gegeven tot de ontwikkeling van beheersmaatregelen. De beheersinstrumenten zijn bijgevolg in ontwikkeling, maar worden nog niet toegepast ( Plan ). Gedefinieerd (= niveau 2 +...) Beheersmaatregelen zijn aanwezig. Zij zijn gestandaardiseerd, gedocumenteerd, gecommuniceerd en worden toegepast ( Do ). Beheerst systeem (= niveau 3 +...) De beheersmaatregelen worden intern periodiek geëvalueerd en bijgestuurd ( Check & Act ). Er kan gesproken worden over een levend adequaat en doeltreffend systeem van. Geoptimaliseerd (= niveau 4 +...) De beheersmaatregelen worden voortdurend geoptimaliseerd via benchmarking en het behalen van kwaliteitscertificaten of externe evaluaties ( PDCA ). 8 Bepaalde randvoorwaarden/stellingen zijn door de Vlaamse regering als verplichting opgelegd. 16
II. Thema s van 17
EFFECTIVITEIT PLAN Belanghebbendenmanagement Doelstellingen, proces- en risicomanagement INTEGRITEIT ACT DO HRM FIM ORG CUL ICO FAM ICT Veranderingsmanagement KWALITEIT CHECK Monitoringsystemen EFFICIENTIE 18
Doelstellingen, proces- en risicomanagement 1. Doelstellingen, proces- en risicomanagement 1.1 Beschrijving 1.1.1 Algemeen Het thema Doelstellingen, proces- en risicomanagement omvat drie onderdelen: u het formuleren, communiceren, uitvoeren en bijsturen van te leveren resultaten en inspanningen, zowel op lange 9 termijn (strategische doelstellingen) als op korte 10 termijn (operationele doelstelllingen), door de organisatie (doelstellingenproces); u het hanteren van principes van procesmanagement en het voeren van een kwaliteitsbeleid; u het identificeren, evalueren en beheersen van de risico s die het bereiken van deze doelstellingen in het gedrang zouden kunnen brengen en van de opportuniteiten die zich aanbieden (risicomanagement). Dit thema bepaalt de richting en inhoud van de andere thema s, die immers zo moeten worden georganiseerd dat ze maximaal bijdragen tot het bereiken van de organisatiedoelstellingen en ervoor zorgen dat de organisatie over de nodige informatie beschikt om de doelstellingen op te volgen en bij te sturen. 1.1.2 Doelstellingenproces: missie, visie, strategische en operationele doelstellingen De bestaansreden en de kerntaken van elke organisatie (departement, IVA, EVA) moeten duidelijk neergeschreven zijn in een missieverklaring. Voor de verzelfstandigde agentschappen maakt de missie deel uit van het oprichtingsbesluit of -decreet. Elke organisatie kan eveneens in een visie neerschrijven welke resultaten zij op lange termijn in haar omgeving wenst te bereiken, welke rol zij wil spelen en welke waarden en principes zij vooropstelt. Het formuleren van doelstellingen verloopt via volgende cascade: u Het primaat van de politiek houdt in dat de politieke verantwoordelijken, de na te streven beleidsdoelstellingen en de gewenste maatschappelijke effecten van het beleid bepalen. Dat vindt zijn neerslag in het regeerakkoord en de beleidsnota s van de regering en de ministers. u De bevoegde minister zal de uitvoering van zijn/haar beleid binnen het beleidsveld opvolgen en sturen via een aansturingsinstrument (een vorm van contractmanagement), (af)gesloten tussen de Vlaamse Regering (vertegenwoordigd door de functioneel bevoegde minister) en de organisatie (vertegenwoordigd door de administrateur-generaal (IVA) of de raad van bestuur (EVA) van de organisatie 11. Voor de verzelfstandigde agentschappen voorziet het kaderdecreet daarvoor in een beheersovereenkomst. De beheersovereenkomst dient o.m. om kwalitatief en kwantitatief te concretiseren hoe het agentschap zijn taken moet vervullen via strategische en operationele doelstellingen. De beheersovereenkomst is het beleidsmatig strategisch plan van de organisatie. Naar analogie met de beheersovereenkomsten kunnen voor de dertien departementen managementovereenkomsten worden afgesloten. u De strategie van de organisatie moet een afgeleide zijn van de beleidsdoelstellingen van de minister, zodat de organisatie bijdraagt tot de realisatie daarvan. Uitgaand van de beleidsnota van de bevoegde minister, de missie- en (eventuele) visieverklaring en rekening houdend met de resultaten van een omgevingsanalyse, dient de organisatie haar strategische doelstellingen te formuleren en vast te leggen in een beheersovereenkomst of managementovereenkomst. De beheersovereenkomst of managementovereenkomst van de organisatie concentreert zich op de strategische hoofdlijnen, waarbij de strategische doelstellingen aangeven wat de organisatie op lange termijn aan maatschappelijke 9 Gezien de relatie met de beleidsnota van de bevoegde minister, dient onder lange termijn in principe de periode van (minimaal) 5 jaar (duur van een legislatuur) te worden verstaan. 10 Gezien de relatie met de jaarlijkse beleidsbrief van de bevoegde minister, dient onder korte termijn de periode van 1 jaar te worden verstaan. 11 Bij de privaatrechtelijk vormgegeven EVA s wordt dit aansturingsinstrument een samenwerkingsovereenkomst genoemd. De term beheersovereenkomst dient, wat hen betreft, als samenwerkingsovereenkomst gelezen te worden. 19
effecten wil bereiken in de externe omgeving. Gelet op het aantal en de diversiteit van de strategische doelstellingen zal een organisatie vaak onmogelijk alles onmiddellijk kunnen realiseren. Bijgevolg zijn keuzes en prioriteiten noodzakelijk. Keuzes maken heeft echter altijd iets subjectiefs. Het keuzeproces moet dan ook zoveel mogelijk worden geobjectiveerd. Dat vergt relevante criteria, zoals: t t t t t t t dringendheid; graad van bijdrage tot de realisatie van de strategische doelstellingen; logische opeenvolging; realisatiesnelheid; zichtbaarheid van de resultaten; haalbaarheid; middelen; t... u Een jaarlijkse vertaling en concretisering van de strategische doelstellingen wordt opgenomen in ondernemingsplannen met operationele doelstellingen, die moeten zijn gerelateerd aan de jaarlijkse beleidsbrief van de bevoegde minister. De ondernemingsplannen zijn verplicht voor de agentschappen en aanbevolen voor de departementen. Deze ondernemingsplannen geven aan welke instrumenten (en processen) de organisatie en haar onderdelen (afdeling, cel, ) inzet om de operationele doelstellingen te realiseren. De individuele (persoonlijke) doelstellingen van de personeelsleden moeten op hun beurt aansluiten bij deze operationele organisatiedoelstellingen. Het thema doelstellingen, proces- en risicomanagement legt de focus op de globale strategische en operationele doelstellingen 12 van de organisatie. Binnen het doelstellingenproces staan een aantal principes centraal: u De missie is kort, krachtig, bondig, duidelijk en eenduidig zodat zij gemakkelijk kan worden gecommuniceerd binnen en buiten de organisatie. u De strategische en de operationele doelstellingen zijn eenduidig en eenvormig geformuleerd, zodat interpretatiemoeilijkheden worden vermeden. Zij moeten zo concreet mogelijk zijn. Dat kan worden getoetst aan de hand van de SMART-criteria: t t t t t Specifiek; Meetbaar; Aanvaard of Afgesproken; Realistisch; Tijdsgebonden. u Het geheel van doelstellingen moet coherent zijn. Aangezien doelstellingen worden vertaald naar alle geledingen en niveaus van een organisatie, moeten zij onderling afgestemd zijn. u De organisatiedoelstellingen besteden aandacht aan de uitvoering van de eigen kernopdrachten, aan nieuwe initiatieven en aan de bijdrage van de organisatie aan het horizontale beleid 13. u Het geheel van doelstellingen moet evenwichtig samengesteld zijn. u De organisatiedoelstellingen moeten worden gedragen door iedereen in de organisatie. Daarvoor is een goede communicatie over de doelstellingen noodzakelijk. Dit stimuleert de werknemers en motiveert hen om bij te dragen tot de realisatie van de doelstellingen (betrokkenheid). 20 12 De nota De generieke elementen van de beheersovereenkomsten in de vernieuwde Vlaamse overheid, goedgekeurd door de Vlaamse Regering op 1 september 2006, bevat een sjabloon voor de opmaak van een beheersovereenkomst. 13 Cf. nota De generieke elementen van de beheersovereenkomsten in de vernieuwde Vlaamse overheid, goedgekeurd door de Vlaamse Regering op 1 september 2006.
Doelstellingen, proces- en risicomanagement 1.1.3 Procesmanagement en kwaliteitsbeleid Procesmanagement Een proces is een geheel van opeenvolgende activiteiten die middelen (input) omzetten in resultaten (output en outcome) waardoor een meerwaarde wordt gecreëerd. Die processen kunnen van allerlei aard zijn: kernprocessen zijn essentieel om de producten of diensten te leveren, beheersprocessen sturen de organisatie en ondersteuningsprocessen voorzien in de nodige middelen. De organisatie zorgt ervoor dat alle processen die voor een goede werking noodzakelijk zijn, voldoende zijn uitgewerkt. Daarbij past zij de principes van procesmanagement toe: u De organisatie heeft de processen ontwikkeld die nodig zijn om te kunnen functioneren. Die processen zijn afgestemd op de strategie en de planning. Zij zijn ook in overeenstemming met de bestaande regelgeving en procedures. u Per (deel)proces wordt een proceseigenaar aangesteld. De proceseigenaar is verantwoordelijk voor het uittekenen en actueel houden van het (deel)proces. u De sleutelprocessen zijn in kaart gebracht en gedocumenteerd. De processen zijn efficiënt uitgetekend. u Bij de toewijzing van bevoegdheden en verantwoordelijkheden wordt het principe van functiescheiding gewaarborgd. u De organisatie heeft middelen toegewezen aan de processen in verhouding tot hun bijdrage aan de verwezenlijking van de strategische doelstellingen. u De organisatie / proceseigenaar evalueert op regelmatige tijdstippen de werking van de processen (PDCA). De processen worden verbeterd op basis van de gemeten efficiëntie, doeltreffendheid en resultaten (output en outcome). Kwaliteitsbeleid Integrale kwaliteitszorg (IKZ) of total quality management (TQM) groepeert een aantal managementtechnieken om de tevredenheid van de belanghebbenden te verhogen. Het volledige organisatieproces wordt onderworpen aan de principes van continue verbetering (bv. PDCA-cyclus), waarbij veel belang wordt gehecht aan participatie van de medewerkers. Kwaliteit is een verantwoordelijkheid van iedereen binnen de organisatie 14. Kwaliteit komt - al dan niet expliciet - aan bod bij verschillende controle(doel)stellingen binnen de diverse thema s van van deze leidraad. 1.1.4 Risicomanagement Risico s zijn interne en externe factoren die de realisatie van de organisatiedoelstellingen kunnen belemmeren en bijgevolg ook de kwaliteit van producten en diensten beïnvloeden / bedreigen. Het niet (tijdig) benutten van opportuniteiten is ook een risico. Wijzigende interne of externe omstandigheden creëren nieuwe risico s of veranderen bestaande risico s. Risicomanagement is een essentieel onderdeel van en behoort tot het dagelijks management. Managers zijn tevens risicomanagers. Risicomanagement is onlosmakelijk verbonden met het doelstellingenproces (strategiebepaling). Om een organisatie efficiënt en effectief te beheersen, moet duidelijkheid bestaan over de risico s die het behalen van de organisatiedoelstellingen bedreigen. 14 Vrij naar Bouckaert, G. & Thijs, N. (2003). Kwaliteit in de overheid. 21
Eenmaal deze risico s zijn geïdentificeerd, worden zij geanalyseerd naar waarschijnlijkheid (= kans op voorkomen) en impact. Het resultaat van deze risicoanalyse is een kwantitatieve en/of kwalitatieve rangschikking van de risico s. Die rangschikking, gecombineerd met de doelstellingenhiërarchie, geeft weer welke risico s prioriteit moeten krijgen bij het uitwerken of aanpassen van gepaste beheersmaatregelen. De keuze van de beheersmaatregelen wordt verantwoord in de risicoanalyse. Risicomanagement is een continu en dynamisch proces. De omgeving waarin de organisatie actief is wijzigt voortdurend, doelstellingen worden aangepast, nieuwe prioriteiten kunnen zich opdringen. Het risicomanagement moet hierop worden afgestemd. Binnen het globale risicomanagement verdienen de continuïteitsrisico s bijzondere aandacht. Zij vormen de basis voor het ontwikkelen van een bedrijfscontinuïteitsproces. Continuïteitsplannen kunnen zich richten op crisisbeheer en communicatie, facility, ICT (Disaster Recovery Plan) en de processen (cf. de respectievelijke thema s in deze leidraad). 1.2 Doelstellingen en beheersmaatregelen m.b.t. doelstellingen, proces- en risicomanagement Subthema Doelstellingen inzake Beheersmaatregelen Doelstellingenproces: missie, visie, strategische en operationele doelstellingen De organisatie beschikt over een goedgekeurde missie die haar bestaansreden weergeeft. De missie is neergeschreven. Ze kan worden aangevuld met een overzicht van de kerntaken van de organisatie. De missie is krachtig, kernachtig en eenduidig. Zij is uitdagend geformuleerd en stimuleert de interne en externe belanghebbenden. Communicatie-initiatieven worden binnen de organisatie opgezet om de missie en kerntaken kenbaar te maken bij de interne en externe belanghebbenden. De organisatie heeft een visie ontwikkeld, die is afgestemd op de visie van de verantwoordelijke minister. De organisatie heeft in haar visie uitgeschreven wat zij wenst te bereiken in haar omgeving, welke rol zij hierin wil spelen en welke principes en waarden zij hierbij nastreeft. De visie van de organisatie is volledig afgestemd op de visie van de bevoegde minister. Communicatie-initiatieven worden binnen de organisatie opgezet om de visie van de organisatie ter kennis te brengen van de interne en externe belanghebbenden. 22
Doelstellingen, proces- en risicomanagement Subthema Doelstellingen inzake Beheersmaatregelen De organisatie beschikt over duidelijke, Opdat de doelstellingen een coherente, neergeschreven, evenwichtig geheel vormen, is het goedgekeurde strategische 15 en noodzakelijk dat zij: operationele 16 doelstellingen. - alle aspecten van de statutaire Het geheel van doelstellingen zit vervat in opdracht van de organisatie het goedgekeurde aansturingsinstrument 17. concretiseren; - niet losstaan van de realisatie van de statutaire opdracht van de organisatie; - rekening houden met informatie uit de omgeving (inclusief de verwachtingen en behoeften van belanghebbenden); - onderling op elkaar zijn afgestemd en niet conflicteren; - zowel kernopdrachten als nieuwe initiatieven ter realisatie van het beleid van de bevoegde minister omvatten; - eveneens de concrete bijdragen van de organisatie aan de uitvoering van de generieke principes van het horizontale beleid van de Vlaamse Regering 18 bevatten; - zowel extern gerichte doelstellingen als doelstellingen gericht op de verbetering van de eigen interne werking bevatten. De strategische doelstellingen van de organisatie zijn vertaald in toetsbare en concrete operationele doelstellingen die voldoen aan het SMART-principe (specifiek, meetbaar, afgesproken, realistisch en tijdsgebonden). Om te bepalen welke doelstellingen en activiteiten binnen de jaarlijkse planning van de organisatie kaderen, maakt de organisatie een objectieve analyse aan de hand van een aantal criteria. De operationele doelstellingen van de organisatie worden verder geoperationaliseerd naar interne organisatiedoelstellingen per organisatieonderdeel en uiteindelijk doorvertaald naar individuele doelstellingen. Binnen elk organisatieonderdeel zijn toetsbare (SMART) doelstellingen aanwezig en uitgeschreven. Binnen de organisatie zijn de verschillende doelstellingen coherent: de doelstellingen op lagere niveaus zijn afgestemd op en ondersteunen altijd de doelstellingen op hogere niveaus. 15 Strategische doelstellingen geven aan wat de organisatie op (middel)lange termijn aan maatschappelijke effecten wil bereiken in de externe omgeving. Gezien de relatie van de strategische doelstellingen met de beleidsnota van de bevoegde minister, dient onder lange termijn in principe de periode van (minimaal) 5 jaar (duur van een legislatuur) te worden verstaan. 16 Operationele doelstellingen betreffen de jaarlijkse vertaling van de strategische doelstellingen. De operationele jaardoelstellingen zijn gerelateerd aan de jaarlijkse beleidsbrief van de bevoegde minister. 17 Voor een EVA / IVA is dit de beheersovereenkomst, voor een departement kan dit een managementovereenkomst zijn. 18 Cf. nota De generieke elementen van de beheersovereenkomsten in de vernieuwde Vlaamse overheid, goedgekeurd door de Vlaamse Regering op 1 september 2006. 23
Subthema Doelstellingen inzake Beheersmaatregelen Binnen de organisatie zijn in het kader van de realisatie van de operationele doelstellingen concrete actieplannen uitgewerkt. De individuele doelstellingen vloeien rechtsreeks voort uit de interne operationele doelstellingen van de organisatie. Alle doelstellingen zijn gecommuniceerd en gekend bij de interne en externe belanghebbenden. Communicatie-initiatieven worden genomen om de strategische en operationele doelstellingen mee te delen en te verklaren aan de interne en externe belanghebbenden. Bij het bepalen van de verschillende doelstellingen worden interne en externe belanghebbenden betrokken. Procesmanagement 19 Binnen de organisatie zijn de sleutelprocessen geïdentificeerd en gedocumenteerd. Er wordt een onderscheid gemaakt tussen: - management- of beheersprocessen - primaire of kernprocessen - ondersteunende processen. De organisatie heeft haar processen ontwikkeld in overeenstemming met de strategie, planning, behoeften en verwachtingen. De organisatie tekent de processen zo uit dat de doelstellingen en de missie gehaald worden (binnen de vooropgestelde of de opgelegde termijn). Er wordt ook rekening gehouden met de behoeften en verwachtingen van de interne en externe belanghebbenden. De organisatie heeft voor haar sleutelprocessen proceseigenaars geïdentificeerd. Binnen de organisatie worden voor de belangrijkste kernactiviteiten procesverantwoordelijken aangesteld. De nood daaraan neemt toe in de mate dat de (kern)processen langs verschillende organisatieonderdelen verlopen. De processen zijn in overeenstemming met de regelgeving en zijn efficiënt uitgetekend. De organisatie respecteert de bestaande regelgeving en procedures bij het uittekenen van de processen. Als de regelgeving wijzigt, past zij de processen aan. De organisatie tekent de processen zo uit dat de beschikbare middelen zo zuinig mogelijk worden ingezet om de output te behalen. 24 19 Het subthema Procesmanagement wordt door de Interne Audit van de Vlaamse Administratie (IAVA) niet meegenomen bij de maturiteitsinschatting in het kader van een sterktezwakteanalyse van de.
Doelstellingen, proces- en risicomanagement Subthema Doelstellingen inzake Beheersmaatregelen Bij het vastleggen van bevoegdheden en verantwoordelijkheden wordt het principe van functiescheiding in acht genomen. De organisatie vermijdt dat binnen het proces de uitvoerings- en beslissingsmacht bij één functie/ medewerker zit (functiescheiding). De organisatie heeft middelen toegewezen aan de processen in verhouding tot hun bijdrage aan de realisatie van de strategische doelstellingen van de organisatie. Binnen de organisatie is er een duidelijk zicht op de middelen (financiële, personele, andere) die per (deel)proces toegewezen worden (bv. op basis van toegewezen middelen per proces in het ondernemingsplan). De processen worden regelmatig geëvalueerd en zo nodig aangepast (PCDA: plan, do, check, act). Regelmatig vindt een beoordeling van de kern- en ondersteunende processen plaats. Bij wijzigingen in de processen wordt de adequaatheid geëvalueerd. De processen worden zo nodig bijgestuurd en hertekend. De processen worden verbeterd op basis van de gemeten efficiëntie, doeltreffendheid en resultaten (outputs en outcomes). Procesevaluatie en prestatiemeting zorgen ervoor dat de processen voldoen aan het vooropgestelde niveau van efficiëntie, doeltreffendheid en resultaatbereik. Kwaliteitsbeleid De leiding en de medewerkers van de organisatie zijn zich bewust van het belang van het voeren van een kwaliteitsbeleid. Er zijn doelstellingen (SMART) geformuleerd, die gericht zijn op een verhoging van de kwaliteit van de dienstverlening. Het kwaliteitsbeleid is geïntegreerd in de doelstellingencascade. Het kwaliteitsbeleid is verankerd op alle niveaus van de organisatie. Het kwaliteitsbeleid is afgestemd op het algemene organisatiebeleid. Er is sprake van continuïteit in het kwaliteitsbeleid. Een kwaliteitszorgsysteem voorziet in borging van het kwaliteitsbeleid. De organisatie hanteert de filosofie van integrale kwaliteitszorg (IKZ) of Total Quality Management (TQM) in haar werking. De entiteit hanteert het principe van continu verbeteren. De entiteit hanteert de PDCA-cyclus (Plan, Do, Check, Act). De entiteit maakt gebruik van een methodiek van zelfevaluatie, bv. CAF/EFQM of aanverwanten, de visitatiemethode, 25
Subthema Doelstellingen inzake Beheersmaatregelen Risicomanagement Binnen de organisatie bestaat een systeem om de risico s (bedreigingen en opportuniteiten) te identificeren, te evalueren en te beheersen (te managen). De keuze van strategische en operationele doelstellingen steunt op een omgevingsanalyse waarbij de sterktes en zwaktes (interne risico s), en kansen en bedreigingen (externe risico s) worden geïdentificeerd en geanalyseerd. Het management maakt gebruik van een (gestandaardiseerde) methodiek om interne en externe risico s te identificeren op proces- en taakniveau. De geïdentificeerde risico s worden geëvalueerd zodat de nodige beheersmaatregelen kunnen worden getroffen in functie van de prioriteiten. Ook integriteitsrisico s worden opgevolgd. Zo is o.a. bekend welke de kwetsbare functies 20 zijn en wordt het integriteitsbeleid regelmatig geëvalueerd op leemtes. Risicoanalyse en -management, zowel op strategisch als op operationeel niveau, zijn continue processen. Wijzigingen of veranderingen, zowel intern als extern (veranderende regelgeving, technologische vernieuwingen en ontwikkelingen, enz), worden continu opgevolgd en gescreend op mogelijke risico s. Wijzigingen worden aangevuld in het risicoraamwerk. De toepassing van het systeem van risicomanagement wordt permanent opgevolgd en geëvalueerd op zijn adequaatheid en efficiëntie. 26 20 Voorbeelden van kwetsbare functies: omgaan met geld, verlenen van opdrachten, toekennen van vergunningen en subsidies, omgaan met vertrouwelijke informatie, controlebevoegdheden,