Interne Audit van de Vlaamse Administratie Risicomanagement Mark Vandersmissen Interne Audit van de Vlaamse Administratie Mark: 1. inleiding & 2. uitgangspunten Steve: 3. Proces Risicomanagement & 4. Community-building

Goed risicomanagement …hoort bij ondernemen …is deel van de doelstellingencyclus …integreert bestaande of lopende acties …is afgestemd op de behoeften van een organisatie …betrekt zoveel mogelijk mensen …is niet statisch of bureaucratisch …is een bouwsteen voor auditoren …helpt te verbeteren

Risicomanagement en management Risicomanagement is bewust management Bij het bepalen van de strategie ook rekening houden met risico’s hierbij Vb. SWOT en afleiden organisatiedoelstellingen Bij verdere doorvertaling van de strategie ook telkens de risico’s meenemen Moet helpen bij overwegingen hoe de doelstellingen geconcretiseerd worden (procesverloop, verwerving middelen,…) Is onderdeel van de bedrijfsstrategie: Welke risico’s worden genomen – risicoappetijt Strategie van aanvaarden/vermijden/voorkomen Risico’s nemen hoort bij ondernemen !!!

Geïntegreerd risicomanagement binnen de Vlaamse overheid Top 5-10 belangrijkste organisatierisico’s Strategische organisatiedoelstellingen SD X Strategisch risicoraamwerk Operationele organisatiedoelstellingen OD X Belangrijkste risico’s per operationele doelstelling Operationeel risicoraamwerk Belangrijkste risico’s per proces/project Projectaanpak IAVA 2013-2014 Processen en projecten of afdelingen Welzijn/GDPB Kernproces 1 Kernproces 2 Kernproces 3 Kernproces 4 Project A Project B Sturende en managementprocesssen Ondersteunende processen informatieveiligheid BPM/BPR Procesmanagement -optimalisatie. BPM/BPR Procesmanagement -optimalisatie. BPM/BPR Procesmanagement -optimalisatie. BPM/BPR Procesmanagement -optimalisatie. BCM Was een nadrukkelijke vraag vanuit de groepen Figuur is niet af, pretendeert niet volledig te zijn. Ook in gesprek met Bestuurszaken ikv (BCM, proceshuis/procesmgt/kompas, integriteit, preventie,…);later met FB (SOFI-processen, prestatiebegroting,…) Bedoeling van deze figuur/3 boodschappen die we willen meegeven: 1.Geïntegreerd karakter => duiden van de samenhang. gaat om benutten wat er is, in beeld hebben wat blinde vlekken zijn, de uitrol die nog nodig is. Samenhang betreft: BCM Informatieveiligheid: cf. initiatief MOW Welzijn: RA inzake preventie/bescherming op het werk KOMPAS: opdeling typologie van processen sturende/managementprocessen/kernprocessen Ook de link tussen de niveaus. iedereen is min of meer bezig met de uitbouw hiervan. Focus op kernopdrachten is er nu meer, kwam minder aan bod in leidraad. Maar mag dus niet als losstaand van de rest benaderd worden 2. Met deze figuur beeld geven waar uw organisatie in meerjarenperspectief naar toe moet. De afdekking door RM kan best gradueel opgebouwd worden. Beeld dat zich ontrolt zou u voor uw organisatie moeten kunnen maken. 3. No one best way. Elk entiteit heeft eigen geschiedenis, context, uitdagingen. Kan wel veel van elkaar leren (kennisdelingsaspect). Tips voor de entiteiten: Integreer zoveel mogelijk reeds uitgevoerde oefeningen/maak gebruik van bestaande initiatieven/zet u samen met eventueel andere betrokkenen die bezig zijn met andere initiatieven inzake RM Integreer RM in bestaand/voorzien traject Vertrek vanuit de doelstellingencascade om de risico’s in kaart te brengen die de realisatie van de doelstellingen bedreigen Probeer zelf het risicomanagementverhaal te kaderen in deze figuur om het totaalbeeld van de organisatie te zien Specifiek m.b.t. de gekozen scope: Maak gebruik van aanwezige procesmaps (die in principe ook gebruikt zouden moeten worden voor andere initiatieven) Procesmapping is nuttig voor rapportering risico’s nadien Indien niet aanwezig: denken in termen kernopdrachten, doelstellingen, organisatieonderdelen,… is ook mogelijk Horizontaal: initiatieven die al bestaan, waar entiteiten invulling aan geven. Dekken elk bepaalde risico’s binnen kernopdrachten of processen af. Organisatiebeheersing: hier (wat betreft procesniveau) weergegeven in laatste 2 verticale blokken. Integriteit …. Risico-analyse kernproces 1 Zelf- evaluatie IC/OB

Risicomanagement is afgestemd op de behoeften van een organisatie Risicomanagement zorgt voor maatwerk: wat heb ik nodig Organisatiebeheersing moet afgestemd zijn op de behoeften, opdracht en processen organisatie Zorgt voor de juiste prioriteitenstelling Gebruik risicoraamwerken als inspiratiebron Algemeen raamwerk organisatieniveau: leidraad organisatiebeheersing Generieke raamwerken voor generieke processen: o.a. fiches financiële processen Andere vb. integriteit Gebruike algemene beheersdoelstellingen voor volledigheid (efficiëntie, tijdigheid, betrouwbaarheid,…)

Ruime betrokkenheid voor goede resultaten Verschillende niveaus (strategisch – operationeel – taakgebonden) Identificatie op juiste niveau Beheer op de juiste niveaus Ruime betrokkenheid geeft ruime input vanuit diverse standpunten Voorbeeld: aanpak TVL

Wat is het niet… …of mag het niet worden Leiden tot bureaucratie of verlamming – voor ieder risico een massa aan beheersmaatregelen uitwerken Altijd K/B-oefening Een antwoord bieden op ieder apocalyptische risico Verplicht nummertje om auditoren te sussen Is in de eerste plaats een instrument voor het management van een organisatie Stof vergaren omgeving en verwachtingen wijzigen – risico’s ook

Risicomanagement helpt verbeteren Kritisch bekijken van de processen i.f.v. doelgerichtheid van de processen i.f.v. doelmatigheid van de beheersmaatregelen Oog hebben voor opportiniteiten Versterken van de verantwoordingsrelatie – weten waar je mee bezig bent

Risicomanagement en audit Risicomanagement is de vertrekbasis voor single audit Audit- en controleactoren stemmen planning en werkzaamheden af o.b.v. resultaten risicomanagement Goed risicomanagement Zorgt voor juiste auditkeuzes/prioriteiten Zorgt voor business alignment met audit indien risicomanagement uitgevoerd of gevalideerd door management Meer gedragenheid van auditfunctie en aanbevelingen ! Partnerrol invullen