FINAAL RAPPORT. Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers

FINAAL RAPPORT

Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers

Versie 1.0 – Februari 2013

1

VOORAFGAANDE OPMERKING Deze methodologie geeft weer op welke manier externe audits kunnen worden uitgevoerd op vlak van archiefbeheer bij zorgdragers zoals voorgeschreven artikel 9 van het Archiefdecreet van 9 juli 2010. Deze methodologie moet op regelmatige tijdstippen worden aangepast op basis van praktijkervaringen, veranderingen in de regelgeving of ontstaan van nieuwe regelgeving.

3 Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers

INHOUDSTAFEL

Inleiding................................................................................................................................... 5 Achtergrond bij deze methodologie.........................................................................................5 Doel van een externe audit van het archiefbeheer..................................................................5 Overzicht van de geldende wetgeving.....................................................................................7 Schematische voorstelling van het verloop van een audit op vlak van archiefbeheer.............9 Opmaken audituniversum.....................................................................................................10 Selectie van auditeerbare entiteiten en opstellen van het auditplan......................................13 Voorbereiden van één audit..................................................................................................19 Uitvoeren van een audit........................................................................................................ 21 Rapporteren ......................................................................................................................... 32 Ontwerpen van het rapport....................................................................................................32 Hoor-wederhoor.................................................................................................................... 34 Finaliseren van het rapport....................................................................................................34 Uitsturen van het rapport.......................................................................................................34 Uitvoeren van een opvolgingsaudit.......................................................................................34 Plan van aanpak om de audit op organisatorisch niveau vorm te geven...............................36 Oprichten van een Auditcomité..............................................................................................36 Overzicht van de puzzel........................................................................................................36 De nodige middelen.............................................................................................................. 37


INLEIDING Achtergrond bij deze methodologie Op basis van het Archiefdecreet van 9 juli 2010 heeft de Vlaamse Regering de mogelijkheid om, in overleg met de betrokken zorgdragers, externe audits van het archiefbeheer uit te voeren. In september 2012 kende de Afdeling Proces- en Informatiebeleid van het Departement Bestuurszaken (verder kortweg Steunpunt genoemd) de opdracht voor het uitwerken van een auditmethodologie toe aan het adviesbureau PricewaterhouseCoopers. De methodologie vertrekt vanuit de doelstellingsgerichte regelgeving waarbij kwaliteitsdoelstellingen worden opgelegd aan de zorgdragers die op hun beurt de operationele vrijheid hebben om te kiezen op welke wijze ze deze doelstellingen trachten te bereiken. Het Archiefdecreet bevat namelijk vijf strategische doelstellingen: o

Verhogen van de kwaliteit van het archiefbeheer;

o

Beter ontsluiten van archiefdocumenten voor de rechten

informatiezoekende burger; o

Openbaar maken van de meeste archiefdocumenten na 30 jaar;

o

Stimuleren van efficiënte waardering en selectie van archiefdocumenten;

o

Toelaten van wetenschappelijk onderzoek.

Het decreet biedt alle overheden in Vlaanderen een modern en efficiënt instrument om de informatiehuishouding te optimaliseren door onder meer: o

De verantwoordelijkheden rond archiefzorg en -beheer eenduidig toe te

wijzen; o

Een duidelijk kader te scheppen voor het kwaliteitsvolle beheer van

archiefdocumenten tijdens hun volledige levensfase; o

Het bieden van ondersteuning aan de overheden in Vlaanderen;

o

Het ontsluiten van het archief door middel van een geautomatiseerd

register voor de rechten informatiezoekende burgers; o

Het oprichten van selectiecommissies.

Doel van een externe audit van het archiefbeheer De doelstelling en inhoud van de externe audit van het archiefbeheer bij zorgdragers staat duidelijk omschreven in artikel 9 van het Archiefdecreet van 9 juli 2010. De audit moet ten minste het volgende omvatten:


1. 2. 3. 4. 5.

Controle op de naleving van de bepalingen over archiefzorg; Controle op het archiefbeheer; Controle op de naleving van de selectielijsten; Controle op het verlenen van toegang tot archiefdocumenten voor wetenschappelijke doeleinden; Identificatie van de mogelijkheden tot verbetering van de effectiviteit en de efficiëntie van het archiefbeheer van de betrokken zorgdragers.

We kunnen concluderen dat er tijdens de audit wordt gecontroleerd in hoeverre de bepalingen over de archiefzorg, het archiefbeheer, de vernietiging en de toegang worden nageleefd en waar eventuele pijnpunten te situeren zijn. Het uiteindelijke doel is het stimuleren van zorgdragers om hun archiefbeheer verder te ontwikkelen door het verbeteren van de dialoog en het opstellen van verbetertrajecten. Tevens zullen de audits aan het beleid duidelijk maken in hoeverre de vooropgestelde doelstellingen behaald werden. De resultaten van de audits zullen door het Steunpunt gebruikt worden om hulpmiddelen te ontwikkelen in de vorm van checklists, handleidingen, richtlijnen, best praktijken, … In het hoofdstuk VI van dit document gaan we op elk van deze vereisten dieper in en worden hieromtrent relevante controles gedefinieerd.

Overzicht van de geldende wetgeving Deze methodologie werd opgesteld in november 2012 op basis van volgende geldende regelgeving:

Regelgeving - Decreet van 9 juli 2010 betreffende de bestuurlijk-adminstratieve archiefwerking (Archiefdecreet van 9 juli 2010); - Memorie van toelichting bij het Archiefdecreet van 9 juli 2010); - Besluit van de Vlaamse Regering tot regeling van het archiefbeheer; - Besluit van de Vlaamse Regering tot regeling van het archiefbeheer, artikelsgewijze bespreking.

Daarnaast werd bij het opstellen van deze methodologie ook rekening gehouden met de ISOstandaard 15489: ‘Information and documentation – Records management’. Vooraleer te starten met het uitvoeren van audits op vlak van archiefbeheer bij zorgdragers is het noodzakelijk dat de auditor op de hoogte is van de inhoud van deze regelgeving.


SCHEMATISCHE

VOORSTELLING VAN HET VERLOOP VAN EEN

AUDIT OP VLAK VAN ARCHIEFBEHEER De verschillende stappen van de audit worden uitgeschreven in het onderstaand schema en in detail toegelicht in de volgende hoofdstukken.

Opstellen audituniversum

Opstellen auditplan

Voorbereiding van een audit

Uitvoeren van een audit – het plaatsbezoek

Rapporteren over de audit

Analyse zelfevaluatie

Ontwerpen rapport

Analyse monitoring

Hoor-wederhoor

Aankondigingsbrief

Finaliseren rapport

Verwerken informatie

Uitsturen rapport

Opvolgingsaudit


OPMAKEN AUDITUNIVERSUM Het toepassingsgebied van het Archiefdecreet bestaat uit verschillende categorieën zorgdragers die hieronder worden opgelijst. Tussen de haakjes wordt het aantal entiteiten vermeld (dd. oktober 2012)1:


Opstellen auditplan





Opvolgingsaudit

Ontwerpen rapport

Analyse monitoring

Hoor-wederhoor

Aankondigingsbrief

Finaliseren rapport


Uitsturen rapport

o

Administratieve rechtscolleges (3);

o

Diensten, instellingen en rechtspersonen die afhangen van de Vlaamse

Gemeenschap of het Vlaamse Gewest (203); o

Gemeenten en districten (308);

o

Provincies (5);

o

Intergemeentelijke samenwerkingsverbanden (96);

o

OCMW’s en hun verenigingen (391);

o

Kerkfabrieken en de instellingen belast met het beheer van de temporaliën

van de erkende erediensten (2.117); o

Polders en wateringen (71);

o

Andere gemeentelijke en provinciale instellingen zoals autonome

bedrijven, EVA’s, IVA’s, … (254). Het audituniversum omvat dus het volledige toepassingsgebeid van het Archiefdecreet. Onderstaande tabel toont een overzicht van de verschillede categorieën zorgdragers als onderdeel van het toepassingsgebied van het Archiefdecreet en de link naar toepassingsgebieden van IAVA en ABB.

1 Het

toepassingsgebied van het Archiefdecreet ondergaat op regelmatige basis wijzigingen. Deze aantallen kunnen dus nog fluctueren. 8 Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers

Art.

Categorie Zorgdrager

4,1° 4,2°

administratieve rechtscolleges diensten, instellingen en rechtspersonen die afhangen van de Vlaamse Gemeenschap of het Vlaamse Gewest  Binnen BBB: departementen  Binnen BBB: IVA’s zonder rechtspersoon  Binnen BBB: IVA’s met rechtspersoon  Binnen BBB: Publiekrechtelijke EVA’s  Binnen BBB: Privaatrechtelijke EVA’s  Binnen BBB: Sar’s  Binnen BBB: Eigen vermogens  Binnen BBB: Andere  Buiten BBB – Vlaamse Openbare Instellingen  Buiten BBB –Vlaamse instellingen van openbaar nut, categorie vzw  Buiten BBB: Andere  Buiten BBB: Onthaalbureaus ter uitvoering van het Vlaamse inburgeringsbeleid gemeenten en districten provincies intergemeentelijke samenwerkingsverbanden OCMW's en hun verenigingen kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten polders en wateringen andere gemeentelijke en provinciale instellingen  Gewone gemeentebedrijven  Autonome gemeentebedrijven  Gemeentelijke verzelfstandigde agentschappen  Privaatrechtelijke gemeentelijke verzelfstandigde agentschappen  Autonome provinciebedrijven  Provinciale intern verzelfstandigde agentschappen  Privaatrechtelijke provinciale extern verzelfstandigde agentschappen

4,3° 4,4° 4,5° 4,6° 4,7°

4,8° 4,9°

Toepassings gebied IAVA

Toepassings gebied ABB

X X X X X X ? X

X X X

X X

X

Opmerking: het toepassingsgebied van het Archiefdecreet is groter dan dat van de Interne Audit van de Vlaamse Administratie (IAVA). Het GO!, UZ Gent en VMW maken bijvoorbeeld geen deel uit van het toepassingsgebied van IAVA. Deze organisaties vallen echter wel onder het toepassingsgebied van het Archiefdecreet. Daarnaast merken we op dat het audituniversum dynamisch is en ten gepaste tijde moet worden geëvalueerd en aangepast aan de realiteit. Bepaalde zorgdragers kunnen bijvoorbeeld in de loop der jaren ontbonden zijn, worden opgeheven, samengevoegd of gesplitst. Het is de taak van het Steunpunt om veranderingen in de samenstelling van het audituniversum op te 9 Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers

volgen en tijdig te melden aan de externe auditor. De auditor dient met deze veranderingen rekening te houden bij het opstellen of herzien van het auditplan. Elke ‘nieuwe’ zorgdrager, die door één van bovenvermelde activiteiten ontstaat, is een nieuwe auditeerbare entiteit binnen het audituniversum.


SELECTIE

VAN AUDITEERBARE ENTITEITEN EN OPSTELLEN VAN

HET AUDITPLAN Het is de initiële doelstelling van het Uitvoeren van Voorbereiding Rapporteren Opstellen Opstellen een audit – het van een audit over de audit auditplan plaatsbezoek Steunpunt om elke auditeerbare entiteit audituniversum binnen het audituniversum eenmaal te auditeren per legislatuur. Hiermee wordt er conform ABB gewerkt. Deze periodiciteit wordt bovendien ook toegepast voor de zorgdragers die niet onder het toepassingsgebied van ABB vallen. Analyse zelfevaluatie

Opvolgingsaudit

Ontwerpen rapport

Analyse monitoring

Hoor-wederhoor

Aankondigingsbrief

Finaliseren rapport


Uitsturen rapport

Maar daar het toepassingsgebied van het Archiefdecreet meer dan 3.400 auditeerbare entiteiten bevat, is het praktisch niet haalbaar (rekening houdende met budgettaire middelen) om deze allemaal binnen één legislatuur te auditeren. Bovendien is het risico op bijvoorbeeld het beheren van het archief op een niet conforme manier ten opzichte van het Archiefdecreet of het risico dat vooropgestelde kwaliteitsdoelstellingen niet worden gehaald anders voor verschillende organisaties. Het is daarom ook aangewezen om een prioritering op te maken van de verschillenden categorieën van zorgdragers alsook van de zorgdragers binnen een bepaalde categorie. Prioritering van de verschillenden categorieën van zorgdragers Tijdens het opstellen van deze auditmethodologie werd door het Steunpunt een eerste analyse uitgevoerd waarbij prioriteiten werden toegekend aan de verschillende categorieën zorgdragers. Het toewijzen van deze prioriteiten is gebaseerd op de volgende criteria: o Mate waarin zorgdrager derden kan binden met zijn beslissingen; o Omvang van de administratie met inbegrip van aanwezigheid van expertise: hoe groter de administratie, hoe waarschijnlijker dat er een archiefverantwoordelijke is en de auditaanbevelingen effectief tot acties leiden en opgevolgd worden; o Maatschappelijk belang tijdens hun werking; o Mate van bestuurlijke onafhankelijkheid. Bijvoorbeeld verschil tussen NV en een departement of tussen projectvereniging en opdrachthoudende vereniging; o Mate waarin bevoegdheden afkomstig van verschillende bestuursniveaus worden uitgeoefend door een zorgdrager; o De aard van de kerntaken (graad van impact op de burger, mate waarin burgers dossiers opvragen rond deze dienstverlening, …). Daarenboven houdt men hier rekening met het aantal geregistreerde aanvragen die zorgdragers ontvangen in het kader van openbaarheid van bestuur zoals opgenomen in de bijlagen van het jaarverslag van de Beroepscommissie inzake Openbaarheid van Bestuur2.

2 Jaarverslagen en bijlagen van de Beroepscommissie inzake Openbaarheid van bestuur zijn te vinden op: http://openbaarheid.vlaanderen.be/nlapps/docs/default.asp?id=28 11 Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers

Art . 4,1° 4,2°

4,3° 4,4° 4,5° 4,6° 4,7° 4,8° 4,9°

Categorie Zorgdrager

administratieve rechtscolleges diensten, instellingen en rechtspersonen die afhangen van de Vlaamse Gemeenschap of het Vlaamse Gewest  Binnen BBB: departementen  Binnen BBB: IVA’s zonder rechtspersoon  Binnen BBB: IVA’s met rechtspersoon  Binnen BBB: Publiekrechtelijke EVA’s  Binnen BBB: Privaatrechtelijke EVA’s  Binnen BBB: Sar’s  Binnen BBB: Eigen vermogens  Binnen BBB: Andere  Buiten BBB – Vlaamse Openbare Instellingen  Buiten BBB –Vlaamse instellingen van openbaar nut, categorie vzw  Buiten BBB: Andere  Buiten BBB: Onthaalbureaus ter uitvoering van het Vlaamse inburgeringsbeleid gemeenten en districten provincies intergemeentelijke samenwerkingsverbanden OCMW's en hun verenigingen kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten polders en wateringen andere gemeentelijke en provinciale instellingen  Gewone gemeentebedrijven  Autonome gemeentebedrijven  Gemeentelijke verzelfstandigde agentschappen  Privaatrechtelijke gemeentelijke verzelfstandigde agentschappen  Autonome provinciebedrijven  Provinciale intern verzelfstandigde agentschappen  Privaatrechtelijke provinciale extern verzelfstandigde agentschappen

Prioriteit

1 1 1 1 1 1 1 1 1 1 1 2 2 2 1 1 2 1 NVT NVT 1

Merk op: Het Steunpunt is van oordeel dat ten tijde van het schrijven van deze methodologie (november 2012) de maturiteit voor wat betreft kwaliteitsvol archiefbeheer binnen de kerkfabrieken, polders en wateringen eerder beperkt is. Vanuit audittechnisch oogpunt is het dan ook aangewezen om het voeren van externe audits bij deze zorgdragers uit te stellen tot dat er een zekere minimale maturiteit bereikt is. Het is dan ook de taak van het Steunpunt om via doelgerichte informatiecampagnes en communicatie deze zorgdragers extra bij te staan in het ontwikkelen van een kwaliteitsvol archiefbeheer volgens de doelstellingen en vereisten zoals bepaald in het Archiefdecreet. Om deze reden, gecombineerd met het feit dat de populatie kerkfabrieken, polders en wateringen heel uitgebreid is, leidde tot de beslissing om deze zorgdragers in eerste instantie niet op te nemen als auditeerbare entiteiten in het audit universum. Prioritering van zorgdragers binnen een bepaalde categorie.


Binnen elke categorie van zorgdragers dient nu een selectie te worden gemaakt van te auditeren zorgdragers. De te respecteren richtlijnen zijn de volgende: o Zorgdrager prioriteit 1: elke legislatuur 100% van de zorgdragers auditeren; o Zorgdrager prioriteit 2: elke legislatuur 75% van de zorgdragers auditeren; o Zorgdrager prioriteit 3: elke legislatuur 25% van de zorgdragers auditeren. De criteria voor de selectie van zorgdragers binnen een bepaalde categorie zijn de volgende: o Goede mix in grootte van het archief (op basis van aantal strekkende meter, aantal VTE’s); o Goede mix van geografische ligging; o Aanwezigheid van interne audit bij de zorgdrager; o Eventueel eerdere bezoeken van andere auditinstanties zoals het ARA. Om de zorgdrager niet te vaak aan audits te onderwerpen zou men als regel kunnen opnemen dat er geen audits worden georganiseerd bij een zorgdrager wanneer hij dat specifieke jaar reeds een auditbezoek heeft gehad van de ARA. Dit impliceert dat het auditplan van de externe auditor afgestemd moet worden met dat van de ARA; o Resultaten van eerdere audits bij die organisatie (incl. resultaten van opvolgingsaudits); o De algemene begroting van de zorgdrager; o Ook samenwerkingsverbanden en verzelfstandigde organisaties moeten extra aandacht genieten daar het risico in dergelijke omstandigheden hoger is. o Eventuele cijfers / parameters beschikbaar verzameld door de Monitoring kunnen een input zijn bij het selecteren van zorgdragers. Tevens kan men hier gebruik maken van de vijf criteria vermeld om de verschillende categorieën van zorgdragers te prioriteren. Het uitgangspunt blijft echter rekening te houden met mogelijke risico’s op vlak van archiefzorg en archiefbeheer. De auditor dient tevens te verifiëren of er geen nuttige Monitoringinformatie beschikbaar is die een rol kan spelen bij de prioritering en het opstellen van het auditplan.


Merk op:

1)

De voorgestelde criteria moeten makkelijk opvraagbaar zijn bij het Steunpunt en/of de Monitoring of moeten publiek beschikbaar zijn bij andere instanties.

2)

Het is een of/of verhaal waarbij het ene criterium qua belang niet boven het andere kan worden geplaatst. Bijvoorbeeld: Zorgdrager met ‘hoge score’ op criteria X en Y hoeft niet noodzakelijk eerder geplaatst te worden in het auditplan ten opzichte van een zorgdrager die hoog scoort op criterium Z en minder hoog op X en Y.

3)

Na het eerste uitvoeringsjaar van het auditplan is het aangewezen te analyseren of er voor het bepalen van de steekproef geen selectiecriteria kunnen worden gedefinieerd per zorgdragercategorie.

4)

Het is de verantwoordelijkheid van de externe auditor om op basis van zijn kennis en ervaring te beslissen of de selectie van zorgdragers binnen bepaalde categorieën zorgdragers (zoals bijvoorbeeld polders & wateringen of kerkfabrieken) willekeurig (at random) gebeuren in plaats van op basis van de voorgedefinieerde criteria. Opstellen van het auditplan De resultaten van bovenstaande oefeningen vormen de input voor het opstellen van het auditplan. Het auditplan moet zodanig worden opgesteld dat de eerste twee jaren in het auditplan niet worden ingevuld door audits van alleen maar grote organisaties met grote archieven, of organisaties met hoge maturiteit. Er moet een goede mix bestaan binnen elke jaarlijks auditplan. Tevens moet men volgende richtlijnen respecteren bij het opmaken van het auditplan: o Een externe audit in het kader van het Archiefdecreet wordt niet gepland in eenzelfde jaar dat de geauditeerde zorgdrager onderworpen werd met een inspectie van het algemeen rijksarchief; o Hetzelfde geldt in geval van een bezoek van een visitatiecommissie die worden georganiseerd in het kader van het cultureel erfgoeddecreet om zorgdragers erkenningen te geven: Geen externe audit in het kader van het Archiefdecreet plannen wanneer er een visitatiecommissie gepland is in hetzelfde jaar. Bovendien worden volgende principes toegepast:  Als er een visitatiecommissie is geweest met positief gevolg, wordt het advies van de commissie overgenomen voor de overlappende criteria (=behoud en beheer) in de externe audit, de andere criteria worden echter wel getest;




Als er een externe audit met positief gevolg is geweest, neemt de visitatiecommissie dit advies op voor de criteria waar er overlap is (behoud en beheer); o Wanneer er een positief inspectierapport van het ARA is wordt een externe audit van de desbetreffende zorgdrager verder in het auditplan opgeschoven of uiteindelijk niet opgenomen in het auditplan. Net zoals bij een visitatiecommissie wordt er bij positieve autistresultaten geen audit gedaan op criteria waar er overlap is. (zie vorige bullet). Merk op dat de auditor bij het opmaken van de auditplanning een zo goed mogelijk zicht moet hebben op bestaande samenwerkingsverbanden (bijvoorbeeld tussen de 13 OCMW’s van het Meetjesland). Een overzicht van alle verschillende samenwerkingsverbanden tussen zorgdragers zal worden aangeleverd door het Steunpunt vooraleer het auditplan wordt opgesteld. Wanneer het archiefbeheer op eenzelfde manier verloopt bij de verschillende leden, volstaat een audit bij één lid. Indien archiefbeheer op verschillende manieren gebeurt, dan wordt elk lid geauditeerd, maar idealiter op dezelfde dag. De situatie is anders voor archiefzorg: dat moet in alle gevallen voor elke partner van een samenwerkingsverband geauditeerd worden. Het plan omvat een looptijd van 6 jaar en het aantal audits is afhankelijk van de werklast voor het uitvoeren van een audit, de bezetting van het auditteam en de budgettaire middelen. Voorzie elk jaar een buffer die voldoende groot is om eventuele opvolgingsaudits uit te voeren. De voorziene buffer moet groter zijn naarmate de legislatuur vordert (daar er na verloop van tijd meer opvolgingsaudits moeten worden georganiseerd). Tevens moet er in het auditplan tijd voorzien zijn om een jaarlijks geaggregeerd rapport te maken per categorie zorgdrager. Voor meer details verwijzen we naar hoofdstuk VII: Rapportering. Het auditplan moet jaarlijks worden goedgekeurd door het Auditcomité. Vooraleer het volgende auditjaar aan te vatten, moet het afgelopen jaarplan geëvalueerd worden en eventueel moet op basis hiervan de planning van de volgende jaren worden aangepast.


VOORBEREIDEN VAN ÉÉN AUDIT De voorbereiding van de audit bestaat uit 4 onderdelen: het analyseren van de zelfevaluatie, het analyseren van monitoringinformatie, het opstellen en uitsturen van de aankondigingsbrief en tot slot het verwerken van reeds verkregen informatie.


Opstellen auditplan

Voorbereiding van een audit Analyse zelfevaluatie



Opvolgingsaudit

Ontwerpen rapport

Analyse m onitoring

Hoor-wederhoor

Aankondigingsbrief

Finaliseren rapport


Uitsturen rapport

Zoals eerder al aangegeven is het de taak van de Monitoring om zelfevaluaties op te vragen bij de verschillende zorgdragers. Wanneer zelfevaluaties beschikbaar zijn, worden deze door de Monitoring bij ontvangst doorgegeven aan de externe auditor. Vooraleer op plaatsbezoek te gaan analyseert de externe auditor de zelfevaluatie om zo al een beeld te hebben van het archiefbeheer en de archiefzorg bij de te bezoeken zorgdrager. Naast zelfevaluaties kan de Monitoring ook beschikken over monitoringinformatie die relevant kan zijn bij het voorbereiden van de audit. De externe audit verifieert bij Monitoring of er nuttige data beschikbaar is voor de te bezoeken zorgdrager of heeft rechtstreeks toegang tot de database waarin alle monitoringinformatie wordt verzameld. Ook inspectierapporten van het Algemeen Rijksarchief die inspecties uitvoert van de openbare archieven (ARA) worden als voorbereiding van de externe audit opgevraagd en doorgenomen. Dergelijk rapport kan bijkomende achtergrondinformatie verschaffen over de archiefwerking van de geauditeerde. Tot slot stelt de auditor een aankondigingsbrief / - mail op waarbij het doel, dagplanning en voor te bereiden documenten / lijsten worden opgesomd. Eventueel wordt van deze gelegenheid gebruik gemaakt om reeds bepaalde nuttige informatie op te vragen, die niet vervat zit in de zelfevaluatie of beschikbaar is bij het Steunpunt of de Monitoring. Dit betreft bijvoorbeeld: o structuur van de archiefdienst (plaats binnen de te auditeren organisatie, zijn er bijvoorbeeld contactpersonen binnen de verschillende departementen van de organisatie, eventuele samenwerkingsverbanden); o aantal strekkende meter archief; o aantal voltijds equivalenten effectief betrokken bij documentenbeheer; o bestaande procedures; o aantal verleende toegang in het kader van wetenschappelijk onderzoek; o selectielijst3; o recent overzicht van alle archiefdocumenten; o geactualiseerd overzicht van de openbare staten; o geactualiseerd overzicht van archiefdocumenten ontvangen van derden; o deontologische code; o lijst van vernietigde documenten van de laatste 18 maand; o geactualiseerd overzicht van aanvragen tot toegang;

3 We gaan er van uit dat de auditor beschikt over de recentste selectielijsten. Het is de verantwoordelijkheid van het Steunpunt om de auditor tijdig op de hoogte te stellen van eventuele aanpassingen aan de bestaande selectielijsten.


o jaarverslag van de archiefdienst of het departement waartoe de archiefdienst behoort; o beleidsnota’s of visiedocumenten van de archiefdienst of het departement waartoe de archiefdienst behoort; o indien de organisatie over een eigen interne auditdepartement beschikt dient men tevens de rapporten van eerder uitgevoerde audits in het kader van het Archiefdecreet op te vragen; o Overzicht van de locaties waar archief bewaard wordt. Naar aanleiding van de verstuurde aankondigingsbrief bestaat de kans dat de zorgdrager reeds vóór het plaatsbezoek enkele documenten ter beschikking stelt van de zorgdrager. De auditor trekt de nodige tijd uit om deze informatie vóór het plaatsbezoek te verwerken. Wanneer bepaalde lijsten beschikbaar zijn kan de auditor bijvoorbeeld reeds de steekproef bepalen. Daar er in het kader van het archiefdecreet vereisten zijn met betrekking tot het ontsluiten van informatie en in het algemeen ter voorbereiding van de audit, spreekt het voor zich dat de auditor ter voorbereiding ook de tijd neemt om de website van de zorgdrager te bekijken en op zoek te gaan naar relevante informatie / documenten in het kader van archiefbeheer binnen die organisatie. Deze voorbereiding zou de auditor tevens in staat moeten stellen om te bepalen welke personen binnen de zorgdrager dienen te worden geïnterviewd.


UITVOEREN VAN EEN AUDIT Opstellen audituniversum

Opstellen auditplan





Ontwerpen rapport

Analyse monitoring

Hoor-wederhoor

Aankondigingsbrief

Finaliseren rapport


Uitsturen rapport

Opvolgingsaudit

Merk op dat bij het nemen van steekproeven, de archiefstukken die toebehoren aan rechtsvoorgangers ook deel uitmaken van de te auditeren populatie. De uit te voeren controles zijn gebaseerd op de vereisten volgens artikel 9 van het Archiefdecreet van 9 juli 2010. Vooraleer de opgesomde controles af te toetsen dient de auditor de structuur van de zorgdrager, de structuur van de archiefdienst, de verschillende locaties (kantoren, plaats waar archief bewaard wordt), het werkdomein plus de rollen en verantwoordelijkheden van de geauditeerde te begrijpen en in kaart te brengen. Vragen hierbij zijn bijvoorbeeld: Plaats van de archiefdienst in het organogram? Wordt de archiefdienst gezien als een management ondersteunende dienst of wordt hun takenpakket eerder gelinkt aan Cultuur? Werden verantwoordelijken aangeduid in elk departement, afdeling of cel van de organisatie? Wie heeft welke verantwoordelijkheden binnen het proces van archiefbeheer en archiefzorg (zie ook punt 2.A hieronder). 1. Controle op de naleving van de bepalingen over archiefzorg zoals bepaald in artikel 5 en 6 van het Archiefdecreet van 9 juli 2010; A. Archiefdocumenten zijn onvervreemdbaar en zijn niet voor verjaring vatbaar.  Ga na of er een procedure bestaat die omschrijft welke stappen er gevolgd moeten worden wanneer stukken van de zorgdrager in het commerciële circuit worden aangetroffen. B. Bewaren van de archiefdocumenten in een goede, geordende en toegankelijke staat gedurende de volledige levenscyclus.  o

Bezoek het archief en controleer volgende zaken: De goede staat = toestand van de archiefdocumenten, waarbij deze bestaan uit voldoende duurzame materialen, in voldoende duurzame verpakking en onbeschadigd zijn, dan wel deze zo nodig in een zo veel mogelijk overeenkomstige toestand zijn gebracht, en waarbij deze zonder waarneembare schadelijke gevolgen kunnen worden geraadpleegd. Enkele indicatoren kunnen zijn: de organisatie van de bewaarplaats, het bestaan van een goed uitgewerkt onderhoudsschema, stukken worden verpakt bewaard en beschermd.


o o

De geordende staat = de toestand van een archief waarbij de archiefdocumenten zodanig zijn geordend, dat zij binnen een redelijke tijd gevonden en raadpleegbaar gemaakt kunnen worden. De toegankelijke staat = toestand van een archief waarbij de archiefdocumenten en de gegevens in de archiefdocumenten binnen redelijke tijd gevonden en raadpleegbaar gemaakt kunnen worden.



Test de goede, geordende en toegankelijke staat door 3 verschillende types van archiefdocumenten op te vragen in het begin van het plaatsbezoek en te registreren hoeveel tijd de geauditeerde zorgdrager nodig heeft om de deze documenten ter beschikking te stellen. Ga tevens na of de opgevraagde archiefdossiers voorzien zijn van metadata.



Beoordeel of de zorgdrager voldoende middelen ter beschikking stelt om het archief in goede, geordende en toegankelijke staat te bewaren. Eenmaal een auditor meerdere audits heeft uitgevoerd zal het mogelijk zijn om een vergelijkende tabel op te maken waarin per categorie zorgdrager enkele richtlijnen kunnen worden opgenomen die duiden wat men moet begrijpen onder ‘voldoende’ middelen. Het budget werkingsmiddelen voor het archief alsook het aantal VTE’s actief bij de zorgdrager zijn voorbeelden van parameters. Een andere parameter is het aantal strekkende meter archief ten opzichte van het aantal voltijds equivalenten in kaart gebracht. Daarnaast kunnen voor steden en gemeenten het aantal inwoners ten opzichte van het aantal strekkende meter archief worden uitgezet; voor OCMW’s kan men dan kijken naar het aantal leefloners ten opzichte van de totale bevolking van de gemeente. Via deze manier bekomt de auditor indicaties of het archief een redelijke grootte heeft. Tot slot zal de externe auditor zich hiervoor ook kunnen baseren op kengetallen die worden verzameld door de Monitoring. C. In geval van opgeheven of samengevoegde zorgdragers wordt de archiefzorg gedragen door de rechtsopvolger.  Indien de zorgdrager rechtsvoorgangers heeft (sinds 9 juli 2010), verifieer via observatie en interview of de archieven van de rechtsvoorgangers door de zorgdrager op eenzelfde manier beheerd worden en of de bestuurlijke verantwoordelijkheid is gegarandeerd. D. In geval gesplitste zorgdragers werd in onderlinge overeenstemming een regeling getroffen voor wat betreft de archiefzorg.  Indien de zorgdrager sinds 9 juli 2010 werd gesplitst, verifieer of er een uitgeschreven regeling voor wat betreft archiefzorg werd uitgewerkt. Ga tevens na of de regeling voldoet aan de vereisten van het Archiefdecreet van 9 juli 2010 en in realiteit ook daadwerkelijk wordt gerespecteerd.


2. Controle op het archiefbeheer zoals vermeld in artikel 7 van het Archiefdecreet van 9 juli 2010; A. De wijze waarop de zorgdrager zijn archiefdocumenten in goede, geordende en toegankelijke staat brengt en bewaart, wordt vastgesteld in procedures.  Ga na of er (één of meerdere) procedures werden opgesteld en vastgelegd die op een gedetailleerde manier beschrijven hoe de archiefzorg wordt georganiseerd om aan de bovenstaande vereisten te voldoen. De persoon of personen betrokken in de archiefzorg dient / dienen op de hoogte te zijn van het bestaan van deze procedure en de inhoud van de procedure. De procedure omvat op zijn minst de volgende bepalingen: o De toewijzing van rollen en verantwoordelijkheden binnen de archiefzorg (wie is er met het archiefbeheer belast? Wie moet de beheersmaatregelen uitvoeren); o Beschrijven van het proces (van creatie, verwerving of ontvangst tot eventuele vernietiging); o Beschrijven van beheersmaatregelen voor elke categorie van archiefdocumenten; o Bewaarstrategieën voor digitale en analoge archiefdocumenten; o Beveiliging; o Acquisitie en vervreemding; o Selectie; o Registratie van administratieve, technische en beheersmetadata; o Substitutie; o Inventarisering; o Raadpleging; o Materieel beheer.

 Ga na of de design van de voorgenoemde procedure(s) correct is waarbij voldaan wordt aan de volgende minimale kwaliteitsvereisten. Deze minimale kwaliteitsvereisten worden door het Steunpunt gedefinieerd en waren op het moment dat deze methodologie werd uitgeschreven nog niet beschikbaar.  Ga na op welke manier de zorgdrager waakt over de toepassing en evaluatie van deze procedures, overeenkomstig zijn eigen systeem van interne controle. Hoe garandeert de zorgdrager met andere woorden dat de procedures nageleefd worden en dat de vooropgestelde maturiteit van organisatiebeheersing op vlak van archiefbeheer wordt bereikt (bv: communicatie van procedures, opleiding, evaluatie van het systeem, …)  Ga na of de procedures formeel goedgekeurd zijn door een geautoriseerd persoon bij de zorgdrager.  Breng ook in kaart of de zorgdrager een uitgeschreven visie heeft rond de archiefzorg en archiefbeheer binnen zijn organisatie. Een goed uitgeschreven visie getuigt van professionaliteit en toont aan dat de zorgdrager op een geïntegreerde manier met archiefbeheer omgaat. Een visie rond digitalisering of bijvoorbeeld hoe men de maturiteit en kwaliteit van het archiefbeheer tracht te verbeteren zijn hiervan voorbeelden.


B. De archiefdocumenten worden ontsloten4 in openbare staten die bekendgemaakt worden.  Beschrijf kort (2-tal paragrafen) hoe het proces van ontsluiting is opgezet of verwijs naar relevante passages in bestaande procedures.  Selecteer 10 documenten uit het archief5 (indien er meerdere depots zijn dan dient de steekproef verspreid te zijn over de verschillende depots) en verifieer of deze werden ontsloten in openbare staten die bekendgemaakt werden. Tracht de selectie te beperken tot documenten gearchiveerd na 9 juli 2010.  Indien de verschillende archiefdepots te ver uit elkaar leggen of indien er te veel depots zijn kan de auditor opteren om zich te beperken tot enkele archiefdepots of om op basis van een overzicht van alle archiefdocumenten, 10 documenten te selecteren en na te gaan of ze ontsloten werden in openbare staten die bovendien bekendgemaakt werden.  Bij het vinden van excepties wordt de steekproef vergroot tot maximaal nogmaals 10 documenten.  Ga tevens na of de zorgdrager over een geactualiseerd overzicht beschikt van de staten die de onder hem berustende archiefdocumenten beschrijven. Hierbij zijn minstens opgenomen: o de context en structuur van de archiefdocumenten; o het ordeningssysteem; o de beperkingen op de raadpleegbaarheid; o hun vindplaats of het informatiesysteem waarin ze zijn opgeslagen. C. De archiefdocumenten die de zorgdrager door een derde heeft ontvangen, en die door de wilsuiting van die derde niet of beperkt raadpleegbaar zijn, worden in een openbare staat beschreven, die bekendgemaakt wordt.  Beschrijf kort (2-tal paragrafen) hoe men tewerk gaat wanneer documenten van derden worden ontvangen of verwijs naar relevante passages in bestaande procedures.  Ga na of de zorgdrager archiefdocumenten heeft ontvangen van een derde (en dus niet heeft ontvangen of opgemaakt uit hoofde van zijn activiteiten of taken of ter handhaving van zijn rechten). Indien deze documenten 6 op vraag van die derde niet of beperkt raadpleegbaar zouden zijn, ga na of dit staat beschreven in een openbare staat die werd bekendgemaakt. Indien dit veel archiefdocumenten omvat van meerdere derden, maak een selectie van 5 van die derden en voor de selectie ga na of deze documenten werden beschreven en bekendgemaakt in een openbare staat.  Bij het vinden van excepties wordt de steekproef vergroot met nogmaals maximaal 5.

4

Ontsluiting betekent dat de archiefdocumenten niet op een individueel documentniveau maar op een

geaggregeerd niveau beschreven zijn in een overzicht.

5 6

Selectie niet te beperken tot het permanent archief. Voorbeelden van verworven archiefdocumenten zijn privaatrechtelijke archiefbestanden van kunstenaars,

schrijvers, politici of notabelen. 21 Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers

D. Uitvoerders van het archiefbeheer zijn voldoende deskundig om die taak uit te voeren.  Geef, via interview, een beroepsmatig oordeel over de deskundigheid van de personen betrokken in het archiefbeheer. Deskundigheid wordt nader bepaald als het hebben gevolgd van een geschikte, relevante opleiding of het hebben van relevante beroepservaring.  Ga na of er functieprofielen zijn of taakomschrijvingen voor iedereen die een bepaalde rol heeft binnen het archiefbeheer.  Ga na of de ambtenaren belast met het archiefbeheer gevormd of gekwalificeerd zijn als archivaris, bibliothecaris of documentalist.  Wanneer er naast een centrale archiefdienst ook personen in lokale afdelingen, departementen of cellen van de organisatie aangeduid zijn als archiefverantwoordelijke, gaat de auditor na in welke mate deze personen gevormd zijn. Zijn er interne opleidingen? Zijn de relevante procedures voor de bevoegde personen beschikbaar (bv: via het intranet)?  Daar archiefbeheer een zaak is van iedereen binnen een organisatie (denk maar de beslissing om tijdig iets naar het archief te sturen) is het de taak van de auditor om na te gaan of iedereen op de hoogte is van de interne regels rond documentbeheer. Is dit bijvoorbeeld onderdeel van het introductieprogramma bij de indiensttreding van een werknemer? Zijn relevante procedures voor iedereen beschikbaar (bv: via intranet)?  De auditor verzamelt bewijsmateriaal die aantoont dat er binnen de organisatie voldoende aandacht is voor bewustmaking / opleiding (copies van interne opleidingen, bewijs dat documentbeheer onderdeel is van het introductieprogramma, bewijs dat procedures voor de relevante personen beschikbaar zijn, …). E. Uitvoerders van het archiefbeheer zijn onderworpen aan een deontologische code.  Ga na of de uitvoerders de deontologische code van de archivarissen kennen en hebben overgenomen. Deze code is opgemaakt en vastgelegd door de International Council on Archives. Indien niet deze code wordt gebruikt dan moet hun deontologische code op zijn minst op de deontologische code van de International Council on Archives zijn gebaseerd.  Indien zorgdragers krachtens organieke decreten op de lokale besturen een andere deontologische code moeten aannemen hebben zij tegenstrijdigheden geanalyseerd, formeel een beslissing hierover genomen en deze dan ook gemotiveerd7.  Verifieer via interview of deze deontologische code wordt voorgelegd aan elke nieuwe medewerker die binnen de Archiefdienst begint.  Ga na of de deontologische code werd ondertekend door de medewerker en of er relevante opleiding werd voorzien.

7 Enkel relevant voor OCMW’s, provincies en gemeenten. 22 Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers

3. Controle op de naleving van de selectielijsten zoals vermeld in artikel 12 van het Archiefdecreet van 9 juli 2010; A. Archiefdocumenten kunnen alleen vernietigd worden wanneer de zorgdrager over een vastgestelde selectielijst beschikt en als die vernietiging overeenstemt met de bepalingen van de vastgestelde selectielijst.  Beschrijf kort (2-tal paragrafen) hoe het proces van vernietiging is opgezet of verwijs naar relevante passages in bestaande procedures. (zie punt 2.A hierboven)  Ga na via interview of de zorgdrager op de hoogte is van het feit dat archiefdocumenten enkel vernietigd mogen worden wanneer dit in overeenstemming is met de bepalingen van de vastgestelde selectielijst.  Controleer via interview of de verantwoordelijke voor archiefbeheer op de hoogte is van de bepalingen in de vastgestelde selectielijst.  Vraag naar een lijst van alle vernietigde documenten van de afgelopen 18 maanden en voor een selectie van 10 vernietigde documenten controleer volgende zaken: o Vond de vernietiging effectief plaats na de in de selectielijst vastgestelde bewaringstermijn. Hou hier wel rekening met eventuele veranderingen in deze bewaringstermijn. De kans bestaat namelijk dat een type document eerder een bewaringstermijn van 5 jaar had, vernietigd werd na die 5 jaar en dat de bewaringstermijn vanaf nu bijvoorbeeld 10 jaar is voor dergelijke documenten; o Was de definitieve bestemming van de vernietigde documenten ook effectief ‘vernietiging’ volgens bepalingen opgenomen in de selectielijst; o Kan men motiveren op welke manier de vernietiging in lijn is met de bepalingen in de vastgestelde selectielijst.  Indien de zorgdrager een aanvullende, specifieke selectielijst heeft opgesteld, ga na of deze werd goedgekeurd door de bevoegde selectiecommissie. Merk op dat in dergelijke geval de bovenvermelde controles dienen te gebeuren tegenover deze specifieke selectielijst. B. Zorgdragers houden van de vernietiging van archiefdocumenten een gedateerde verklaring bij, die ten minsten een specificatie van de vernietigde archiefdocumenten bevat, en die aangeeft op grond waarvan de vernietiging is uitgevoerd. Die verklaring is openbaar en wordt bekendgemaakt overeenkomstig de bepalingen van de Vlaamse Regering.  Ga na of de verklaring van vernietigingen op een gestructureerde wijze worden bewaard en voor een selectie van 10 (zelfde selectie als onder punt 3.A), ga na of deze: o gedateerd zijn; o de specificaties van de vernietigde documenten bevat; o de motivatie van de vernietiging bevat; o op welk moment ze vernietigd werden; o krachtens welke selectielijst ze vernietigd werden. 

Voor diezelfde selectie, ga na of de verklaring openbaar gemaakt werden.


 Voor diezelfde selectie, ga na of de verklaringen overeenkomstig de bepalingen van de Vlaamse Regering zijn.  Indien er excepties worden vastgesteld, dan wordt de steekproef vergroot met maximaal 10 items. 4. Controle op het verlenen van toegang tot archiefdocumenten voor wetenschappelijke doeleinden zoals vermeld in artikel 14 van het Archiefdecreet van 9 juli 2010; A. De zorgdrager kan enkel toegang verlenen wanneer de toegang verzocht wordt voor wetenschappelijke doeleinden.  Beschrijf kort (2-tal paragrafen) hoe het proces van toegang verlenen is opgezet of verwijs naar relevante passages in bestaande procedures.  Documenteer hoeveel maal er sinds 8 juli 20108 toegang werd verleend tot documenten die nog niet openbaar zijn conform artikel 13 van het Archiefdecreet van 9 juli 2010. Voor een selectie van maximaal 5, verifieer of de toegang effectief verleend werd voor wetenschappelijke doeleinden. Onderzoek met louter commerciële beweegredenen, kan niet gezien worden als wetenschappelijk onderzoek alsook genealogen (onderzoek naar stambomen) kunnen geen gebruik maken van deze specifieke toegang tot het archief. 9 B. De aanvraag tot toegang moet aan bepaalde eisen voldoen.  Voor die selectie van maximaal 5 (zie punt 4.A) ga na of de aanvraag gericht is aan de relevante zorgdrager en of de aanvraag minstens: o Een bewijs van identiteit van de aanvrager bevat; o Een vermelding van de te raadplegen archiefdocumenten; o Een omstandige motivering en beschrijving van de wetenschappelijke doeleinden en de onderzoeksmethoden die gebruikt zullen worden. C. De beslissing over de aanvraag is gedocumenteerd en moet aan bepaalde criteria voldoen.  Voor die selectie van maximaal 5 (zie punt 4.A) ga na of er een contract werd opgesteld (eventueel gebruik makende van het standaardcontract van het Steunpunt) en of de beslissing gebaseerd werd op volgende criteria: o Het wetenschappelijk karakter van de doeleinden; o De wetenschappelijke meerwaarde van de doeleinden; o De mogelijkheid voor de zorgdrager op het ongepubliceerde onderzoeksresultaat in te kijken; o De mate van verspreiding van het onderzoeksresultaat; o De wijze waarop persoonsgegevens geanonimiseerd worden; o De mate waarin afbreuk gedaan wordt aan de beperkingen die bij wet of decreet gesteld worden aan de openbaarheid van bestuur.

8 Indien de zorgdrager reeds onderworpen was aan een externe audit op de archiefzorg moet ‘sinds 8 juli 2010’ vervangen worden door ‘sinds de vorige audit’ 9 Wetenschappelijke doeleinden of wetenschappelijk onderzoek strekt ertoe wetmatigheden, gedragsregels en oorzakelijke verbanden vast te stellen die alle personen op wie zij betrekking hebben, overstijgen. Wetenschappelijk onderzoek of wetenschappelijke doeleinden zijn gericht op de beschrijving van globale verschijnselen. 24 Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers

D. De beslissing over de aanvraag wordt, onverminderd delegatie, genomen door een bevoegd persoon.  Voor die selectie van maximaal 5 (zie punt 4.A), ga na of de beslissing werd genomen door een bevoegd persoon. Voor een lijst van bevoegde personen verwijzen we naar §4 van artikel 14 van het Archiefdecreet van 8 juli 2010.  Indien de bevoegdheid van goedkeuring werd gedelegeerd, ga na of de delegatie van bevoegdheid werd gedocumenteerd en goedgekeurd door een bevoegd persoon / orgaan binnen de organisatie. E. Onder bepaalde voorwaarden kan de aanvraag van toegang tot het archief geweigerd worden.  Voor een selectie van maximaal 5 goedgekeurde aanvragen, ga na of deze eventueel niet geweigerd moesten worden om één van volgende redenen: o De opgevraagde documenten zijn onderhevig aan geheimhoudingsbepalingen; o De opgevraagde documenten bevatten informatie die door derden vrijwillig is verstrekt en uitdrukkelijk als vertrouwelijk is bestempeld; o De opgevraagde documenten bevatten vertrouwelijke commerciële en industriële informatie, die om een gelegitimeerd economisch belang te vrijwaren beschermd wordt; o De opgevraagde documenten werden op contractuele basis verworven waarvan tijdelijke geheimhouding werd gestipuleerd. F.

De aanvraag wordt door de zorgdrager binnen de 60 kalenderdagen schriftelijk of elektronisch beantwoord.  Voor die selectie van maximaal 5 aanvragen, ga na of de zorgdrager deze binnen de 60 dagen heeft beantwoord. In geval van een negatieve of gedeeltelijke positieve beslissing bevat dit antwoord de reden van weigering.  o o o o

Merk op dat de motiveringsverplichting niet: De uitwendige veiligheid van de Staat in het gedrang brengen; De openbare orde verstoren; Afbreuk doen aan de eerbied voor het privéleven; Afbreuk doen aan de bepalingen over de zwijgplicht.

5. Identificatie van de mogelijkheden tot verbetering van de effectiviteit en de efficiëntie van het archiefbeheer van de betrokken zorgdragers.  Het is de taak van auditor om aan de hand van bovenvermelde controles en het bezoek aan het archief eventuele verbetervoorstellen te formuleren en op te nemen in het rapport.


RAPPORTEREN Opstellen audituniversum

Opstellen auditplan





Ontwerpen rapport

Analyse monitoring

Hoor-wederhoor

Aankondigingsbrief

Finaliseren rapport


Uitsturen rapport

Opvolgingsaudit

ONTWERPEN VAN HET RAPPORT De externe auditor bundelt al de bevindingen in een auditrapport dat uit volgende hoofdstukken bestaat: o o o o

Inleiding; Managementsamenvatting; Beschrijving van de archiefdienst (structuur, werkdomein); Resultaten plaatsbezoek  Beschrijving van de archiefdienst: Beschrijf hier de volgende zaken: Plaats van de archiefdienst in het organogram van de instelling, het personeelsbestand (overlap met monitoring), de begroting, beschikt archiefdienst over specifieke lokalen? Indien er geen echte archiefdienst is, welke ambtenaar is dan belast met het beheer van het archief en voor de archiefzorg?  Conclusies rond monitoringinformatie  Bevindingen en verbetervoorstellen  Verwijzing naar artikel in het Archiefdecreet  Beschrijving as-is en de non-conformiteit met het Archiefdecreet  Eventueel beschrijving van het risico / de implicatie  Voorstel beste praktijk (verbetervoorstel) op basis van gegevens en document die door het Steunpunt ter beschikking werden gesteld. Dit door te verwijzen naar de exacte locatie van de beste praktijk op de website van het Steunpunt.  Actieplan, ingevuld door zorgdrager (inclusief vermelden van actie-eigenaar en deadline);  Maturiteitscore.

Merk op: In geval er samenwerkingsverbanden zijn tussen verschillende zorgdragers (zie bijvoorbeeld de 13 OCMW’s in het Meetjesland) is het streefdoel om de resultaten van dat ene plaatsbezoek te bundelen in één rapport waarbij er eventueel onderscheid wordt gemaakt tussen de verschillende zorgdragers mochten er verschillen zijn op vlak van archiefbeheer. Wanneer deze verschillen significant zijn kan de auditor eventueel opteren om een rapport per zorgdrager op te stellen.


Volgende template wordt gebruikt om de bevindingen uit te schrijven: Referentie bevinding

Zorgdrager

XXX/YYY/DD

Naam zorgdrager

Titel bevinding XXXXXXXXXXXX

Observatie

 Verwijzing naar artikel in het Archiefdecreet  Beschrijving as-is en de non-conformiteit met het Archiefdecreet  Eventueel beschrijving van het risico / de implicatie

Aanbeveling

 Voorstel beste praktijk (verbetervoorstel) op basis van gegevens en document die door het Steunpunt ter beschikking werden gesteld. Dit door te verwijzen naar de exacte locatie van de beste praktijk op de website van het Steunpunt.

Actieplan Deadline MM/DD/YYYY

Beschrijving van welke acties er concreet zullen worden opgezet Actie-eigenaar Naam van de persoon die de goede implemenatie van de verbeteractie zal opvolgen.

Op basis van de voorgedefinieerde maturiteitschaal geeft de auditor een maturiteitscore voor het globaal archiefbeheer en archiefzorg van de auditor.

Internal Control Maturity Level Level 1

Level 2

Level 3

Level 4

Level 5

Initial / Ad hoc

Repeatable / Not formalized

Defined

Managed / Measurable

Optimized

* Control Activity is considered as relevant. * Roles and responsabilities are however not clearly defined. * Control activity is performed every now and then by different staff.

* Control activity is considered relevant, even important. * Roles and responsabilities are defined. * Control documentation is not yet in place, but Control Activity is performed in a standard (informal) way.

* Control activity forms part of a well-described process that is communicated to all parties involved.

* Control activity forms part of a well-described process that is communicated to all parties involved.

* People are trained.

* People are trained.

* Control Activity is documented.

* Control Activity is documented.

* Internal controls are part of the day-to-day process (fully embedded), monitored on real time basis by management, benchmarked externally and contineously improved.

* Non-compliance is noticed through ongoing monitoring of controls.

Het spreekt voor zich dat de auditor verantwoordelijk is voor het bewaren van alle documenten / bewijsmateriaal die de bevidingen in het auditrapport ondersteunen.


Hoor-wederhoor Het ontwerprapport wordt binnen de 10 werkdagen naar de geauditeerde doorgemaild. De geauditeerde zorgdrager krijgt op zijn beurt 10 werkdagen de tijd om formeel te reageren op het ontwerprapport door in de voorziene ruimtes het actieplan, de deadline en de actieeigenaar in te vullen.

Finaliseren van het rapport Naar aanleiding van de commentaar van de geauditeerde bestaat de kans dat er bepaalde zaken in het rapport moeten worden aangepast om zo te komen tot een finaal rapport. We herhalen hier dat het de bedoeling is om per uitgevoerde audit een auditrapport op te stellen met gedetailleerde opmerkingen en aanbevelingen waarbij verwezen wordt naar de beste praktijken opgesteld door het Steunpunt.

Uitsturen van het rapport Het initiële opzet van de externe audits is om een verbetertraject te lanceren en de kwaliteit van het archiefbeheer en de archiefzorg over alle zorgdragers heen, te verbeteren. Deze doelstelling in gedachten houdende is het aangewezen om het finale auditrapport niet openbaar te maken. Wanneer auditrapporten namelijk ver buiten de geauditeerde organisatie worden verspreid, bestaat de kans dat de geauditeerde de externe auditor niet langer als adviesorgaan (zie verbetertraject) gaan percipiëren, maar eerder als een controle-instantie die enkel en allen maar conformiteit met het Archiefdecreet checkt en geen begeleidende / coachende rol op zich neemt door beste praktijken voor te stellen. Het finale rapport moet binnen de 5 werkdagen na ontvangst van de commentaren van de geauditeerde (hoor-wederhoor) worden opgestuurd naar de zorgdrager en meer specifiek naar de raad, het managementteam en het uitvoerend orgaan (deputatie, college, OCMWvoorzitter en de Raad van Bestuur). Omdat de resultaten van de audits ook relevante informatie bevatten voor het Steunpunt wordt het rapport ook ter hun beschikking gesteld. Merk op dat tevens de volgende rapporten dienen te worden opgesteld ter attentie van het Steunpunt: 1) Halfjaarlijks algemeen rapport met voornaamste conclusies omtrent ontbrekende beste praktijken of vaak voorkomende tekortkomingen waar het Steunpunt prioritair aandacht dient aan te besteden vanuit hun coachende en begeleidende rol naar zorgdragers toe.

2) Jaarlijks geaggregeerd rapport per type zorgdrager waarin de algemene bevindingen en maturiteit worden weergegeven. Dit rapport kan, naast deze inhoudelijke analyse, ook cijfermatige analyses bevatten (bv: aantal geauditeerd,


gemiddelde maturiteit, etc). De algemene structuur van het rapport wordt in overleg met het Steunpunt opgesteld.

UITVOEREN VAN EEN OPVOLGINGSAUDIT Doel is te verifiëren of opgemerkte Uitvoeren van Voorbereiding Rapporteren Opstellen Opstellen een audit – het van een audit over de audit audituniversum auditplan plaatsbezoek verbeterpunten uit eerdere audits wel degelijk opgevolgd worden door de zorgdrager en of er actie werd ondernomen om het geïdentificeerde risico in te perken door bijvoorbeeld bijkomende beheersmaatregelen te implementeren. Analyse zelfevaluatie

Opvolgingsaudit

Ontwerpen rapport

Analyse monitoring

Hoor-wederhoor

Aankondigingsbrief

Finaliseren rapport


Uitsturen rapport

De voorbereiding van een opvolgingsaudit bestaat uit het aankondigen van de audit per brief / mail. Het is aangewezen om het rapport van de eerdere audit in bijlage van de communicatie op te nemen en duidelijk te vermelden dat de omvang van deze audit zich beperkt tot het opvolgen van de openstaande aanbevelingen. In deze brief / mail wordt de zorgdrager ook vriendelijk verzocht om voor het plaatsbezoek reeds de status van de openstaande aanbevelingen te confirmeren. Indien nodig kunnen relevante documenten (bv: nieuwe procedures) op voorhand worden opgevraagd. Het plaatsbezoek van een opvolgingsaudit zal gemiddeld een tweetal uur in beslag nemen, maar is natuurlijk sterk afhankelijk van het aantal te bespreken openstaande punten. Merk op dat er voor het uitvoeren van het plaatsbezoek contact kan worden opgenomen met het Steunpunt om eventuele beste praktijkvoorbeelden te kunnen aanreiken aan de geauditeerde.


PLAN

VAN AANPAK OM DE AUDIT OP ORGANISATORISCH NIVEAU VORM TE GEVEN

Oprichten van een Auditcomité Een onafhankelijk Auditcomité dient te worden opgericht met een meerderheid aan onafhankelijke leden en geen aanwezigheid van personeelsleden van zorgdragers. De externe auditor van het Archiefdecreet rapporteert rechtstreeks aan dit Auditcomité op een regelmatige basis (bv: kwartaalbasis) waarbij belangrijkste bevindingen, voortgang van het auditplan, opvolging van openstaande actieplannen en de budget status worden toegelicht. Het Auditcomité heeft bovendien als taak om het auditplan formeel goed te keuren. Hierbij moet men rekening houden met het bestaande Auditcomité van IAVA en het nog op te richten Auditcomité in het kader van de externe audit Vlaamse lokale besturen (zie de nota aan de leden van de Vlaamse Regering betreffende de externe audit van de Vlaamse lokale besturen.

Overzicht van de puzzel Verschillende partijen hebben belangen als we spreken over het uitvoeren van een externe audit in het kader van het Archiefdecreet. De onderstaande paragrafen geven weer wat van wie wordt verwacht. Steunpunt – auditor: o Uitwisselen van zelfevaluaties; o Informeren over aangepast audituniversum (samengevoegde, gesplitste of ontbonden zorgdragers); o Informeren over aangepaste selectielijsten; o Informeren over nieuwe beste praktijken (en updates op de site); o Bij opstart van de externe audit: auditors (mini) opleiding informatiebeheer geven met aandacht voor de structuur van het werkveld, het archiefdecreet en de belangrijkste begrippen. Auditor – Steunpunt o Finale rapport per zorgdrager bezorgen. Het Steunpunt kan ondermeer het rapport vergelijken met de eventueel beschikbare zelfevaluaties; o Eventuele rapporten van opvolgingsaudit bezorgen; o Geaggregeerde rapporten per categorie zorgdrager bezorgen Monitoring – Auditor o Bezorgen van alle beschikbare monitoringinformatie; o Informeren over nieuwe, aangepaste monitoringinformatie. Auditor - Monitoring o Informeren over resultaten van audit m.b.t. het toetsten van de beschikbare monitoringinformatie.


Auditor - Visitatiecommissies - auditor o Informeren over resultaten van audit.  Als er een visitatiecommissie is geweest met positief gevolg, wordt het advies van de commissie overgenomen voor de overlappende criteria (=behoud en beheer) in de externe audit, de andere criteria worden echter wel getest.  Als er een externe audit met positief gevolg is geweest, neemt de visitatiecommissie dit advies op voor de criteria waar er overlap is (behoud en beheer). o Informeren over auditplan om meerdere bezoeken bij zelfde zorgdrager te vermijden. Auditor - ARA - auditor o Uitwisselen van rapporten vanuit het standpunt van single audit (ARA rapporten worden bij de externe audit gelezen ter voorbereiding en vermijding van mogelijks opvragen van gelijkaardige gegevens).  Net zoals bij een visitatiecommissie wordt er bij positieve autistresultaten geen audit gedaan op criteria waar er overlap is. (zie vorige bullet) o Informeren over auditplan om meerdere bezoeken bij zelfde zorgdrager te vermijden.

De nodige middelen Bij het inschatten van de kostprijs voor het uitvoeren van een externe audit in het kader van het Archiefdecreet werd uitgegaan van het feit dat 1 afzonderlijke audit (voorbereiding, plaatsbezoek, rapportering) gemiddeld 3,5 mandagen in beslag neemt waarvan 3 mandagen voor een senior auditor en een halve mandag voor de audit manager. Voor grotere zorgdragers kan de totale duurtijd van de audit iets meer zijn dan voor kleinere zorgdragers. Bij de berekening van de nodige middelen gaan we uit van 210 werkdagen in een kalenderjaar. Voor algemene communicatie en opvolging met ondermeer het Steunpunt, Monitoring of betrokken overheidsinstellingen, voor het opzetten van het auditplan, schrijven van overkoepelende rapporten en voor het volgen van opleidingen worden in totaal 35 dagen voorzien. Zo komen we tot 175 beschikbare werkdagen. Dit resulteert in het feit dat een senior auditor in het beste geval een 58-tal audits op jaarbasis kan uitvoeren. Wanneer we het aantal zorgdragers (zie punt III) en de prioritering van de zorgdragers (zie punt IV) in rekening brengen komen we tot onderstaande tabel: Zorgdrager o Administratieve rechtscolleges

aantal

steekproef

totaal

3

100%

3 107 72 308

o Diensten, instellingen en rechtspersonen die afhangen van de Vlaamse Gemeenschap of het Vlaamse Gewest

203

aan 100% aan 75% o Gemeenten en districten o Provincies o Intergemeentelijke samenwerkingsverbanden o OCMW’s en hun verenigingen o Kerkfabrieken en de instellingen belast met het beheer van de temporaliën van de erkende erediensten o Polders en wateringen o Andere gemeentelijke en provinciale instellingen zoals autonome bedrijven, EVA’s, IVA’s, …

107 96 308

100% 75% 100%

5

100%

5

96

75%

72

391

100%

391

2117

0%

0

71

0%

254

100%

0 254 1.212,00


Hieruit blijkt dat er 1.212 zorgdragers per legislatuur moeten worden geauditeerd. Rekening houdende met het feit dat er wordt ingeschat dat een senior auditor een 58-tal audits per jaar kan uitvoeren, komt dit er op neer dat er ongeveer een 3,5 senior auditors nodig zijn. Om de auditactiviteiten in goede banen te leiden, consistentie en kwaliteit van dienstverlening te verzekeren is er tevens 1 audit manager nodig.


FINAAL RAPPORT. Methodologie voor het uitvoeren van een externe audit op vlak van archiefbeheer bij zorgdragers

Recommend Documents