Risicomanagement. Mark Vandersmissen & Steve Troupin Netwerk Organisatiebeheersing 24 Januari 2013

1

Risicomanagement

Mark Vandersmissen & Steve Troupin Netwerk Organisatiebeheersing 24 Januari 2013

2

Agenda 1. 2. 3. 4.

Waarom risicomanagement Verdere aanpak Risicomanagementproces Community-building

3

Waarom risicomanagement • Ter ondersteuning van het management – bij de strategische en operationele keuzes of overwegingen – bij de verdere uitbouw van organisatiebeheersing

• Om afstemming in audit- en controlewerkzaamheden te verkrijgen

4

Risicomanagement en management • Risicomanagement is bewust management – Bij het bepalen van de strategie ook rekening houden met risico’s hierbij
Vb. SWOT en afleiden organisatiedoelstellingen

– Bij verdere doorvertaling van de strategie ook telkens de risico’s meenemen
Moet helpen bij overwegingen hoe de doelstellingen geconcretiseerd worden (procesverloop, verwerving middelen,…)

– Is onderdeel van de bedrijfsstrategie:
Welke risico’s worden genomen – risicoappetijt
Strategie van aanvaarden/vermijden/voorkomen

• Risico’s nemen hoort bij ondernemen 5

Risicomanagement en organisatiebeheersing  Vaststelling n.a.v. validatie-audits: − Geringe uitbouw van risicomanagement bij een meerderheid van de entiteiten − Uitbouw van een systeem van organisatiebeheersing:




Te weinig op maat van de organisatie, rekening houdend met de diversiteit van organisaties, historiek van de organisaties Te bureaucratisch! Maturiteit 3: een doel op zich? Te weinig toegevoegde waarde?

 Risicomanagement zorgt voor maatwerk − Aanpassingen aan organisatiebeheersing i.f.v. risico’s organisatie − Organisatiebeheersing moet afgestemd zijn op de behoeften, opdracht en processen organisatie − Zorgt voor de juiste prioriteitenstelling 6

Risicomanagement en organisatiebeheersing • Evolutie naar maturiteitsniveau 3 en verdere groei naar maturiteitsniveau 4 vergt uitgebouwd risicomanagement op organisatie- en procesniveau Gradaties in de score

0

1

2

3

4

5

Omschrijving Onbestaand Binnen de organisatie bestaan geen of zeer weinig beheersmaatregelen. Controlebewustzijn is eerder laag en er worden weinig acties ondernomen om te komen tot een adequaat systeem van organisatiebeheersing (interne controlesysteem). Ad-hoc basis Op ad-hocbasis zijn binnen de organisatie beheersmaatregelen uitgewerkt. Het bewustzijn van de nood aan adequate beheersmaatregelen (interne controlemaatregelen) groeit, maar er is nog geen gestructureerde of gestandaardiseerde aanpak aanwezig. Het systeem van organisatiebeheersing (interne controlesysteem) draait meer rond personen dan rond systemen. Gestructureerde aanzet: Een eerste gestructureerde aanzet wordt gegeven tot de ontwikkeling van beheersmaatregelen. De beheersinstrumenten zijn bijgevolg in ontwikkeling, maar worden nog niet toegepast. Gedefinieerd (= niveau 2 +...) Beheersmaatregelen zijn aanwezig. Zij zijn gestandaardiseerd, gedocumenteerd, gecommuniceerd (en worden toegepast). Beheerst systeem (= niveau 3 + ...) De beheersmaatregelen worden intern periodiek geëvalueerd en bijgestuurd. Er kan gesproken worden over een 'levend' adequaat en doeltreffend systeem van organisatiebeheersing. Geoptimaliseerd (= niveau 4 + ...) 7 De beheersmaatregelen worden voortdurend geoptimaliseerd via benchmarking en het behalen van kwaliteitscertificaten of externe evaluaties.

Het risicobewustzijn is gering. De risico's zijn niet of in geringe mate gekend en worden niet of op adhoc basis aangepakt.

Het risicobewustzijn neemt toe. De risico's worden intuïtief en informeel aangepakt. Er is een evolutie naar risicomanagement.

Hoog risicobewustzijn. De risico's worden formeel en gestructureerd aangepakt. Risicomanagement is aanwezig.

Risicomanagement en audit • Goed risicomanagement – Zorgt voor juiste auditkeuzes/prioriteiten – Zorgt voor business alignment met audit indien risicomanagement uitgevoerd of gevalideerd door management – Meer gedragenheid van auditfunctie en aanbevelingen !

• Risicomanagement is de vertrekbasis voor single audit – Audit- en controleactoren stemmen planning en werkzaamheden af o.b.v. resultaten risicomanagement 8

Auditstrategie 2012-2015 Auditopdrachten IAVA

Rol management bij organisatiebeheersing

Focus op efficiënte en integere inzet van de overheidsmiddelen Maximaal gebruik maken van de hefbomen binnen de organisaties 9 Keuze voor auditopdrachten bij processen met grote materialiteit

•

Implementeer risicomanagement

•

gebruik/upgrade ankerpunten

•

Voorrang voor thema-audit met VO-brede impact

•

Vertrek van risicoanalyse voor evaluatie organisatiebeheersing

•

Uitvoeren van detectie-audits

•

Uitbouwen van single audit

•

Inzet auditcapaciteit op belangrijkste risico’s

Vraag naar audits voor assurance over belangrijkste risico’s

Match? Risicomanagement en –analyse moet zorgen voor: • Afstemming auditprioriteiten – management- en politieke prioriteiten • Effectiviteit organisatiebeheersing

Waarom risicomanagement …ook een beetje omdat het moet • Art. 33 kaderdecreet Bestuurlijk Beleid – “De departementen, de intern verzelfstandigde agentschappen en de extern verzelfstandigde agentschappen staan in voor de interne controle van hun bedrijfsprocessen en activiteiten. De interne controle is in het bijzonder gericht op : 1° het bereiken van de opgelegde doelstellingen en het effectief en efficiënt beheer van risico's;…”

• Art. 4 BVR betreffende controle en single audit – “De leidend ambtenaar is verantwoordelijk voor de risicoanalyse en risicomanagement op het niveau van de entiteit” – “De controleactoren evalueren het door de entiteit geïnstalleerde risicomanagement”

• Element van het beleidsgericht rapport • Mededeling VR van 23/11/12 – organisatiebeheersing 2011-2015 10

HOE AANPAKKEN 11

Wat willen we bereiken?  We willen het algemeen risicobewustzijn binnen de entiteiten verhogen; stimuleren in denken van risico’s  We willen komen tot de uitbouw van een systeem van risicomanagement  We willen de kennis/competenties van ankerpunten inzake risicomanagement versterken/verhogen W

 We willen de audit- en controle-activiteiten afstemmen op resultaten inzake risicomanagement  Zie ook netwerk organisatiebeheersing van 23 april 2012  Maar ook  Kennisdeling maximaliseren  Generieke raamwerken voor VO 12

Hoe willen we dit bereiken? Herziening aanpak  Netwerk april 2012 • • •

gefaseerde aanpak, gespreid over meerdere (3) jaren In 2012: selectie van 14 pilootentiteiten In 2013 e.v. verdere uitrol

 Nu:  alle entiteiten uit werkterrein IAVA gelijktijdig betrekken  iedereen een risicomanagementtraject laten doorlopen  hetzij verderzetting en/of uitbreiding van een reeds gekozen traject  hetzij vertrekken van een specifieke kernopdracht/doelstelling  Ondersteuning door IAVA – zie volgend punt 13

Beheersovereenkomsten en Risicomanagement 2013-2015

2016-2021

• •

• •

Bewustwording RM Gefocuste implementatie op alle niveaus

Integratie in nieuwe BO/MO Uitrol naar andere processen

Organisatie

Beheersovereen komst

Leidend ambtenaar

Ondernemingsplan

Afdelingshoofd

Medewerkers

Doelst. 1

Doelst. 2

Doelst. 3

Steve Troupin (IAVA) 1. Traject Risicomanagement 2013-2014 2. Community-building 15

Traject Risicomanagement 2013-2014 1. 2. 3. 4. 5. 6.

Stand van zaken Plan van aanpak Afbakening Risico-identificatie Risicobeoordeling en verder Opvolging

16

1. Stand van zaken • Van pilootentiteiten naar alle entiteiten • Beknopte stand van zaken in beeld tegen midden februari – Is er al iets beslist/gedaan op het vlak van RM? – Is er principiële bereidheid om in het voorgestelde traject te stappen? – Met welke contextuele elementen moet er rekening gehouden worden?

• Om de ondersteuning zo goed mogelijk in te plannen

17

2. Plan van aanpak • Waarom – Maatwerk – Haalbaarheid

• Elke entiteit bereidt een plan van aanpak voor met: – – – – –

Scope Beschikbare middelen Samenhang met andere beheersinstrumenten Invulling van de verschillende fases Kalender

• IAVA bezorgt een advies over dat plan voordat het uitgevoerd wordt 18

3. Afbakening • Relevantie primeert op volledigheid • Voor de gekozen scope geeft de entiteit aan – Wat ze al doet om haar doelstellingen te bereiken – De invalshoek(en) voor risicoanalyse – Wie informatie kan aanleveren

• Doel – Interne planning – Wat RM is/wat het niet is? – Communicatie

19

4. Risico-identificatie “Risico’s zijn gebeurtenissen die gevolgen hebben voor de kwaliteitsvolle realisatie van doelstellingen” – Men start met de gekozen risicocategorieën en invalshoeken – Bij risico-identificatie wordt er gevraagd: “Wat kan de goede werking belemmeren?” – Oorzaken komen later aan bod, samen met nieuwe beheersmaatregelen

20

5. Risicobeoordeling en verder • Management geeft aan wat prioritair moet aangepakt worden • Op basis van – Impact, waarschijnlijkheid, materialiteit,… – Maar ook eigen prioriteiten, buikgevoel…

• Om de scope te bepalen van verdere stappen – Verdere analyse van de oorzaken – Nieuwe beheersmaatregelen

• Met het oog op de volgende beheers- of managementovereenkomst 21

6. Opvolging • Rond elke mijlpaal van het plan van aanpak – Informatie-uitwisseling – Gesprek tussen auditor en ankerpunt

• Doel gesprek – Evaluatie met het oog op het beleidsgericht rapport: is RM op koers of niet en waarom? – Gerichte ondersteuning en informele vragen – Workshops: vraag naar voorbeelden voor kennisdeling

22

Community-building 1. 2. 3. 4. 5.

Visie Management sensibiliseren Opvolging Workshops risicomanagement Informele contacten bevorderen

23

1. Visie • IAVA voert zelf geen risicoanalyses bij de entiteiten uit: – hij sensibiliseert management – hij volgt het RM-proces op – hij organiseert workshops voor kennisdeling

• IAVA promoot geen “one best way”, hij moedigt een onderling leerproces door de entiteiten aan 24

2. Management sensibiliseren • Draagvlak management essentieel • IAVA licht de Managementcomités (Maco’s) van de verschillende beleidsdomeinen in over deze vernieuwde aanpak • Februari – Maart

25

3. Workshops risicomanagement • Het Netwerk OB wordt ingedeeld in werkgroepen – Scope van RM (vb.: toezicht, subsidieverlening, infrastructuurbeheer, dienstverlening, adviesverlening, beleidsadvies,…) – Flexibiliteit (ifv: stand van zaken, eigen trajecten, bestaande netwerken) – Belang stand van zaken RM

• Doel: leren van elkaar – Communicatie en debat over de stappen – Discussie van problemen – Inhoudelijke discussies/naar gezamenlijke producten 26

3. Eerste workshops RM: Leren van de pilootentiteiten • Maart 2013 • Agenda – Informele ervaringsuitwisseling door ankerpunten van de pilootentiteiten 2012: “Mocht u de oefening kunnen herbeginnen, wat zou u op dezelfde manier doen of niet en waarom?” – Panelgesprek: “Wat kan van deze ervaring geleerd worden?” – Organisatie van de werkgroepen

27

4. Langetermijnperspectief • Groepsgevoel: een community van/voor risicomanagers • Informele contacten bevorderen – Ook zonder tussenkomst van IAVA – Naar een interactieve website

• IAVA trekt zich geleidelijk terug

28

Dank voor uw aandacht! Vragen of reacties?

29