Vlaamse provincies Opleiding interne controle Oktober PwC

Vlaamse provincies Opleiding interne controle Oktober 2007

PwC

Doelstellingen van de opleiding

1. 2. 3. 4.

Inzicht krijgen in het begrip « interne controle » (beheersing van processen) Inzicht krijgen in het opzetten van een intern controle systeem In staat zijn om het eigen systeem van interne controle te beoordelen In staat zijn verbeteringen aan te brengen aan het systeem van interne controle

Agenda 1. 2. 3. 4. 5.

Inleiding: wat is interne controle juist? Statements of interne controle: wat houdt dit in? Bronnen/autoriteiten op het vlak van interne controle Interne controle implementeren: ORCA Cases / Voorbeelden

Agenda 1.

Inleiding: wat is interne controle juist? • Definities • Basisprincipes • De 5 componenten van interne controle

2. 3. 4. 5.

Statements of interne controle: wat houdt dit in? Bronnen/autoriteiten op het vlak van interne controle Interne controle implementeren: ORCA Cases / Voorbeelden

Wat is Interne Controle (IC) Interne controle moet bijdragen tot het bereiken van de doelstellingen van de organisatie Publieke sector: rechtszekerheid, rechtsgelijkheid en rechtmatigheid + effectiviteit, efficiëntie en spaarzaamheid (economy – economisch gebruik), ethiek

Het provinciedecreet In art. 95,96 en 97 van het decreet wordt aangegeven dat de provincies belast zijn met interne controle van hun activiteiten. ... De griffier stelt het systeem van interne controle vast en rapporteert hierover jaarlijks aan de deputatie en de provincieraad Dit gegeven is een element van behoorlijk bestuur (good governance) en is niet nieuw in de “internationale” publieke sector....

PricewaterhouseCoopers

September 2007 Slide 6

Interne controle volgens het provinciedecreet “Interne controle is een geheel van maatregelen en procedures om een redelijke zekerheid te verschaffen over:

• het bereiken van de beoogde doelstellingen, • het naleven van de regelgeving • de beschikbaarheid van betrouwbare financiële en beheersinformatie • het efficiënt en economisch gebruik van middelen • het beschermen van de activa Provincie Oost-Vlaanderen • het voorkomen van fraude” PricewaterhouseCoopers


Definitie Interne Controle

Committee of Sponsoring Organizations (COSO) of the Treadway Commission 1992 Interne controle volgens COSO Interne controle is een door de leiding tot stand gebracht proces om een redelijke zekerheid te verschaffen omtrent de realisatie van de volgende categorieën van doelstellingen:

Algemene raamwerken: COSO (USA) COCO (CANADA) Het Cadbury rapport (UK) ... Specifiek IT-raamwerk: CobiT Interne controle volgens provinciedecreet (VL) Interne controle is een geheel van maatregelen en procedures om een redelijke zekerheid te verschaffen over: • het bereiken van de beoogde

•effectiviteit en efficiëntie van

bedrijfshandelingen; •betrouwbaarheid van financiële verslaggeving; •naleving van toepasselijke rechtsregels (wetten en voorschriften). •vrijwaring van activa tegen ongeoorloofd gebruik en/of ongeoorloofde transacties

doelstellingen, • het naleven van de regelgeving • de beschikbaarheid van betrouwbare financiële en beheersinformatie • het efficiënt en economisch gebruik van middelen • het beschermen van de activa • het voorkomen van fraude”

Basisprincipes van interne controle 1. Interne controle is de zaak van iedereen in de organisatie (niet enkel van de griffier) 2. Interne controle is een continu proces (dwz. veranderend) -> Risico’s veranderen, controles dus ook 3. IC geeft redelijke maar geen absolute zekerheid 4. Controles kosten geld, dus moeten afgewogen worden tov. de risico’s... Compenserende controles zijn mogelijk 5. Interne controlemaatregelen bestaan enkel om risico’s af te dekken en zijn geen doel op zich



Basisprincipes interne controle 1.

Interne controle is de zaak van iedereen in de organisatie het management is ultiem verantwoordelijk voor de goede werking van het intern controlesysteem maar elke medewerker is mede verantwoordelijk voor de optimale werking ervan op welk niveau van de organisatie hij of zij zich ook bevindt => dit veronderstelt een attitude van verantwoordelijkheidszin, risicoalertheid en pro-actief handelen


2.

Interne controle is een continu proces IC is geen gebeurtenis of een éénmalige activiteit, maar een geheel van acties en activiteiten die ingebed zijn in de dagelijkse werking van de instelling

« Nieuwe » visie COSO Kubus

« Traditionele » visie September 2007 Slide 10

Basisprincipes interne controle 3. Redelijke zekerheid

Beperkingen van elk intern controle systeem

• Beoordelingsfouten • Onzorgvuldigheid • Samenspanning • Overreding/Ingrijpen door het management • Wijzigende omgeving of organisatie • Kosten/Baten …



Wat is jullie rol bij het uitrollen van een IC systeem De interne controlefacilitatoren hebben een ondersteunende rol en faciliteren (dwz. ondersteunen, sensibiliseren en fungeren als klankbord voor iedereen binnen de organisatie die werk moet maken van Interne controle (re)design binnen zijn/haar processen). Zij worden opgeleid en gecoacht in hun rol door PwC. Hun belangrijkste taken zijn: • •

• •

• • • •

Bestaande informatie (huishoudelijk reglement, procedures, deontologische code, procesbeschrijvingen enz…) opzoeken en beschikbaar stellen Binnen de organisatie de nodige praktische afspraken maken vb. voor de plaatsbezoeken, opleidingen en workshops (overleg met leidinggevenden, uitsturen uitnodigingen, reserveren zalen, ...) Het stuurgroeplid ondersteunen door de deliverables kritisch door te nemen, het project actief op te volgen Orchestreren van de control self assessment van de controleomgeving (mee bepalen van de representatieve steekproef van medewerkers, uitsturen van de vragenlijsten, deelnemen aan de workshop,...) Opvolgen van de interne communicatie ivm het project binnen het bestuur Deelname aan de riskmappingworkshops (1 generieke workshop en een specifieke voor zijn/haar bestuur) Actief meewerken aan de uitwerking van deliverables (vb. kritisch nalezen van het handboek, aanbrengen van beste praktijken uit het bestuur,...) Samen met de trekkers een eigen opleidingsstrategie ontwerpen voor het bestuur die als input kan dienen voor het actieplan per provincie

De componenten van interne controle

5 componenten Monitoring Informatie en communicatie Controleactiviteiten Risico inschatting Controleomgeving



De componenten van interne controle Controleomgeving « De controleomgeving bepaalt de cultuur binnen de organisatie en beïnvloedt de bewustheid van het personeel voor beheersing » • Integriteit en zakelijke ethiek • Deskundigheid van de medewerkers • “Tone”at the top: voorbeeldfunctie • Filosofie van het management • Stijl van leidinggeven • Sturing • Organisatiestructuur • Verantwoordelijkheden • Delegatie • HR management



De componenten van interne controle Controleomgeving binnen het project 1. Samen met interne controlefacilitatoren de scope bepalen (subculturen -

populatie) 2. Self assessment begeleiden 3. Resultaten rapporteren 4. Workshop met leidinggevenden voor de definitie van actiepunten 5. Opnemen actiepunten in het actieplan per provincie



Taken ICF: • Workshop Controleomgeving self assessment organisatie&voorbereiding

bespreking vragenlijsten: maandag 15 oktober – namiddag • Opvolgen antwoorden controleomgeving self assessment (ev. rappels

sturen): 7 en 8 november • Doornemen analyserapport controleomgeving self assessment van de

provincie tussen 21 november en 27 november • Workshop actiepunten controleomgeving met leidinggevenden naar

aanleiding van het analyserapport controleomgeving. • Bespreking actiepunten controleomgeving per provincie



De componenten van interne controle Risico-inschatting « Risico’s permanent in kaart brengen (risico-identificatie) en de mogelijke impact ervan op de doelstellingen bepalen (risico-inschatting) »

• strategische risico’s • politieke risico’s • natuurlijke risico’s • operationele risico’s • financiële risico’s • … • Identificeer wijzigende factoren die nieuwe risico’s teweeg brengen



Wat zijn risico’s?

Risico’s zijn externe en interne factoren die het bereiken van de doelstellingen van een organisatie kunnen bedreigen

bedreiging reputatie

non conformiteit veranderingen

misbruik…

Toprisico’s: analyse van recente organisatiefraudes • diefstal van informatie • fraude met jaarrekeningen • belangenvermenging en corruptie • parallelle circuits • diefstal en heling van goederen • onkostenvervalsing • witwassen • BTW-carrousels



… “risk based interne controle” De risicomap Risico = Probabiliteit x Impact Typische categorisatie: Laag - Middel - Hoog of andere meer kwantitatieve of kwalitatieve modellen

High

Impact

Medium Low Low

Hoe? via een adequaat en effectief systeem van interne controle

Medium

Probability

High

… “risk based interne controle” De volledige “risk management cyclus” Strategische en operationele planning

Doelstellingen

Output van de Risk Management Cyclus

Risk Management Raamwerk Vermijden

Risico Evaluatie

„Bruto“ Risico

Risico Identificatie

Overdragen

Escalatie / Beslissing

Verminderen Aanvaarden „Netto“ Risico

Communicatie & Rapportering

Beheersmaatregelen



De componenten van interne controle Risico-inschatting binnen het project 1. Overzicht van soorten “processen” (controletechnisch) voorbereiden 2.

Gesprekken met griffiers: doelstellingen/strategische risico’s

3.

Plaatsbezoeken en voorbereidende gesprekken

4.

Horizontale workshop met stuurgroepleden en interne Controlefacilitatoren

5.

Workshop per provincie op basis van generiek risicoprofiel

6.

Risk map per provincie



Taken ICF: • Facultatief: bijwonen gesprek PwC/griffier tussen 17 oktober en 26 oktober • Facultatief: bijwonen plaatsbezoeken risico-analyse tussen 3 oktober en 5

november • Bijwonen generieke riskworkshop op woensdag 7 november – namiddag • Bijwonen workshop riskmapping met leidinggevenden in de provincie in de

week van 12 tot 19 november • Doornemen risico-analyses per provincie tussen 26 november en 30

november



De componenten van interne controle Controleactiviteiten « Controle activiteiten of controlemaatregelen zijn systematische activiteiten of procedures (manueel of geautomatiseerd) georganiseerd om risico’s te beheersen » • Management controles (PBP, begroting, benchmarking, meerjarenplanning, ..) • Fysische controles (brandveiligheid, overstroming, toegangscontroles,…) • Administratieve controles (gericht op administratieve en operationele processen) • Functiescheiding • IT controles (gericht op geautomatiseerde processen,…)

Elke organisatie heeft eigen mix nodig afhankelijk van de risico’s die zich stellen PricewaterhouseCoopers


De componenten van interne controle Controleactiviteiten binnen het project

1. Uitwerken van een praktisch handboek dat

door alle diensten kan worden gebruikt 2. Opleiding per provincie

Taken ICF: • (Re)design controlemaatregelen op processen – bekijken van de processen

in januari 2008 • Opleiding controlemaatregelen



De componenten van interne controle Informatie & communicatie « Informatiedoorstroming doorheen heel de organisatie is nodig om de om de gehele organisatie te beheersen en het bereiken van de doelstellingen te monitoren »

Zowel intern als extern informatie moet doorheen de organisatie gecommuniceerd worden zodat ze op de juiste plaats gebruikt kan worden

Management informatie moet : • Relevant , • Beschikbaar, • Betrouwbaar, en • Toegankelijk zijn.



De componenten van interne controle Monitoring « Monitoring is het continue proces van overzicht van de consequente en juiste werking van interne controlemaatregelen »

!!! Audit is een onderdeel van een systeem van interne controle Permanente bewaking van het systeem van interne controle door het management zelf : supervisie, opvolgen van de rapportering en het nemen van gepaste acties ter bijsturing, klachten, etc…

Punctuele bewakingsactiviteiten door een onafhankelijke entiteit (bijv. interne of externe audit) : ad hoc evaluaties of audits


Rapporteren en opvolging van aandachtspunten


De componenten van interne controle Informatie / Communicatie & Monitoring binnen het project 1. Self assessment 2. Actiepunten => Het project mondt uit in een actieplan voor de verdere versterking van interne controle Taken ICF: • Voorbereiding van de self assessment informatie en communicatie

(werkvergadering met ICF) • Launch self assessment vragenlijst voor alle provincies: 23 januari 2008

(invullen voor 11 februari 2008) • Bespreking actiepunten informatie en communicatie met ICF PricewaterhouseCoopers


Agenda 1. 2. 3. 4. 5.


Interne controle “statements”

Ook in andere sectoren en landen wordt er steeds meer aandacht besteed aan het afleggen van verantwoording over het “goed beheer”, interne controle en beheersing van de risico’s. In Nederland werd recent een “referentiekader mededeling over de bedrijfsvoering” ingevoerd waarbij de bevoegde minister rapporteert over het goed beheer binnen zijn administratie.



Interne Controle “statements”

In het referentiekader Mededeling over de bedrijfsvoering is de volgende standaardtekst voor de mededeling over de bedrijfsvoering opgenomen. In het begrotingsjaar 20xx is op een gestructureerde wijze aandacht besteed aan de bedrijfsvoering van het ministerie van …Op basis van een risicoanalyse is een systematische afweging gemaakt inzake de in te zetten instrumenten van sturing en beheersing. Dit omvat mede het vaststellen van het van toepassing zijnde normenkader en de uitgangspunten voor opname van aandachtspunten in deze mededeling. Een en ander heeft in het begrotingsjaar 20xx geresulteerd in beheerste bedrijfsprocessen binnen het ministerie van… Daarbij is een aantal punten naar voren gekomen ten aanzien waarvan de volgende verbeteracties zijn (worden) gestart.

In de mededeling is daarnaast ruimte gelaten voor het vermelden van departementsspecifieke normen en bijzondere risico’s in de bedrijfsprocessen. Verdere info: zie www.rekenkamer.nl/9282000/d/p287referentiekadervbtb.pdf PricewaterhouseCoopers


Agenda 1. 2. 3. 4. 5.


“Autoriteiten” op het vlak van interne controle (naast COSO) The IIA and INTOSAI Sign Agreement August 14, 2007 The Institute of Internal Auditors and The International Organization of Supreme Audit Institutions Sign Agreement Global organizations enter working alliance ALTAMONTE SPRINGS, Fla. USA - Officials from The Institute of Internal Auditors (IIA) have signed a Memorandum of Understanding (MOU) with The Professional Standards Committee (PSC) of the International Organization of Supreme Audit Institutions (INTOSAI). The MOU outlines plans for cooperation in a variety of areas including mutual support on strategic directives and sharing knowledge when developing professional practices frameworks. "We are very pleased with this collaborative arrangement, for both The IIA and the internal audit profession. In particular, The IIA will draw on the wealth of experience that INTOSAI has gathered in the field of government auditing and will apply this experience in our work," said IIA President Dave Richards

IIA: www.theiia.org (Internationale beroepsvereniging van interne auditors) Intosai: www.intosai.org (Internationale vereniging van rekenkamers)

“Autoriteiten” op het vlak van interne controle (naast COSO)

Goede nederlandstalige bronnen – referentiekaders: • NIVRA, handreiking interne beheersing (NL) • Interne audit van de Vlaamse Gemeenschap, handreiking • IBR, richtlijnen en boek, “een praktische kijk op administratieve

organisatie en interne controle”, Standaard Uitgeverij, ISBN 90 341 9696 8



Agenda 1. 2. 3. 4.

5.

Inleiding: wat is interne controle juist? Statements of interne controle: wat houdt dit in? Bronnen/autoriteiten op het vlak van interne controle Interne controle implementeren: ORCA • Het “starten” met interne controle • Controlemaatregelen in administratieve en operationele processen • Functiescheiding • IT Controles • Conclusie • ORCA - analyse Cases / Voorbeelden

Het “starten” met interne controle

Stappenplan uit te voeren op alle niveau’s van de organisatie

Missie strategisch Per niveau/proces:

.

…

.

N2…

n ere gn

C R O

A li n ere gn

C R O

C R O

Pro ces s en

A li

C R O C R O

C R O

C R O

operationeel

C R O

A - Aligneren

C R O

C - Controlemaatregelen?

n ere gn

N1

A li

R - Risico’s?


n ere gn

N

A li C R O

O - Objectieven? / Controleobjectieven?


Controlemaatregelen in administratieve en operationele processen

Controledoelstellingen Authorisatie: diegene die een transactie uitvoert is daartoe gemachtigd Volledigheid: alle transacties/verwerkingen zijn geregistreerd Tijdigheid: de administratieve transacties zijn tijdig Juistheid: de transacties zijn correct geregistreerd Echtheid: er zijn geen fictieve of dubbele transacties Eigendomsrecht: de activa in de jaarrekening behoren de instelling toe Cut off: de transactie is geregistreerd in de juiste periode Waardering: transacties zijn voor juist bedrag, volgens waarderingsregels geregistreerd

• • • • • • • •

Adequaatheid van het systeem van interne controle: per controledoelstelling moeten de gepaste controlemaatregelen in de processen ingebed zijn of omgekeerd: de controlemaatregel(en) moet(en) sluitend zijn in functie van de controledoelstelling




Bijvoorbeeld: innen van heffingen

Impact Opbrengsten zijn minder dan geraamd

Probability Controledoelstellingen ivm dit risico? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… September 2007 PricewaterhouseCoopers

Slide 38


Bijvoorbeeld: Controledoelstellingen ivm dit risico? Oa. volledigheid, tijdigheid en juistheid van de ontvangsten Controlemaatregelen? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… ……………………………………………………………………………………



Functiescheiding

Aandachtspunten ivm functiescheiding

• functiescheiding moet permanent zijn (ook bij vervangingen) • functiescheiding moet ondersteund worden door een adequaat

profielbeheer en aangepaste toegangscontrole tot/in de ITsystemen



IT controles

TOEPASSING :

IT :

. Dossierbeheer . Aankopen . Personeelsbeheer . Boekhouding . Rapportering

. LOGISCHE BEVEILIGING . FYSIEKE BEVEILIGING . COMPUTER UITBATING . ONTWIKKELING . WIJZIGINGEN

grijze zone: -computer controles en toepassingsspecifieke controles overlappen elkaar

trend: -meer computer controles en minder toepassingsspecifieke controles -meer geautomatiseerde toepassingsspecifieke controles en minder manuele controles PricewaterhouseCoopers


Interne controle in IT applicatie

Basis Gegevens

Transactie

Input Edit

Verwerk

Transactie Gegevens


Output

Informatie

IT


Conclusie: ORCA analyse van een proces

• map de processtappen (niet noodzakelijk flow chart van het volledige

proces), bijvoorbeeld: belastingen: heffen, innen, handhaven • map de waardekringloop • definieer de (controle) objectieven • definieer de risico’s • evalueer welke beheersmaatregelen adequaat zijn • evalueer of ze ook effectief worden toegepast • ga na of de controlemaatregelen gealligneerd zijn met de doelstellingen van

het proces (kostprijs van de controle verantwoord? ongewenste neveneffecten voor de doelgroep?)



Conclusie - stappenplan uit te voeren op alle niveau’s van de organisatie Per niveau/proces: bijvoorbeeld

Missie strategisch A li

N .

…

.

N2…

n ere gn

C R O

A li n ere gn

C R O

C R O

Pro ces s en

A li

C R O C R O

C R O


C R O

operationeel

C R O

Tijdig, juiste hoeveelheden beschikbaar hebben

C R O

Aankopen bij de meest voordelige leverancier

n ere gn

N1

A li

C R O

n ere gn

Transparantie, eerlijk omgaan met partners, efficiënt en zuinig werken


ORCA analyse

Voorbeeld: Aankoopproces

Behoefte detecteren

Markt raadplegen

Bestelling

Levering

Voorraadbeheer

Boekhouding



ORCA analyse

Voorbeeld (niet exhaustief) van een O-R-C analyse voor een aankoopproces



Agenda 1. 2. 3. 4. 5.


ORCA analyse

Voorbeeld: aanwervingsprocedure personeel



ORCA analyse

Voorbeeld selectieprocedure personeel

• Controledoelstellingen?

• Risico’s?

• Controlemaatregelen?



Data die nog moeten vastgelegd worden. 1.

overlegvergadering met ICF en projectleiding P2 in januari (niet W VL)

2.

opleiding controlemaatregelen voor leidinggevenden na 9/4/2007

3.

werkvergadering functionele vereisten voor de elektronische opvolging van het ICS met ICF (week 10/3)

4.

actiepunten controlemaatregelen overleg met ICF (week 19/3)

5.

werkvergadering actieplan in functie van de agendering van het geïntegreerd actieplan op deputatie (voor eind mei)

Vlaamse provincies Opleiding interne controle Oktober PwC

Recommend Documents