Netwerk organisatiebeheersing 20 april 2017
Agenda Welkom! Nieuwe aanpak organisatie-audits binnen de Vlaamse administratie o Algemene toelichting o Praktijkcase en ervaringen vanuit Het Facilitair Bedrijf o Vragen Thema-audit Wagenparkbeheer o Algemene toelichting o Wagenparkbeheer binnen Het Facilitair Bedrijf o Vragen Korte mededelingen & lunch 2
Nieuwe aanpak organisatie-audits binnen de Vlaamse administratie
Waarom een nieuwe aanpak? Entiteiten stimuleren en ondersteunen om verder werk te maken van risicomanagement Beeld krijgen van de stand van zaken en evolutie op het vlak van risicomanagement en de belangrijkste risico s voor de sturende en ondersteunende processen Doordachtere inzet van de beperkte auditmiddelen en een aanpak meer op maat van elke organisatie 4
Raamwerk gefaseerde aanpak Beoordeling en inschatting van de maturiteit v/d processen risico-identificatie en evaluatie risicobeheer Naar analogie maturiteitsschaal leidraad (0-5) Selectie van de 10 thema s uit de leidraad organisatiebeheersing o.b.v. belang voor de organisatie door A\V Evaluatie van het systeem van IC/OB voor de geselecteerde thema s 5
Stap 1: Maturiteit risicomanagement maturiteitsmodel Verschillende risicomanagement-aspecten met onderscheid tussen: Risico-identificatie en -evaluatie Risicobeheer Bewust geopteerd voor evolutief model ( lat hoog leggen ) gewogen gemiddelde Beoordeling bepaalt in welke mate bij de eigenlijke organisatie-audit (stap 3) kan worden verder gebouwd op de werkzaamheden van de geauditeerde entiteit Maturiteitsinschatting vervangt vroegere beoordeling uit de beleidsgerichte rapporten 2013-2014 rond risicomanagement Model reeds toegepast bij 13 entiteiten en publicatie van model op http://www.auditvlaanderen.be/ 6
Stap 1: Maturiteit risicomanagement toepassing 7
Stap 2: Inschatten belang van de thema s A\V schat, voor de geauditeerde organisatie, het belang in van de 10 thema s van de Leidraad interne controle/organisatiebeheersing aan de hand van 5 parameters: Impact op de doelstellingen Complexiteit van wet- en regelgeving Financieel belang Effect op de dagelijkse werking Integriteit, bescherming van activa of voorkomen van fraude Gebeurt in overleg met de geauditeerde entiteit 8
Stap 2: Inschatten belang van de thema s voorbeeld (4 entiteiten) Belang van de thema's IC/organisatiebeheersing (op 5) Thema A B C D Doelstellingen en procesmanagement 3 3 3 3 Belanghebbenden management 1,8 2,6 3,8 3,8 Monitoring 3 3 3 3 Organisatiestructuur 2,5 1 3,5 2 HRM 2,6 3 2,2 1,8 Organisatiecultuur 2,4 1 3,3 1,4 Informatie en communicatie 1,4 1,8 2,2 4,2 Financieel management 1,8 1 2,6 5 Facility management 1,8 1 1 2,2 ICT 1 2,2 3 4,2 Geselecteerde thema s in stap 3 9
Stap 3: Evaluatie systeem van IC/OB voor de geselecteerde thema s Eigenlijke uitvoering van de auditopdracht waarbij A\V nagaat of de belangrijkste risico s voor de geselecteerde thema s (2 à 3 thema s) onder controle zijn Focus ligt op beoordeling van de opzet van beheersmaatregelen gaat verder dan louter documenteren van beheersmaatregelen Aanpak kan verschillend zijn per entiteit, afhankelijk van de maturiteit risicomanagement: Hoge maturiteit: A\V kan bij de audit verder bouwen op de door de entiteit ingeschatte risico s en beheersmaatregelen voor de geselecteerde thema s Lagere maturiteit: A\V kan niet verder bouwen op de werkzaamheden van de entiteit en identificeert zelf de risico s en beheersmaatregelen via interviews en een workshop (impliceert dus hogere werklast) 10
Stap 3: voorbeeld inherent risicoprofiel (i.g.v. lage maturiteit risicomanagement) 11
Stap 3: voorbeeld residueel risicoprofiel (i.g.v. lage maturiteit risicomanagement) 12
Stap 3: Evaluatie systeem van IC/OB voor de geselecteerde thema s - conclusie Focus op welke belangrijke risico s zijn onderzocht en welke zijn al dan niet onder controle Nr Beknopte risico-omschrijving Mate van risicobeheer Belanghebbendenmanagement 1.4 Het risico dat, door onvoldoende te communiceren over de visie van het agentschap en initiatieven of beslissingen onvoldoende te motiveren, interne en externe belanghebbenden onrealistische verwachtingen hebben of het doel van bepaalde initiatieven niet inzien. Organisatiestructuur 2.1 Het risico dat door onvoldoende duidelijkheid en communicatie over de structuurverandering, deze onvoldoende draagvlak heeft bij de medewerkers waardoor men terugvalt in vroegere werkwijzen of gedemotiveerd geraakt. 2.6 Het risico dat de organisatie dermate verkokert dat er over dossiers en initiatieven onvoldoende afgestemd wordt tussen de afdelingen of dat deze afstemming zeer tijdsintensief wordt. Organisatiecultuur 3.4 Het risico dat, door een onvoldoende stimulerende professionele omgeving en/of door een gebrek aan begeleiding om hiertoe te komen, er een cultuur van gelatenheid ontstaat. Nr. A/V Laag A1. Gemiddeld V1. Gemiddeld V2. Hoog / Geen maturiteitsinschatting meer per thema 13
Te onthouden Belang van werken aan risicomanagement neemt toe en voortaan maakt A\V ook een aparte beoordeling over de maturiteit van risicomanagement Organisatie-audits zijn voortaan enkel nog gefocust op de belangrijkste thema s en de mate van risicobeheersing binnen deze thema s. Een maturiteitsinschatting per thema wordt stopgezet! 2 rapporten: maturiteit risicomanagement & resultaten organisatie-audit, al dan niet gefaseerd verspreid Elke entiteit krijgt een organisatie-audit (incl. maturiteit risicomanagement) tegen 2019 Nut van uitvoeren een zelfevaluatie volgens de leidraad blijft, maar het belang van een risicogebaseerde benadering neemt toe Hoe beter de risico-identificatie, evaluatie en beheersing hoe beperkter de werklast 14
Vragen? Wanneer komt Audit Vlaanderen bij wie langs? Wat is de relatie met de Leidraad interne controle/organisatiebeheersing en de zelfevaluatie? Hoe zit het met de werklast van een dergelijke audit? Wat is de relatie met de vroegere maturiteitsinschattingen? Andere vragen? http://www.auditvlaanderen.be/ 15
Contactgegevens Audit Vlaanderen Tel.nr. 02 553 45 55 E-mail audit@vlaanderen.be