Post on 29-Nov-2018
PwC
Vlaamse provinciesOpleiding interne controleOktober 2007
Doelstellingen van de opleiding
1. Inzicht krijgen in het begrip « interne controle » (beheersing van processen)2. Inzicht krijgen in het opzetten van een intern controle systeem3. In staat zijn om het eigen systeem van interne controle te beoordelen4. In staat zijn verbeteringen aan te brengen aan het systeem van interne controle
Agenda
1. Inleiding: wat is interne controle juist?2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA5. Cases / Voorbeelden
Agenda
1. Inleiding: wat is interne controle juist?• Definities• Basisprincipes• De 5 componenten van interne controle
2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA5. Cases / Voorbeelden
Interne controle moet bijdragen tot het bereiken van de doelstellingen van deorganisatie
Publieke sector: rechtszekerheid, rechtsgelijkheid en rechtmatigheid
+ effectiviteit, efficiëntie en spaarzaamheid (economy – economischgebruik), ethiek
Wat is Interne Controle (IC)
Slide 6PricewaterhouseCoopersSeptember 2007
Het provinciedecreet
In art. 95,96 en 97 van het decreet wordt aangegeven dat de provincies belast zijn met interne controle van hun activiteiten.
... De griffier stelt het systeem van interne controle vast en rapporteert hierover jaarlijks aan de deputatie en de provincieraad
Dit gegeven is een element van behoorlijk bestuur (goodgovernance) en is niet nieuw in de “internationale” publieke sector....
Slide 7PricewaterhouseCoopersSeptember 2007
Interne controle volgens het provinciedecreet
Provincie Oost-Vlaanderen
• het bereiken van de beoogdedoelstellingen, • het naleven van de regelgeving• de beschikbaarheid van betrouwbare
financiële en beheersinformatie• het efficiënt en economisch gebruik van
middelen• het beschermen van de activa• het voorkomen van fraude”
“Interne controle is een geheel van maatregelen en procedures om eenredelijke zekerheid te verschaffenover:
Definitie Interne Controle
Interne controle volgens COSOInterne controle is een door de leiding tot stand gebracht proces om een redelijkezekerheid te verschaffen omtrent de realisatievan de volgende categorieën van doelstellingen:
•effectiviteit en efficiëntie van bedrijfshandelingen;•betrouwbaarheid van financiëleverslaggeving;•naleving van toepasselijke rechtsregels(wetten en voorschriften).•vrijwaring van activa tegen ongeoorloofdgebruik en/of ongeoorloofde transacties
Interne controle volgensprovinciedecreet (VL)Interne controle is een geheel van maatregelen en procedures om eenredelijke zekerheid te verschaffen over:
• het bereiken van de beoogdedoelstellingen, • het naleven van de regelgeving• de beschikbaarheid van betrouwbarefinanciële en beheersinformatie• het efficiënt en economisch gebruikvan middelen• het beschermen van de activa• het voorkomen van fraude”
Algemene raamwerken: COSO (USA)COCO (CANADA)Het Cadbury rapport (UK)...
Specifiek IT-raamwerk:CobiT
Committee of Sponsoring Organizations (COSO) of the Treadway Commission -1992
Slide 9PricewaterhouseCoopersSeptember 2007
1. Interne controle is de zaak van iedereen in de organisatie (nietenkel van de griffier)
2. Interne controle is een continu proces (dwz. veranderend) -> Risico’s veranderen, controles dus ook
3. IC geeft redelijke maar geen absolute zekerheid
4. Controles kosten geld, dus moeten afgewogen worden tov. de risico’s... Compenserende controles zijn mogelijk
5. Interne controlemaatregelen bestaan enkel om risico’s af tedekken en zijn geen doel op zich
Basisprincipes van interne controle
Slide 10PricewaterhouseCoopersSeptember 2007
Basisprincipes interne controle
1. Interne controle is de zaak van iedereen in de organisatie
het management is ultiem verantwoordelijk voor de goede werking van het intern controlesysteem maar elkemedewerker is medeverantwoordelijk voor de optimale werking ervan op welkniveau van de organisatie hij of zij zich ook bevindt
=> dit veronderstelt eenattitude van verantwoordelijkheidszin, risicoalertheid en pro-actiefhandelen
2. Interne controle is een continu proces
IC is geen gebeurtenis of een éénmalige activiteit, maar een geheel van acties en activiteiten die ingebedzijn in de dagelijkse werking van de instelling
COSO Kubus
« Traditionele »visie
« Nieuwe » visie
Slide 11PricewaterhouseCoopersSeptember 2007
Beperkingen van elk intern controle systeem
• Beoordelingsfouten
• Onzorgvuldigheid
• Samenspanning
• Overreding/Ingrijpen door het management
• Wijzigende omgeving of organisatie
• Kosten/Baten …
Basisprincipes interne controle
3. Redelijke zekerheid
Wat is jullie rol bij het uitrollen van een IC systeem
Hun belangrijkste taken zijn :
• Bestaande informatie (huishoudelijk reglement, procedures, deontologische code, procesbeschrijvingen enz…) opzoeken en beschikbaar stellen
• Binnen de organisatie de nodige praktische afspraken maken vb. voor de plaatsbezoeken, opleidingen en workshops (overleg met leidinggevenden, uitsturen uitnodigingen, reserveren zalen, ...)
• Het stuurgroeplid ondersteunen door de deliverables kritisch door te nemen, het project actief op te volgen
• Orchestreren van de control self assessment van de controleomgeving (mee bepalen van de representatieve steekproef van medewerkers, uitsturen van de vragenlijsten, deelnemen aan de workshop,...)
• Opvolgen van de interne communicatie ivm het project binnen het bestuur• Deelname aan de riskmappingworkshops (1 generieke workshop en een specifieke voor
zijn/haar bestuur)• Actief meewerken aan de uitwerking van deliverables (vb. kritisch nalezen van het
handboek, aanbrengen van beste praktijken uit het bestuur,...)• Samen met de trekkers een eigen opleidingsstrategie ontwerpen voor het bestuur die als
input kan dienen voor het actieplan per provincie
De interne controlefacilitatoren hebben een ondersteunende rol en faciliteren (dwz. ondersteunen, sensibiliseren en fungeren als klankbord voor iedereen binnen de organisatie die werk moet maken van Interne controle (re)design binnen zijn/haar processen). Zij worden opgeleid en gecoacht in hun rol door PwC.
Slide 13PricewaterhouseCoopersSeptember 2007
De componenten van interne controle
5 componenten
Monitoring
Informatie en communicatie
Controleactiviteiten
Risico inschatting
Controleomgeving
Slide 14PricewaterhouseCoopersSeptember 2007
De componenten van interne controle
Controleomgeving
• Integriteit en zakelijke ethiek
• Deskundigheid van de medewerkers
• “Tone”at the top: voorbeeldfunctie
• Filosofie van het management
• Stijl van leidinggeven
• Sturing
• Organisatiestructuur
• Verantwoordelijkheden
• Delegatie
• HR management
« De controleomgeving bepaalt de cultuur binnen de organisatie en beïnvloedt de bewustheid van het personeel voor beheersing »
Slide 15PricewaterhouseCoopersSeptember 2007
De componenten van interne controle
Controleomgeving binnen het project
1. Samen met interne controlefacilitatoren de scope bep alen (subculturen -populatie)
2. Self assessment begeleiden
3. Resultaten rapporteren
4. Workshop met leidinggevenden voor de definitie van actiepunten
5. Opnemen actiepunten in het actieplan per provincie
Slide 16PricewaterhouseCoopersSeptember 2007
Taken ICF :
• Workshop Controleomgeving self assessment organisatie&voorbereiding bespreking vragenlijsten: maandag 15 oktober – namiddag
• Opvolgen antwoorden controleomgeving self assessment (ev. rappels sturen): 7 en 8 november
• Doornemen analyserapport controleomgeving self assessment van de provincie tussen 21 november en 27 november
• Workshop actiepunten controleomgeving met leidinggevenden naaraanleiding van het analyserapport controleomgeving.
• Bespreking actiepunten controleomgeving per provincie
Slide 17PricewaterhouseCoopersSeptember 2007
De componenten van interne controle
Risico-inschatting
• Identificeer wijzigende factoren die
nieuwe risico’s teweeg brengen
• strategische risico’s
• politieke risico’s
• natuurlijke risico’s
• operationele risico’s
• financiële risico’s
• …
« Risico’s permanent in kaart brengen (risico-identificatie) en de mogelijke impact ervan op de doelstellingen bepalen (risico-inschatting) »
Risico’s zijn externe en interne factoren die het bereiken van de doelstellingen van een
organisatie kunnen bedreigen
reputatie
bedreiging
non conformiteit
veranderingen
misbruik…
Wat zijn risico’s?
Slide 19PricewaterhouseCoopersSeptember 2007
Toprisico’s: analyse van recente organisatiefraudes
• diefstal van informatie
• fraude met jaarrekeningen
• belangenvermenging en corruptie
• parallelle circuits
• diefstal en heling van goederen
• onkostenvervalsing
• witwassen
• BTW-carrousels
… “risk based interne controle”
Low Medium High
Low
Medium
High
Impact
Probability
De risicomap
Hoe? via een adequaat en effectiefsysteem van interne controle
Risico = Probabiliteit x Impact
Typische categorisatie: Laag - Middel - Hoogof andere meer kwantitatieve of kwalitatieve modellen
Slide 21PricewaterhouseCoopersSeptember 2007
De volledige “risk management cyclus”
Communicatie &
Rapportering
Risico Identificatie
Risico Evaluatie
Vermijden
Overdragen
Verminderen
Aanvaarden
„Bruto“Risico
„ Netto“Risico
Beheersmaatregelen
Output van de
Risk Management Cyclus
Escalatie / Beslissing
Risk Management Raamwerk
DoelstellingenStrategische en
operationele planning
… “risk based interne controle”
Slide 22PricewaterhouseCoopersSeptember 2007
De componenten van interne controle
Risico-inschatting binnen het project
1. Overzicht van soorten “processen” (controletechnisc h) voorbereiden
2. Gesprekken met griffiers: doelstellingen/strategisc he risico’s
3. Plaatsbezoeken en voorbereidende gesprekken
4. Horizontale workshop met stuurgroepleden en interne Controlefacilitatoren
5. Workshop per provincie op basis van generiek risico profiel
6. Risk map per provincie
Slide 23PricewaterhouseCoopersSeptember 2007
Taken ICF :
• Facultatief: bijwonen gesprek PwC/griffier tussen 17 oktober en 26 oktober
• Facultatief: bijwonen plaatsbezoeken risico-analyse tussen 3 oktober en 5 november
• Bijwonen generieke riskworkshop op woensdag 7 november – namiddag
• Bijwonen workshop riskmapping met leidinggevenden in de provincie in de week van 12 tot 19 november
• Doornemen risico-analyses per provincie tussen 26 november en 30 november
Slide 24PricewaterhouseCoopersSeptember 2007
De componenten van interne controle
Controleactiviteiten
« Controle activiteiten of controlemaatregelen zijn systematische activiteiten of procedures (manueel of geautomatiseerd) georganiseerd om risico’s te beheersen »
• IT controles (gericht op geautomatiseerde
processen,…)
• Functiescheiding
• Administratieve controles (gericht op
administratieve en operationele processen)
• Fysische controles (brandveiligheid,
overstroming, toegangscontroles,…)
• Management controles (PBP, begroting,
benchmarking, meerjarenplanning, ..)
Elke organisatie heeft eigen mix nodig afhankelijk van de risico’s die zich stellen
Slide 25PricewaterhouseCoopersSeptember 2007
De componenten van interne controle
Controleactiviteiten binnen het project
1. Uitwerken van een praktisch handboek datdoor alle diensten kan worden gebruikt
2. Opleiding per provincie
Taken ICF :
• (Re)design controlemaatregelen op processen – bekijken van de processen in januari 2008
• Opleiding controlemaatregelen
Slide 26PricewaterhouseCoopersSeptember 2007
De componenten van interne controle
Informatie & communicatie
Zowel intern als extern informatie moet
doorheen de organisatie gecommuniceerd
worden zodat ze op de juiste plaats gebruikt kan
worden
« Informatiedoorstroming doorheen heel de organisatie is nodig om de om de geheleorganisatie te beheersen en het bereiken van de doelstellingen te monitoren »
Management informatie moet :
• Relevant ,
• Beschikbaar,
• Betrouwbaar, en
• Toegankelijk
zijn.
Slide 27PricewaterhouseCoopersSeptember 2007
De componenten van interne controle
Monitoring
Permanente bewaking van het systeem van
interne controle door het management zelf :
supervisie, opvolgen van de rapportering en het
nemen van gepaste acties ter bijsturing,
klachten, etc…
Punctuele bewakingsactiviteiten door
een onafhankelijke entiteit (bijv.
interne of externe audit) : ad hoc
evaluaties of audits
Rapporteren en
opvolging van
aandachtspunten
!!! Audit is een onderdeel van een systeem van interne controle
« Monitoring is het continue proces van overzicht van de consequente en juiste werkingvan interne controlemaatregelen »
Slide 28PricewaterhouseCoopersSeptember 2007
De componenten van interne controle
Informatie / Communicatie & Monitoring binnen het project
1. Self assessment
2. Actiepunten
=> Het project mondt uit in een actieplan voor de verdereversterking van interne controle
Taken ICF :
• Voorbereiding van de self assessment informatie en communicatie (werkvergadering met ICF)
• Launch self assessment vragenlijst voor alle provincies: 23 januari 2008 (invullen voor 11 februari 2008)
• Bespreking actiepunten informatie en communicatie met ICF
Agenda
1. Inleiding: wat is interne controle juist?2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA5. Cases / Voorbeelden
Slide 30PricewaterhouseCoopersSeptember 2007
Interne controle “statements”
Ook in andere sectoren en landen wordt er steeds meer aandacht besteed aan het afleggen van verantwoording over het “goed beheer”, interne controle en beheersing van de risico’s. In Nederland werd recent een “referentiekader mededeling over de bedrijfsvoering” ingevoerd waarbij de bevoegde minister rapporteert over het goed beheer binnen zijn administratie.
Slide 31PricewaterhouseCoopersSeptember 2007
Interne Controle “statements”
In het referentiekader Mededeling over de bedrijfsvoering is de volgende standaardtekst voor de mededeling over de bedrijfsvoering opgenomen.In het begrotingsjaar 20xx is op een gestructureerde wijze aandacht besteed aan de bedrijfsvoering van het ministerie van …Op basis van een risicoanalyse is een systematische afweging gemaakt inzake de in te zetten instrumenten van sturing en beheersing. Dit omvat mede het vaststellen van het van toepassing zijnde normenkader en de uitgangspunten voor opname van aandachtspunten in deze mededeling. Een en ander heeft in het begrotingsjaar 20xx geresulteerd in beheerste bedrijfsprocessen binnen het ministerie van… Daarbij is een aantal punten naar voren gekomen ten aanzien waarvan de volgende verbeteracties zijn (worden) gestart.
In de mededeling is daarnaast ruimte gelaten voor het vermelden van departementsspecifieke normen en bijzondere risico’s in de bedrijfsprocessen.Verdere info: zie www.rekenkamer.nl/9282000/d/p287referentiekadervbtb.pdf
Agenda
1. Inleiding: wat is interne controle juist?2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA5. Cases / Voorbeelden
The IIA and INTOSAI Sign Agreement
August 14, 2007
The Institute of Internal Auditors and The Internation al Organization of SupremeAudit Institutions Sign Agreement
Global organizations enter working alliance
ALTAMONTE SPRINGS, Fla. USA - Officials from The Institute of Internal Auditors (IIA) have signed a Memorandum of Understanding (MOU) with The Professional StandardsCommittee (PSC) of the International Organization of Supreme Audit Institutions(INTOSAI). The MOU outlines plans for cooperation in a variety of areas including mutualsupport on strategic directives and sharing knowledge when developing professional practices frameworks.
"We are very pleased with this collaborative arrangement, for both The IIA and the internal audit profession. In particular, The IIA will draw on the wealth of experience thatINTOSAI has gathered in the field of government auditing and will apply this experience in our work," said IIA President Dave Richards
IIA: www.theiia.org (Internationale beroepsvereniging van interne auditors)Intosai: www.intosai.org (Internationale vereniging van rekenkamers)
“Autoriteiten” op het vlak van interne controle (naast COSO)
Slide 34PricewaterhouseCoopersSeptember 2007
Goede nederlandstalige bronnen – referentiekaders:
• NIVRA, handreiking interne beheersing (NL)
• Interne audit van de Vlaamse Gemeenschap, handreiking
• IBR, richtlijnen en boek, “een praktische kijk op administratieve organisatie en interne controle”, Standaard Uitgeverij, ISBN 90 341 9696 8
“Autoriteiten” op het vlak van interne controle (naast COSO)
Agenda
1. Inleiding: wat is interne controle juist?2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA
• Het “starten” met interne controle• Controlemaatregelen in administratieve en operationel e processen• Functiescheiding• IT Controles• Conclusie• ORCA - analyse
5. Cases / Voorbeelden
Slide 36PricewaterhouseCoopersSeptember 2007
Het “starten” met interne controle
Stappenplan uit te voeren op alle niveau’s van de organisatie
Per niveau/proces:
O - Objectieven? / Controleobjectieven?
R - Risico’s?
C - Controlemaatregelen?
A - Aligneren
ORCORC
Aligneren
N
N-1
N-2
….
Proc
esse
n…
.
ORCORC
ORCORC
ORCORC
ORCORC
ORCORC
ORCORC
ORCORC
ORCORC
ORCORC
AlignerenAligneren
Aligneren
Missie strategisch
operationeel
Slide 37PricewaterhouseCoopersSeptember 2007
Controledoelstellingen
Controlemaatregelen in administratieve en operationele processen
• Authorisatie: diegene die een transactie uitvoert is daartoe gemachtigd• Volledigheid: alle transacties/verwerkingen zijn geregistreerd• Tijdigheid: de administratieve transacties zijn tijdig• Juistheid: de transacties zijn correct geregistreerd• Echtheid: er zijn geen fictieve of dubbele transacties• Eigendomsrecht: de activa in de jaarrekening behoren de instelling toe• Cut off: de transactie is geregistreerd in de juiste periode• Waardering: transacties zijn voor juist bedrag, volgenswaarderingsregels geregistreerd
Adequaatheid van het systeem van interne controle: per controledoelstellingmoeten de gepaste controlemaatregelen in de processen ingebed zijn of omgekeerd: de controlemaatregel(en) moet(en) sluitend zijn in functie van de controledoelstelling
Slide 38PricewaterhouseCoopersSeptember 2007
Bijvoorbeeld: innen van heffingen
Controlemaatregelen in administratieve en operationele processen
Impact
Probability
Opbrengsten zijnminder dangeraamd
Controledoelstellingen ivm dit risico?
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
Slide 39PricewaterhouseCoopersSeptember 2007
Bijvoorbeeld:
Controlemaatregelen in administratieve en operationele processen
Controledoelstellingen ivm dit risico?
Oa. volledigheid, tijdigheid en juistheid van de ontvangsten
Controlemaatregelen?
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
Slide 40PricewaterhouseCoopersSeptember 2007
Aandachtspunten ivm functiescheiding
• functiescheiding moet permanent zijn (ook bij vervangingen)
• functiescheiding moet ondersteund worden door een adequaatprofielbeheer en aangepaste toegangscontrole tot/in de
ITsystemen
Functiescheiding
Slide 41PricewaterhouseCoopersSeptember 2007
IT controles
grijze zone:-computer controles en toepassingsspecifieke controles overlappenelkaar
trend:-meer computer controles en minder toepassingsspecifiekecontroles
-meer geautomatiseerde toepassingsspecifieke controles en minder manuele controles
TOEPASSING :
. Dossierbeheer
. Aankopen
. Personeelsbeheer
. Boekhouding
. Rapportering
IT :
. LOGISCHE BEVEILIGING
. FYSIEKE BEVEILIGING
. COMPUTER UITBATING
. ONTWIKKELING
. WIJZIGINGEN
Slide 42PricewaterhouseCoopersSeptember 2007
Interne controle in IT applicatie
InputEdit
Output
IT
Verwerk
BasisGegevens
Transactie Informatie
TransactieGegevens
Slide 43PricewaterhouseCoopersSeptember 2007
Conclusie: ORCA analyse van een proces
• map de processtappen (niet noodzakelijk flow chart van het volledigeproces), bijvoorbeeld: belastingen: heffen, innen, handhaven
• map de waardekringloop
• definieer de (controle) objectieven
• definieer de risico’s
• evalueer welke beheersmaatregelen adequaat zijn
• evalueer of ze ook effectief worden toegepast
• ga na of de controlemaatregelen gealligneerd zijn met de doelstellingen van het proces (kostprijs van de controle verantwoord? ongewenste neveneffectenvoor de doelgroep?)
Slide 44PricewaterhouseCoopersSeptember 2007
Conclusie - stappenplan uit te voeren op alle niveau’s van de organisatie
Per niveau/proces:
bijvoorbeeld
Transparantie, eerlijk omgaanmet partners, efficiënt en zuinigwerken
ORCORC
Aligneren
N
N-1
N-2
….
Proc
esse
n…
.
ORCORC
ORCORC
ORCORC
ORCORC
ORCORC
ORCORC
ORCORC
ORCORC
ORCORC
AlignerenAligneren
Aligneren
Missie strategisch
operationeel
Aankopen bij de meestvoordelige leverancier
Tijdig, juiste hoeveelhedenbeschikbaar hebben
Slide 45PricewaterhouseCoopersSeptember 2007
Voorbeeld: Aankoopproces
ORCA analyse
Behoeftedetecteren
Marktraadplegen
Bestelling Levering
Voorraadbeheer
Boekhouding
Slide 46PricewaterhouseCoopersSeptember 2007
Voorbeeld (niet exhaustief) van een O-R-C analyse voor eenaankoopproces
ORCA analyse
Agenda
1. Inleiding: wat is interne controle juist?2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA5. Cases / Voorbeelden
Slide 48PricewaterhouseCoopersSeptember 2007
Voorbeeld: aanwervingsprocedure personeel
ORCA analyse
Slide 49PricewaterhouseCoopersSeptember 2007
Voorbeeld selectieprocedure personeel
• Controledoelstellingen?
• Risico’s?
• Controlemaatregelen?
ORCA analyse
Data die nog moeten vastgelegd worden.
1. overlegvergadering met ICF en projectleiding P2 in januari (niet W VL)
2. opleiding controlemaatregelen voor leidinggevenden na 9/4/2007
3. werkvergadering functionele vereisten voor de elektronische opvolging van hetICS met ICF (week 10/3)
4. actiepunten controlemaatregelen overleg met ICF (week 19/3)
5. werkvergadering actieplan in functie van de agendering van het geïntegreerdactieplan op deputatie (voor eind mei)