Vlaamse provincies Opleiding interne controle Oktober 2007
PwC
Doelstellingen van de opleiding
1. 2. 3. 4.
Inzicht krijgen in het begrip « interne controle » (beheersing van processen) Inzicht krijgen in het opzetten van een intern controle systeem In staat zijn om het eigen systeem van interne controle te beoordelen In staat zijn verbeteringen aan te brengen aan het systeem van interne controle
Agenda 1. 2. 3. 4. 5.
Inleiding: wat is interne controle juist? Statements of interne controle: wat houdt dit in? Bronnen/autoriteiten op het vlak van interne controle Interne controle implementeren: ORCA Cases / Voorbeelden
Agenda 1.
Inleiding: wat is interne controle juist? • Definities • Basisprincipes • De 5 componenten van interne controle
2. 3. 4. 5.
Statements of interne controle: wat houdt dit in? Bronnen/autoriteiten op het vlak van interne controle Interne controle implementeren: ORCA Cases / Voorbeelden
Wat is Interne Controle (IC) Interne controle moet bijdragen tot het bereiken van de doelstellingen van de organisatie Publieke sector: rechtszekerheid, rechtsgelijkheid en rechtmatigheid + effectiviteit, efficiëntie en spaarzaamheid (economy – economisch gebruik), ethiek
Het provinciedecreet In art. 95,96 en 97 van het decreet wordt aangegeven dat de provincies belast zijn met interne controle van hun activiteiten. ... De griffier stelt het systeem van interne controle vast en rapporteert hierover jaarlijks aan de deputatie en de provincieraad Dit gegeven is een element van behoorlijk bestuur (good governance) en is niet nieuw in de “internationale” publieke sector....
PricewaterhouseCoopers
September 2007 Slide 6
Interne controle volgens het provinciedecreet “Interne controle is een geheel van maatregelen en procedures om een redelijke zekerheid te verschaffen over:
• het bereiken van de beoogde doelstellingen, • het naleven van de regelgeving • de beschikbaarheid van betrouwbare financiële en beheersinformatie • het efficiënt en economisch gebruik van middelen • het beschermen van de activa Provincie Oost-Vlaanderen • het voorkomen van fraude” PricewaterhouseCoopers
September 2007 Slide 7
Definitie Interne Controle
Committee of Sponsoring Organizations (COSO) of the Treadway Commission 1992 Interne controle volgens COSO Interne controle is een door de leiding tot stand gebracht proces om een redelijke zekerheid te verschaffen omtrent de realisatie van de volgende categorieën van doelstellingen:
Algemene raamwerken: COSO (USA) COCO (CANADA) Het Cadbury rapport (UK) ... Specifiek IT-raamwerk: CobiT Interne controle volgens provinciedecreet (VL) Interne controle is een geheel van maatregelen en procedures om een redelijke zekerheid te verschaffen over: • het bereiken van de beoogde
•effectiviteit en efficiëntie van
bedrijfshandelingen; •betrouwbaarheid van financiële verslaggeving; •naleving van toepasselijke rechtsregels (wetten en voorschriften). •vrijwaring van activa tegen ongeoorloofd gebruik en/of ongeoorloofde transacties
doelstellingen, • het naleven van de regelgeving • de beschikbaarheid van betrouwbare financiële en beheersinformatie • het efficiënt en economisch gebruik van middelen • het beschermen van de activa • het voorkomen van fraude”
Basisprincipes van interne controle 1. Interne controle is de zaak van iedereen in de organisatie (niet enkel van de griffier) 2. Interne controle is een continu proces (dwz. veranderend) -> Risico’s veranderen, controles dus ook 3. IC geeft redelijke maar geen absolute zekerheid 4. Controles kosten geld, dus moeten afgewogen worden tov. de risico’s... Compenserende controles zijn mogelijk 5. Interne controlemaatregelen bestaan enkel om risico’s af te dekken en zijn geen doel op zich
PricewaterhouseCoopers
September 2007 Slide 9
Basisprincipes interne controle 1.
Interne controle is de zaak van iedereen in de organisatie het management is ultiem verantwoordelijk voor de goede werking van het intern controlesysteem maar elke medewerker is mede verantwoordelijk voor de optimale werking ervan op welk niveau van de organisatie hij of zij zich ook bevindt => dit veronderstelt een attitude van verantwoordelijkheidszin, risicoalertheid en pro-actief handelen
PricewaterhouseCoopers
2.
Interne controle is een continu proces IC is geen gebeurtenis of een éénmalige activiteit, maar een geheel van acties en activiteiten die ingebed zijn in de dagelijkse werking van de instelling
« Nieuwe » visie COSO Kubus
« Traditionele » visie September 2007 Slide 10
Basisprincipes interne controle 3. Redelijke zekerheid
Beperkingen van elk intern controle systeem
• Beoordelingsfouten • Onzorgvuldigheid • Samenspanning • Overreding/Ingrijpen door het management • Wijzigende omgeving of organisatie • Kosten/Baten …
PricewaterhouseCoopers
September 2007 Slide 11
Wat is jullie rol bij het uitrollen van een IC systeem De interne controlefacilitatoren hebben een ondersteunende rol en faciliteren (dwz. ondersteunen, sensibiliseren en fungeren als klankbord voor iedereen binnen de organisatie die werk moet maken van Interne controle (re)design binnen zijn/haar processen). Zij worden opgeleid en gecoacht in hun rol door PwC. Hun belangrijkste taken zijn: • •
• •
• • • •
Bestaande informatie (huishoudelijk reglement, procedures, deontologische code, procesbeschrijvingen enz…) opzoeken en beschikbaar stellen Binnen de organisatie de nodige praktische afspraken maken vb. voor de plaatsbezoeken, opleidingen en workshops (overleg met leidinggevenden, uitsturen uitnodigingen, reserveren zalen, ...) Het stuurgroeplid ondersteunen door de deliverables kritisch door te nemen, het project actief op te volgen Orchestreren van de control self assessment van de controleomgeving (mee bepalen van de representatieve steekproef van medewerkers, uitsturen van de vragenlijsten, deelnemen aan de workshop,...) Opvolgen van de interne communicatie ivm het project binnen het bestuur Deelname aan de riskmappingworkshops (1 generieke workshop en een specifieke voor zijn/haar bestuur) Actief meewerken aan de uitwerking van deliverables (vb. kritisch nalezen van het handboek, aanbrengen van beste praktijken uit het bestuur,...) Samen met de trekkers een eigen opleidingsstrategie ontwerpen voor het bestuur die als input kan dienen voor het actieplan per provincie
De componenten van interne controle
5 componenten Monitoring Informatie en communicatie Controleactiviteiten Risico inschatting Controleomgeving
PricewaterhouseCoopers
September 2007 Slide 13
De componenten van interne controle Controleomgeving « De controleomgeving bepaalt de cultuur binnen de organisatie en beïnvloedt de bewustheid van het personeel voor beheersing » • Integriteit en zakelijke ethiek • Deskundigheid van de medewerkers • “Tone”at the top: voorbeeldfunctie • Filosofie van het management • Stijl van leidinggeven • Sturing • Organisatiestructuur • Verantwoordelijkheden • Delegatie • HR management
PricewaterhouseCoopers
September 2007 Slide 14
De componenten van interne controle Controleomgeving binnen het project 1. Samen met interne controlefacilitatoren de scope bepalen (subculturen -
populatie) 2. Self assessment begeleiden 3. Resultaten rapporteren 4. Workshop met leidinggevenden voor de definitie van actiepunten 5. Opnemen actiepunten in het actieplan per provincie
PricewaterhouseCoopers
September 2007 Slide 15
Taken ICF: • Workshop Controleomgeving self assessment organisatie&voorbereiding
bespreking vragenlijsten: maandag 15 oktober – namiddag • Opvolgen antwoorden controleomgeving self assessment (ev. rappels
sturen): 7 en 8 november • Doornemen analyserapport controleomgeving self assessment van de
provincie tussen 21 november en 27 november • Workshop actiepunten controleomgeving met leidinggevenden naar
aanleiding van het analyserapport controleomgeving. • Bespreking actiepunten controleomgeving per provincie
PricewaterhouseCoopers
September 2007 Slide 16
De componenten van interne controle Risico-inschatting « Risico’s permanent in kaart brengen (risico-identificatie) en de mogelijke impact ervan op de doelstellingen bepalen (risico-inschatting) »
• strategische risico’s • politieke risico’s • natuurlijke risico’s • operationele risico’s • financiële risico’s • … • Identificeer wijzigende factoren die nieuwe risico’s teweeg brengen
PricewaterhouseCoopers
September 2007 Slide 17
Wat zijn risico’s?
Risico’s zijn externe en interne factoren die het bereiken van de doelstellingen van een organisatie kunnen bedreigen
bedreiging reputatie
non conformiteit veranderingen
misbruik…
Toprisico’s: analyse van recente organisatiefraudes • diefstal van informatie • fraude met jaarrekeningen • belangenvermenging en corruptie • parallelle circuits • diefstal en heling van goederen • onkostenvervalsing • witwassen • BTW-carrousels
PricewaterhouseCoopers
September 2007 Slide 19
… “risk based interne controle” De risicomap Risico = Probabiliteit x Impact Typische categorisatie: Laag - Middel - Hoog of andere meer kwantitatieve of kwalitatieve modellen
High
Impact
Medium Low Low
Hoe? via een adequaat en effectief systeem van interne controle
Medium
Probability
High
… “risk based interne controle” De volledige “risk management cyclus” Strategische en operationele planning
Doelstellingen
Output van de Risk Management Cyclus
Risk Management Raamwerk Vermijden
Risico Evaluatie
„Bruto“ Risico
Risico Identificatie
Overdragen
Escalatie / Beslissing
Verminderen Aanvaarden „Netto“ Risico
Communicatie & Rapportering
Beheersmaatregelen
PricewaterhouseCoopers
September 2007 Slide 21
De componenten van interne controle Risico-inschatting binnen het project 1. Overzicht van soorten “processen” (controletechnisch) voorbereiden 2.
Gesprekken met griffiers: doelstellingen/strategische risico’s
3.
Plaatsbezoeken en voorbereidende gesprekken
4.
Horizontale workshop met stuurgroepleden en interne Controlefacilitatoren
5.
Workshop per provincie op basis van generiek risicoprofiel
6.
Risk map per provincie
PricewaterhouseCoopers
September 2007 Slide 22
Taken ICF: • Facultatief: bijwonen gesprek PwC/griffier tussen 17 oktober en 26 oktober • Facultatief: bijwonen plaatsbezoeken risico-analyse tussen 3 oktober en 5
november • Bijwonen generieke riskworkshop op woensdag 7 november – namiddag • Bijwonen workshop riskmapping met leidinggevenden in de provincie in de
week van 12 tot 19 november • Doornemen risico-analyses per provincie tussen 26 november en 30
november
PricewaterhouseCoopers
September 2007 Slide 23
De componenten van interne controle Controleactiviteiten « Controle activiteiten of controlemaatregelen zijn systematische activiteiten of procedures (manueel of geautomatiseerd) georganiseerd om risico’s te beheersen » • Management controles (PBP, begroting, benchmarking, meerjarenplanning, ..) • Fysische controles (brandveiligheid, overstroming, toegangscontroles,…) • Administratieve controles (gericht op administratieve en operationele processen) • Functiescheiding • IT controles (gericht op geautomatiseerde processen,…)
Elke organisatie heeft eigen mix nodig afhankelijk van de risico’s die zich stellen PricewaterhouseCoopers
September 2007 Slide 24
De componenten van interne controle Controleactiviteiten binnen het project
1. Uitwerken van een praktisch handboek dat
door alle diensten kan worden gebruikt 2. Opleiding per provincie
Taken ICF: • (Re)design controlemaatregelen op processen – bekijken van de processen
in januari 2008 • Opleiding controlemaatregelen
PricewaterhouseCoopers
September 2007 Slide 25
De componenten van interne controle Informatie & communicatie « Informatiedoorstroming doorheen heel de organisatie is nodig om de om de gehele organisatie te beheersen en het bereiken van de doelstellingen te monitoren »
Zowel intern als extern informatie moet doorheen de organisatie gecommuniceerd worden zodat ze op de juiste plaats gebruikt kan worden
Management informatie moet : • Relevant , • Beschikbaar, • Betrouwbaar, en • Toegankelijk zijn.
PricewaterhouseCoopers
September 2007 Slide 26
De componenten van interne controle Monitoring « Monitoring is het continue proces van overzicht van de consequente en juiste werking van interne controlemaatregelen »
!!! Audit is een onderdeel van een systeem van interne controle Permanente bewaking van het systeem van interne controle door het management zelf : supervisie, opvolgen van de rapportering en het nemen van gepaste acties ter bijsturing, klachten, etc…
Punctuele bewakingsactiviteiten door een onafhankelijke entiteit (bijv. interne of externe audit) : ad hoc evaluaties of audits
PricewaterhouseCoopers
Rapporteren en opvolging van aandachtspunten
September 2007 Slide 27
De componenten van interne controle Informatie / Communicatie & Monitoring binnen het project 1. Self assessment 2. Actiepunten => Het project mondt uit in een actieplan voor de verdere versterking van interne controle Taken ICF: • Voorbereiding van de self assessment informatie en communicatie
(werkvergadering met ICF) • Launch self assessment vragenlijst voor alle provincies: 23 januari 2008
(invullen voor 11 februari 2008) • Bespreking actiepunten informatie en communicatie met ICF PricewaterhouseCoopers
September 2007 Slide 28
Agenda 1. 2. 3. 4. 5.
Inleiding: wat is interne controle juist? Statements of interne controle: wat houdt dit in? Bronnen/autoriteiten op het vlak van interne controle Interne controle implementeren: ORCA Cases / Voorbeelden
Interne controle “statements”
Ook in andere sectoren en landen wordt er steeds meer aandacht besteed aan het afleggen van verantwoording over het “goed beheer”, interne controle en beheersing van de risico’s. In Nederland werd recent een “referentiekader mededeling over de bedrijfsvoering” ingevoerd waarbij de bevoegde minister rapporteert over het goed beheer binnen zijn administratie.
PricewaterhouseCoopers
September 2007 Slide 30
Interne Controle “statements”
In het referentiekader Mededeling over de bedrijfsvoering is de volgende standaardtekst voor de mededeling over de bedrijfsvoering opgenomen. In het begrotingsjaar 20xx is op een gestructureerde wijze aandacht besteed aan de bedrijfsvoering van het ministerie van …Op basis van een risicoanalyse is een systematische afweging gemaakt inzake de in te zetten instrumenten van sturing en beheersing. Dit omvat mede het vaststellen van het van toepassing zijnde normenkader en de uitgangspunten voor opname van aandachtspunten in deze mededeling. Een en ander heeft in het begrotingsjaar 20xx geresulteerd in beheerste bedrijfsprocessen binnen het ministerie van… Daarbij is een aantal punten naar voren gekomen ten aanzien waarvan de volgende verbeteracties zijn (worden) gestart.
In de mededeling is daarnaast ruimte gelaten voor het vermelden van departementsspecifieke normen en bijzondere risico’s in de bedrijfsprocessen. Verdere info: zie www.rekenkamer.nl/9282000/d/p287referentiekadervbtb.pdf PricewaterhouseCoopers
September 2007 Slide 31
Agenda 1. 2. 3. 4. 5.
Inleiding: wat is interne controle juist? Statements of interne controle: wat houdt dit in? Bronnen/autoriteiten op het vlak van interne controle Interne controle implementeren: ORCA Cases / Voorbeelden
“Autoriteiten” op het vlak van interne controle (naast COSO) The IIA and INTOSAI Sign Agreement August 14, 2007 The Institute of Internal Auditors and The International Organization of Supreme Audit Institutions Sign Agreement Global organizations enter working alliance ALTAMONTE SPRINGS, Fla. USA - Officials from The Institute of Internal Auditors (IIA) have signed a Memorandum of Understanding (MOU) with The Professional Standards Committee (PSC) of the International Organization of Supreme Audit Institutions (INTOSAI). The MOU outlines plans for cooperation in a variety of areas including mutual support on strategic directives and sharing knowledge when developing professional practices frameworks. "We are very pleased with this collaborative arrangement, for both The IIA and the internal audit profession. In particular, The IIA will draw on the wealth of experience that INTOSAI has gathered in the field of government auditing and will apply this experience in our work," said IIA President Dave Richards
IIA: www.theiia.org (Internationale beroepsvereniging van interne auditors) Intosai: www.intosai.org (Internationale vereniging van rekenkamers)
“Autoriteiten” op het vlak van interne controle (naast COSO)
Goede nederlandstalige bronnen – referentiekaders: • NIVRA, handreiking interne beheersing (NL) • Interne audit van de Vlaamse Gemeenschap, handreiking • IBR, richtlijnen en boek, “een praktische kijk op administratieve
organisatie en interne controle”, Standaard Uitgeverij, ISBN 90 341 9696 8
PricewaterhouseCoopers
September 2007 Slide 34
Agenda 1. 2. 3. 4.
5.
Inleiding: wat is interne controle juist? Statements of interne controle: wat houdt dit in? Bronnen/autoriteiten op het vlak van interne controle Interne controle implementeren: ORCA • Het “starten” met interne controle • Controlemaatregelen in administratieve en operationele processen • Functiescheiding • IT Controles • Conclusie • ORCA - analyse Cases / Voorbeelden
Het “starten” met interne controle
Stappenplan uit te voeren op alle niveau’s van de organisatie
Missie strategisch Per niveau/proces:
.
…
.
N2…
n ere gn
C R O
A li n ere gn
C R O
C R O
Pro ces s en
A li
C R O C R O
C R O
C R O
operationeel
C R O
A - Aligneren
C R O
C - Controlemaatregelen?
n ere gn
N1
A li
R - Risico’s?
PricewaterhouseCoopers
n ere gn
N
A li C R O
O - Objectieven? / Controleobjectieven?
September 2007 Slide 36
Controlemaatregelen in administratieve en operationele processen
Controledoelstellingen Authorisatie: diegene die een transactie uitvoert is daartoe gemachtigd Volledigheid: alle transacties/verwerkingen zijn geregistreerd Tijdigheid: de administratieve transacties zijn tijdig Juistheid: de transacties zijn correct geregistreerd Echtheid: er zijn geen fictieve of dubbele transacties Eigendomsrecht: de activa in de jaarrekening behoren de instelling toe Cut off: de transactie is geregistreerd in de juiste periode Waardering: transacties zijn voor juist bedrag, volgens waarderingsregels geregistreerd
• • • • • • • •
Adequaatheid van het systeem van interne controle: per controledoelstelling moeten de gepaste controlemaatregelen in de processen ingebed zijn of omgekeerd: de controlemaatregel(en) moet(en) sluitend zijn in functie van de controledoelstelling
PricewaterhouseCoopers
September 2007 Slide 37
Controlemaatregelen in administratieve en operationele processen
Bijvoorbeeld: innen van heffingen
Impact Opbrengsten zijn minder dan geraamd
Probability Controledoelstellingen ivm dit risico? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… September 2007 PricewaterhouseCoopers
Slide 38
Controlemaatregelen in administratieve en operationele processen
Bijvoorbeeld: Controledoelstellingen ivm dit risico? Oa. volledigheid, tijdigheid en juistheid van de ontvangsten Controlemaatregelen? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… ……………………………………………………………………………………
PricewaterhouseCoopers
September 2007 Slide 39
Functiescheiding
Aandachtspunten ivm functiescheiding
• functiescheiding moet permanent zijn (ook bij vervangingen) • functiescheiding moet ondersteund worden door een adequaat
profielbeheer en aangepaste toegangscontrole tot/in de ITsystemen
PricewaterhouseCoopers
September 2007 Slide 40
IT controles
TOEPASSING :
IT :
. Dossierbeheer . Aankopen . Personeelsbeheer . Boekhouding . Rapportering
. LOGISCHE BEVEILIGING . FYSIEKE BEVEILIGING . COMPUTER UITBATING . ONTWIKKELING . WIJZIGINGEN
grijze zone: -computer controles en toepassingsspecifieke controles overlappen elkaar
trend: -meer computer controles en minder toepassingsspecifieke controles -meer geautomatiseerde toepassingsspecifieke controles en minder manuele controles PricewaterhouseCoopers
September 2007 Slide 41
Interne controle in IT applicatie
Basis Gegevens
Transactie
Input Edit
Verwerk
Transactie Gegevens
PricewaterhouseCoopers
Output
Informatie
IT
September 2007 Slide 42
Conclusie: ORCA analyse van een proces
• map de processtappen (niet noodzakelijk flow chart van het volledige
proces), bijvoorbeeld: belastingen: heffen, innen, handhaven • map de waardekringloop • definieer de (controle) objectieven • definieer de risico’s • evalueer welke beheersmaatregelen adequaat zijn • evalueer of ze ook effectief worden toegepast • ga na of de controlemaatregelen gealligneerd zijn met de doelstellingen van
het proces (kostprijs van de controle verantwoord? ongewenste neveneffecten voor de doelgroep?)
PricewaterhouseCoopers
September 2007 Slide 43
Conclusie - stappenplan uit te voeren op alle niveau’s van de organisatie Per niveau/proces: bijvoorbeeld
Missie strategisch A li
N .
…
.
N2…
n ere gn
C R O
A li n ere gn
C R O
C R O
Pro ces s en
A li
C R O C R O
C R O
PricewaterhouseCoopers
C R O
operationeel
C R O
Tijdig, juiste hoeveelheden beschikbaar hebben
C R O
Aankopen bij de meest voordelige leverancier
n ere gn
N1
A li
C R O
n ere gn
Transparantie, eerlijk omgaan met partners, efficiënt en zuinig werken
September 2007 Slide 44
ORCA analyse
Voorbeeld: Aankoopproces
Behoefte detecteren
Markt raadplegen
Bestelling
Levering
Voorraadbeheer
Boekhouding
PricewaterhouseCoopers
September 2007 Slide 45
ORCA analyse
Voorbeeld (niet exhaustief) van een O-R-C analyse voor een aankoopproces
PricewaterhouseCoopers
September 2007 Slide 46
Agenda 1. 2. 3. 4. 5.
Inleiding: wat is interne controle juist? Statements of interne controle: wat houdt dit in? Bronnen/autoriteiten op het vlak van interne controle Interne controle implementeren: ORCA Cases / Voorbeelden
ORCA analyse
Voorbeeld: aanwervingsprocedure personeel
PricewaterhouseCoopers
September 2007 Slide 48
ORCA analyse
Voorbeeld selectieprocedure personeel
• Controledoelstellingen?
• Risico’s?
• Controlemaatregelen?
PricewaterhouseCoopers
September 2007 Slide 49
Data die nog moeten vastgelegd worden. 1.
overlegvergadering met ICF en projectleiding P2 in januari (niet W VL)
2.
opleiding controlemaatregelen voor leidinggevenden na 9/4/2007
3.
werkvergadering functionele vereisten voor de elektronische opvolging van het ICS met ICF (week 10/3)
4.
actiepunten controlemaatregelen overleg met ICF (week 19/3)
5.
werkvergadering actieplan in functie van de agendering van het geïntegreerd actieplan op deputatie (voor eind mei)