Interne audit in de FOD Mobiliteit en Vervoer
Josiane Van Waesberghe – FOD Mobiliteit en Vervoer
Studiedag Modernisering van de Controlepiramide Instituut van de Overheid 12 mei 2005 FOD
Agenda
Agenda •Huidige en toekomstige praktijken van interne audit en risicoanalyse in de FOD Mobiliteit en Vervoer •Consequenties en uitdagingen van de recente hervormingen op vlak van Interne audit op de controlepraktijk in de federale overheidsdiensten
3
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Huidige en toekomstige praktijken
Historisch … • Bestaande interne auditdienst – Op niveau Voorzitter – Charter, deontologie, methodologie, opleidingen – Operationele audits, conformiteitsaudits, financiële overeenstemmingsaudits en kwaliteitsaudits; IT-audit via externen – Ook adviesverlening (vb. prestatiemeting, interne controle, risicobeheer, risicoanalyse)
• Evaluatie door het Rekenhof 2002 (160ste boek) – Door het Rekenhof begeleide zelfevaluatie (CSA) op basis van een COSO-vragenlijst gestructureerde aanpak nodig voor risicobeheersing Interne audit moet verder uitgebouwd worden en moet zijn werking op risicoanalyse baseren 5
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Evolutie tijdens en na Copernicus •Bestaande dienst afgebouwd en weer in opbouw •Alignering met het bestaande KB Interne audit •Overgang naar risicogebaseerde werking •COSO-ERM als raamwerk voor risicobeheer en interne controle •Integratie risicobeheer en interne controle in dagelijkse werking van de FOD en van interne audit •Grote impact kwaliteitssystemen: Europese vereisten 6
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Waarom risicogebaseerde audits? • Kenmerken oud model: Controlegebaseerde audits
7
• Kenmerken nieuw model: Risicogebaseerde audits
– Nadruk op controle en compliance
– Nadruk op risico’s en adviesgeving
– Reactieve audits
– Proactieve audits
– Perceptie van ‘controleur’, weinig toegevoegde waarde
– Perceptie van adviesgever, hoge toegevoegde waarde
– Hokjes-mentaliteit van de interne audit
– Interne audit als onafhankelijk, maar actief lid, communicator
– Verband met en relevantie t.o.v. doelstellingen vaak onzeker
– Verband met en relevantie t.o.v. de doelstellingen meetbaar
– Losstaand van de beheerssystemen
– Geïntegreerd met bestaande systemen
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Risicobeheer bij FOD Mobiliteit en Vervoer • De eerste component: – Bepaalt het risicoprofiel van de organisatie (wat kan er fout gaan?) – Legt de basis voor een risicobeheerstrategie een standaard per type van risico (hoe willen we ermee omgaan?) – Evalueert en verbetert de bestaande antwoorden op risico’s, of ontwikkelt antwoorden; deze zijn aan monitoring onderhevig (hoe gaan we er nu mee om?)
Statische risicobepaling • De tweede component: – Identificeert veranderingen en hun invloed – Evalueert de relevantie van de bestaande strategie – Beantwoordt het risico m.b.t. de verandering – Ontwikkelt monitoring met betrekking tot de risicorespons – Gebruikt deze informatie om de acties rond het risico te verbeteren
Dynamisch risicobeheer 8
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Wat betekent geïntegreerd risicobeheer voor interne audit? • De risicomodellen omvatten minstens de risico’s die in de IIA standaarden vermeld worden, voor zover van toepassing op een overheidsomgeving; in feite breiden de modellen de groep risico’s uit • Conformiteit met de recente ontwikkelingen op gebied van risk management: COSO-ERM • Systeem van voortdurende controle-evaluatie (Control Assessment), met een gedeelte zelf-evaluatie (statische evaluatie en stap 1 van DIRM) en een gedeelte gebaseerd op informatie uit andere bronnen (extern en intern) waardoor de relevantie van de risico-controle matrix stijgt DIRM (methodologie risicobeheer) verhoogt de directe toegevoegde waarde van interne audit, door de nadruk te leggen op de belangrijkste blootstellingen 9
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Het strategische risicomodel van de FOD • Model – Ontwikkeld in samenwerking met de een externe partner – Set van 64 specifieke risicobeschrijvingen en 128 vragen – Onderverdeling per categorie en type risico • Uitvoering van risicoanalyse – Gezamenlijke verantwoordelijkheid van de stafdienst Interne audit en de funcite risicobeheer – Ieder gebruikt de resultaten voor eigen doeleinden – Audit behoudt zijn onafhankelijkheid door objectieve positionering t.o.v. de resultaten • Resultaten van de risicoanalyses – Opleverbaar resultaat voor auditcomité en politiek verantwoordelijken 10
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Auditevaluatiecriteria en DIRM (voorbeelden)
• Evaluatiecriterium voor IA
• DIRM antwoord
– Complexiteit van de transacties
– Doorlooptijd, procesbreuken … opgenomen in risicomodel (RM)
– Aantal personeelsleden
– Beschikbaarheid, relevantie van competenties, training, motivatie opgenomen in RM
– Grootte van het beschikbare budget
– Beschikbaarheid en impact van niet beschikbaarheid opgenomen in RM
– Resultaten van vorige audits
– Bevindingen vorige audits opgenomen in IRS (incident reporting system)
De risicomodellen kunnen de (standaard)evaluatiecriteria voor het opstellen van de auditplanning opnemen als risico in de DIRM evaluatie. Ze gaan er dieper op in, waardoor de relevantie van deze informatie voor de auditplanning stijgt.
11
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Verantwoordelijkheden rond de risicocontrolematrix Hoog
Risico’s ondergecontroleerd A
Functie risicobeheer en procesverantwoordelijken: Proces/controle hertekening
B
Niveau van inherent risico
Risico’s optimaal gecontroleerd
Risico A: Hoog risico, lage controle Risico’s overgecontroleerd
Laag
E Laag
12
Interne audit: efficiëntieaudits
D
C
Niveau van risicobeheer (controle)
Controlepiramide in de Federale Overheid
Interne Audit: validatie van het controleniveau
Hoog
Risico B: Hoog risico, medium controle Risico C: Laag risico, lage controle Risico D: Medium risico, hoge controle Risico E: Laag risico, hoge controle
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Risico-controlematrix van een operationele dienst • De meeste van de besproken risico’s bevinden zich in het gebied ‘hoog risico-lage controle’ • Dit is het werkgebied van de functie risicobeheer, eventueel ondersteund door interne audit (beste praktijken) • De risico’s mogen echter niet los van de onderlinge verbanden behandeld worden … 13
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Resultaat SRA: Bronrisicoanalyse
14
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Consequenties en uitdagingen
Van externe naar interne controle: de controleverantwoordelijkheden • Risico’s boven de aanvaardbare risiconiveau’s: – Niet adequaat beheerd en beheerst ⌦ Ex-ante controles • Risico’s binnen of beneden de aanvaardbare risiconiveau’s: – Adequaat beheerd en beheerst ⌦ Ex-post controle 16
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Consequenties • Ex-ante naar ex-post controles – De bestaande externe controle organen dienen voldoende zekerheid te hebben over de kwaliteit van de aanwezige interne controles – Definiëring van de interactie tussen interne audit en de externe controleorganen is nodig – Verduidelijking nodig over een aantal aspecten die niet voldoende gedefinieerd zijn in de vigerende wetgeving (bv. aanvaardbaar risiconiveau) – Duidelijke positionering, op voldoende hoog niveau en met de nodige garanties voor onafhankelijkheid en kwaliteit én ondersteuning van interne audit in de Federale Overheid is essentieel
Interne audit is een essentiële hefboom voor de verhoging van de autonomie van de FOD’s 17
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
Vragen en gedachtenwisseling
18
Controlepiramide in de Federale Overheid
© 2003 Deloitte, specifieke aanpassingen © 2003-2004 Deloitte en de FOD Mobiliteit en Vervoer Auteurs: Josiane Van Waesberghe en Ben Broeckx
