Federale Overheidsdienst Budget en Beheerscontrole
Praktijkgids voor het opzetten en onderhouden van een internecontrolesysteem
Management Support
1
Voorwoord Goed bestuur, kwaliteitsvolle dienstverlening, efficiëntie en effectiviteit zijn termen die de laatste jaren steeds nadrukkelijker worden aangehaald in het voortdurend streven naar een performante overheid. De middelen zijn schaarser geworden; de behoeften scherper gesteld. Een langdurige crisis en de daaruit voortvloeiende bezuinigingen hebben de noodzaak van een goed uitgebouwd en gedocumenteerd internecontrolesysteem nog pertinenter gemaakt. Nadat de vorige regering reeds een belangrijk signaal gaf met de aanstelling van een regeringscommissaris, geeft ook de huidige regering in haar regeerakkoord expliciet aan dat de interne controle moet versterkt worden. Om tegemoet te komen aan de behoefte die leeft in de instellingen en om uitvoering te geven aan het regeerakkoord heeft de dienst Management Support van de federale overheidsdienst Budget en Beheerscontrole getracht de door hem gebruikte techniek bij het opzetten van een internecontrolesysteem uit te schrijven in een handige en gebruiksvriendelijke praktijkgids. De behoefte aan een dergelijke gids was groot nadat uit het netwerk interne controle, dat door Management Support wordt gefaciliteerd, bleek dat het in de praktijk zetten van een gedocumenteerd internecontrolesysteem nog vaak problemen gaf. Een speciale dank gaat uit naar de heer Ronny DAMOISEAU, attaché bij Management Support, die als gedegen expert op het vlak van interne controle instond voor het integraal uitwerken en uitschrijven van het concept achter deze methodologie. Dank gaat ook uit naar Renata FINESCHI, Katleen SEEUWS en Cédric VANBEGIN, allen attaché bij Management Support, voor hun constructieve bijdragen bij de verdere ontwikkeling en verfijning van de Diabolo-tool die mee de basis vormt bij het opzetten van het internecontrolesysteem. Indien u nog vragen of opmerkingen heeft bij deze gids of bij het uitwerken van een internecontrolesysteem, kan u steeds vrijblijvend beroep doen op de diensten van Management Support (
[email protected]). Wij wensen de lezer en gebruiker veel succes bij de toepassing van de in deze gids omschreven principes en methodologie.
Alfons Boon
Karel Hauman
Voorzitter FOD B&B
Adviseur Management Support
2
Contents Voorwoord .................................................................................................................................... 2 De dienst Management Support: ‘at your service’ ....................................................................... 5 Executive summary ....................................................................................................................... 7 Het nut van interne controle ........................................................................................................ 8 Het wettelijke referentiekader ................................................................................................... 11 De kern van de methodologie Management Support ................................................................ 13 De PLAN fase ............................................................................................................................... 18 Plan fase – Stap 1: doelstellingen, middelen en activiteiten .................................................. 18 Plan fase – Stap 1 in praktijk: doelstellingen, middelen & activiteiten .................................. 20 Plan fase – Stap 2: indicatoren en normen ............................................................................. 29 Plan fase – Stap 2 in praktijk: indicatoren en normen ............................................................ 30 Plan fase – Stap 3: ex ante evaluaties ..................................................................................... 33 Plan fase – Stap 3 in praktijk: ex ante evaluaties .................................................................... 34 De DO fase................................................................................................................................... 35 DO fase – Stap 4: activiteiten .................................................................................................. 35 DO fase – Stap 4 in praktijk: activiteiten ................................................................................. 35 DO fase – Stap 5: meten en opvolgen..................................................................................... 36 DO fase – Stap 5 in praktijk: meten en opvolgen.................................................................... 36 DO fase – Stap 6: incidentregistratie ...................................................................................... 36 DO fase – Stap 6 in praktijk: incidentregistratie ..................................................................... 37 De CHECK fase ............................................................................................................................. 39 CHECK fase – Stap 7: prestatieanalyse .................................................................................... 39 CHECK fase – Stap 7 in praktijk: prestatieanalyse ................................................................... 39 CHECK fase – Stap 8: risico’s identificeren .............................................................................. 40 CHECK fase – Stap 8 in praktijk: risico’s identificeren ............................................................. 41 CHECK fase – Stap 9: risicoanalyse.......................................................................................... 43 CHECK fase – Stap 9 in praktijk: risicoanalyse......................................................................... 43 De ACT fase ................................................................................................................................. 47 ACT fase – Stap 10: maatregelen analyseren.......................................................................... 47 ACT fase – Stap 10 in praktijk: maatregelen analyseren ......................................................... 48 ACT fase – Stap 11: maatregelen valideren ............................................................................ 51 3
ACT fase– Stap 11 in praktijk: maatregelen valideren ............................................................ 51 ACT fase – Stap 12: maatregelen invoeren ............................................................................. 51 ACT fase– Stap 12 in praktijk: maatregelen invoeren ............................................................. 52 Rapportering: de aanzet voor een nieuwe cyclus ....................................................................... 53 Conclusie ..................................................................................................................................... 56 Glossarium .................................................................................................................................. 58
4
De dienst Management Support: ‘at your service’ Management Support is een dienst binnen de Federale Overheidsdienst Budget en Beheerscontrole (FOD B&B). Hij heeft een adviesverlenende functie te vervullen op het niveau van de gehele federale overheid binnen het domein van interne controle. In uitvoering van zijn oprichtingsbesluit van 15 mei 2001 is de FOD B&B als horizontale federale overheidsdienst een bevoorrechte partner voor de andere federale en programmatorische overheidsdiensten, de federale instellingen en de openbare instellingen voor sociale zekerheid. In dat kader werd de dienst Management Support in 2002 opgericht. Zijn rol werd nog versterkt met de Koninklijke besluiten van 17 augustus 2007 met betrekking tot het internecontrolesysteem en met betrekking tot de interne auditactiviteiten. Deze besluiten bepalen immers dat de FOD B&B instaat voor de methodologische ondersteuning bij de uitbouw van de interne controle en de interne audit zonder evenwel zelf interne auditopdrachten te mogen uitvoeren. Op verzoek van de betrokken verantwoordelijken binnen elke dienst kan hij belast worden met adviesopdrachten ter zake. Zoals het managementplan 2010-2015 aangeeft, dient de FOD B&B een laboratoriumfunctie op te nemen in het kader van diverse moderniseringsprojecten binnen zijn actiedomein. Dit maakt het mogelijk om methodologieën te testen en instrumenten te ontwikkelen die daarna ter beschikking kunnen worden gesteld van alle belangstellenden. Vanuit die optiek is de dienst Management Support in 2011 gestart met het opzetten van een uitgebouwd en gedocumenteerd internecontrolesysteem binnen de FOD B&B. Bij aanvang van dit project werd gekozen om binnen de organisatie te werken met piloten. Aan de hand van de talrijke bilaterale gesprekken met de betrokken diensten werd zodoende een eerste stevige basis gelegd niet enkel qua aanpak, maar evenzeer in de optimalisatie van de door de dienst gecreëerde toepassing. Met het uitschrijven van zijn concrete aanpak, zijn ervaringen en het daartoe gebruikte instrument, heeft Management Support getracht een handig hulpmiddel aan te reiken om interne controle effectief in praktijk te brengen. Interne controle is evenwel geen exacte wetenschap, maar een kunst. Niemand kan bijgevolg de enige ware methodologie claimen. Management Support wil enkel een poging ondernemen om het opzetten van een internecontrolesysteem op een eenvoudige, adequate, effectieve en efficiënte manier te laten verlopen binnen gelijk welke overheidsorganisatie. Het is net de taak van de dienst om de afdelingen, instellingen of organisaties die mee in het verhaal van deugdelijk bestuur willen stappen te begeleiden doorheen het hele proces. Bij het opzetten van een adequaat en effectief systeem van interne controle of interne beheersing, moet in eerste instantie gezorgd worden voor een breed draagvlak op het niveau van het topmanagement. Dit kan onder andere gebeuren via een agendering van een nota op het directiecomité. Het is cruciaal dat de directie zich officieel engageert middels een genotuleerde beslissing. De in dit document aangehaalde principes voor de opbouw en het onderhoud van een internecontrolesysteem staan los van de gebruikte instrumenten. De hierna beschreven toepassingen, zoals de Diabolo en de eraan gekoppelde risicotabel, zijn door Management 5
Support ontwikkeld en vormen een goede basis voor elke overheidsorganisatie die niet over de nodige instrumenten beschikt. Met het oog op flexibiliteit, compatibiliteit en snelle inzetbaarheid heeft Management Support voor de ontwikkeling van deze tools enkel gebruik gemaakt van de gangbare informaticatoepassingen1. Aangezien de dienst Management Support momenteel over een beperkte capaciteit beschikt, is hij evenwel genoodzaakt om creatief om te springen met de beschikbare middelen om zodoende invulling te kunnen geven aan zijn ondersteuningsopdracht. Zo organiseert Management Support maandelijks een netwerk interne controle. Door het uitwisselen van ideeën, ervaringen en kennis met de andere instellingen wordt getracht de kloof te dichten met diegenen die nog maar aan het begin staan van het opzetten van een internecontrolesysteem. De dienst verzorgt ook de opleidingen interne controle aan het opleidingsinstituut van de federale overheid (OFO). Maar hij kan ook door specifieke afdelingen of instellingen gevraagd worden om intern vorming ter zake te komen geven. In elk geval werd met de oprichting van het Auditcomité van de Federale Overheid (ACFO) in het voorjaar van 2010 een belangrijke impuls gegeven om de principes van good governance te integreren in het federaal overheidsapparaat. Sindsdien worden de instellingen uit het audituniversum immers verplicht een jaarlijks rapport op te maken over de stand van zaken van hun internecontrolesysteem van het afgelopen jaar. Dit rapport dient uiterlijk 15 februari van elk jaar te worden overgemaakt aan het ACFO. Het vormt tevens de basis voor de verplichte rapportering van het ACFO aan de bevoegde minister en de ministerraad. Ook in dat kader heeft Management Support een gids opgesteld ten behoeve van de instellingen en werden in samenwerking met het secretariaat van het ACFO richtlijnen uitgevaardigd om de instellingen te ondersteunen bij de opmaak van hun rapport. Van zodra het ACFO een politiek draagvlak weet te creëren omtrent zijn visie op de organisatie van de interne auditfunctie en zodoende auditdiensten worden opgericht, zal de nood aan gedegen internecontrolesystemen nog prangender worden. Bovendien mag interne controle geen statisch gegeven zijn, maar dient men er permanent mee bezig te zijn. Een regelmatige herevaluatie of actualisatie van het systeem is bijgevolg cruciaal. De dienst Management Support hoopt met voorliggende praktijkgids een eerste aanzet te geven bij het opzetten van een internecontrolesysteem. Indien u daarbij graag begeleiding wenst, kan u zich steeds vrijblijvend richten tot de dienst Management Support van de FOD B&B. Op basis van een eerste oriënterend gesprek zullen we samen nagaan hoe het best aan uw wensen kan tegemoet gekomen worden. U kan ons bereiken via: FOD Budget en Beheerscontrole Management Support Koningsstraat 138/2 1000 Brussel Email:
[email protected]
1
Diabolo is een Excel-toepassing. Excel is een gedeponeerd merk van Microsoft.
6
Executive summary Bij het opzetten van een internecontrolesysteem vormt de evenwichtige opbouw en de samenhang van de verschillende componenten de grootste uitdaging. Na de opbouwfase dient de focus te verschuiven naar het onderhouden, bijsturen en verder uitbouwen van het systeem. De aanpak van Management Support houdt in dat de risicocyclus en bij uitbreiding het actueel houden van het internebeheerssysteem in twaalf stappen volledig geïntegreerd wordt in de vier fasen van de beheerscyclus (Plan – Do – Check – Act, cfr. W.E. Deming “Out of the crisis”). Tijdens de planfase stippelt de organisatie de periodieke verwachtingen voor de te leveren prestaties en de hiervoor benodigde middelen uit. Het meetsysteem, bestaande uit een verzameling indicatoren en rapporteringen, wordt afgestemd op de periodieke resultaatsopvolging. De uitvoeringsfase omvat de gewone bedrijfsactiviteiten. Bij de uitvoering ervan wordt basisinformatie vergaard die in de analysefase zal worden onderzocht. Het management waakt over de vlotte uitvoering van de activiteiten en over het correct gebruik van het meetsysteem. Tijdens de analysefase worden de periodiek behaalde resultaten geëvalueerd en toegelicht. Dit is één van de belangrijkste taken van de beheerscontrole. Zij vormt de aanzet tot het actualiseren van het internecontrolesysteem op basis van gebeurtenissen in de uitvoeringsfase. Management Support creëerde hiertoe een intuïtieve tool: de Diabolo. Deze doet dienst als procesfiche en herbergt bovendien een volledige risicomodule. Hij vergemakkelijkt de identificatie en de evaluatie van de risico’s. Vervolgens is het mogelijk de controlemaatregelen te evalueren waardoor de kwetsbaarheid van de organisatie met betrekking tot een risico wordt bepaald. De blootstelling aan gevaar geeft een aanduiding van de eventuele behoefte aan een prioritaire behandeling van het risico. Ingrijpen op een risico gebeurt tijdens de reactiefase, waarbij gepaste maatregelen worden uitgewerkt. Hierbij moet aandacht worden besteed aan een goede begeleiding, zodat de genomen maatregelen ook correct worden uitgevoerd. Beleidsrisico’s verdienen een aparte vermelding omdat ze betrekking hebben op de langere termijndoelstellingen in het managementplan of de beheersovereenkomst. Hun opvolging vereist dus een lagere periodiciteit dan de bestuursrisico’s. Vandaar dat ze door middel van een SWOT analyse tijdens de planfase kunnen worden ingeschat met het oog op een eventuele strategische of zelfs operationele bijsturing. De periodieke rapportering uit de beheerscyclus zal hierbij een aanzienlijke bijdrage leveren. De gestructureerde en geïntegreerde benadering van Management Support zet de deur open voor werkelijk beter bestuur en verhoogt tegelijk de kansen op het succesvol uitvoeren van het gewenste beleid.
7
Het nut van interne controle Als federaal consultant en coördinator van het federaal netwerk voor interne controle krijgt de dienst Management Support vaak dezelfde vragen voorgeschoteld: -
Hoe begin ik met interne beheersing? Hoe werkt een dergelijk systeem? Hoe ver moet ik hierin gaan?
Het antwoord op de eerste vraag komt vaak als een verrassing: u bent er namelijk al mee bezig. De beheersingsactiviteiten zijn echter vaak nog niet gesystematiseerd. Dat leidt ons naar het antwoord op de tweede vraag. Hoe een dergelijk systeem wordt opgezet en beheerd, zal in de volgende hoofdstukken verduidelijkt worden. Het antwoord op de derde en misschien wel de belangrijkste vraag luidt: zo ver als uw organisatie en al haar belanghebbenden nodig achten om bevredigende resultaten te garanderen en te verantwoorden. Verantwoording opnemen is toelichten en daarvoor is informatie nodig. Immers, meten is weten. Om de mate van beheersing te kunnen nagaan, moeten eerst en vooral de werkelijke resultaten worden gemeten en geëvalueerd. Dit vraagt om een prestatieanalyse en deze behoort tot de beheerscontrole (Eng: business control, Fr: contrôle de gestion)2. Hierbij worden de gemeten prestaties vergeleken met de vooropgestelde doelstellingen. Deze doelstellingen vinden hun oorsprong in het managementplan of in de beheersovereenkomst, maar houden ook rekening met de begroting. Het eerste aspect omvat de outputs, of met andere woorden de prestaties die de organisatie moet leveren aan de afnemers: de burger, de bedrijven, instellingen en andere overheidsinstanties. Het tweede aspect staat voor de middelen waarover de organisatie kan beschikken om haar outputs te produceren. Een leidinggevende in de commerciële sector wordt meer geprezen naarmate hij marge kan creëren. Hij maximaliseert de opbrengsten en minimaliseert de productiekost. Een goed beleid in de commerciële sector houdt in dat het product tegemoet komt aan de wensen van de klant. Het wordt geconcretiseerd door de omzet, dit is het aantal verkochte eenheden vermenigvuldigd met de verkoopprijs. Het succes van de commerciële manager, zijn efficiënt bestuur, of nog, zijn beheersing van de organisatie, wordt afgemeten aan het verschil tussen de verkoopprijs en de eenheidskost van de geleverde prestaties of producten. Hoe groter de marge, hoe meer potentiële waarde de organisatie heeft. Hierdoor wordt deze aantrekkelijker voor geldschieters en blijft het interessant om het management aan het roer te houden. Een leidinggevende in de overheidssector heeft minder speelruimte dan de commerciële manager omdat de omzet niet geconcretiseerd wordt. Zolang de waarde van elke prestatie2
De beheerscontrole dient op een continue basis de directie te voorzien van alle informatie die zij nodig heeft om beslissingen op een voldoende gedocumenteerde basis te nemen en om de gang van zaken binnen het bedrijf op een efficiënte wijze te volgen. (Bron: M.J. De Samblanx, in monKEY.be, Kluwer)
8
eenheid niet wordt gevaloriseerd, ontbeert de overheidsmanager een belangrijke hefboom en kan hij de geproduceerde marge niet cijfermatig aantonen. De kwantificeerbare parameters waarover de overheidsmanager aan outputzijde beschikt, zijn doorgaans: -
De verschillende soorten aangeboden producten, diensten, prestaties; Het aantal aangeboden prestaties; De kwaliteit ervan, en De ervoor gevraagde vergoeding (in sommige gevallen).
Zeer specifiek voor de meeste overheidsinstellingen is dat de klant eigenlijk aandeelhouder is. De klant koopt de prestatie niet, hoewel hem soms een kleine vergoeding wordt gevraagd. Neen, hij (pre-) financiert de productie van die prestatie. Hoe lager de productiekost, hoe blijer de klant. Dit eenvoudige principe is de kiem van de stijgende maatschappelijke en bijgevolg politieke behoefte aan een efficiënt overheidsapparaat. De tevredenheid van de klant wat betreft de kwaliteit van de door de overheidsdienst geleverde prestatie is een graadmeter voor het succes van het gevoerde beleid. Is de klant bovendien tevreden over de kostprijs van die prestatie, dan kan ook van succesvol bestuur worden gesproken. Een hogere efficiëntie of marge in een overheidsinstelling kan enkel worden aangetoond door: -
een hogere output voor een zelfde input, of een zelfde output voor een lagere input, of een veel hogere output met een licht gestegen input, of een licht gedaalde output met een veel lagere input.
Efficiëntie meten houdt dus in dat zowel output als input periodiek worden opgevolgd, waarbij de verschillende periodes met elkaar worden vergeleken. Zoals reeds eerder aangehaald, behoort dit tot de beheerscontrole. De financiële input wordt, net als bij een commerciële organisatie, voorgesteld door de eenheidskost van de prestatie. Deze kost omvat alle directe en indirecte uitgaven die nodig zijn voor het produceren van een output: -
huisvesting, uitrusting, personeel, en al het nodige om de drie bovenstaande parameters zo productief mogelijk te houden.
De overheidsinstellingen beschikken nu al over de basisinformatie die nodig is om op zijn minst bij benadering de eenheidskost van een prestatie te berekenen. Hoe verder de analytische boekhouding wordt uitgewerkt, hoe accurater die berekening zal worden.
9
Samengevat: Vroeger had de politicus vooral aandacht voor de kwaliteit van het beleid of, anders gesteld, voor het succesvol bereiken van de politieke doelstellingen. Nu is men echter hoe langer hoe meer geïnteresseerd in de kwaliteit van het bestuur, met andere woorden, in de efficiënte uitvoering van het gekozen beleid. Het succes van de overheidsmanager kan dus worden afgemeten aan de mate waarin hij de bevoegde minister kan overtuigen dat aan de behoeften van de kiezer wordt voldaan middels een kwalitatief hoogstaande service aan een zo laag mogelijke eenheidskost. Interne controle of interne beheersing is het proces, het geheel van activiteiten en maatregelen dat, in economische en beheersmatige termen, een organisatie moet toelaten om de kwaliteit van de output te maximaliseren en de eenheidskost te minimaliseren.
10
Het wettelijke referentiekader Interne controle bestaat al lang in de meeste organisaties, maar om werkelijk bij te dragen aan het resultaat is een systematische benadering vereist. De koninklijke besluiten van 17 augustus 2007 helpen om dit te verwezenlijken: Koninklijk besluit van 17 augustus 2007 betreffende het intern controlesysteem binnen sommige diensten van de federale uitvoerende macht. Koninklijk besluit van 17 augustus 2007 betreffende de interne auditactiviteiten binnen sommige diensten van de federale uitvoerende macht. Koninklijk besluit van 17 augustus 2007 tot oprichting van het Auditcomité van de federale overheid (ACFO).
Niettegenstaande het toepassingsgebied van voormelde besluiten momenteel beperkt is tot 22 instellingen3, en bijgevolg niet de gehele federale overheid omvat, lijkt de toon gezet. Zo worden onder meer gelijkaardige initiatieven ter versterking van het internecontrolesysteem genomen binnen de instellingen van sociale zekerheid. Het koninklijk besluit met betrekking tot de interne controle bepaalt uitdrukkelijk dat elk personeelslid op zijn niveau bijdraagt tot de goede werking van het internecontrolesysteem. De uiteindelijke verantwoordelijkheid ligt evenwel bij de leidinggevende van de organisatie. Hij duidt een verantwoordelijke aan die de inventaris dient bij te houden van de documentatie inzake het internecontrolesysteem van zijn instelling. Het besluit voorziet ook dat de leidinggevende elk jaar een verslag moet opstellen over de werking van het internecontrolesysteem waarbij hij tevens de verbeteringen aankondigt die hij er aan wil aanbrengen. Dit jaarverslag dient aan het Auditcomité van de federale overheid te worden overgemaakt tegen 15 februari van elk jaar met een afschrift aan de Minister die de betrokken dienst onder zijn bevoegdheid heeft. De betrokken minister heeft dan de mogelijkheid om eventuele aanmerkingen bij het rapport mee te delen aan het Auditcomité. Op basis van deze individuele jaarrapporten brengt het Auditcomité vóór 31 juli van elk jaar verslag uit aan de regering en elke minister. De verslagen moeten de regering een totaalbeeld geven over de staat van de internecontrolesystemen die in de verschillende overheidsdiensten zijn ingevoerd. Met de oprichting van het Auditcomité in het voorjaar van 2010 werd een eerste oefening in 2011 afgerond voor de instellingen die deel uitmaken van het audituniversum. Voormelde rapporten hebben ongetwijfeld het belang van een goed uitgebouwd en gedocumenteerd systeem van interne controle binnen de overheidsorganisaties vergroot. Bovendien zal de behoefte aan een dergelijk systeem wellicht nog versterkt worden van zodra 3
Het gaat om alle federale en programmatorische overheidsdiensten, het Ministerie van Landsverdediging, Regie der Gebouwen, Federaal Agentschap voor de Veiligheid van de Voedselketen, Federaal Agentschap voor de Opvang van Asielzoekers, Pensioendienst voor de Overheidssector en het Federaal Agentschap voor Geneesmiddelen en Gezondheidsproducten.
11
interne auditactiviteiten conform het desbetreffende koninklijk besluit zullen worden uitgevoerd. Het referentiekader voor het opzetten van een internecontroleysteem is gebaseerd op het COSO-model4. Dit model werd in 1992 ontwikkeld als reactie op de vele bedrijfsschandalen einde jaren tachtig in de Verenigde Staten. Het model werd later vertaald naar de publieke sector in het INTOSAI-model5 (zie figuur 1). Ondertussen won het aspect risicoanalyse steeds meer aan belang, hetgeen leidde tot het COSO-ERM raamwerk waarbij Enterprise Risk Management centraal werd gesteld.
Figuur 1: de COSO/INTOSAI kubus
Definitie van interne controle volgens INTOSAI “Internal control is an integral process that is effected by an entity’s management and personnel and is designed to address risks and to provide reasonable assurance that in pursuit of the entity’s mission, the following general objectives are being achieved: • executing orderly, ethical, economical, efficient and effective operations; • fulfilling accountability obligations; • complying with applicable laws and regulations; • safeguarding resources against loss, misuse and damage.” De COSO, COSO-ERM en INTOSAI referentiekaders alsook hun onderlinge verschillen worden hier niet verder behandeld. Daarvoor wordt verwezen naar de vakliteratuur ter zake. Belangrijker is te weten dat ze resultaatgerichtheid als één van de algemene doelstellingen van interne beheersing vooropstellen.
4 5
Committee of Sponsoring Organizations of the Treadway Commission. International Organisation of Supreme Audit Institutions.
12
De kern van de methodologie Management Support In dit document ligt de klemtoon duidelijk op het behalen van goede resultaten. De overige algemene doelstellingen van interne controle6 zijn weliswaar even belangrijk, maar we beschouwen ze hier als ondergeschikt aan de resultaatgerichtheid. Immers, er kan geen sprake zijn van goed beheer als er bijvoorbeeld niet is voldaan aan de vereisten rond conformiteit en bescherming der middelen.
Structuur De pragmatische methodologie is gericht op het zo snel mogelijk creëren van een geïntegreerd systeem met een minimum aan werklast. Hiermee wordt bedoeld dat de samenhang, de eigenlijke integratie van de verschillende systeemcomponenten, primeert op het detail ervan. Eerst zal de organisatie een evenwichtige structuur nastreven in haar internecontrolesysteem. Vervolgens kunnen de verschillende componenten naargelang de behoeften en de mogelijkheden van de organisatie verder worden gedetailleerd. De ruggengraat van het internecontrolesysteem wordt gevormd door drie pijlers: -
De bepaling en opvolging van periodieke resultaten (doelstellingen); De beheersing van de activiteiten (processen/projecten); Het meetsysteem (monitoring).
Figuur 2: de drie pijlers van een internecontrolesysteem Risico’s hebben enerzijds betrekking op de componenten zelf, met andere woorden op de structurele en inhoudelijke bepalingen, en anderzijds op de interactie tussen de componenten.
6
Zie hoofdstuk Wettelijk referentiekader
13
Deze ruggengraat omspant zo goed als alle aspecten van de COSO/INTOSAI referentiekaders. Enkel de component “controleomgeving” blijft - op het eerste zicht - wat onderbelicht.
Het verbeteren van de controleomgeving Om de controleomgeving, ook wel beheersomgeving genoemd, in al haar dimensies en over de hele organisatie tegelijk aan te pakken is een globale benadering nodig. Hierbij worden één of meerdere werkgroepen bestaande uit vertegenwoordigers van de hele organisatie samengesteld. Het doel van deze werkgroepen is het uitwerken van een verbeterplan bestaande uit verbeteracties of –projecten. Zij worden gedefinieerd door middel van een reeks van werkvergaderingen vertrekkende van een lijst van pijnpunten, incidenten en ongewenste situaties. Deze aanpak werd door Management Support met succes uitgetest, maar is arbeidsintensief. Het duurt ook enige tijd vooraleer de verbeterprojecten zichtbare resultaten opleveren, waardoor de organisatie het risico loopt dat de medewerkers interne controle als een bijkomende last met weinig toegevoegde waarde ervaren. Hoewel de controleomgeving de basis vormt voor een evenwichtig internecontrolesysteem, kan dit laatste veel sneller en efficiënter worden opgebouwd door de focus op de bovenvermelde ruggengraat te leggen. Deze activiteiten evenals de informatievoorziening en de communicatie die ermee gepaard gaan, leiden immers automatisch tot een verbetering van bepaalde aspecten van de controleomgeving. Een internecontrolesysteem moet er voor zorgen dat de algemene doelstellingen worden behaald, wat impliceert dat er goede resultaten worden geboekt. De kans hierop vergroot reeds wanneer de risico’s beter worden beheerst. De systematische opvolging van de risico’s met betrekking tot de te behalen resultaten, het invoeren van de nodige beheersmaatregelen en het bijwerken van het meetsysteem bevorderen de maturiteit in de controleomgeving. Op middellange termijn wordt het wel interessant om de resterende problemen, die niet via de individuele processen kunnen worden opgelost, aan te pakken door middel van de groepsbenadering en zo te komen tot een evenwichtig internecontrolesysteem.
Uitgangspunt van de methodologie Een internecontrolesysteem heeft tot doel de kansen op het behalen van de doelstellingen te vergroten door onder meer het beheersen van de risico’s. De doelstellingen staan dus centraal en behoeven voldoende detaillering. Dit veronderstelt SMART formulering, bepaling van onderliggende en ondersteunende normen, enz. Aangezien risico’s steeds betrekking hebben op doelstellingen is het beheersmatig aangewezen om ze te behandelen bij het evalueren van de behaalde resultaten. Het succes van het bestuur wordt bepaald door de mate waarin de doelstellingen worden behaald terwijl de uitgaven binnen de perken blijven. Absolute vereiste is dus een grondige 14
analyse van de “management gap”, dit is het verschil tussen het gerealiseerde en het vooropgestelde resultaat. Naarmate het internecontrolesysteem aan maturiteit wint, wordt de “management gap” geleidelijk aan kleiner. Bij de periodieke analyse van deze “gap” wordt aandachtig gekeken naar die punten waar de doelstellingen niet volledig werden gehaald. De afwijkingen zijn doorgaans het gevolg van incidenten die zich voordeden omdat risico’s onvoldoende werden afgedekt. De aanpak van Management Support houdt dus in dat de risicocyclus en, bij uitbreiding, het actueel houden van het internebeheersingsysteem in twaalf stappen volledig geïntegreerd wordt in de vier fasen van de beheerscyclus (PDCA, cfr. Deming).
Figuur 3: koppeling internecontrolesysteem aan de beheerscyclus
In de onderstaande figuur worden deze fasen verder gedetailleerd en wordt in twaalf stappen het verband gelegd met de activiteiten verbonden aan het onderhouden van een internecontrolesysteem.
15
Figuur 4: Synchronisatie van het internebeheersingsysteem met de beheerscyclus in twaalf stappen
16
Het spreekt voor zich dat het internecontrolesysteem reeds over basisinformatie moet beschikken vooraleer de hierboven beschreven cyclus een eerste keer kan worden doorlopen. Deze eerste stoffering van het systeem gebeurt tijdens de projectfase, die in drie fasen verloopt:
-
Fase 1: procesbeschrijving met het oog op een snelle risico-identificatie. Fase 2: identificatie en analyse van risico’s en maatregelen. Fase 3: uitwerking van meetsysteem en rapportering.
Figuur 5: de projectfase van een internecontrolesysteem De projectfase heeft dus tot doel om de drie pijlers van het internecontrolesysteem op te bouwen7. Zodra het systeem evenwichtig is gestructureerd, wordt interne controle een proces dat synchroon met de beheerscyclus loopt. Bij elke doorloop van de cyclus wordt het systeem uitgediept en verder gedetailleerd. Hierbij blijft de vuistregel dat de samenhang van de systeemcomponenten voorrang heeft op de detaillering ervan. Het doel is immers het bekomen van een geïntegreerd systeem in tegenstelling tot een amalgaam van exhaustieve lijstjes. De vier fasen van de beheerscyclus werden in figuur 4 uitgesplitst in 12 stappen, die we in de volgende hoofdstukken nader bekijken.
7
Zie figuur 2: de drie pijlers van een internecontrolesysteem
17
De PLAN fase FASE/STAP Plan 1 – doelstellingen en middelen Plan 2 – indicatoren en normen Plan 3 – ex ante evaluatie
ACTOREN Management, kernmedewerkers. Management, kernmedewerkers. Kernmedewerkers.
Tijdens de planfase worden de verbanden gelegd tussen de missie, de doelstellingen, de activiteiten, de outputs en de indicatoren. Het managementplan of desgevallend de bestuursovereenkomst is doorgaans een goed vertrekpunt. De planfase vereist de nodige aandacht op twee sleutelmomenten: MANAGEMENTPLAN Nieuwe opmaak, meerjarig
WAT Parameters bepalen, uitlijnen.
Jaarlijkse bijsturing
Bestaande parameters verfijnen, nieuwe parameters uitlijnen.
BASIS Wettelijk kader, ex ante evaluaties, historieken, interne rapportering, rapporten vanwege externe controleinstanties. Beslissingen uit de Act fase, strategische bijsturing, ex ante en ex post evaluaties.
Plan fase – Stap 1: doelstellingen, middelen en activiteiten Bij overheidsinstellingen zijn er vaak vele en sterk verschillende doelstellingen voor de diverse hiërarchische niveaus. Dit kan soms leiden tot een gebrek aan samenhang. De coherentie in zowel de doelstellingen als in de resultaten kan worden versterkt door de dialoog tussen de verschillende hiërarchische niveaus te verbeteren ten einde tot een duidelijke formulering en toelichting van de te leveren prestaties te komen. Het onderstaande schema kan hierbij als leidraad dienen. De aansturing gebeurt “top down” wat betekent dat het hogere echelon duidelijk aangeeft wat het doelstellingenkader is. De hogere doelstellingen worden dan geconcretiseerd in doelstellingen voor het onderliggende niveau. Dit lagere echelon heeft bijgevolg een dubbel doel: enerzijds moeten de eigen doelstellingen worden behaald, maar anderzijds moeten de behaalde resultaten logischerwijs hun steentje bijdragen aan de realisatie van de hogere doelstellingen. Deze bijdrage wordt “bottom up”, dus door het lagere niveau, aangetoond, weliswaar op basis van de door het hogere echelon aangegeven rapporteringbehoeften8.
8
Zie ook Check fase stap 9: schema rapportering
18
Figuur 6: coherentie in aansturing en rapportering
Een verbeterde samenhang vergemakkelijkt het definiëren van de gewenste resultaten en het inschatten van de prestaties. Resultaatgerichtheid begint immers met duidelijke doelstellingen. Om zowel effectiviteit als efficiëntie na te kunnen streven moet naast het expliciet vermelden van de concreet te leveren prestaties ook worden aangegeven welke middelen vereist zijn. Tijdens de planfase stippelt de leidinggevende zijn periodieke verwachtingen uit wat de prestaties en de middelen betreft. Hij doet dit op basis van het jaarlijkse managementplan en de voorziene kredieten. Ook de gewenste periodiciteit voor de analysefase wordt op dit moment gekozen, omdat zij bepalend is voor het correct definiëren en normeren van de indicatoren. Doorgaans wordt een maandelijkse opvolging aanbevolen, maar eventueel kan dit in eerste instantie worden beperkt tot een kwartaal- of zelfs een halfjaarlijkse rapportering. Dit impliceert bijgevolg een evenredige periodieke detaillering van de doelstellingen en kredieten. 19
De leidinggevende bepaalt het niveau van detaillering voor elke rubriek in de rapportering en de periodiciteit rekening houdend met de mogelijkheden van de organisatie op het vlak van evaluatie en monitoring. De belangrijkste basisgegevens van een periodieke rapportering zijn enerzijds de verhoopte realisaties en anderzijds de middelen die daarvoor nodig zijn. Naargelang de beschouwde factoren en de gebruikte meetinstrumenten geven deze basisgegevens een beeld van het prestatieniveau, de productiviteit of de kostenstructuur. Deze stap betreft ook de activiteiten vervat in processen en projecten. De wijze waarop een doelstelling wordt nagestreefd, is immers bepalend voor de effectiviteit en efficiëntie van de hiertoe uitgevoerde activiteiten. Interne controle in praktijk begint dus met het duidelijk formuleren van de organisatiedoelstellingen en met het beschrijven van de activiteiten. Bij het opzetten van een internebeheersingsysteem maakt het niet uit in welke fase van de beheerscyclus de organisatie zich bevindt. Elk willekeurig moment is dan aangewezen om processen te beschrijven en te documenteren. Beschikt de organisatie daarentegen al over deze documentatie, dan is de planfase van de beheerscyclus het uitgelezen moment om ze indien nodig te actualiseren. In het laatste geval treedt in de praktijk een overlapping met de vorige fase - de Act of reactie fase - op. De behoefte aan actualisering of zelfs hervorming van een proces of procedure volgt dan immers uit een te nemen maatregel als gevolg van waarnemingen tijdens de uitvoeringen analysefasen. Het is met andere woorden soms beter de activiteiten zelf aan te passen of te herstructureren, dan het bestaande proces of project te verzwaren met allerlei controlemaatregelen.
Plan fase – Stap 1 in praktijk: doelstellingen, middelen & activiteiten A. De doelstellingen kaderen Principe: elke output en bijgevolg elke activiteit binnen de organisatie moet verbonden zijn aan minstens één van de doelstellingen. Kan aan een specifieke doelstelling geen output van een proces of project worden gekoppeld, dan moet men zich de vraag stellen of de doelstelling wel van belang is. Is dit wel degelijk het geval, dan moet ze beter worden geformuleerd en dient er minstens één meetbare output aan te worden gekoppeld. Omgekeerd geldt dat als een output niet rechtstreeks aan minstens één doelstelling kan worden gekoppeld, de eigenlijke behoefte aan het nog produceren van die output in vraag moet worden gesteld. Is er wel degelijk een vragende partij, dan is een passende formulering van de doelstelling nodig, opdat die output beter gekwantificeerd en dus beheerst kan worden. Om de kwaliteit van de dienstverlening en een goede opvolging in de activiteiten te verzekeren moeten alle doelstellingen SMART geformuleerd zijn. 20
Wat is SMART? Letter Omschrijving S Specifiek M A R
T
Betekenis De doelstelling moet concreet, duidelijk en éénduidig omschreven zijn. Ze is niet vatbaar voor interpretatie. Meetbaar De doelstelling is inhoudelijk kwantificeerbaar en genormeerd. Acceptabel Soms omschreven als aanvaardbaar, ambitieus of afgesproken. Er moet voldoende draagvlak zijn. Realistisch Soms omschreven als relevant of realiseerbaar. De doelstelling mag ambitieus zijn, maar ze moet ook nog haalbaar blijven. Tijdsgebonden Soms omschreven als tastbaar. De doelstelling moet een einddatum of afgebakende tijdspanne bevatten.
Historisch voorbeeld van een SMART doelstelling: JFK betreffende het ruimteprogramma van NASA in de jaren ’60: our goal is to put a man on the surface of the moon and bring him back to Earth by the end of the decade. S
“our goal is…” de gehele doelstelling is concreet en duidelijk.
M
“…on the moon and back to earth…” 2 concrete, meetbare outputs.
A
ambitieus en algemeen aanvaard wegens een nationale behoefte aan “revanche”, want de USSR had de VS tot tweemaal toe de loef afgestoken in de race om de ruimte te domineren.
R
realiseerbaar geacht volgens specialisten en raadgevers.
T
“by the end of the decade”, dus ten laatste in 1969 te realiseren.
Stappenplan: 1. Formuleer of herformuleer alle doelstellingen volgens de SMART criteria, 2. Leg duidelijke verbanden tussen de missie, de strategische doelstellingen en de operationele doelstellingen, 3. Koppel aan elk van deze doelstellingen één of meerdere processen en projecten, 4. Formuleer de doelstelling van een proces of project ook volgens de SMART criteria, 5. Bepaal voor elk van de processen en projecten minstens één eindproduct, 6. Bepaal de frequentie van rapportering. Is een kwartaalopvolging gewenst, dan dienen de vooropgestelde productiehoeveelheden en de indicatoren volgens deze frequentie te worden vastgelegd.
21
B. De middelen toekennen Principe: Het is mogelijk dat prestaties onder de verwachtingen blijven omdat er iets schortte aan de inputzijde. De benodigde input kan te laag zijn of niet tijdig beschikbaar zijn zodat de output niet naar behoren kan worden geproduceerd. Anderzijds kan de input ook te hoog zijn, wat betekent dat er middelen werden verspild. Efficiëntie is de verhouding tussen output en input en een efficiëntiewinst betekent een verbetering tegenover een vorige periode. Dit verklaart nogmaals de behoefte om zowel output als input periodiek op te volgen. Stappenplan: 1. Tracht de middelen zo gedetailleerd mogelijk toe te kennen. Streeft het management een kwartaalopvolging na, waarbij prestatiedoelstellingen per periode zijn vooropgesteld, dan dienen ook de middelen volgens deze periodiciteit te worden toegekend en opgevolgd. 2. Gebruik elke periodieke rapportering om het organisatiemodel verder te verfijnen. Gaandeweg, bij elke doorloop van de beheerscyclus, levert een goede opvolging en rapportering van de activiteiten en prestaties de mogelijkheid om de toegekende middelen stelselmatig verder te detailleren op outputniveau. Op deze manier wordt het mogelijk om de productiekost te berekenen.
Met de toekenning der middelen wordt vooral zuinigheid of inputefficiëntie nagestreefd. Om efficiëntie in de uitvoering van de activiteiten te bekomen, moet ook werk worden gemaakt van procesbeheersing en van professioneel projectmanagement. Daarenboven is de invoering van een degelijke analytische boekhouding onmisbaar om een reëel beeld te krijgen van de uitgaven per doelstelling en van de kostenstructuur. Door voortdurend te finetunen zal het steeds makkelijker worden om op gerichte wijze de kost in relatie te brengen met de vooropgezette doelstelling en/of de effectieve realisaties.
C. De activiteiten kaderen Doeltreffendheid en doelmatigheid in de activiteiten kan enkel worden bereikt indien deze activiteiten en de te bereiken doelstelling correct werden beschreven. Het is aangewezen om bij de jaarlijkse bijsturing van het managementplan ook even stil te staan bij de mogelijke impact ervan op de processen en in het bijzonder op hun doelstellingen, beschrijvingen en indicatoren. Dit betekent niet dat de werkstroomdiagrammen of flowcharts telkens moeten worden herschreven. Het volstaat meestal om de procesfiche in te kijken en indien nodig te actualiseren. 22
De door Management Support ontwikkelde Diabolo-tool (zie infra) doet dienst als procesfiche, die de koppeling van procesinformatie aan de organisatiedoelstellingen toelaat. Hij wordt bovendien gebruikt om de processen zelf te beschrijven en vormt de basis voor de risicobeheersing. De procesbeschrijving is de eerste stap in de projectfase waarbij het internecontrolesysteem wordt opgebouwd en gestoffeerd9.
Voordelen van de Diabolo-tool De Diabolo is een zelfontwikkelde, eenvoudige en intuïtieve tool die uitermate geschikt is voor leken zonder gespecialiseerde software. Er is een zeer beperkt leerproces nodig om ermee aan de slag te gaan. De tool biedt overzichtelijkheid en transparantie. De pragmatische aanpak levert een rolgestuurde beschrijving van de activiteiten op. De focus van elk individueel personeelslid ligt immers op de eigen rol binnen de organisatie. Dit zorgt voor een dynamischer en actiever verloop van de proces- en risicobesprekingen. De risico-identificatie wordt immers benaderd vanuit het “eigen” oogpunt, wat aansluit bij het principe dat interne beheersing een zaak is van iedereen. Met de Diabolo kan zeer snel een overzicht worden bekomen van: - iemands rol binnen de organisatie; - diens activiteiten; - de ervoor benodigde inputs; - de te leveren outputs; - welke doelstelling moet worden bereikt; - hoe deze wordt gekaderd binnen de organisatie. De Diabolo is door zijn overzichtelijkheid makkelijk te vertalen in werkstromen met meer informaticatechnische tools zoals Visio en kan eenvoudig worden omgezet in een database toepassing, uitbreidbaar naar risico’s, indicatoren, enz. Hij kan beschouwd worden als een objectgeoriënteerde tool. Dit betekent dat de verschillende processen worden beschreven in kleine, aparte modules die aan elkaar worden gekoppeld. Aldus is een werkstroomgestuurde beschrijving makkelijk te verwezenlijken door de Diabolo’s te herstructureren (bijv. wanneer de focus wijzigt en het doel een BPR10 of een helikopterzicht op een beperkt aantal grotere processen wordt). De onderstaande figuur toont het beschrijvende gedeelte van de Diabolo-tool. Dit wordt gebruikt om de processen op een intuïtieve manier in kaart brengen en te kaderen binnen de organisatie. Hij is zo opgesteld dat het personeel zelf snel en zo goed als zonder gespecialiseerde voorkennis een proces kan beschrijven zonder beroep te doen op externe processpecialisten.
9
Zie figuur 5: de projectfase van een internecontrolesysteem Eng.: business process re-engineering; een hervorming van processen
10
23
Figuur 7: De Diabolo
Transparantie en duidelijkheid in de formuleringen is een principe dat ook in de processen en de inherente risico’s moet worden doorgetrokken. Een procesfiche begint dus met een duidelijke benaming van het proces. Het is aan te bevelen gebruik te maken van een zelfstandig naamwoord en een werkwoord, bijvoorbeeld “een vergunning toekennen”, “een pensioen berekenen”. Het referentievak in de rechter bovenhoek dient om de processen te coderen. Deze code kan bijvoorbeeld op DG-niveau worden ingesteld, waarbij alle processen van DG1 die vermelding krijgen met een uniek volgnummer: bijv. proces “een vergunning toekennen” krijgt referentiecode DG1.01. De Diabolo bestaat vervolgens uit drie grote blokken: 1) Algemene informatie mbt het proces (waarom is het proces nodig ?); 2) Verloop van het proces (hoe wordt de doelstelling behaald ?); 3) Middelen of resources (wat is er nodig om het proces uit te voeren ?).
24
1. Algemene informatie (waarom is het proces nodig ?) Deze rubriek geeft de doelstelling weer van het proces waarbij een link kan gelegd worden met de doelstellingen uit het managementplan of desgevallend de bestuursovereenkomst. Daarnaast omvat ze een overzicht van de belanghebbenden, de reglementering en vroegere incidenten die zich hebben voorgedaan. In het vak “P” wordt de doelstelling van het proces opgenomen. Zoals voor elke goede doelstelling moet de formulering ervan voldoen aan het SMART principe. Het helpt soms om de verschillende criteria waaraan de output moet voldoen op een rijtje te zetten en om na te gaan wat de verwachtingen van de verschillende belanghebbenden zijn. Om het verband te leggen met het managementplan is er ook ruimte voorzien om de referentie van de bovenliggende strategische en operationele doelstellingen respectievelijk op te nemen in de vakken “S:” en “O:”. Door de stakeholders te vermelden wordt het proces duidelijk gekaderd binnen de omgeving. Het vergemakkelijkt een goede formulering van de procesdoelstelling en het identificeren van incidenten of risico’s. Het vak “reglementering” omvat onder andere wetten, koninklijke besluiten, ministeriële besluiten, omzendbrieven, voorschriften, interne reglementering, enzovoort, die een invloed hebben op het beleidsdomein, de organisatie en het proces. De incidenten slaan op gebeurtenissen uit het verleden. Het zijn manifestaties van risico’s die het bereiken van de doelstellingen in het gedrang brengen. Dit vak laat toe om reeds in de beschrijvende fase een aantal probleempunten aan te wijzen. Het vermelden van incidenten vergemakkelijkt de latere risico-identificatie, maar laat ook toe om de behoefte aan detaillering in de procesactiviteiten beter te bepalen. Immers, indien voor een bepaalde procesactiviteit een groot aantal incidenten wordt genoteerd, kan het raadzaam zijn om die activiteit in een tweede diabolo gedetailleerder uit te schrijven. Door de procesreferentie aan te passen kan op die manier een cascade van diabolo’s worden opgesteld (zie infra).
2. Verloop van het proces (hoe wordt de doelstelling behaald ?) Het vak “Begin” vermeldt het element dat het proces opstart (d.i. de trigger). Dit is doorgaans een aanvraag, een opdracht, een mail, enz. Het is belangrijk dat dit begin traceerbaar is. Een mondelinge vraag is, behalve voor specifieke managementprocessen, niet betrouwbaar genoeg als startschot voor het inzetten van middelen. Het vak “Einde” toont het element dat het einde van het proces aangeeft. Meestal geeft die aan wat er met het eindproduct of de finale output gebeurt. Voorbeeld: met het oog op het afleveren van een vergunning is het opmaken van een aanvraagdossier een tussentijdse output. Het opmaken en ondertekenen van de vergunning zelf is het eindproduct, maar het proces is pas ten einde als de vergunning daadwerkelijk naar de klant werd verstuurd. 25
Om de opeenvolging van de procesactiviteiten te beschrijven kan het nuttig zijn om te vertrekken vanuit de finale output van het proces. Er wordt dan nagegaan welke activiteiten nodig zijn om die output te produceren. Het is aan te bevelen die activiteiten in blokken te organiseren volgens de tussentijdse outputs die ze moeten opleveren. Aldus is het nadien makkelijker om risico’s te identificeren en om meetindicatoren te definiëren zodat de efficiëntie van de activiteiten beter kan worden opgevolgd. Voor elke activiteit kan middels het veld “Actor” aangegeven worden wie deze rol op zich neemt. Elk activiteitenblok of subproces wordt vervolledigd met de intermediaire inputs. De input moet hier worden beschouwd als zijnde een basisgegeven zonder hetwelk de procesactiviteit niet kan worden uitgevoerd. Het is met andere woorden een blokkerend gegeven. Een input moet, net als de outputs, altijd een fysiek, tastbaar en dus meetbaar product zijn: een aanvraagdocument, een order, een vergunning, een geregistreerd advies, een gevalideerde beslissing, een handtekening, … Dit heeft ook weer belang bij de risico-identificatie. Immers, wanneer de input van onvoldoende kwaliteit is of niet tijdig wordt ontvangen, dan zal de output van die activiteit er wellicht nadelige gevolgen van ondervinden. Het aantal activiteiten per Diabolo wordt best beperkt gehouden, zodat de procesbeschrijvingen en de eraan gekoppelde risicotabellen overzichtelijk blijven. Bij meer dan 10 activiteiten is er mogelijks al teveel detail voor één enkel document. De Diabolo kan namelijk als een cascade worden opgebouwd, waarbij een complex activiteitenblok in meer detail wordt uitgesplitst in een aparte Diabolo. Door in deze laatste de procesreferentie uit te breiden met het activiteitennummer uit de eerste Diabolo wordt het rechtstreekse verband en de hiërarchie tussen beide beschrijvingen verduidelijkt. Onderstaand voorbeeld is de elektronische versie van de Diabolo en toont een reeks van activiteiten voor proces SDBB 5.1.
Figuur 8a: voorbeeld van een Diabolo Activiteit nummer 1, met name “voorbereiding voor begrotingsbesprekingen”, vereist verdere detaillering en wordt dus uitgesplitst in deelactiviteiten. Hiervoor wordt een aparte Diabolo met referentie SDBB 5.1.1 en met titel “voorbereiden van begrotingsbesprekingen” 26
aangemaakt. Dit heet een verticale cascade (zie figuur 8b). De referentie maakt duidelijk dat dit proces een overzicht geeft van de eerste activiteit van het proces SDBB 5.1.
Figuur 8b: voorbeeld van een Diabolo in verticale cascade Rechts is er ruimte voor de outputreferenties, die desgevallend wijzen op een horizontale cascade. Zij geven per activiteitenblok aan welk ander proces - lees Diabolo - de vermelde tussentijdse output als input nodig heeft. In bovenstaand voorbeeld wordt de output van activiteit 3, met name de reflectienota, als input gebruikt bij proces SDBB 7 (zie figuur 8c).
Figuur 8c: voorbeeld van een Diabolo in horizontale cascade Hetzelfde principe geldt dus ook voor de inputreferenties helemaal links. In het voorbeeld gebruikt proces SDBB 7 in haar eerste activiteit de in proces SDBB 5.1.1 onder activiteit 3 vermelde reflectienota als input. 27
3. Middelen (wat is er nodig om het proces uit te voeren ?) Het vak “personeel” biedt de mogelijkheid om de eventueel verschillende rollen binnen de diverse activiteiten te verduidelijken. Tevens kan desgevallend aangegeven worden welke specifieke competenties deze rol vereist om bepaalde activiteiten uit te voeren. De overige vakken zijn algemener van aard. Welke info is er zoal nodig in dit proces? Is er specifiek materieel nodig? Is er een idee van de benodigde kredieten voor dit proces of bestaat er een alternatieve financieringsvorm? Op welke sites of locaties worden de activiteiten uitgevoerd? Het verschil tussen info en input kan met volgend voorbeeld worden aangetoond. Om een bepaalde vergunning te verlenen aan een klant is een reeks van gegevens nodig (naam, adres, …). Dit is de info die in sommige gevallen reeds in het dossier zit en in andere gevallen nog moet worden opgevraagd. Toch is het mogelijk dat het proces, of een deelactiviteit ervan, niet kan worden opgestart indien die activiteit een formele aanvraag vereist onder de vorm van een formulier. Die aanvraag is dan (één van) de benodigde input(s). Bij de benodigdheden moeten niet alle vakken steevast worden ingevuld. De tool is immers een hulpmiddel en geen doel op zich. De Diabolo bevat enkel informatie die de gebruiker nodig acht.
Misvattingen omtrent procesbeschrijvingen Een Diabolo is geen statisch document, maar een dynamisch instrument. Het kan op elk moment aangepast worden als de nood zich voordoet. Dit houdt in dat de huidige procesbeschrijvingen geen eindpunt zijn, maar ten allen tijde kunnen gewijzigd worden. De redenen voor wijziging kunnen legio zijn. Zo is het mogelijk dat tijdens de risico-identificatie blijkt dat een bepaald proces een verdere detaillering van de activiteiten vereist omdat eenzelfde activiteit erg veel diverse risico’s inhoudt. In dat geval wordt een bijkomende diabolo opgemaakt. Nieuwe reglementering kan de nood aan een nieuw proces met zich meebrengen of kan ertoe leiden dat een bestaand proces volledig moet worden herzien. Er kunnen ook activiteiten toegevoegd worden die tijdens de eerste fase over het hoofd werden gezien, enzovoort. Een goede praktijk is dat de beschreven processen jaarlijks worden nagezien door de betrokken diensten en desgevallend worden bijgewerkt. Dit kan op algemene wijze worden uitgevoerd tijdens de planfase van de beheerscyclus of zelfs al tijdens de analysefase (Check) wanneer specifieke problemen hun oorzaak vinden in de procesactiviteiten. De hoeveelheid aan procesbeschrijvingen binnen een organisatie speelt geen rol. Uiteraard is het niet de bedoeling om papieren tijgers te gaan creëren. Daarom wordt binnen grote organisaties vaak gefocust op de kernprocessen. De procesbeschrijvingen dienen voor de detectie van potentiële risico’s die het bereiken van de doelstellingen van een organisatie bemoeilijken of zelfs op de helling kunnen zetten. 28
Methodiek voor het kaderen en beschrijven van de activiteiten Stappenplan: 1. In eerste instantie dient het project duidelijk gekaderd te worden voor de contactpersonen uit de verschillende diensten. Er dient hen een bondige uiteenzetting te worden gegeven rond het begrip ‘interne controle’ zodat zij over een degelijke vertrekbasis beschikken om hun rol binnen het project te kunnen vervullen. 2. Vervolgens is het aan de contactpersonen om hun outputs en (kern)processen op te lijsten en in de mate van het mogelijke reeds de belangrijkste stappen binnen de verschillende processen aan te geven. 3. Aan de hand hiervan vinden bilaterale gesprekken plaats tussen degene die de processen in kaart brengt en de betrokken contactpersoon binnen elke dienst, waarbij de processen middels de Diabolo op computer ter plekke worden opgesteld. 4. De Diabolo’s worden ter validatie aan de dienst voorgelegd.
Plan fase – Stap 2: indicatoren en normen In deze stap bepalen we de parameters voor het opvolgen van de vier algemene doelstellingen van het COSO/INTOSAI referentiekader voor interne beheersing: resultaat (effectiviteit, efficiëntie, zuinigheid), conformiteit, bescherming der middelen, rekenschap afleggen (accountability). De resultaatgerichte parameters zijn: PARAMETER Activiteiten Middelen Doelstellingen
NORMEN (doelwit) Wat wil je produceren? Wat wil je hiervoor inzetten? Welk effect wil je bereiken met de productie?
INDICATOREN (KPI) Activiteit (technisch), output Input effect (= outcome)
De andere parameters (conformiteit, bescherming der middelen en rekenschap afleggen) zijn moeilijker te specificeren omdat ze niet enkel aan de hand van indicatoren zijn te bepalen en daarom eerder een referentiekader vereisen. Zo wordt het nastreven van conformiteit bereikt door zowel technische voorschriften als culturele waarden omdat het naleven van een deontologische code niet louter via indicatoren kan worden nagegaan.
29
De bescherming der middelen wordt bereikt door een verzameling van controlemaatregelen, beperkingen, voorschriften en gedragingen. Om het behalen van deze algemene doelstelling te kunnen inschatten, moet de organisatie dus gebruik maken van technische indicatoren die onder andere de goede werking van sommige risicobeperkende controlemaatregelen en het periodiek gebruik van de beschikbare kredieten meten, alsook van evaluaties en rapporteringen die bijvoorbeeld een beeld geven van de wijze waarop kennis wordt beheerd. Rekenschap afleggen, tenslotte, is een algemene doelstelling die het belang en de correctheid van de rapportering behelst. Zij houdt in dat de leidinggevende verantwoordelijk is voor het behalen van goede resultaten en voor een correcte rapportering ervan opdat hij met vertrouwen verantwoording kan afleggen over zijn bestuur. Op die manier wil men de overheidsmanager responsabiliseren. Het verzamelen van informatie is hierbij van cruciaal belang. Informatie is een hulpmiddel om de organisatie beter te kunnen aansturen. In de projectfase, dus bij het opzetten van een internecontrolesysteem, kan in eerste instantie gebruik worden gemaakt van de reeds bestaande indicatoren. Bij de volgende doorloop van de beheerscyclus wordt dan in de diverse fasen telkens aandacht besteed aan de aspecten van de bedrijfsvoering die, met het oog op een correcte en gedetailleerde inschatting van de prestaties, niet of onvoldoende werden gemeten of opgevolgd.
Plan fase – Stap 2 in praktijk: indicatoren en normen Inputindicatoren De volgende vragen kunnen helpen bij het definiëren van indicatoren.
inputindicatoren
•Welke middelen wil u inzetten om de gewenste output te produceren? •Wat is er nodig om de gewenste output te produceren? •Hoe hoopt u dit te kunnen meten?
Het antwoord op de eerste vraag bepaalt de kredieten die moeten worden vrijgemaakt. Deze informatie komt uit de begroting, het personeelsplan, het managementplan, enzovoort. De tweede vraag slaat op de intermediaire inputs, de tussenproducten die nodig zijn om de activiteiten uit te voeren. Deze worden afgeleid uit de processen. Immers, opdat het eindproduct aan alle verwachtingen zou voldoen, moet het produceren ervan foutloos en efficiënt verlopen. Voor een vlotte uitvoering moeten dus ook de benodigde inputs voldoen aan bepaalde criteria, zoniet gaan tijd en middelen verloren.
30
De derde vraag vergemakkelijkt de identificatie van de indicatoren. Om de beschouwde normen beter te beheersen, dienen indicatoren te worden geformuleerd die de kwaliteit, volledigheid, tijdigheid, betrouwbaarheid, juistheid en conformiteit van de input weergeven.
Outputindicatoren
outputindicatoren
•Welke output moet u produceren? •Aan welke criteria moet deze voldoen om de doelstelling te realiseren? •Hoe hoopt u dit te kunnen meten?
Voor een volledige beheersing van het proces moet aan elk van de prestatiecriteria minstens één indicator worden gekoppeld. De eraan toegewezen norm is de meetwaarde die de indicator minstens dient te bereiken opdat de doelstelling zou worden gehaald. Voorbeeld: Een operationele doelstelling werd nogal vaag geformuleerd als “een aangename omgevingstemperatuur garanderen”. Om te meten of de doelstelling wordt bereikt, wordt een outputindicator gedefinieerd met als norm 20°C. Historieken tonen aan dat deze temperatuur in de gebouwen wordt bereikt bij een gemiddelde energiebehoefte van 45kWh. Dit is dan de norm voor de inputindicator. Bij een hoger verbruik is er een risico wat betreft de efficiëntie, bij een lager verbruik bestaat het risico dat de doelstelling niet wordt behaald. De gebruikte indicatoren en normen zorgen niet alleen voor een gedetailleerde opvolging, maar vormen tevens een belangrijke informatiebron voor het identificeren van risico’s, aangezien dit laatste geformuleerd kan worden als het niet behalen van de norm. In het bovenstaande voorbeeld is het operationele risico dus te omschrijven als het niet bereiken van een aangename omgevingstemperatuur, hier genormeerd op 20°C, wanneer er toch een verbruik van 45kWh zou worden gemeten.
Effectindicatoren
effectindicatoren
•Welke effecten moet de geleverde prestatie of het product opleveren? •Hoe hoopt u dit te kunnen meten?
31
Effectindicatoren meten de tevredenheid van de klant met betrekking tot de output. Zij leggen de nadruk op het succes van het gevoerde beleid. Daarnaast kunnen ze als beheersmaatregel worden gebruikt om de goede werking van de andere indicatoren te verzekeren. Het behalen van de norm van de outputindicator betekent immers niet vanzelf dat de klant tevreden is. Door gewijzigde omstandigheden stelt deze misschien nieuwe eisen aan een bepaalde dienstverlening waardoor een effectindicator negatief is. Het zou ook kunnen dat de outputindicator niet correct werd gebruikt. Voorbeeld: Om te stellen dat de kamertemperatuur effectief 20°C bereikt, volstaat het niet om enkel naar de thermometer te kijken. Die kan immers inderdaad 20°C aangeven. Een effectindicator, zoals een rondvraag bij het aanwezige personeel, zou kunnen aangeven dat het toch onaangenaam koud is. Dit betekent dat de doelstelling “een aangename omgevingstemperatuur garanderen” niet werd bereikt. Een mogelijke oorzaak is dat de thermometer net boven een warmtebron hangt, terwijl koude lucht via tochtkieren naar binnen stroomt. Dit moet blijken uit een analyse van het probleem. Het is echter mogelijk dat een gelijkaardig probleem onopgemerkt blijft omdat een thermostaat voor voldoende omgevingswarmte zorgt. Het verbruik zou in dit geval echter abnormaal hoog liggen. Vandaar het nut van de inputindicator, die in dit voorbeeld zou aangeven dat het verbruik ver boven de norm van 45kWh uitkomt.
Opnieuw is het van belang dat de doelstellingen en eindproducten SMART worden geformuleerd. Zo kunnen de indicatoren beter worden gedefinieerd, gekwantificeerd en opgevolgd. Dit laat toe het behalen van de doelstellingen beter in te schatten en te beheersen. De werkwijze om een meetsysteem uit te bouwen is steeds dezelfde ongeacht het type indicator. Stappenplan: 1. Bepaal outputindicatoren die in relatie staan met de te realiseren doelstelling. De indicatoren meten in welke mate de output van het proces voldoet aan de in de doelstelling geformuleerde criteria. Is de doelstelling bijvoorbeeld omschreven als “een kwalitatieve berekening aan de klant bezorgen binnen de 3 dagen na aanvraag”, dan dient u meetbare criteria voor die kwaliteit vast te stellen alsook een indicator die de verwerkingstermijn aangeeft. 2. Bepaal de effectindicatoren. Deze geven aan in welke mate de eindproducten voldoen aan de initiële behoeften. Dit kan bijvoorbeeld via evaluatieformulieren of tevredenheidanalyses worden gemeten. 3. Bepaal indicatoren voor de tussentijdse outputs. Deze mijlpalen zijn van wezenlijk belang voor de correcte oplevering van het eindproduct. 4. Bepaal indicatoren voor de tussentijdse inputs. Ze geven een beeld van de efficiëntie in de activiteiten.
32
Plan fase – Stap 3: ex ante evaluaties Een ex ante evaluatie is een relatief eenvoudig instrument om bijvoorbeeld effectiviteit en efficiëntie na te streven. Nieuwe of bijgestuurde voorstellen, indicatoren en maatregelen kunnen op diverse manieren worden uitgetest en verbeterd vooraleer ze volledig worden ingevoerd in de activiteiten. Het is een aspect van goed bestuur waardoor kostbare tijd en middelen kunnen worden uitgespaard. Mogelijke instrumenten zijn onder andere de SWOT-analyse, What if-analyse, testcases en pilootprojecten.
Wat is een SWOT analyse? Het is een methode voor strategische analyse. Ze wordt gebruikt om enerzijds de sterkten en zwakheden en anderzijds de opportuniteiten en bedreigingen van een organisatie, project, proces of maatregel te evalueren. Eerst wordt de hoofddoelstelling tegen het licht gehouden, waarna de interne en externe factoren die de doelstelling kunnen beïnvloeden, worden geïdentificeerd. Het heeft weinig zin een SWOT-analyse toe te passen op doelstellingen die niet SMART geformuleerd werden. Letter S
Omschrijving Strength
Omschrijving Sterkte
Type Intern
W
Weakness
Zwakte
Intern
O
Opportunity
Opportuniteit
Extern
T
Threat
Bedreiging
Extern
Betekenis Karakteristiek die een voordeel inhoudt in vergelijking met anderen. Karakteristiek die een nadeel vormt in vergelijking met anderen. Een kans om beter te presteren of om zich verder te ontwikkelen. Een gevaar dat de prestaties kan verminderen of het voortbestaan onder de huidige vorm in het gedrang brengt.
Wat is een What if-analyse? Het is een gestructureerde analysemethode die steunt op brainstormen, wat neerkomt op vrije associatie. Ze steunt op het openlijk stellen van pertinente vragen onder de vorm van “wat doen we als… ?”. Net als bij de SWOT-analyse wordt eerst de hoofddoelstelling tegen het licht gehouden, waarna alle factoren die de doelstelling kunnen beïnvloeden, worden geïdentificeerd. Omdat de focus hier vaker ligt op de remedie laat deze methode toe sneller en dieper in detail te gaan op die elementen die fout kunnen gaan. Ze is daarom erg geschikt om beheersmaatregelen te identificeren.
33
Plan fase – Stap 3 in praktijk: ex ante evaluaties Bij het definiëren van doelstellingen, indicatoren, normen en risicomaatregelen loont het vaak de moeite om hun werking, inhoud, acceptatie, impact, enzovoorts na te gaan vooraleer ze volledig worden ingevoerd in de activiteiten.
ex ante evaluaties
•Is de huidige formulering voldoende SMART? •Welk resultaat bekomt u met een SWOT-analyse? •Welk resultaat bekomt u met een What if-analyse? •Is het interessant om er eerst een pilootproject voor uit te voeren?
Stappenplan: 1. Onderzoek de behoefte aan een ex ante evaluatie. Deze zal afhangen van de impact of de scope van het evaluandum. 2. Voer de evaluatie uit vertrekkende van bovenstaande hulpvragen. 3. Stuur bij waar nodig.
34
De DO fase FASE/STAP Do 4 – activiteiten Do 5 – meten en opvolgen Do 6 – incidentregistratie
ACTOREN Management, kernmedewerkers Management, kernmedewerkers kernmedewerkers
In deze fase zullen de drie stappen elkaar overlappen: tijdens de uitvoering van de activiteiten worden de prestaties permanent gemeten en opgevolgd. Indien zich dan een incident voordoet, kan dit onmiddellijk worden geregistreerd.
DO fase – Stap 4: activiteiten Naast het leveren van een product of een dienst heeft een proces of project tot doel om bij te dragen aan de realisatie van de behoeften van de belanghebbenden. Het beschrijven en correct uitvoeren van de activiteiten leidt tot minder ongewenste variaties in het resultaat en garandeert aldus een bepaald kwaliteitsniveau. De uitvoeringsfase omvat de gewone bedrijfsactiviteiten waarbij processen worden doorlopen en projecten worden afgewerkt. De wijze waarop de diverse activiteiten in deze fase worden uitgevoerd is bepalend voor de kwaliteit van de output en de omvang van de input. Of met andere woorden: de uitvoering bepaalt de conformiteit, zuinigheid, effectiviteit en efficiëntie van de werking. Een eerste vereiste voor een goed resultaat is natuurlijk dat de procedures en voorschriften correct worden gevolgd tijdens het uitvoeren van de activiteiten. Hiervoor zijn duidelijke richtlijnen en een goede begeleiding door de directe chefs en het middenkader nodig.
DO fase – Stap 4 in praktijk: activiteiten In sommige gevallen zullen de algemene doelstellingen van interne beheersing moeten worden nagestreefd door verplichte werkprocedures voor specifieke activiteiten in te voeren. In andere gevallen spelen vooral organisatie – of cultuurgebonden factoren een rol. Zij worden aangepakt op een niveau dat de individuele activiteiten overstijgt, namelijk binnen de diverse domeinen van de controleomgeving zoals beschreven in het COSO referentiekader. Veranderingsbeheer is een voor de hand liggende techniek om transversale wijzigingen binnen een organisatie door te voeren.
35
DO fase – Stap 5: meten en opvolgen Het meten zelf moet nauwgezet gebeuren. Het mag niet de bedoeling zijn om de metingen zodanig bij te werken dat het resultaat beter wordt voorgesteld dan het in werkelijkheid is. Dit zou in strijd zijn met alle algemene doelstellingen van interne beheersing. Daarom is een goede opvolging nodig. De wijze van meten zal in een ex post omgeving immers nauwkeurig worden onderzocht door de externe controleorganen. De organisatie moet dus voldoende aandacht schenken aan de werkelijke naleving van de voorschriften en instructies met betrekking tot de verschillende elementen van het meetsysteem. Vooral organisaties met decentrale diensten of buitendiensten dienen hier extra aandacht aan te besteden.
DO fase – Stap 5 in praktijk: meten en opvolgen De wijze en de periodiciteit van het meten werden al bepaald en besproken in de planfase.
meten en opvolgen
•werden de activiteiten conform de afspraken en voorschriften uitgevoerd? •werden er belangrijke incidenten geregistreerd? •gebeurt het verzamelen van meetgegevens zoals het hoort?
In deze stap wordt de basisinformatie vergaard die in de analysefase zal worden onderzocht. Opvolging slaat hier vooral op het middenkader en de directe chefs in het bijzonder. Hun permanent toezicht op een vlotte uitvoering van de activiteiten en op de doelbereiking van de outputs bevordert een goede monitoring en versterkt de risicobeheersing. Het hoger kader speelt ook een belangrijke rol in die zin dat het zich ervan moet vergewissen dat het meetsysteem op een correcte wijze wordt gebruikt.
DO fase – Stap 6: incidentregistratie Een gecentraliseerd systeem voor incidentenbeheer is niet onmisbaar, maar kan een aanzienlijke bijdrage leveren tot het identificeren van risico’s en het inschatten van realistische normen voor prestatie- en andere indicatoren. De behoefte aan en de modaliteiten van de registratie- en afhandelingprocedures worden door de organisatie zelf bepaald. Idem dito voor de activiteiten, de geregistreerde gegevens en de actoren die in dit proces optreden.
36
Het uiteindelijke doel van incidentenbeheer is het aanleveren van prestatiegegevens en het opvolgen van problemen met het oog op een grondige voorbereiding van de prestatieanalyse en de risicoanalyse. Incidentenbeheer biedt dus mogelijkheden voor zowel de interne beheersing als voor de beheerscontrole. Het systematisch bijhouden van incidenten biedt daarnaast het voordeel dat een historiek van de oplossingen per probleem kan worden geraadpleegd. Dergelijke informatie is erg waardevol bij het opbouwen van kennis over de werking van de organisatie en haar processen. Bovendien laat het de verantwoordelijken toe de problemen diepgaander te evalueren om, met het oog op een efficiënte inzet van middelen, te vermijden dat er eerst een aantal minder geschikte oplossingen worden voorgesteld en uitgeprobeerd. De organisatie mag evenwel niet uit het oog verliezen dat wanneer een systeem voor incidentenbeheer wordt opgezet, dit ook werkelijk zin moet hebben. De registratie is immers slechts een middel tot informatiebeheer en geen doel op zich.
DO fase – Stap 6 in praktijk: incidentregistratie Het onderstaand schema is een mogelijk vertrekpunt.
Figuur 9: incidentregistratie Voorbeeld van geregistreerde gegevens: na identificatie van het probleem: omschrijving, nummering, type, datum, wie, waar, … na de evaluatie van het probleem: ernst, impact, hoogdringendheid,… na de goedkeuring van de voorgestelde oplossing: omschrijving, nummering, type, datum van de goedkeuring, wie, datum volgende evaluatie, … na de evaluatie van de voorgestelde oplossing: resultaat, doeltreffendheid, eventueel datum volgende evaluatie,… 37
bij verwerping van een oplossing: de oorzaken van het niet werken van de initiële oplossing, uiterste datum voor een nieuwe oplossing, … na afsluiting van het probleem: datu m, wie, reden (verworpen, opgelost), …
Steeds wederkerende incidenten wijzen op structurele problemen. Zij kunnen dan als risico worden behandeld binnen het systeem van interne beheersing. Hierbij kan het gecentraliseerde incidentenbeheer informatie verschaffen met betrekking tot impact en frequentie van het probleem. Deze gegevens zijn niet enkel interessant in het kader van de risicoanalyse, maar kunnen een belangrijke bijdrage leveren bij het definiëren van gerichte controlemaatregelen. Bovendien is dit waardevolle informatie die kan worden gebruikt bij het bepalen van prestatie-indicatoren en hun bijhorende normen.
38
De CHECK fase FASE/STAP Check 7 – prestatieanalyse Check 8 – risico’s identificeren Check 9 – risicoanalyse
ACTOREN Management, kernmedewerkers kernmedewerkers Management, kernmedewerkers
CHECK fase – Stap 7: prestatieanalyse Bij het opzetten van het internecontrolesysteem, dus in projectfase, moet een organisatie zich de vraag stellen of het bestaande managementplan en bijhorende balanced scorecard (BSC) voldoende SMART elementen bevat om een realistisch beeld te vormen van de werkelijke prestaties. De projectfase dient ook om de eerste factoren voor de analyse te documenteren: de procesbeschrijvingen, de eerste risico-identificatie. Zo wordt het basismateriaal verzameld, waarmee een eerste cyclische resultaat- annex risicoanalyse zal worden uitgevoerd. Bij de periodieke analyse van de resultaten wordt dus aandachtig gekeken naar die punten waar de doelstellingen niet volledig werden gehaald. Dit maakt deel uit van de beheerscontrole en behoort tot de algemene taken van het management. Het doel van de betrokken leidinggevende hier is om samen met zijn medewerkers na te gaan wat de onderliggende redenen voor de (mindere) prestaties zijn.
CHECK fase – Stap 7 in praktijk: prestatieanalyse
resultaten analyseren
•Welke resultaten werden in de afgelopen periode behaald? •In welke mate heb ik mijn doelstellingen behaald? •Hoe verhouden die zich tot de resultaten van de vorige periode?
39
Stappenplan: 1. Verzamel alle informatie over de behaalde resultaten. Een realistisch en meetbaar beeld van de resultaten vereist een goede planning en formulering van de prestatieindicatoren. Indien dit beeld te vaag is, vormt het een risico voor het management, aangezien het beslissingen moet nemen op basis van een onduidelijke situatie. In dat geval is het aangewezen om in de Act-fase een verbetering van het meetsysteem uit te werken. 2. Vergelijk de realisaties met de doelstellingen. Dit is de kern van beheerscontrole. Een organisatie met maturiteit op het vlak van interne en beheerscontrole slaagt erin haar resultaten gedetailleerd toe te lichten. Als het behaalde resultaat onder de verwachtingen is gebleven, hebben er zich gebeurtenissen voorgedaan die het behalen van de doelstelling hebben bemoeilijkt. Deze gebeurtenissen zijn manifestaties van risico’s en moeten verduidelijkt worden. 3. Met het oog op efficiëntie is het aangewezen om de resultaten ook te vergelijken met deze van de vorige periode. Het onderzoeken van de redenen waarom de organisatie het beter heeft gedaan levert belangrijke beheersinformatie op voor het management en helpt de strategische ontwikkeling van de organisatie. Indien de resultaten minder goed waren dan de vorige keer, dan kan onderzoek uitwijzen wat er mis ging zodat er adequate oplossingen kunnen worden gevonden. Efficiëntie kan het meest accuraat worden gemeten door de periodieke eenheidskost van de productie op te volgen.
CHECK fase – Stap 8: risico’s identificeren Het identificeren van de elementen die het behalen van de doelstellingen belemmeren is de eerste stap in risicobeheersing. Een vooropgesteld resultaat dat niet wordt gehaald veronderstelt immers dat er problemen zijn opgedoken. Deze problemen vormen dus risico’s en het is belangrijk ze te benoemen en te documenteren. Het louter benoemen van de risico’s is evenwel niet voldoende. Een risico kan immers verschillende oorzaken hebben. Naargelang de wijzigende omstandigheden kunnen nieuwe risico’s ontstaan. Ook de bepalende factoren of oorzaken van een risico kunnen veranderen. Daarom is het belangrijk de risicocyclus regelmatig te doorlopen. Het ligt voor de hand om dit te integreren in de beheerscyclus, waarbij het analyseren van de resultaten rechtreeks aanleiding geeft tot het identificeren en zonodig het (her)evalueren van de risico’s. Op deze manier wordt het internecontrolesysteem stelselmatig en zonder al te grote personeelsinspanningen opgebouwd. Na verloop van tijd ontstaat er vanzelf een kwantitatieve basis die kan worden gebruikt om sommige controles of maatregelen preventief in te bouwen. 40
Een management gap is niet altijd het gevolg van een operationeel incident. De mogelijke structurele oorzaken zijn legio: gebrek aan SMART doelstellingen, onvoldoende uitgewerkte normen, gebrekkig meetsysteem, niet gevolgde procedures, enz. Voor mogelijke maatregelen moet in dergelijke gevallen eerder de aandacht worden gericht op het beter formuleren van de doelstellingen en/of de normen, op relevantere KPI’s, responsabilisering van het personeel, opleiding, enz. Anders gesteld, de oorzaken van de mindere resultaten die niet rechtstreeks voortvloeien uit een uniek operationeel incident vinden hun oorsprong in de zogeheten beheers- of controleomgeving. Vooral wanneer een incident ongewenste juridische of budgettaire gevolgen heeft, loont het de moeite om de behoefte te onderzoeken aan een voor het beschouwde proces specifieke maatregel. In andere gevallen is het vaak efficiënter om één of meerdere algemene maatregelen voor de hele organisatie te nemen11.
CHECK fase – Stap 8 in praktijk: risico’s identificeren In de methodologie van Management Support wordt gebruik gemaakt van rolgestuurde procesbeschrijvingen, de zogenaamde Diabolo’s12. Hierin worden ook de intermediaire outputs, d.i. de tussentijdse prestaties voor de individuele activiteiten, beschreven. Ze maken het mogelijk om in deze fase prestatienormen op een meer gedetailleerd niveau voor ogen te houden waardoor de identificatie van risico’s vlotter verloopt. De activiteitgebonden risico’s worden rechtstreeks afgeleid uit de formulering van de doelstelling en deze van de finale en tussentijdse outputs van een proces. Vandaar het belang van SMART doelstellingen en normen en van een duidelijke procesfiche. De projectfase van het internecontrolesysteem dient om het basismateriaal te verzamelen. Vertrekkende vanuit de activiteiten worden de risico’s geïdentificeerd op basis van incidenten uit het verleden. Bij de volgende doorloop van de beheerscyclus - volgens de periodiciteit die werd bepaald in de planfase - worden nieuwe risico’s geïdentificeerd op basis van problemen die zich tijdens de beschouwde periode hebben voorgedaan. Een vorm van incidentregistratie13 kan hierbij een hulpmiddel zijn.
afwijkingen identificeren
•waarom deden we het beter of desgevallend minder goed? •welke meevallers waren er? •welke problemen beletten het bereiken van de doelstellingen? •welke zijn de onderliggende oorzaken van het risico? •zijn ze proces/taakgebonden of eerder algemeen?
11
Zie De kern van de methodologie: verbeteren van de controleomgeving Zie Plan fase – stap 1 in praktijk. 13 Zie Do fase – stap 6 in praktijk 12
41
Stappenplan: 1. Onderzoek de aard van het probleem. Bij een resultaatgestuurde probleemanalyse is het aangewezen eerst vast te stellen waar het probleem zich situeert: in de doelstelling zelf, in het meetsysteem of in de activiteiten. Na de eerste doorloop van de analyse- en reactiefases kan dan naargelang de behoeften een bijsturing van de doelstellingen of een bijwerking van het meetsysteem worden uitgewerkt in de volgende planfase. 2. Identificeer de activiteitsgebonden risico’s met betrekking tot de procesdoelstelling. Is de doelstelling bijvoorbeeld wat vager omschreven als “het afleveren van een correct opgestelde vergunning binnen de gestelde termijnen” dan moeten er binnen het SMART kader normen worden opgesteld om de doelstelling meetbaar te maken. De Plan fase is hiervoor het aangewezen moment. Verschillende criteria dienen dus aan te geven wat een “correcte” vergunning betekent en andere criteria leggen zich toe op de vermelde termijnen. Deze criteria vormen eigenlijk indicatoren. Zij kunnen worden opgenomen in de formulering van de doelstelling indien ze niet vaak worden gewijzigd. In een dynamischer omgeving is het beter om ze als indicatoren te behouden. In ieder geval worden de risico’s geïdentificeerd met betrekking tot het niet halen van de criteria. Bijvoorbeeld: risico R1 is “termijn niet gehaald”. 3. Identificeer de risico’s met betrekking tot de finale en tussentijdse in- en outputs van een proces. De uiteindelijke output van het proces moet doorgaans voldoen aan bepaalde kwaliteitscriteria. Ook tussentijdse inputs en outputs moeten aan allerlei criteria voldoen om op efficiënte wijze een kwaliteitsvolle finale output te produceren. De gehanteerde criteria bepalen de formulering van de eraan verbonden risico’s: het risico is immers het niet halen van het vooropgestelde criterium. Het stelselmatig verbeteren van de formuleringen versterkt het systeem van interne beheersing omdat het leidt tot concretisering en meetbaarheid. 4. Bepaal de onderliggende oorzaken van het probleem. Het belang hiervan ligt in het feit dat het vermijden van een risico vaak een andere aanpak vereist naargelang de oorzaak ervan.
Bijvoorbeeld: betreffende het risico ”termijn niet gehaald” zijn mogelijke onderliggende oorzaken voor het niet behalen van deze termijn: “afwezigheid personeel”, “technische problemen ICT”, “benodigde input niet tijdig ontvangen”, “benodigde input voldoet niet aan vereisten”, “onachtzaamheid van het personeel”, enzovoort.
42
De strategische risico’s kunnen met een SWOT-analyse of zelfs met behulp van een eenvoudige Diabolo worden geïdentificeerd. Eventueel kan hierbij gebruik worden gemaakt van hulpmiddelen zoals het Risico Identificatie Model van de FOD Mobiliteit. De evaluatie van de aldus geïdentificeerde strategische risico’s kan dezelfde methodiek als deze voor de operationele risico’s volgen14.
CHECK fase – Stap 9: risicoanalyse Om vat te krijgen op een risico moeten de onderliggende oorzaken worden aangepakt. Ligt de oorzaak bij reeds behandelde risicofactoren, dan moeten de bestaande maatregelen worden bijgestuurd of uitgebreid. Betreft het een nieuw probleem dan wordt onderzocht hoe men dit onder controle kan krijgen. Werkvergaderingen, overleg en interviews zijn de meest aangewezen technieken om een antwoord op de vragen te formuleren. Uiteindelijk wordt voor elke oorzaak de risicograad bepaald. Deze wordt enerzijds gevormd door de impact of ernst van een probleem en anderzijds door de waarschijnlijkheid of de kans dat dit probleem zich voordoet. De risicograad maakt het mogelijk om risico’s in te schatten en te ordenen en om een eerste keer prioriteiten aan te duiden. Het aangeven van prioriteiten op basis van de risicograad is geen vereiste, maar de mogelijkheid wordt aangeboden in het geval het management wegens tijdsgebrek zou beslissen om de verdere analyse te beperken tot de risico’s met een hoge risicograad. In de projectfase, met andere woorden bij de opstart van het internecontrolesysteem, moet de dienst nagaan welke de meest voorkomende oorzaken zijn voor de geïdentificeerde risico’s. Op deze manier wordt het internecontrolesysteem al een eerste keer gestoffeerd. Deze lijst vormt nadien het referentiekader voor de beheerscyclus aangezien de resultaatsanalyse wordt afgewogen tegen de hier vermelde probleemoorzaken.
CHECK fase – Stap 9 in praktijk: risicoanalyse
oorzaken analyseren
14
•waarom werkten eerder genomen maatregelen niet? •betreft het een losstaand feit of is er een trend waarneembaar? •hoe ernstig is dit en hoe vaak kan het voorkomen? •hoe kunnen we eventuele meevallers opnieuw opwekken?
Zie Check fase - stap 9 in praktijk
43
Een bekende standaardmethode voor risicoanalyse is het bepalen van de risicograad. De meest gangbare berekeningswijze is: Risicograad = Impact x Waarschijnlijkheid. Incidentregistratie15 kan na verloop van tijd een gegevensbank opleveren die toelaat impact en waarschijnlijkheid van een risico op kwantitatieve wijze in te vullen. Bij gebrek aan cijfermateriaal kan evenwel een kwalitatieve schaal worden gebruikt. Het is aangewezen om hierin een even aantal keuzemogelijkheden op te nemen. Door geen middenwaarde toe te laten wordt de gebruiker of evaluator immers verplicht zich of positief of negatief over een risico uit te spreken. Een voorbeeld van kwalitatieve waarden: SCHAAL 1 2 3 4
IMPACT Beperkt Redelijk Aanzienlijk Ernstig
WAARSCHIJNLIJKHEID Onwaarschijnlijk Weinig waarschijnlijk Waarschijnlijk Zeer waarschijnlijk
Een kwalitatieve analyse levert betrouwbaardere resultaten op wanneer zij door meerdere personen wordt uitgevoerd. De Diabolo biedt de mogelijkheid om deze analyse in groepsverband of individueel uit te voeren. Bij de individuele benadering wordt er automatisch gewezen op belangrijke evaluatieverschillen, waarna de leidinggevende kan beslissen welke punten in een gemeenschappelijke ronde zullen worden besproken om alsnog tot een consensus te komen. De gemeenschappelijke benadering van risico-evaluatie heeft het voordeel dat ze toelaat om eventuele interpretatieverschillen onmiddellijk weg te werken. Immers, het achteraf gezamenlijk wegwerken van deze afwijkingen kan bij sommigen de indruk van een kruisverhoor oproepen of tijdens de individuele fase tot verminderde aandacht leiden als er nadien toch een groepsronde volgt. Een tweede en veel belangrijker reden om de gezamenlijke aanpak te verkiezen heeft te maken met de controleomgeving uit het COSO referentiekader. De groepsaanpak opent immers de deur tot communicatie omdat iedereen zich kan uiten en zich openstelt voor andere meningen en verwoordingen. Dit bevordert de betrokkenheid en het engagement van de medewerkers en het werkt sensibiliserend met betrekking tot de verdere uitbouw van het systeem van interne beheersing. Bovendien kan de groepsdiscussie een verbetering van de risico-identificatie met zich meebrengen.
15
Zie Do fase – stap 6 in praktijk.
44
Stappenplan: 1. Kies tussen de individuele of de groepsbenadering. Er is geen vuistregel om deze keuze te sturen. De beschikbaarheid van het betrokken personeel is doorgaans de bepalende factor. Indien wordt geopteerd voor de individuele benadering is het belangrijk om de verschillende evaluaties nadien te overlopen en eventuele belangrijke afwijkingen te bespreken in groepsverband. Werkvergaderingen, overleg en interviews zijn immers de meest aangewezen technieken om een antwoord op de bovenvermelde hulpvragen te formuleren. 2. Voor elk risico worden de onderliggende oorzaken onderzocht. Betreft het een reeds eerder geïdentificeerd risico, dan wordt onderzocht waarom de eerder ingevoerde maatregelen niet hebben gewerkt of waarom ze niet werden uitgevoerd. De redenen hiervoor kunnen immers worden beschouwd als bijkomende oorzaken van het risico en worden dus op dezelfde wijze aangepakt. 3. Bepaal de risicograad voor elke oorzaak van een risico door enerzijds de impact en anderzijds de probabiliteit ervan in te schatten.
Risico-inschatting is geen exacte wetenschap, maar steunt sterk op de culturele waarden van de organisatie en op de gevoeligheden van de leidinggevenden.
45
Figuur 10: voorbeeld van een risicotabel gekoppeld aan de activiteiten beschreven in een Diabolo16 taal/langue (NL/F): Referentie Proces Naam Proces Doelstelling proces Nr Act.
NL DG1.01 het archief bijhouden de gearchiveerde stukken op een beveiligde manier bewaren gedurende 10 kalenderjaren Activiteit 1 de gearchiveerde stukken beveiligen 1 de gearchiveerde stukken beveiligen 1 de gearchiveerde stukken beveiligen 1 de gearchiveerde stukken beveiligen 1 de gearchiveerde stukken beveiligen 1 de gearchiveerde stukken beveiligen 1 de gearchiveerde stukken beveiligen 1 de gearchiveerde stukken beveiligen
Strategische doelstelling Operationele doelstelling
SD01 OD04
Eigenaar
DG1 Risico
verlies door brand verlies door brand verlies door brand verlies door brand verlies door brand verlies door waterschade verlies door waterschade verlies door waterschade
Oorzaak roken in het archief uitslaande brand ander lokaal elektrische brand oude leidingen opzettelijke brandstichting beveiligingsdeur niet gesloten inkomende overstroming bluswater na brand bovenverdieping gesprongen leidingen
Ref. Risico DG1.01.R6 DG1.01.R7 DG1.01.R8 DG1.01.R9 DG1.01.R10 DG1.01.R11 DG1.01.R12 DG1.01.R13
Impact
Probabiliteit
4 4 3 4 4 3 3 3
2 2 3 1 3 1 1 2
Risicograad
8 8 9 4 12 3 3 6
Hoewel een verlies door brand hetzelfde gevolg heeft, namelijk het verlies van archiefstukken, wordt het risico verschillend ingeschat naargelang de onderliggende oorzaak, wat toelaat rekening te houden met strategische accenten uit de controleomgeving: De risico’s R6, R9 en R10 worden als ernstiger ervaren dan risico R8, omdat het gepaard gaat met onaanvaardbaar gedrag dat niet strookt met de organisatiecultuur. Risico R7 wordt als ernstig ervaren omdat de brand ook andere delen van de organisatie betreft. Risico R10 wijst bovendien op een nonchalance betreffende de bestaande richtlijnen en vormt daarom het zwaarste risico voor de beschouwde doelstelling en activiteit. Het zal hoogstwaarschijnlijk een prioritaire behandeling krijgen. De hogere probabiliteit van risico R8 wijst op twijfels betreffende de veiligheid van de verouderde leidingen.
16
Dit is een eenvoudig en fictief voorbeeld. Het doel is om de verschillende componenten van de risicotabel toe te lichten, niet om een inhoudelijk voorbeeld te tonen.
46
De ACT fase FASE/STAP Act 10 – maatregelen analyseren Act 11 – maatregelen valideren Act 12 – maatregelen invoeren
ACTOREN Management, kernmedewerkers Management Management, kernmedewerkers
ACT fase – Stap 10: maatregelen analyseren Wanneer de risicograad werd bepaald, kunnen een aantal maatregelen worden gedefinieerd rekening houdende met de wens om meer of minder in te grijpen op de impact of de waarschijnlijkheid van het risico en in het bijzonder op de onderliggende oorzaken ervan. Naargelang de aard van het risico, de mogelijkheden en de prioriteiten van het management wordt beslist hoe het risico moet worden aangepakt. Detecterende maatregelen bestaan uit alarmfuncties op basis van indicatoren en/of andere vormen van rapportering. Hun rol is het opsporen van ongewenste gebeurtenissen. Corrigerende maatregelen verminderen de impact of de nadelige effecten van een risico. Preventieve maatregelen verlagen dan weer de waarschijnlijkheid of de kans dat het risico zich voordoet. De analyse van de maatregelen omvat meerdere aspecten. Eerst en vooral moet de organisatie zich vergewissen van de adequaatheid en de goede werking van de maatregel. Vervolgens moeten de mogelijke effecten ervan op de rest van de organisatie worden onderzocht. Een maatregel kan immers goede resultaten boeken met betrekking tot een specifiek probleem, maar tegelijk negatieve gevolgen hebben op andere vlakken waardoor nieuwe risico’s ontstaan of gekende risico’s worden versterkt.
47
ACT fase – Stap 10 in praktijk: maatregelen analyseren
maatregelen analyseren
•hoe kunnen we een herhaling voorkomen of de impact verminderen? •hoe kunnen we een gelijkaardig probleem eerder detecteren? •is de kost van de maatregel evenredig met de ernst van het probleem? •kunnen we de effectiviteit van de maatregel inschatten ex ante? •welke voorwaarden zijn vereist voor een effectieve maatregel? •vereisten: actuele processen, risicotabellen, controletabellen, rapporten.
Maatregelen kunnen allerlei vormen aannemen naargelang de aard en de omvang van het onderliggende probleem of de behoefte. Bijvoorbeeld: -
-
Een doelstelling aanpassen indien ze niet meer voldoet aan de behoeften. Een indicator of de norm ervan bijsturen indien deze niet goed werd gedefinieerd. Een doelstelling of een indicator aanpassen omdat door gewijzigde omstandigheden een ander prestatieniveau is vereist. Een proces bijsturen indien de aard of volgorde van de activiteiten niet optimaal is. Afspraken tussen verschillende diensten concretiseren of herbekijken met het oog op het verbeteren van de onderlinge dienstverlening, van de kwaliteit van de input/output of van de informatiedoorstroming. Een deel van het personeel bijscholen om de productiviteit of de kwaliteit van de dienstverlening te verhogen. Een werkinstructie opstellen om minder verwerkingsfouten te maken. Controlepunten inbouwen om fouten of fraude te vermijden. Een opleidingstraject of seminarie organiseren om een gedragswijziging bij het personeel te bevorderen of om de competenties bij te schaven. Een werkinstrument of toepassing bijwerken om de ergonomie ervan te verbeteren. Het monitoringsysteem uitbreiden omdat de resultaten niet nauwkeurig genoeg kunnen worden gemeten.
Wanneer een risico niet aan een specifiek proces gebonden is en op de hele of op grote delen van de organisatie betrekking heeft, is het aangewezen dit op een overkoepelend niveau te behandelen. Het probleem wordt dan bijvoorbeeld door een procesoverschrijdende werkgroep geëvalueerd en gekoppeld aan één of meerdere dimensies van de interne controleomgeving. De te nemen maatregelen worden dan opgenomen in verbeteracties of – projecten. 48
Bij de volgende doorloop van de beheerscyclus worden zowel de resultatenanalyse als de risicoanalyse gebruikt om het succes van de genomen maatregelen en uitgevoerde verbeterprojecten te evalueren.
Stappenplan: 1. Het management spreekt een voorkeur uit over de aanpak van de geanalyseerde risico’s. Uit efficiëntieoverwegingen is het soms aangewezen om nog voor het definiëren van mogelijke maatregelen te bepalen hoe een risico en de onderliggende oorzaken het liefst worden aangepakt. De aard van het risico maar ook de focus of de strategische prioriteiten van het management bepalen of de impact dan wel de waarschijnlijkheid van het risico moet worden aangepakt. 2. Zoek nieuwe of verbeter de bestaande maatregelen die de impact van een risico verminderen. 3. Zoek nieuwe of verbeter de bestaande maatregelen die de waarschijnlijkheid van een risico verminderen. 4. Identificeer indicatoren die toelaten om de werking van een maatregel op te volgen. 5. Schat de gevolgen en effecten van een maatregel in. Een ex ante evaluatie kan hierbij nuttig zijn. 6. Bepaal de kwetsbaarheid van de organisatie met betrekking tot de beschouwde risicofactor, rekening houdende met de analyse van de maatregelen.
Doorgaans volgt het analyseren van de maatregelen onmiddellijk op de risico-evaluatie en worden beide activiteiten uitgevoerd door dezelfde personen aangezien er praktische kennis van de activiteiten voor nodig is. Toch is het mogelijk dat in sommige gevallen, op bepaalde tijdstippen of bij zeer grote organisaties hiervan wordt afgeweken. Het principe van de kwetsbaarheid laat immers een defasering tussen risicoanalyse en analyse van de maatregelen toe. Hierdoor wordt het mogelijk om maatregelen effectief uit te testen en ze pas na verloop van tijd, bijvoorbeeld bij de volgende doorloop van de beheerscyclus, grondig te evalueren. Na meerdere cycli of wanneer het bestaan en de werking van de maatregel algemeen zijn erkend, kan deze uit de kwetsbaarheidsanalyse worden geheven en volledig worden geïntegreerd in de risico-evaluatie. Dit betekent dat de oorspronkelijke maatregel dan als mogelijke oorzaak van een risico wordt geïdentificeerd, waarbij het risico zich zou voordoen indien de maatregel niet of niet correct wordt uitgevoerd. Aldus wordt het mogelijk de kwetsbaarheidsanalyse verder te gebruiken om de eventuele behoefte aan bijkomende maatregelen in te schatten.
49
Figuur 11: zelfde voorbeeld risicotabel inclusief de beheersmaatregelen:
De meeste organisaties beschikken niet over kwantitatieve cijfers zodat een kwalitatieve benadering van de maatregelen voor de hand ligt. Er wordt nagegaan hoe kwetsbaar de activiteit ten aanzien van een bepaald risico is rekening houdende met de genomen maatregelen. Hiervoor wordt een kwalitatieve schaal gebruikt van 1 (zeer lage kwetsbaarheid) tot 4 (zeer hoge kwetsbaarheid). De blootstelling (risicograad x kwetsbaarheid) bepaalt of het risico en de onderliggende oorzaak ervan al dan niet prioritair moeten worden behandeld. De uiteindelijke beslissing ligt bij het management. De risico’s R6, R7 en R9 blijken afdoende gedekt en krijgen dus de laagste kwetsbaarheidfactor. De blootstelling is daarom dezelfde als de risicograad en bijgevolg krijgt het risico een lage prioriteit. Voor risico R8 bestaat er een maatregel, maar er zijn twijfels over de effectiviteit ervan. De activiteit krijgt dus een gemiddelde blootstelling. Voor de risico’s R10, R11 en R12 werden nog geen maatregelen bepaald en bijgevolg krijgen ze automatisch de hoogste kwetsbaarheid mee. Risico R10 is een recente toevoeging omdat bijvoorbeeld uit een eerdere analyse of uit een audit is gebleken dat een bestaande maatregel (zie R6 en R9) niet altijd goed werd opgevolgd. De hoge risicograad en dito kwetsbaarheid geven een zeer hoge prioriteit. Risico’s R11 en R12 krijgen door hun lage initiële risicograad slechts een gemiddelde prioriteit mee. Het management moet dus uitmaken of het risico al dan niet aanvaardbaar is. Risico R13 had een gemiddelde risicograad, maar er bestaat blijkbaar onzekerheid over de effectiviteit van de bestaande maatregel. Door de hogere kwetsbaarheid wordt dit weer een prioritair risico.
50
ACT fase – Stap 11: maatregelen valideren Het succes van een maatregel hangt in de praktijk grotendeels af van de mate waarin hij daadwerkelijk wordt nageleefd. Het valideren van de te nemen maatregelen is daarom één van de belangrijkste stappen met het oog op de invoering ervan. Het toont de visie van het management met betrekking tot ongewenste situaties en is de concretisering van de bereidheid om er iets aan te doen.
ACT fase– Stap 11 in praktijk: maatregelen valideren
maatregelen valideren
•Willen we eerder ingrijpen op impact of op waarschijnlijkheid? •Welke van de voorgestelde maatregelen is kosteffectiever? •Welke van de voorgestelde maatregelen is het makkelijkst in te voeren? •Is het draagvlak voor de maatregel voldoende groot? •Welke van de voorgestelde maatregelen heeft het snelste effect?
Stappenplan: 1. Kies de te nemen maatregelen. Het is aan de betrokken leidinggevende om zich hierover uit te spreken op basis van de blootstelling aan risico en de ervan afgeleide prioriteit. De keuze is doorgaans medeafhankelijk van de middelen die de diverse maatregelen vereisen alsook van strategische overwegingen. 2. Valideer de maatregelen. Het valideren vormt een krachtig signaal en heeft een weerslag op de controleomgeving omdat het management op deze wijze duidelijk aangeeft welke risico’s ongewenst zijn. Het sensibiliseert het personeel en bevordert de alertheid.
ACT fase – Stap 12: maatregelen invoeren Sommige maatregelen worden gevormd door kleine verbeteringen en instructies, terwijl andere drastische wijzigingen in de activiteiten kunnen betekenen. Veranderingen veroorzaken altijd onrust bij een deel van het personeel. In dergelijke gevallen kunnen de principes van change management of veranderingsbeheer soelaas brengen.
51
Wat is change management? Het is een techniek die het succes van een veranderingsproject verhoogt. Mensen en hun gewoontes, persoonlijke verzuchtingen en agenda’s vormen doorgaans het grootste struikelblok bij veranderingen in een organisatie. De oorsprong ligt in het feit dat er onzekerheid bestaat over de gevolgen van structurele wijzigingen op de positie en de activiteit van het individu. Verandering wordt slechts aanvaard als iedere vorm van onzekerheid wordt weggewerkt. De eerste stap bij veranderingsbeheer is bijgevolg een goede probleemanalyse. In het kader van interne beheersing wordt dit doorgaans behandeld tijdens de risico-identificatie en – analyse. Bij ingrijpende wijzigingen is het raadzaam om een stakeholderanalyse uit te voeren. Hierbij wordt de mogelijke weerslag van de voorgestelde verandering op de verwachtingen van elke belanghebbende of groep van belanghebbenden onderzocht. De probleemanalyse geeft de noodzaak van de verandering aan, terwijl de stakeholderanalyse toelaat om algemeen aanvaardbare oplossingen voor te stellen. Dit evenwicht vormt de kern van change management. Het wordt verder aangevuld met een duidelijke visie van en ondersteuning door het management en met een goed uitgewerkt communicatiebeleid dat voldoende mogelijkheden tot terugkoppeling integreert.
ACT fase– Stap 12 in praktijk: maatregelen invoeren
maatregelen invoeren
•Wat is er verder nodig om de maatregel optimaal te laten werken? •Zijn alle betrokkenen op de hoogte van de nieuwe maatregel? •Bestaat er voldoende draagvlak voor de maatregel?
Stappenplan: 1. Voer eventueel aanpassingen door om aan de nodige voorwaarden te voldoen. Een ex ante evaluatie van de maatregel kan de benodigde informatie aanleveren. 2. Verzorg de communicatie. Wijs alle medewerkers op de nieuwe maatregelen en hun voorwaarden. Zorg dat eventuele nieuwe technieken en procedures door iedereen worden gedragen. Gebruik de principes van change management om eventuele weerstand tegen te gaan. 3. Zorg zeker in het begin voor omkadering, opvolging en terugkoppelingen opdat tijdens de uitvoeringsfase voldoende aandacht aan de vernieuwingen wordt besteed.
52
Rapportering: de aanzet voor een nieuwe cyclus Zoals bij alle andere facetten van het internecontrolesysteem wordt ook de rapportering volledig opgebouwd volgens de behoeften. De beheersing van de operationele risico’s op basis van de Diabolo gebeurt het best op het niveau van het middenkader, met name dat van de diensthoofden. Zij dragen de verantwoordelijkheid voor de correcte uitvoering van de operationele activiteiten. Het periodiek actualiseren van de informatie in de Diabolo’s behoort dan ook toe aan hen. De Diabolo’s zijn cruciaal bij het interpreteren van de operationele resultaten. Het diensthoofd gebruikt daartoe de erin opgenomen informatie betreffende de activiteiten, de risico’s, de maatregelen en de geregistreerde incidenten uit de te evalueren periode. Gecombineerd met de informatie uit het meetsysteem vormt dit de basis van de operationele rapportering aan het hogere hiërarchische niveau. Dit hogere echelon heeft zelf ook doelstellingen en dient de behaalde resultaten dus eveneens periodiek te evalueren. Dit veronderstelt bijgevolg resultaatsopvolging en risicobeheersing op het eigen niveau. Naargelang de voorkeur en de behoefte aan detail kan voor de identificatie van de risico’s een eenvoudige Diabolo worden gebruikt of kan er gekozen worden voor een SWOT-analyse17. De verdere behandeling van de strategische risico’s is dezelfde als voor de operationele risico’s. Deze rapporteringcascade herhaalt zich voor elk niveau tussen dat van de hoogste leidinggevende en dat van de diensthoofden, die de gedetailleerde Diabolo’s beheren. Deze benadering is in hoge mate zelfregulerend: er wordt maximaal gebruik gemaakt van de informatie uit het onderliggende niveau; naargelang de situatie kan bijkomende informatie worden gevraagd, die eventueel leidt tot een bijsturing van de periodieke rapportering; de informatiebehoefte die niet door de onderliggende niveaus kan worden gedekt, geeft aanleiding tot het verder uitwerken van de rapportering op het eigen niveau, aangezien het geheel meer is dan de som der delen; de rapporteringbehoeften van het eigen niveau en de informatiebehoefte van het hogere niveau bepalen de nood aan detail in de informatievoorziening en in de risicoopvolging; nadat de cyclus een aantal keren is doorlopen, evolueert de organisatie geleidelijk naar de meest adequate rapporteringvorm. Het onderstaande schema beschrijft een dergelijke rapporteringstructuur. Het toont de rapporteringbehoeften voor het beschouwde niveau X. Deze behoeften omvatten drie verschillende aspecten: 1) De inschatting en evaluatie van de beheersing van het eigen niveau X 2) De bijdrage van het hiërarchisch onderliggende niveau X-1 aan de eigen doelstellingen 17
Zie Plan fase stap 3
53
3) De bijdrage van het eigen niveau X aan de doelstellingen van het hiërarchisch bovenliggende niveau X+1
Figuur 12: schema rapportering De eerste informatiebehoefte is deze van het eigen niveau X. Zij wordt gedekt door informatie uit de beheerscontrole en uit de interne controle. Deze informatie behelst de vooropgezette versus de gerealiseerde resultaten, de beheersing van de activiteiten, de risicobeheersing en het meetsysteem dat de benodigde gegevens aanreikt. Zij omvat dus alles wat de betrokken leidinggevende nodig acht om de beheersing op het eigen niveau aan te tonen. Het tweede informatieaspect betreft het onderliggende echelon. Niveau X is immers hiërarchisch verantwoordelijk voor het onderliggende niveau X-1 dat bijdraagt aan de realisatie van de doelstellingen van niveau X. De verantwoordelijke van niveau X-1 moet deze bijdrage inschatten en toelichten in de rapportering. De wijze waarop dit dient te gebeuren, wordt in overleg bepaald tussen beide hiërarchische echelons, weliswaar op basis van de door het hogere echelon aangegeven rapporteringbehoeften (zie de gebogen pijl rechtsboven in het schema). Het aangewezen moment hiervoor is de Plan fase, waar het verband wordt gelegd tussen de doelstellingen, de activiteiten en de benodigde middelen en waar eveneens de prestatiecriteria en bijhorende indicatoren worden bepaald18. Deze eerste twee facetten van de informatiebehoefte op niveau X bieden samen een volledig beeld van het al dan niet bereiken door de betrokken leidinggevende van de afgesproken
18
Zie Plan fase stap 1: coherentie in doelstellingen en resultaten
54
doelstellingen. Dit beeld wordt geconcretiseerd in een beheersrapport, waarvan de inhoud door het management wordt bepaald. Mogelijke rubrieken hierin zijn: een toelichting van de behaalde resultaten, de evolutie van de belangrijkste prestatiecriteria, de evolutie van de belangrijkste risico’s, nieuwe initiatieven op beheersvlak, enzovoorts… Een dergelijk beheersrapport biedt een belangrijke meerwaarde op meerdere vlakken: 1) wanneer het louter voor interne rapporteringdoeleinden wordt gebruikt, helpt het bij de periodieke evaluatie van de activiteiten waarbij opeenvolgende perioden met elkaar kunnen worden vergeleken om zo de evolutie in de tijd te beschouwen. 2) daarnaast kan dit beheersrapport ook eenvoudigweg worden gebruikt bij de evaluatie van de resultaten van het beschouwde hiërarchische niveau door het Directiecomité. 3) de periodieke beheersrapporten kunnen ook dienst doen als informatiebron bij de voorbereiding van het jaarverslag betreffende het internecontrolesysteem, het zogenaamde rapport artikel 7. Het derde informatieaspect behelst de bijdrage van het niveau X aan de doelstellingen van het hogere echelon X+1. De structuren en systemen die worden gebruikt om de resultaten op het eigen niveau X te evalueren, kunnen ook worden gebruikt om de effecten ervan op de doelstellingen van het hogere echelon X+1 in te schatten. Deze aanpak garandeert de coherentie in de doelstellingen en bijgevolg in het beheer van de organisatie. Immers, de lagere echelons dienen uiteindelijk om de concrete uitwerking van de beleidsdoelstellingen te verzorgen. Voorbeeld (zie Plan fase-stap 2 in praktijk): rapporteringstructuur rond het proces dat een omgevingstemperatuur van 20°C moet garanderen. De vermelde effectindicator, namelijk de rondvraag bij het aanwezige personeel, kan worden gebruikt om het effect van het verwarmingsproces op de operationele doelstelling “een aangename omgevingstemperatuur garanderen” in te schatten. Deze operationele doelstelling wordt misschien ook verwezenlijkt door andere onderliggende processen of projecten, bijvoorbeeld “isoleren van de gebouwen” en procedures zoals “openen en sluiten van ramen”. De leidinggevende op het operationele niveau heeft naast de doelstelling “een aangename omgevingstemperatuur garanderen” mogelijks nog andere doelstellingen. Elk van deze draagt bij aan een hogere doelstelling, zoals “welzijn van de medewerkers verhogen”. Het is aan de betrokken leidinggevende om voor elk van zijn doelstellingen dit effect in te schatten. De periodieke rapportering is van cruciaal belang bij het aanvatten van een nieuwe beheerscyclus. Op basis van de erin opgenomen informatie, eventueel aangevuld met een toelichting, kunnen de betrokken leidinggevenden de nodige stappen nemen om de organisatie indien nodig bij te sturen en om ze voor te bereiden op een nieuwe beheerscyclus.
55
Conclusie Bij het opzetten van een internecontrolesysteem vormt de evenwichtige opbouw en de samenhang van de verschillende componenten de grootste uitdaging. Het is aanbevolen om zich in eerste instantie niet te verliezen in het bepalen van alle processen, activiteiten, risico’s, maatregelen en indicatoren. Een gefaseerde benadering gericht op een prioritaire behandeling van de hoofdprocessen is aan te bevelen. Het doel is immers het opbouwen van een systeem en niet het opmaken van diverse lijsten bestaande uit zoveel mogelijk elementen. Een internecontrolesysteem krijgt immers net vorm door er vooral over te waken dat de diverse componenten perfect met elkaar aansluiten. Deze aansluiting vertaalt zich in een keten die vertrekt vanuit de doelstellingen. Om deze te behalen worden prestaties geleverd. Zij vloeien voort uit een reeks van activiteiten die de inzet van verscheidene middelen vereist. Om een goede werking te verzekeren dient het management een evenwichtig meetsysteem uit te bouwen. De focus ligt hierbij op drie assen. In eerste instantie moeten de te leveren prestaties of outputs concreet zijn geformuleerd zodat hun kwaliteit en hun tijdige productie met behulp van meetbare criteria kunnen worden geëvalueerd. Ten tweede is het belangrijk dat de activiteiten goed worden opgevolgd. Een correcte uitvoering is immers bepalend voor het tijdig opleveren van de gewenste outputs. Ten slotte is het met het oog op effectiviteit en efficiëntie van wezenlijk belang dat de benodigde inputs accuraat worden ingeschat. Zij zorgen er immers voor dat de uit te voeren activiteiten zo vlot mogelijk verlopen. De meeste risico’s hebben betrekking op dezelfde drie assen. Het zijn potentiële gevaren die gevolgen kunnen hebben op de kwaliteit en de tijdigheid van de outputs en de inputs. Daarnaast kunnen ze problemen opleveren tijdens het uitvoeren van de activiteiten zelf. Risicobeheersing vormt het hoofdbestanddeel van een internecontrolesysteem en heeft tot doel het vergroten van de kansen op een goed resultaat. Interne controle is een zaak van iedereen, klinkt het. In haar pragmatische aanpak verwezenlijkt de dienst Management Support dit op concrete wijze: iedereen is verantwoordelijk voor de goede uitwerking en opvolging van de eigen processen. Management Support creëerde hiervoor de Diabolo-tool. Hij laat toe om zelf de processen te beschrijven maar doet ook dienst als informatieve procesfiche en hij legt het verband met de rest van de organisatie. De risicobeheersing is bovendien volledig geïntegreerd in de Diabolo, van risico-identificatie en -evaluatie tot en met de inschatting van de goede werking van de ingevoerde controlemaatregelen. Na de opbouwfase dient de focus van het management te verschuiven naar het onderhouden, het bijsturen en uiteindelijk het verder uitbouwen van het internecontrolesysteem totdat dit zo goed als de hele organisatie omvat. Vooral op het vlak van timing bestaat dan enige onzekerheid: wat te doen en wanneer? De aanpak van Management Support houdt in dat de risicocyclus en bij uitbreiding het actueel houden van het internebeheerssysteem in twaalf stappen volledig geïntegreerd wordt in de vier fasen van de beheerscyclus (Plan – Do – Check – Act, cfr. Deming). De beheerscontrole speelt hierin een grote rol, omdat zij de actualisering van het internecontrolesysteem aanstuurt. De periodieke prestatieanalyse uit de beheerscontrole geeft immers aan welke resultaten onder de verwachtingen bleven. De redenen hiertoe worden gevonden in de informatie uit de Diabolo voor wat de reeds gekende risico’s betreft en in een vorm van incidentregistratie voor eventuele nieuwe probleemoorzaken. De cirkel sluit 56
zich wanneer de informatie uit het internecontrolesysteem wordt gebruikt om de beheerscontrole zelf te verbeteren. Dit leidt immers tot een steeds betere resultaatsopvolging en bijgevolg tot een systematische ondersteuning van het bestuur van de organisatie. Tot slot is het goed om in herinnering te brengen dat interne controle geen exacte wetenschap is, maar een kunst. Dit betekent dat de voorgestelde methodiek niet hoeft te worden beschouwd als de enige juiste aanpak. Er bestaan ongetwijfeld nog andere benaderingen, invalshoeken of toepassingen die de manager eveneens redelijke zekerheid kunnen verschaffen aangaande het behalen van zijn doelstellingen. Het is aan de leidinggevende om een bepaalde aanpak al dan niet te ondersteunen. Uiteindelijk is hij immers diegene die de eindverantwoordelijkheid draagt voor de uitwerking, de invoering, de opvolging en de goede werking van het internecontrolesysteem.
57
Glossarium Actieplan : document waarin de middelen en de te nemen acties of stappen worden voorgesteld om de vastgelegde doelstellingen te behalen. Het vermeldt ook de mogelijke gevolgen van elke genomen actie en van de herzieningen die in dat verband werden aangebracht. Audit : een objectieve en onafhankelijke activiteit waarbij een waardeoordeel wordt gevormd over de organisatie of delen ervan. Dit waardeoordeel kan verschillende invalshoeken hebben (financieel, operationeel, compliance). Er bestaan verschillende soorten audits. Auditrisico : een risico dat te maken heeft met de certifering van de rekeningen van een organisatie. Doet zich voor als een externe auditor rekeningen voor waar verklaart terwijl ze niet betrouwbaar zijn. Audituniversum : is het geheel van alle auditeerbare eenheden. Idealiter komt dit overeen met de gehele organisatie. Belanghebbende : elke individuele of collectieve actor, zowel intern als extern aan de organisatie, waarop de werking en de resultaten van de organisatie een invloed op kunnen hebben. Een belanghebbende is direct of indirect betrokken door een beslissing van de organisatie. Collusie : geheime verstandhouding of het samenspannen van meerdere personen om een derde (persoon of organisatie) te benadelen. Compliance : zie conformiteit. Conformiteit : synoniem voor compliance. Is één van de doelstellingen van interne controle. Betreft overeenstemming met de van toepassing zijnde wetgeving, reglementering, omzendbrieven, procedures (ook intern), gedragscodes, enz. Conformiteitsaudit : specifieke vorm van interne audit waarbij wordt nagegaan of de organisatie de geldende wetten, regelgeving, procedures en richtlijnen (ook binnen de organisatie) waaraan ze onderworpen is, naleeft. Controleactiviteiten : is één van de componenten of bouwstenen van interne controle volgens het COSO-model. Het is het geheel van maatregelen en procedures bedoeld om risico’s te beheersen en zo bij te dragen tot de realisatie van de doelstellingen van de organisatie. Controleomgeving : een van de componenten van het COSO-model. Het vormt de fundamenten van een organisatie en van het internecontrolesysteem. Het betreft de cultuur en de waarden die binnen een organisatie worden gehuldigd. Het gaat onder meer om integriteit en ethische waarden, tone at the top, organisatiestructuur, managementstijl en – filosofie, vaardigheden en competenties, delegaties en verantwoordelijkheden en HR-beleid. Corporate governance : deugdelijk bestuur. Tegenhanger van government governance, maar in de privésector. Geheel van regels en principes die de manier van werken van een organisatie bepalen. Het doel ervan is de organisatie ervan te verzekeren haar doelstellingen te halen, de 58
risico’s te beheersen, transparantie en tevredenheid van de verschillende belanghebbenden te verzekeren. Corruptie : niet ethisch gebruik van een bevoegdheid voor persoonlijke of privé doeleinden. Corruptie betreft elke persoon met beslissingsmacht. Hij of zij doet iets of net niet in het kader van zijn of haar functie, in ruil voor geld, geschenken, voordelen, enz. COSO : in 1992 heeft het Committee of Sponsoring Organizations of the Treadway Commission (kortweg COSO) een rapport uitgebracht over interne controle met als doel organisaties een referentiekader aan te bieden bij het opzetten en evalueren van internecontrolesystemen. COSO kan worden voorgesteld als piramide of als kubus. Uit beiden kunnen de 5 bouwstenen of componenten van het internecontrolesysteem afgelezen worden: de controleomgeving, risico-analyse, controleactiviteiten, informatie en communicatie en monitoring. COSO-ERM : COSO-Enterprise Risk Management. In 2004 werd COSO uitgebreid waarbij de component ‘risk assessment’ verder uitgediept werd. Ook de doelstelling van interne controle werd aangevuld met een strategisch luik. Dit referentiekader, bestaande uit 8 componenten en 4 doelstellingen, is COSO-ERM. Delegatie : overdracht van een macht of een bevoegdheid aan een individu. Binnen een organisatie gaat het meestal om de overdacht van een beslissingsmacht naar een lager niveau in de hiërarchie. Delegatie brengt niet noodzakelijk een overdracht van verantwoordelijkheid mee. Om delegaties goed te beheren, wordt aangeraden een register van de delegaties aan te leggen en bij te houden. Deontologie : synoniem voor beroepsethiek. Een geheel van normen, gedragsregels en waardebeginselen die dienen te worden nageleefd binnen een bepaalde professie. Een deontologische code vergemakkelijkt het aankweken van een zekere mentaliteit binnen die bepaalde professie. Deugdelijk bestuur : staat voor goed bestuur. Drie sleutelbegrippen hierbij zijn transparantie, integriteit en accountability. Doelmatig : dit begrip nuanceert de doeltreffendheid van een actie. Het is de verhouding tussen de ingezette middelen en het behaalde resultaat. Elementen zoals de kostprijs, de inspanning, de tijd en andere middelen worden immers in rekening genomen en bepalen zo of een actie doelmatig is geweest. Een actie die zo weinig mogelijk middelen verbruikt, wordt als meest doelmatige beschouwd. Doelstelling : het resultaat dat een organisatie beoogt te bereiken. De wijze waarop dit gebeurt moet blijken uit onder meer actieplannen en procedures. Doeltreffend : verband tussen het verkregen resultaat en de vastgelegde doelstelling. Als de doelstelling is bereikt, is de actie doeltreffend. Er wordt geen rekening gehouden met andere elementen zoals de kostprijs, de inspanning, de tijd, enz. Entiteit : organisatie, instelling, vennootschap, onderneming of elke andere vorm van eenheid opgericht vanuit een bepaalde behoefte, ongeacht zijn omvang en zijn statuut. Ethiek : geheel van regels waarmee je in een bepaalde situatie kunt handelen en een gedrag kunt kiezen dat jezelf en de ander respecteert. Het zijn zogenaamde morele regels die bepalen of een gedrag gewenst is of slecht. 59
Externe audit : externe audit heeft in principe een financiële invalshoek (ten behoeve van externe belanghebbenden). Het betreft een objectieve controle van de rekeningen en de financiële staten, de regelmatigheid en de wettelijkheid van de financiële verrichtingen en/of het beheer, uitgevoerd door een externe instelling die onafhankelijk is van de gecontroleerde entiteit. Deze externe instelling brengt hierover een rapport uit waarin ze een oordeel geeft over de getrouwheid van de rekeningen. Financiële audit : specifieke vorm van audit waarbij wordt geëvalueerd of de financiële staten kwaliteitsvol zijn, de gegevens ervan transparant zijn en de waarderingsregels correct werden toegepast. Er wordt nagegaan of de gegevens echt zijn, regelmatig, conform en een getrouw beeld weergeven van de financiële toestand van de organisatie. Fraude : elke illegale handeling die gekenmerkt wordt door bedrog, misleiding of misbruik van vertrouwen zonder geweld of dreiging met geweld te gebruiken. Fraude wordt gepleegd door personen of organisaties met als oogmerk geld, goederen of diensten te bekomen, of een persoonlijk of commercieel voordeel. Fraude omvat ook corruptie. Frequentie : het aantal maal dat een gebeurtenis zich voordoet binnen een bepaald tijdsverloop. Functiescheiding : functiescheiding is een controlemaatregel die binnen organisaties vaak bestaan om het risico op fraude en fouten te voorkomen. In sommige processen, zoals bijvoorbeeld boekhoudprocessen, begrotingsprocessen of financiële processen, wordt het zelfs opgelegd om de beslissings-, uitvoerings-, registratie-, bewarende en toezichtsfunctie door verschillende personen te laten uitvoeren. Government Governance : toepassing van de principes van deugdelijk bestuur (corporate governance) binnen de publieke sector. IIA : Institute of Internal Auditors. Is de beroepsorganisatie van interne auditoren. Inherent risico : de kans dat een risico zich voordoet zonder rekening te houden met controlemaatregelen. Als dit risico niet wordt geïdentificeerd of bijgestuurd door controlemaatregelen, zou het de organisatie kunnen beletten haar doelstellingen te bereiken. Inspectie : wordt vaak verward met audit. Inspectiediensten beperken zich evenwel meestal tot een onderzoek naar compliance. Ze vormen een specifieke dienst ter versterking van het internecontrolesysteem, maar zijn echter niet onafhankelijk aangezien ze onder de hiërarchie van het management ressorteren. Integriteit : gedrag van een persoon die onberispelijk rechtschapen en eerlijk is en zich niet laat omkopen. Interne audit : een objectieve en onafhankelijke activiteit waarbij de adequaatheid en de effectiviteit van het internecontrolesysteem van een organisatie wordt geëvalueerd. Interne audit situeert zich binnen de component ‘monitoring’ van het COSO-model. De rol van interne audit bestaat erin aan het management, dat als enige aansprakelijk is voor de goede werking van het internecontrolesysteem, redelijke zekerheid te verschaffen dat de structuren, methodieken en controleactiviteiten werken, relevant, doelmatig en doeltreffend zijn. Aangezien interne audit een meerwaarde moet bieden aan een organisatie, kunnen interne auditoren ook adviesopdrachten uitvoeren met het oog op het verbeteren van de werking van de organisatie. Ze mogen evenwel geen uitvoerende taken opnemen. Interne audit helpt aldus 60
de organisatie haar doelstellingen te behalen middels een systematische en gedisciplineerde aanpak bij de evaluatie en verbetering van managementprocessen, risicobeheer en controlemaatregelen. Interne controle : definitie volgens INTOSAI: Interne controle is een geïntegreerd proces dat door de verantwoordelijken en het personeel van een organisatie is uitgewerkt en dat is bestemd om risico’s te behandelen en een redelijke zekerheid te bieden omtrent de verwezenlijking, in het kader van de opdracht van de organisatie, van de volgende algemene doelstellingen: Uitvoering van geordende, ethische, zuinige, doeltreffende en doelmatige verrichtingen; Naleving van de verplichtingen tot rekenschap afleggen, Overeenstemming met de geldende wetten en regelgeving; Bescherming van de middelen tegen verlies, wangebruik en schade. INTOSAI : International Organization of Supreme Audit Institutions. Wereldwijde koepelorganisatie van nationale rekenkamers. Autonome, onafhankelijke en niet-politieke organisatie en permanent orgaan ter bevordering van de uitwisseling van ideeën en ervaringen tussen de nationale rekenkamers op het vlak van overheidsbeheer. Deze organisatie heeft COSO vertaald naar de publieke sector. IPPF : International Professional Practices Framework. Is de internationale aanvaarde leidraad voor het uitoefenen van het beroep van intern auditor. Het werd ontwikkeld door het IIA. Kritische succesfactor : essentieel element of voorwaarde waarmee rekening moet worden gehouden bij het nastreven van een doelstelling. Het beheersen van deze factor is evenwel geen garantie voor het behalen van de doelstelling. Missie : op organisatieniveau: vormt de bestaansreden van de organisatie. Deze langetermijndoelstelling wordt vertaald in een missie. Op functieniveau: een taak op lange termijn die men aan een functie toevertrouwt. Monitoring : een van de componenten uit het COSO-model. Proces waarbij de kwaliteit van de performantie van het internecontrolesysteem wordt bewaakt en geëvalueerd. Monstername : methode die een auditor vaak hanteert en die erin bestaat al dan niet op statistische basis een aantal elementen te selecteren en vervolgens te testen. De testresultaten ondersteunen de besluiten van het onderzoek. Objectiviteit : onpartijdige houding waardoor in alle onafhankelijkheid een oordeel kan gevormd worden gebaseerd op feiten in plaats van meningen. Het is samen met onafhankelijkheid één van de essentiële voorwaarden voor de uitoefening van een auditfunctie. Onafhankelijkheid : vrijheid om te handelen zonder inmenging van buiten af noch enige druk of dwang. Het vormt samen met objectiviteit één van de essentiële kenmerken van een auditfunctie. Operationele audit : specifieke vorm van interne audit waarbij de internecontroleprocedures worden geëvalueerd naar doeltreffendheid, doelmatigheid en zuinigheid. Het gaat om een evaluatie van de werking en de prestaties van een organisatie.
61
Operationele doelstelling : vertaling van een strategische doelstelling in een activiteit. Operationele doelstellingen zorgen ervoor dat de strategisch doelstelling en uiteindelijk het strategisch plan wordt gerealiseerd. Opportuniteit : als een gebeurtenis een positief gevolg heeft voor de organisatie, spreekt men niet van een risico maar van een opportuniteit. Organisatie : zie Entiteit PIFC : Public Internal Financial Control. Is een government governance-model ontwikkeld door de Europese Commissie en van toepassing op de landen die sinds 2004 zijn toegetreden tot de Europese Unie. Redelijke zekerheid : een internecontrolesysteem heeft beperkingen aangezien bepaalde risico’s nooit helemaal kunnen uitgesloten worden (bv. Fouten maken is menselijk, heirkracht). Het kan dus nooit absolute zekerheid bieden. Het komt m.a.w. overeen met een niveau waarbij men voldoende vertrouwen heeft aangaande het goed bestuur van een organisatie. Residueel risico : de kans dat een risico zich voordoet rekening houdende met de bestaande controlemaatregelen. Als een organisatie controlemaatregelen heeft genomen om een risico te beheersen dat inherent is aan een doelstelling, zouden andere risico’s kunnen opduiken die kunnen beletten dat de doelstelling wordt gehaald. Die nieuwe risico’s noemt men restrisico’s. Risico : risico is de kans dat een gebeurtenis zich voordoet die een negatieve weerslag heeft op de resultaten van een onderneming. Risicoaanvaarding : houding tegenover een risico die erin bestaat de mogelijkheid dat het risico zich voordoet en de gevolgen ervan te aanvaarden. Deze houding wordt bijv. aangenomen als het risico geen ernstige gevolgen heeft of wanneer de kost voor het invoeren van maatregelen niet opweegt tegenover de mate waarin het risico vermindert. Risicoanalyse : betreft het identificeren van risico’s (incl. oorzaken), evenals het inschatten van de impact en waarschijnlijkheid waarmee deze risico’s zich kunnen voordoen op basis van beschikbare informatie. Risicoappetijt : risiconiveau dat een organisatie bereid is te aanvaarden. Elke organisatie is bij de uitvoering van zijn beleid bloot gesteld aan allerlei risico’s. Het is dan ook van belang de mate te bepalen waarin het management bereid is risico’s te nemen en dit te bekijken in functie van het vooropgestelde strategische plan. In de praktijk hangt de risicoappetijt af van de gevoeligheid voor en de houding die het management inneemt tegenover onzekerheid. Risicoaversie : afkerige houding van een individu of een organisatie tegenover risico. Risicodeling : houding tegenover een risico die erin bestaat dit risico of een deel ervan over te dragen aan een derde partij (bv. verzekering, joint venture). Risicograad : wordt gebruikt bij risicoanalyses. Het geeft de grootte aan van een risico door de impact en waarschijnlijkheid van risico met elkaar te vermeningvuldigen . Risicovermijding : houding tegenover een risico die erin bestaat niet betrokken te raken bij een risicovolle toestand. Dit kan bijvoorbeeld het afstoten van een bepaalde activiteit zijn binnen een organisatie. 62
Risicovermindering : houding tegenover een risico die erin bestaat het risico te verminderen door het nemen van preventie-, detectie- en correctiemaatregelen. De maatregelen beogen het verminderen van de impact en/of waarschijnlijkheid van het risico. SMART (doelstelling) : staat voor specifiek, meetbaar, aanvaardbaar, realistisch en tijdgebonden. Het zijn kenmerken waaraan een doelstelling moet voldoen om ze correct te kunnen vastleggen. Strategische doelstelling : globale doelstelling die de missie en de visie van de organisatie ondersteunt en helpt te verwezenlijken. De strategische doelstelling weerspiegelt de keuzes van het management om meerwaarde te creëren voor de organisatie en haar belanghebbenden. SWOT (analyse) : SWOT staat voor Strengths, Weaknesses, Opportunities en Threats. Het gaat om een analysetechniek die het management van een organisatie helpt haar sterke en zwakke punten te identificeren en te evalueren, net als haar opportuniteiten en bedreigingen. De directie voert vaak een SWOT analyse uit wanneer ze haar beleidsplanning vastlegt (wanneer het managementplan of de beheersovereenkomst wordt opgemaakt) of bij specifieke diagnoseactiviteiten van de organisatie. Tone at the top : is één van de deelaspecten van de internecontroleomgeving. Het begrip staat voor de voorbeeldfunctie die het management moet vervullen zodat dit ook het gedrag van de medewerkers positief beïnvloedt. Verlies : nadeel, schade of elk ander negatief gevolg, zowel financieel als niet-financieel. Waarschijnlijkheid : mate waarin een gebeurtenis en de mogelijke gevolgen ervan zich kunnen voordoen.
63
