AGENDA Voorstelling AudiO Interne controle en risicobeheer in een dynamisch perspectief Vragen en antwoorden
OCMW’s van de Centrumsteden… OCMW’s organisaties met sociale doelstellingen OCMW’s professionele organisaties bv.1700 werknemers in Gent OCMW’s veel productielijnen - diensten Leefloon, klusdiensten, rusthuizen, geconsolideerde boekhoudingen, gediversifieerde personeelsstatuten, veel sites, dienstencheques, stookoliesubsidie, art. 60 => Moderne organisaties - bedrijven => Modern management Snelle evolutie(s) met impact op => werkwijzen, management, systemen => mensen (competenties, flexibiliteit, omkadering…) => risico’s, risicobeheersing, management(systemen) 2
Interne audit, wat is het? Het management en de organisatie steunen in zijn opdracht als onafhankelijke dienst en vanuit een specifieke expertise nl. risicobeheer, interne controle & organisatie-ontwikkeling => risico’s detecteren en beperken, idem opportuniteiten => de juiste aanbeveling op de juiste manier aangebracht => de organisatiecultuur en de praktijk versterken => zo tot een versterkte werking komen veilig dynamisch efficiënt + lerend vermogen effectief deontologisch correct 3
AudiO, de interne audit van de OCMW’s van de centrumsteden Samenwerkingsverband (tussen 12 OCMW’s) Nood aan ‘onafhankelijke’ doorlichting en advies - Specifieke compentie opbouwen (moeilijk per OCMW) - Goedkoper dan grote bureau’s - Kennis in huis houden Administratief gehuisvest binnen de VVSG 3 personen & vacature De 12 leden betalen voor de audits Gemeenschappelijke en specifieke audits Audits en vormingen Professionele normen o.a. confidentialiteit 4
Wat is een risico? Definitie van risico Risico is een bedreiging of een obstakel voor het bereiken van een doel 5
Waarom al deze controles? Risico’s Ethiek Onaanvaardbare risico’s Slechte informatie => slechte beslissingen Verliezen Doelgericht werk Fraude Late reacties Verkeerd begrip Diefstal Corruptie Vervalsing van balans, resultaten, reserves Niet efficiënt werk Waarom al deze controles?
Welke risico’s? Wettelijk risico Operationele risico’s Financiële risico’s Kwaliteit diensten Reputatierisico Frauderisico Risico strategisch doel niet gerealiseerd (dienstverlening, efficiëntie…) 7
Wat is een risico? Bereiken van een doel… => Zijn de doelen bekend? => Wordt er naartoe gewerkt? => Iedereen kent de doelen? => Boordtabellen voor de opvolging, rapportering? => Bijsturing => Strategische doelen (MJP), jaarplannen, acties? Risico: meer dan de kans op verkeerde boeking van financiêle audit, tot operationele audit, organisatieaudit, strategische audit, duurzaamheidsaudit … 8
Risico’s beperk je door voldoende interne controle in te bouwen. Dus, bepaal wat voor de secretaris is, wat voor de ontvanger is en die zijn dan verantwoordelijk. Probleem opgelost. Einde studiedag. Dank u wel en tot volgende keer. 9
Risico’s beperk je door voldoende interne controle in te bouwen. Probleem opgelost. Einde studiedag. Of niet? Hoe gaan ze deze verantwoordelijkheid opnemen? Welke instrumenten, welke rapportering… Kunnen zij twee dat allemaal (alleen)? Dezelfde oplossing voor alle organisaties? Dezelfde oplossing vandaag en morgen? Wat met grensgebieden, met nieuwe gebieden, vernieuwde gebieden? Wat met specifieke expertise van ontvanger of secretaris? 10
Het interne controle systeem en wie is er verantwoordelijk voor? Interne controle is een proces dat op alle niveau’s van de organisatie gevoerd wordt: door de Raad en/of bijzonder comité(s), het management, (al) het personeel Vergelijk de kost van de risicobeheersingsmaatregel tot de kost van het risico (impact X geraamde frequentie) => Bewust risicobeheer 11
Interne Controle definitie is een proces dat uitgevoerd wordt door de directie (Raad), het management en het ander personeel, zodat er redelijke zekerheid is dat de doelstellingen bereikt worden In de volgende domeinen: Effectiviteit en efficienctie van de operaties Betrouwbaarheid van de financiele rapportering Het voldoen aan de wetten en reglementen die van toepassing zijn.
De (geraamde) controlekost de(geraamde) risicokost Interne Controle Elementen in de definitie van interne controle Interne controle is een proces. Het is een middel, geen doel op zich. Interne controle gebeurt door mensen. Het is niet enkel een kwestie van beleidsnota’s, procedure(-boeken) en formulieren, maar van mensen op alle niveau’s van de organisatie. Van interne controle mag worden verwacht dat ze slechts een redelijke zekerheid biedt, geen absolute zekerheid. De (geraamde) controlekost de(geraamde) risicokost Interne controle is gericht op het bereiken van doelstellingen in één of meerdere van de afzonderlijke maar overlappende bovenstaande categorieën.
COSO, een interessant model van toepassing op elke organisatie Bottom Up Top down Procedure Proces Formeel Informeel Manager Leider De 5 elementen vormen samen een geïntegreerd systeem De controle van vandaag… is morgen misschien al niet meer effectief! Waarom? 14
Interne Controle De doelstellingen van het interne controle systeem zijn: Operationele doelen Om te garanderen dat de activa en andere middelen van de organisatie efficiënt gebruikt worden en beschermd zijn tegen verliezen; Informatie doelen Om de aanmaak van betrouwbare en tijdige rapportering toe te laten, die nodig zijn voor de beslissingsprocessen in de organisatie (Raad, directiecomité, management, staf); Compliance doelen Om te verzekeren dat de volledige activiteit gevoerd wordt conform de van toepassing zijnde wetgeving en regelgeving, vereisten van toezichthoudende overheden en interne beleidslijnen en procedures.
Interne Controle Controle omgeving Risico inschatting Interne controle bestaat uit vijf verbonden componenten: Controle omgeving Risico inschatting Controle activiteiten Informatie en communicatie Monitoring Ze vormen samen een geintegreerd systeem
Interne Controle 1 De controle omgeving Elementen van de controle omgeving zijn : De integriteit, ethische waarden en competentie van de werknemers De filosofie van het management en de manier waarop het handelt/optreedt Hoe het management bevoegdheid en verantwoordelijkheid toewijst, de trainingspolitiek, job beschrijvingen… De aandacht en sturing van de Raad en het Bureau en/of van het auditcomité.
Interne Controle 2 De risico inschatting Waar zitten de risico’s in mijn organisatie? Risicobeoordeling is de identificatie en analyse van de relevante risico's voor de verwezenlijking van de doelstellingen op alle niveau’s van de organisatie. => Als je de risico’s niet (goed) kent, dan kan je ze niet goed beheren!
Interne Controle 3. Controle activiteiten en types controles - zijn het beleid en de procedures die helpen zeker te zijn dat de management instructies uitgevoerd worden. die verzekeren dat de nodige acties worden getroffen om de risico’s aan te pakken zodat de doelen bereikt worden - gebeuren op alle niveau’s en in alle functies - houden een reeks activiteiten in zoals authorisaties, verificaties, reconciliaties, functiescheiding…
Interne Controle 3 Controle activiteiten en types controles Er bestaan verschillendel types controles: Preventieve controles gebeuren om te vermijden dat ongewenste zaken zouden gebeuren Detectieve controles gebeuren om ongewenste zaken, die reeds zijn gebeurd, op te sporen Directieve controles gebeuren om een gewenst event te realiseren (corrigeren van problemen).
Interne Controle 3. Controle activiteiten en types controles 1. Preventieve controles - Functiescheiding . Scheiden van bevoegdheden . Registratie en bewaarfuncties - Competente mensen - Noodplannen - Paswoorden
Interne Controle 3. Controle activiteiten en types controles 1. Preventieve controles - Waarschijnlijkheidscontroles bij input - Fysische bewaring : sloten, camera, safe - Verplichte templates bij gebruik - Authorisatie/bekrachtiging met afgelijnde bevoegdheden per persoon of instrument
Interne Controle 3. Controle activiteiten en types controles 2. Detectieve controls - Periodieke reconciliaties - Fysisch tellen - Audit spoor - Uitzonderingsrapporten - Selecties van facturen (andere) met zelfde bedrag/leverancier (dubbele betaling) - Automatische branddetectie - Inspecties
Interne Controle 3. Controle activiteiten en types controles 3. Directieve controles - Geschreven procedures - Ethische code, gedragscode - Beleidsnota’s, statements - Stimulerende vergoedingssystemen (bv. X dagen geen arbeidsongeval) - Performantie standaarden
Interne Controle 4. Risico, risico-inschatting, risicomanagement Definitie van risico Risico is een bedreiging of een obstakel voor het bereiken van een doel Effect en oorzaak (soms interessant om op te splitsen) - effect : ultieme consequentie wanneer het risico voorkomt - oorzaak: reden waarom het risico zich realiseert
Interne Controle 4. Risico, risico-inschatting, risicomanagement RISICO CATEGORIEËN Verschillende doelen (en typologie) = verschillende risico’s (en typologieën)
Interne Controle 4. Risico, risico-inschatting, risicomanagement Reputatierisico Frauderisico Wettelijk risico Operationeel risico Financiële risico’s (Bv. liquiditeitsrisico)
Interne Controle 4. Risico, risico-inschatting, risicomanagement Risico’s - Interne en externe risico’s - Doelen / risico’s verbonden aan verschillende niveau’s - Risico inschatting is het identificeren en analyseren van relevante risico’s bij het realiseren van de doelstellingen - Speciale risico’s verbonden met veranderingen in de economie, bevolking, industrie, regelgeving
Interne Controle 4. Risico, risico-inschatting, risicomanagement - Dekt alle types risico’s, meetbare risico’s en niet-meetbare risico’s (probeer te kwantificeren) - Betreft elk niveau van de organisatie dat interne en externe risicofactoren ervaart. - Efficiency van de management controle is een onderdeel van de risico-inschatting van de organisatie. - Interne audit maakt ook een onafhankelijke beoordeling van de risico’s.
Interne Controle 4. Risico, risico-inschatting, risicomanagement Alternatieven voor risico’s - Minimaliseer de risico’s door het invoeren van controles = reduceren tot het residuële risico = niet 100 % (geen risico, geen activiteiten) - Neem het risico - Neem een verzekering - Stop de activiteit => wees bewust en manage risico’s
Interne Controle 5. Informatie en communicatie Formeel en informeel Pertinente informatie in een vorm en tijdsconcept dat de mensen toelaat hun verantwoordelijkheid op te nemen. Informatiesystemen produceren rapporten, die informatie bevatten op operationeel, financieel en compliance vlak. Gaat naar boven en naar beneden.
Interne Controle 5. Informatie en communicatie Het personeel moet de eigen rol begrijpen in het controlesysteem Manier van communiceren belangrijke informatie moet naar boven gaan Communicatie ook naar externe partners, zoals cliënten, overheden, gemeenschap
Interne Controle 6. Monitoring - Monitoring gebeurt bovenaan in de organisatie. - Een proces dat de kwaliteit van de performantie van het systeem over de tijd heen in kaart brengt. - Gebeurt door doorlopende activiteiten, specifieke evaluaties of een combinatie van de twee. - Houdt regelmatig werk in voor management door toezichtsactiviteiten.
Interne Controle 7. Verantwoordelijkheden Interne controle is een proces dat op alle niveau’s van de organisatie gevoerd wordt De Raad (Comité’s) De secretaris, de ontvanger Het management Al het personeel Zelfs bij leveranciers?
Interne Controle 7. Verantwoordelijkheden Wat? Wie? Eerste niveau: + Proceseigenaar: + Management/staff Tweede niveau: +Interne audit Uiteindelijke verantwoordelijkheid: + Wat zegt het decreet? Kan één persoon het geheel opvangen, kunnen twee personen het? Ze kunnen wel een geheel uitbouwen van voldoende interne controlebewustzijn en maatregelen, waarin iedereen betrokken wordt. => een dynamische organisatie
Interne Controle De secretaris of de ontvanger? In het volgende deel wordt concreter ingegaan op de taakverdeling tussen secretaris en ontvanger. Weet dat zij elk een belangrijke bijdrage hebben in de uitbouw van de interne controle. De enige weg is om deze samen op te nemen, elk vanuit zijn eindverantwoordelijkheid én met iedereen in de organisatie.
Interne Controle Mythes en realiteit Hierna volgen enkele mythes. De realiteit is vaak meer ontnuchterend en niet zo eenvoudig. We leven in de realiteit en dienen op basis hiervan te handelen. Nood aan goede afspraken en samenwerking tussen secretaris en ontvanger vormen de basis.
Interne Controle 8. Limieten en mythes kan het succes van een organisatie garanderen en absolute betrouwbaarheid verschaffen over de financiële rapportering van een organisatie of over het voldoen aan reglementaire verplichtingen
Interne Controle 8. Limieten en mythes Mythe 1 Interne controle kan het succes van een organisatie garanderen en absolute betrouwbaarheid verschaffen over de financiële rapportering van een organisatie of over het voldoen aan reglementaire verplichtingen + Effectieve interne controle kan alleen helpen om de doelstellingen te bereiken. Het kan van een slechte manager geen goede maken. + Een interne controlesysteem, eender hoe goed uitgedacht en uitgebouwd, kan enkel redelijke zekerheid verschaffen.
Interne Controle 8. Limieten en mythes Mythe 2 interne controle is een substituut voor management.
Interne Controle 8. Limieten en mythes Mythe 2 interne controle is een substituut voor management. + Interne controle is geïntegreerd in het bedrijfsmanagement proces van planning, uitvoering en monitoring, + Het is een instrument dat door het management gebruikt wordt.
Interne Controle 8. Limieten en mythes Mythe 3: interne controle kan een organisatie beschermen tegen fouten in beslissingsprocessen, collusie van twee of meer mensen en de mogelijkheid voor het management om over de systemen te stappen.
Interne Controle 8. Limieten en mythes Mythe 3: interne controle kan een organisatie beschermen tegen fouten in beslissingsprocessen, collusie van twee of meer mensen en de mogelijkheid voor het management om over de systemen te stappen. + De kans op voorkomen van zo’n zaken kan beperkt worden, maar er zijn beperkingen inherent aan elk interne controle systeem.
Interne Controle 8. Limieten en mythes Interne controle: kosten - Een risicoanalyse uitvoeren en controles uitbouwen - Werklast om conform de regels te werken - Controles vereisen documentatie - Autorisaties en opvolging op verschillende niveau’s - Soms kan interne controle in conflict komen met operationele doelen
Interne Controle 8. Limieten en mythes Control- Controle Engels Nederlands Interne controle: opbrengsten - Bijdrage aan de controle-doelstelling: operationele doelen, efficientie, compliance… verhogen de ethische standaarden & het goed gevoel… Moeilijk om in te schatten (gegevens bij ongevallen, imago, fraude…) Wees bewust van het kosteneffect maar ook van de kost van mogelijke verliezen door een gebrek aan, of onvoldoende kontrole. Oordeel, zijn het belangrijke risico’s?