590 likes | 713 Views
Netwerk Organisatiebeheer 15 mei 2008. Leidraad IC /OB Filosofie Praktische tips. Agenda. Interne controle / organisatiebeheersing Leidraad IC / OB Zelfevaluatie Maturiteitsinschatting Tips Vragen?. IC / OB – Wat?. Het kan het best omschreven worden als het proces dat door
E N D
Netwerk Organisatiebeheer15 mei 2008 Leidraad IC /OB Filosofie Praktische tips
Agenda • Interne controle / organisatiebeheersing • Leidraad IC / OB • Zelfevaluatie • Maturiteitsinschatting • Tips • Vragen?
IC / OB – Wat? Het kan het best omschreven worden als het proces dat door het management én het personeel ondernomen wordt om redelijke zekerheid te bekomen dat de doelstellingen van de organisatie gerealiseerd worden. Meer specifiek wordt het systeem IC/OB ontworpen om redelijke zekerheid te verschaffen in de volgende domeinen: • het bereiken van de haar opgelegde doelstellingen en de uitvoering en opvolging van beslissingen; • de naleving van wetten, decreten, besluiten, reglementeringen en procedures; • de nauwkeurigheid, juistheid, volledigheid, tijdigheid en bruikbaarheid van de financiële en beheersinformatie; • de efficiëntie van haar operaties en het efficiënt inzetten van haar middelen; • de bescherming van haar activa en de voorkoming van fraude.
IC / OC – samenvatting: Een goede organisatiebeheersing of interne controle komt erop neer dat: • men weet waar men naar toe wil (strategie en doelstellingen); • men weet of beseft wat de hinderpalen hierbij zijn (risico’s voor het bereiken van de strategie en doelstellingen); • men acties onderneemt om deze hinderpalen te beheersen (controle- of beheersmaatregelen)
Wie & Hoe? • Wie? • Verantwoordelijkheid van management • Maar zaak van iedereen • Hoe? • Niet iets nieuws dat er bovenop komt • Zit reeds (voor een stuk) ingebakken in dagelijkse werkzaamheden • Duiden en naar boven brengen
Leidraad IC / OB • “Product” van de werkgroep IC/OB Opdracht van de Vlaamse regering ! Inclusief de “controle-organen” • Interne controle en organisatiebeheersing worden als synoniem gebruikt • Structuur > 11 thema’s Thema’s staan niet los van mekaar
PLAN Belanghebbendenmanagement INTEGRITEIT Doelstellingen, proces- en risicomanagement DO ORG HRM ICT ACT Veranderingsmanagement CUL FIM FAM ICO Monitoringsystemen CHECK EFFICIENTIE 11 thema’s en hun samenhang
Raamwerken • Leidraad is opgebouwd rekening houdend met algemeen erkende raamwerken (COSO, ERM, INTOSAI) en de principes van deugdelijk overheidsbestuur. • Kwaliteitsverbetering • Zit in de leidraad verweven • Kwaliteitsmodellen hebben andere finaliteit dan leidraad maar er zijn toch veel gelijkenissen > vertaalmatrices met het CAF-model
Doel en filosofie • Per thema staan er controledoelstellingen geformuleerd. Dit zijn de elementen die aanwezig moeten zijn om de activiteiten of processen te beheersen. • Bij elke controledoelstelling staan er beheersmaatregelen geformuleerd. Deze beheersmaatregelen vormen geen checklist, moeten er niet steeds allemaal zijn. Anderzijds is het ook zo dat de opgesomde maatregelen voor sommige entiteiten onvoldoende zullen zijn. Er moet steeds gekeken worden naar de eigenheid van de organisatie.
Doel en filosofie (2) • PDCA-cyclus (managementcontrolcyclus) Belangrijk is PDCA (komt in elk thema terug) Plan: focus op doelstellingen (wat bereiken) en het tot stand komen van deze doelstellingen Do: uitbouw van de organisatie om de doelstellingen te bereiken Check: erover waken dat de activiteiten zo zijn ‘ontwikkeld’ om de doelstellingen te bereiken Act: bijsturen / aanpassen indien nodig
Doel en filosofie (3) • Documenteren • Documenteren is geen doel op zich • Is bedoeld als intern instrument, als hulpmiddel Bv. back-up, introduceren nieuwe mensen • Maturiteitsinschatting Opsomming van sterke punten en aandachts- punten De score op zich is minder belangrijk dan het denk- en discussieproces dat tot de score heeft geleid
Gedocumenteerd systeem van IC In één zin uitgedrukt betekent dit:de cyclus van risicomanagement uitvoeren en voldoende documenteren. Met andere woorden, binnen de organisatie: • de risico’s, die gekoppeld zijn aan de organisatiedoelstellingen, in kaart brengen (PLAN); • de bestaande beheersmaatregelen in kaart brengen (DO) en evalueren (CHECK); • een actieplan opstellen met de bijkomende beheersmaatregelen en dit actieplan uitvoeren (ACT).
Gedocumenteerd systeem van IC (2) Het documenteren van het systeem van IC/ OB op strategische niveau wil zeggen dat de organisatierisico's zijn gedefinieerd en hun beheersing wordt aangepakt in de werking van de organisatie. • De leidraad IC /OB is het instrument om te hanteren als risicoraamwerk. Hierbij fungeren de 11 thema’s als risicocategorieën en de subthema’s als risicotypes. • Hoe elk (sub)thema van de leidraad en elke doelstelling inzake organisatiebeheersing gerealiseerd wordt, moet duidelijk zijn en overeengekomen binnen de organisatie (op het managementniveau: op N niveau, maar dit kan ook op N-1 niveau, bv. bij grote afdelingen).
Gedocumenteerd systeem van IC (3) • De beheersmaatregelen bij elk thema moeten aantoonbaar zijn via beleidsdocumenten, verslagen, rapportages, boordtabellen, monitoring etc. • Dit wordt ondersteund door procesbeschrijvingen, procedures, werkwijzen of instructies.
Bespreking 11 thema’s Belangrijkste thema’s zijn de eerste 3: • Doelstellingen, proces- en risicomgt • Belanghebbendenmgt • Monitoring Voor de overige thema’s dient er steeds gekeken te worden naar de relevantie van het betrokken thema voor de organisatie
Doelstellingen, proces- en risicomgt • Doelstellingenproces Missie, visie, strategische en operationele doelstellingen • Procesmanagement Kern-, beheers- en ondersteunende processen Op hoog niveau (vs. detailniveau) • Kwaliteitsbeleid • Risicomanagement (! Procesmanagement en kwaliteitsbeleid zijn nieuwe subthema’s)
Thema 1 – praktisch (1) De doelstellingencascade wordt nagegaan; Heeft de organisatie een missie? Deze is in principe aanwezig want staat in het oprichtingsbesluit of oprichtingsdecreet Soms zijn er meerdere formuleringen van de missie in omgang > er dient dan duidelijkheid gecreërd te worden intern + extern wat de missie is
Thema 1 – praktisch (2) De doelstellingen van de organisatie zijn bepaald Op strategisch niveau > beheersovereenkomst of mgtovereenkomst Op operationeel niveau > ondernemingsplan / jaaractieplan Afstemming met beleid minister: beleidsnota en beleidsbrief Ook hier cascade, nl. doorvertaling tot op het niveau van de individuele jaardoelstellingen
Thema 1 – praktisch (3) Doelstellingen • De doelstellingen zijn SMART opgesteld • De doelstellingen zijn gekend / gecommuniceerd • De doelstellingen worden opgevolgd en zo nodig bijgestuurd (PDCA)
Procesmanagement • Sleutelprocessen zijn geïnventariseerd en gedocumenteerd (uitgetekend / uitgeschreven) • Processen zijn conform strategie, doelstellingen en verwachtingen • Per (sub)sleutelproces is er een proceseigenaar > verantwoordelijke, PDCA • In overeenstemming met reglementering • IC/OB: kritieke punten, functiescheiding, etc
Procesmanagement (2) • Efficiëntie van de processen • Verbetering van de processen (PDCA) • Toewijzing van middelen aan processen (financieel, personeel, andere) > cf. ontwerp ondernemingsplan
Kwaliteitsbeleid • Bewustzijn kwaliteit generieke principes BO VR dd. 1/9/2006 Cf. principes IKZ / TQM • Kwaliteit op alle niveaus (cascade) • Kwaliteitsbeleid is afgestemd op algemeen organisatiebeleid > continuïteit voorzien
Risicomanagement • Bewustzijn • Er is een systeem om de risico’s / bedreigingen te identificeren • De risico’s worden geëvalueerd en beheerst > beheersmaatregelen om risico’s te vermijden of te verminderen
Belanghebbendenmgt Wie? Externe belanghebbenden (itt CAF zitten de interne belanghebbenden bij HRM) • Participatie: identificatie en dialoog Weten wie de belanghebbenden zijn Informatie, verwachtingen en draagvlak creëren • Transparantie en terugkoppeling • Evaluatie en bijsturing
Belanghebbendenmgt - praktisch • Men weet wie de belanghebbenden zijn • Er zijn gesprekken / er is dialoog • De verwachtingen zijn gekend • De bekomen informatie wordt gebruikt of er is terugkoppeling over • Advies- en beheersorganen ! potentiële belangenconflicten
Monitoring Verzamelen van informatie zodat de resultaten periodiek getoetst kunnen worden aan de doelstellingen • Planning en implementatie van meet- en opvolgingssystemen • Rapportering • Evaluatie en bijsturing • Toezicht op derden (! Toezicht op derden enkel indien van toepassing)
Monitoring - praktisch • Visie en doelstellingen over meet- en opvolgingssysteem: men weet wat men wil weten, hoe en wanneer men gaat meten + voor wie men meet • Doelstellingen van de entiteit (beheersovereenkomst) + doelstellingen van afdelingen/diensten/cellen worden opgevolgd en ev. bijgestuurd Indien meerdere systemen dan moeten ze op elkaar afgestemd zijn
Monitoring – praktisch (2) • Resultaten worden verwerkt > rapporten • Organisatie heeft informatie die ze nodig heeft om organisatie bij te sturen en om verantwoording af te leggen • Informatie is betrouwbaar + is relevant • Evaluatie van PMS > voldoet het nog aan onze behoeften Toezicht op derden (entiteit is zelf belanghebbende) > waken op correcte uitvoering opdracht door derden (financiering, subsidiëring) + PDCA
Organisatiestructuur (1) • Wie doet wat (werkzaamheden)? • Vastleggen bevoegdheden en onderlinge betrekkingen • Communicatiekanalen ! Eigenheid (centraal/decentraal, omvang) • Organisatiestructuur • Planning en opzet v/d organisatiestructuur • Duidelijkheid en flexibiliteit
Organisatiestructuur (2) • Projectmanagement • Projectstandaarden • Fasen: • Voorbereidingsfase • Planningsfase • Implementatiefase • Controlefase • Afsluitingsfase
Human Resources Management (HRM) HRM-principes: Managementcode HRM-cyclus • HRM-beleid • HRM-instrumenten • Evaluatie en bijsturing v/h HRM-beleid en de -instrumenten
Organisatiecultuur • Organisatiecultuur • Integriteitsbeleid > Verfijning: Handreiking integriteitsbeleid • Cultuurbeleid • Cultuurversterkende instrumenten • Evaluatie en bijsturing van het cultuurbeleid
Informatie en communicatie Interne vs. externe informatie en communicatie Kwaliteitsvolle informatie (cf. dia 13) • Informatie- en communicatieplan • Communicatiestructuur • Kwaliteit van informatie • Opvolging en bijsturing
Financieel Mgt • Afstemming lange termijn financieel beheer op organisatiedoelstellingen • Korte termijn financieel beheer van de organisatie • Financiële rapportering • Financiële organisatie • Betrouwbaarheid v/d fin gegevens • Evaluatie en bijsturing > Verfijning: Financiële fiches
FacilityMgt • Facilitybeleid • Facility-organisatie • Beheren van middelen • Continuïteitsplanning • Evaluatie en bijsturing (! Relevantie: raamcontracten +dienstverlening Agentschap voor Facilitair Management)
Informatie- en communicatietechnologie ICT-charter en ICT-veiligheidsbeleid v/d VO • ICT-beleid • ICT-architectuur en –infrastructuur • ICT-organisatie • Beheren van middelen • Beveiliging • Continuïteitsplanning • Evaluatie en bijsturing (! Relevantie > Outsourcing)
Veranderingsmgt • Planfase • Implementatiefase Cf. projectmanagement ! Relevantie (zal meestal niet van toepassing zijn) Fundamentele wijziging > veranderingsmgt Geen fundamentele wijziging > projectmgt
Zelfevaluatie (ZE) • Samenstelling van het zelfevaluatieteam • Communicatie naar alle medewerkers Het is belangrijk dat het management van de organisatie kenbaar maakt dat zij achter deze oefening staat. • Bepalen van de scope van de ZE • Uitvoeren van de ZE-oefening (nulmeting) • Validatie resultaten door het management
Zelfevaluatieteam (1) • De verantwoordelijke voor de ZE / het management stelt een evaluatieteam samen. • Het is belangrijk dat het evaluatieteam representatief is samengesteld zodat het een brede ruime kijk heeft op de werking van de organisatie en de risico's en opportuniteiten op een bredere basis kan inschatten. • De leden moeten een duidelijk mandaat hebben.
Zelfevaluatieteam (2) • Het is aan te bevelen dat reeds tijdens de startvergadering van het zelfevaluatieteam een timing wordt afgesproken. Die timing legt vast wanneer het team zal samenkomen en met welke frequentie gerapporteerd wordt (+ aan wie). Enerzijds is het belangrijk dat de ZE op korte termijn wordt afgerond. De ZE is immers maar een momentopname op basis waarvan verbeteracties zullen worden geformuleerd om de IC / OB verder uit te bouwen. Anderzijds moet wel voldoende tijd in deze ZE worden geïnvesteerd. Een degelijke en onderbouwde nulmeting werpt in alle latere stappen haar vruchten af.
Hoe ZE uitvoeren? Invullen van de sterke punten en aandachtspunten rekening houdend met de controledoelstellingen • zelf gaan nadenken over de bestaande en ontbrekende beheersmaatregelen en de bestaande instrumenten kritisch bekijken; • de effectiviteit / adequaatheid van de bestaande beheersmaatregelen evalueren; • bij het invullen van de fiche per thema steeds volgende vragen in het achterhoofd houden: • sterke punten (= inventarisatie van beheersmaatregelen): welke beheersmaatregelen hebben we en wat is hun finaliteit (cf. controledoelstellingen per thema)? • aandachtspunten (= ontbrekende beheersmaatregelen + evaluatie van effectiviteit / adequaatheid van beheersmaatregelen): wat is de oorzaak en het gevolg van ontbrekende beheersmaatregelen of slecht functionerende maatregelen?
Hoe scoren? Om tot een valide maturiteitsinschatting te komen, moet rekening gehouden worden met volgende aspecten: • Elk thema van de leidraad wordt als geheel beoordeeld op basis van de feitelijke stand van zaken van de managementcontrolecyclus (PDCA) binnen de organisatie het is de bedoeling om een globaal beeld te schetsen van de reële toestand per thema aan de hand van een cijfer.
Hoe scoren? (2) Elke inschatting van de maturiteit gaat gepaard met een portie ‘gezond verstand’, een oprechte (zelf)kritische houding en een flinke dosis ‘professioneel beoordelings- vermogen’. De logica achter het hele verhaal is belangrijk (rode draad). Het mag niet louter een opsomming zijn van alles wat de organisatie gedaan heeft en bezig is te doen.
Hoe scoren? (3) Er moet afstemming zijn tussen de thema’s, de beschrij- vingen tussen de thema’s passen als een puzzel in elkaar, bv: • de bevindingen in de ondersteunende thema’s (organisatiestructuur, HRM, organisatiecultuur, informatie en communicatie, financieel & facility management, ICT) dragen bij tot de realisatie van het eerste thema, doelstellingen, proces- en risicomgt. • De monitoringinstrumenten uit het thema staan ten dienste van de opvolging van de realisatie van de organisatiedoelstellingen. • De geformuleerde doelstellingen houden rekening met de verschillende belanghebbenden. • …
Hoe scoren? (4) Wanneer meerdere mensen deel uitmaken van het ZE-team, is het van belang om tot een consensus te komen bij het maken van de maturiteits- inschatting. • Het is de bedoeling dat iedere beoordelaar zich in het eindresultaat kan vinden. De deelnemers moeten in staat zijn goed naar elkaar te luisteren en elkaars standpunt te begrijpen. • Via de bekomen informatie komt een gemeenschappelijke maturiteitsinschatting tot stand. Het komen tot een maturiteits-inschatting is dus het resultaat van een proces binnen het ZE-team.
Hoe scoren? (5) • De definities van het maturiteitsmodel zijn richtinggevend, het mag niet de uitkomst zijn van louter de berekening van een of ander wiskundig gemiddelde. De rol van de procesbegeleider is in deze fase van de oefening heel belangrijk.
Maturiteitsscore 3 Gedefinieerd / gedocumenteerd systeem Beheersmaatregelen zijn aanwezig. Zij zijn gestandaardiseerd, gedocumenteerd, gecommuniceerd en worden toegepast Beheersmaatregelen zijn aanwezig en zijn beoordeeld op hun effectiviteit en adequaatheid Moet dan eerst weten welke risico’s ze afdekken. (Indien risico’s niet tijdens de ZE-oefening in kaart gebracht worden dan denken in oorzaak – gevolg)