PwC

Vlaamse provinciesOpleiding interne controleOktober 2007

Doelstellingen van de opleiding

1. Inzicht krijgen in het begrip interne controle (beheersing van processen)2. Inzicht krijgen in het opzetten van een intern controle systeem3. In staat zijn om het eigen systeem van interne controle te beoordelen4. In staat zijn verbeteringen aan te brengen aan het systeem van interne controle

Agenda

1. Inleiding: wat is interne controle juist?2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA5. Cases / Voorbeelden

Agenda

1. Inleiding: wat is interne controle juist? Definities Basisprincipes De 5 componenten van interne controle

2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA5. Cases / Voorbeelden

Interne controle moet bijdragen tot het bereiken van de doelstellingen van deorganisatie

Publieke sector: rechtszekerheid, rechtsgelijkheid en rechtmatigheid

+ effectiviteit, efficintie en spaarzaamheid (economy economischgebruik), ethiek

Wat is Interne Controle (IC)

Slide 6PricewaterhouseCoopersSeptember 2007

Het provinciedecreet

In art. 95,96 en 97 van het decreet wordt aangegeven dat de provincies belast zijn met interne controle van hun activiteiten.

... De griffier stelt het systeem van interne controle vast en rapporteert hierover jaarlijks aan de deputatie en de provincieraad

Dit gegeven is een element van behoorlijk bestuur (goodgovernance) en is niet nieuw in de internationale publieke sector....

Slide 7PricewaterhouseCoopersSeptember 2007

Interne controle volgens het provinciedecreet

Provincie Oost-Vlaanderen

het bereiken van de beoogdedoelstellingen, het naleven van de regelgeving de beschikbaarheid van betrouwbare

financile en beheersinformatie het efficint en economisch gebruik van

middelen het beschermen van de activa het voorkomen van fraude

Interne controle is een geheel van maatregelen en procedures om eenredelijke zekerheid te verschaffenover:

Definitie Interne Controle

Interne controle volgens COSOInterne controle is een door de leiding tot stand gebracht proces om een redelijkezekerheid te verschaffen omtrent de realisatievan de volgende categorien van doelstellingen:

effectiviteit en efficintie van bedrijfshandelingen;betrouwbaarheid van financileverslaggeving;naleving van toepasselijke rechtsregels(wetten en voorschriften).vrijwaring van activa tegen ongeoorloofdgebruik en/of ongeoorloofde transacties

Interne controle volgensprovinciedecreet (VL)Interne controle is een geheel van maatregelen en procedures om eenredelijke zekerheid te verschaffen over:

het bereiken van de beoogdedoelstellingen, het naleven van de regelgeving de beschikbaarheid van betrouwbarefinancile en beheersinformatie het efficint en economisch gebruikvan middelen het beschermen van de activa het voorkomen van fraude

Algemene raamwerken: COSO (USA)COCO (CANADA)Het Cadbury rapport (UK)...

Specifiek IT-raamwerk:CobiT

Committee of Sponsoring Organizations (COSO) of the Treadway Commission -1992

Slide 9PricewaterhouseCoopersSeptember 2007

1. Interne controle is de zaak van iedereen in de organisatie (nietenkel van de griffier)

2. Interne controle is een continu proces (dwz. veranderend) -> Risicos veranderen, controles dus ook

3. IC geeft redelijke maar geen absolute zekerheid

4. Controles kosten geld, dus moeten afgewogen worden tov. de risicos... Compenserende controles zijn mogelijk

5. Interne controlemaatregelen bestaan enkel om risicos af tedekken en zijn geen doel op zich

Basisprincipes van interne controle

Slide 10PricewaterhouseCoopersSeptember 2007

Basisprincipes interne controle

1. Interne controle is de zaak van iedereen in de organisatie

het management is ultiem verantwoordelijk voor de goede werking van het intern controlesysteem maar elkemedewerker is medeverantwoordelijk voor de optimale werking ervan op welkniveau van de organisatie hij of zij zich ook bevindt

=> dit veronderstelt eenattitude van verantwoordelijkheidszin, risicoalertheid en pro-actiefhandelen

2. Interne controle is een continu proces

IC is geen gebeurtenis of een nmalige activiteit, maar een geheel van acties en activiteiten die ingebedzijn in de dagelijkse werking van de instelling

COSO Kubus

Traditionele visie

Nieuwe visie

Slide 11PricewaterhouseCoopersSeptember 2007

Beperkingen van elk intern controle systeem

Beoordelingsfouten

Onzorgvuldigheid

Samenspanning

Overreding/Ingrijpen door het management

Wijzigende omgeving of organisatie

Kosten/Baten

Basisprincipes interne controle

3. Redelijke zekerheid

Wat is jullie rol bij het uitrollen van een IC systeem

Hun belangrijkste taken zijn :

Bestaande informatie (huishoudelijk reglement, procedures, deontologische code, procesbeschrijvingen enz) opzoeken en beschikbaar stellen

Binnen de organisatie de nodige praktische afspraken maken vb. voor de plaatsbezoeken, opleidingen en workshops (overleg met leidinggevenden, uitsturen uitnodigingen, reserveren zalen, ...)

Het stuurgroeplid ondersteunen door de deliverables kritisch door te nemen, het project actief op te volgen

Orchestreren van de control self assessment van de controleomgeving (mee bepalen van de representatieve steekproef van medewerkers, uitsturen van de vragenlijsten, deelnemen aan de workshop,...)

Opvolgen van de interne communicatie ivm het project binnen het bestuur Deelname aan de riskmappingworkshops (1 generieke workshop en een specifieke voor

zijn/haar bestuur) Actief meewerken aan de uitwerking van deliverables (vb. kritisch nalezen van het

handboek, aanbrengen van beste praktijken uit het bestuur,...) Samen met de trekkers een eigen opleidingsstrategie ontwerpen voor het bestuur die als

input kan dienen voor het actieplan per provincie

De interne controlefacilitatoren hebben een ondersteunende rol en faciliteren (dwz. ondersteunen, sensibiliseren en fungeren als klankbord voor iedereen binnen de organisatie die werk moet maken van Interne controle (re)design binnen zijn/haar processen). Zij worden opgeleid en gecoacht in hun rol door PwC.

Slide 13PricewaterhouseCoopersSeptember 2007

De componenten van interne controle

5 componenten

Monitoring

Informatie en communicatie

Controleactiviteiten

Risico inschatting

Controleomgeving

Slide 14PricewaterhouseCoopersSeptember 2007

De componenten van interne controle

Controleomgeving

Integriteit en zakelijke ethiek

Deskundigheid van de medewerkers

Toneat the top: voorbeeldfunctie

Filosofie van het management

Stijl van leidinggeven

Sturing

Organisatiestructuur

Verantwoordelijkheden

Delegatie

HR management

De controleomgeving bepaalt de cultuur binnen de organisatie en benvloedt de bewustheid van het personeel voor beheersing

Slide 15PricewaterhouseCoopersSeptember 2007

De componenten van interne controle

Controleomgeving binnen het project

1. Samen met interne controlefacilitatoren de scope bep alen (subculturen -populatie)

2. Self assessment begeleiden

3. Resultaten rapporteren

4. Workshop met leidinggevenden voor de definitie van actiepunten

5. Opnemen actiepunten in het actieplan per provincie

Slide 16PricewaterhouseCoopersSeptember 2007

Taken ICF :

Workshop Controleomgeving self assessment organisatie&voorbereiding bespreking vragenlijsten: maandag 15 oktober namiddag

Opvolgen antwoorden controleomgeving self assessment (ev. rappels sturen): 7 en 8 november

Doornemen analyserapport controleomgeving self assessment van de provincie tussen 21 november en 27 november

Workshop actiepunten controleomgeving met leidinggevenden naaraanleiding van het analyserapport controleomgeving.

Bespreking actiepunten controleomgeving per provincie

Slide 17PricewaterhouseCoopersSeptember 2007

De componenten van interne controle

Risico-inschatting

Identificeer wijzigende factoren die

nieuwe risicos teweeg brengen

strategische risicos

politieke risicos

natuurlijke risicos

operationele risicos

financile risicos

Risicos permanent in kaart brengen (risico-identificatie) en de mogelijke impact ervan op de doelstellingen bepalen (risico-inschatting)

Risicos zijn externe en interne factoren die het bereiken van de doelstellingen van een

organisatie kunnen bedreigen

reputatie

bedreiging

non conformiteit

veranderingen

misbruik

Wat zijn risicos?

Slide 19PricewaterhouseCoopersSeptember 2007

Toprisicos: analyse van recente organisatiefraudes

diefstal van informatie

fraude met jaarrekeningen

belangenvermenging en corruptie

parallelle circuits

diefstal en heling van goederen

onkostenvervalsing

witwassen

BTW-carrousels

risk based interne controle

Low Medium High

Low

Medium

High

Impact

Probability

De risicomap

Hoe? via een adequaat en effectiefsysteem van interne controle

Risico = Probabiliteit x Impact

Typische categorisatie: Laag - Middel - Hoogof andere meer kwantitatieve of kwalitatieve modellen

Slide 21PricewaterhouseCoopersSeptember 2007

De volledige risk management cyclus

Communicatie &

Rapportering

Risico Identificatie

Risico Evaluatie

Vermijden

Overdragen

Verminderen

Aanvaarden

BrutoRisico

NettoRisico

Beheersmaatregelen

Output van de

Risk Management Cyclus

Escalatie / Beslissing

Risk Management Raamwerk

DoelstellingenStrategische en

operationele planning

risk based interne controle

Slide 22PricewaterhouseCoopersSeptember 2007

De componenten van interne controle

Risico-inschatting binnen het project

1. Overzicht van soorten processen (controletechnisc h) voorbereiden

2. Gesprekken met griffiers: doelstellingen/strategisc he risicos

3. Plaatsbezoeken en voorbereidende gesprekken

4. Horizontale workshop met stuurgroepleden en interne Controlefacilitatoren

5. Workshop per provincie op basis van generiek risico profiel

6. Risk map per provincie

Slide 23PricewaterhouseCoopersSeptember 2007

Taken ICF :

Facultatief: bijwonen gesprek PwC/griffier tussen 17 oktober en 26 oktober

Facultatief: bijwonen plaatsbezoeken risico-analyse tussen 3 oktober en 5 november

Bijwonen generieke riskworkshop op woensdag 7 november namiddag

Bijwonen workshop riskmapping met leidinggevenden in de provincie in de week van 12 tot 19 november

Doornemen risico-analyses per provincie tussen 26 november en 30 november

Slide 24PricewaterhouseCoopersSeptember 2007

De componenten van interne controle

Controleactiviteiten

Controle activiteiten of controlemaatregelen zijn systematische activiteiten of procedures (manueel of geautomatiseerd) georganiseerd om risicos te beheersen

IT controles (gericht op geautomatiseerde

processen,)

Functiescheiding

Administratieve controles (gericht op

administratieve en operationele processen)

Fysische controles (brandveiligheid,

overstroming, toegangscontroles,)

Management controles (PBP, begroting,

benchmarking, meerjarenplanning, ..)

Elke organisatie heeft eigen mix nodig afhankelijk van de risicos die zich stellen

Slide 25PricewaterhouseCoopersSeptember 2007

De componenten van interne controle

Controleactiviteiten binnen het project

1. Uitwerken van een praktisch handboek datdoor alle diensten kan worden gebruikt

2. Opleiding per provincie

Taken ICF :

(Re)design controlemaatregelen op processen bekijken van de processen in januari 2008

Opleiding controlemaatregelen

Slide 26PricewaterhouseCoopersSeptember 2007

De componenten van interne controle

Informatie & communicatie

Zowel intern als extern informatie moet

doorheen de organisatie gecommuniceerd

worden zodat ze op de juiste plaats gebruikt kan

worden

Informatiedoorstroming doorheen heel de organisatie is nodig om de om de geheleorganisatie te beheersen en het bereiken van de doelstellingen te monitoren

Management informatie moet :

Relevant ,

Beschikbaar,

Betrouwbaar, en

Toegankelijk

zijn.

Slide 27PricewaterhouseCoopersSeptember 2007

De componenten van interne controle

Monitoring

Permanente bewaking van het systeem van

interne controle door het management zelf :

supervisie, opvolgen van de rapportering en het

nemen van gepaste acties ter bijsturing,

klachten, etc

Punctuele bewakingsactiviteiten door

een onafhankelijke entiteit (bijv.

interne of externe audit) : ad hoc

evaluaties of audits

Rapporteren en

opvolging van

aandachtspunten

!!! Audit is een onderdeel van een systeem van interne controle

Monitoring is het continue proces van overzicht van de consequente en juiste werkingvan interne controlemaatregelen

Slide 28PricewaterhouseCoopersSeptember 2007

De componenten van interne controle

Informatie / Communicatie & Monitoring binnen het project

1. Self assessment

2. Actiepunten

=> Het project mondt uit in een actieplan voor de verdereversterking van interne controle

Taken ICF :

Voorbereiding van de self assessment informatie en communicatie (werkvergadering met ICF)

Launch self assessment vragenlijst voor alle provincies: 23 januari 2008 (invullen voor 11 februari 2008)

Bespreking actiepunten informatie en communicatie met ICF

Agenda

1. Inleiding: wat is interne controle juist?2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA5. Cases / Voorbeelden

Slide 30PricewaterhouseCoopersSeptember 2007

Interne controle statements

Ook in andere sectoren en landen wordt er steeds meer aandacht besteed aan het afleggen van verantwoording over het goed beheer, interne controle en beheersing van de risicos. In Nederland werd recent een referentiekader mededeling over de bedrijfsvoering ingevoerd waarbij de bevoegde minister rapporteert over het goed beheer binnen zijn administratie.

Slide 31PricewaterhouseCoopersSeptember 2007

Interne Controle statements

In het referentiekader Mededeling over de bedrijfsvoering is de volgende standaardtekst voor de mededeling over de bedrijfsvoering opgenomen.In het begrotingsjaar 20xx is op een gestructureerde wijze aandacht besteed aan de bedrijfsvoering van het ministerie van Op basis van een risicoanalyse is een systematische afweging gemaakt inzake de in te zetten instrumenten van sturing en beheersing. Dit omvat mede het vaststellen van het van toepassing zijnde normenkader en de uitgangspunten voor opname van aandachtspunten in deze mededeling. Een en ander heeft in het begrotingsjaar 20xx geresulteerd in beheerste bedrijfsprocessen binnen het ministerie van Daarbij is een aantal punten naar voren gekomen ten aanzien waarvan de volgende verbeteracties zijn (worden) gestart.

In de mededeling is daarnaast ruimte gelaten voor het vermelden van departementsspecifieke normen en bijzondere risicos in de bedrijfsprocessen.Verdere info: zie www.rekenkamer.nl/9282000/d/p287referentiekadervbtb.pdf

Agenda

1. Inleiding: wat is interne controle juist?2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA5. Cases / Voorbeelden

The IIA and INTOSAI Sign Agreement

August 14, 2007

The Institute of Internal Auditors and The Internation al Organization of SupremeAudit Institutions Sign Agreement

Global organizations enter working alliance

ALTAMONTE SPRINGS, Fla. USA - Officials from The Institute of Internal Auditors (IIA) have signed a Memorandum of Understanding (MOU) with The Professional StandardsCommittee (PSC) of the International Organization of Supreme Audit Institutions(INTOSAI). The MOU outlines plans for cooperation in a variety of areas including mutualsupport on strategic directives and sharing knowledge when developing professional practices frameworks.

"We are very pleased with this collaborative arrangement, for both The IIA and the internal audit profession. In particular, The IIA will draw on the wealth of experience thatINTOSAI has gathered in the field of government auditing and will apply this experience in our work," said IIA President Dave Richards

IIA: www.theiia.org (Internationale beroepsvereniging van interne auditors)Intosai: www.intosai.org (Internationale vereniging van rekenkamers)

Autoriteiten op het vlak van interne controle (naast COSO)

Slide 34PricewaterhouseCoopersSeptember 2007

Goede nederlandstalige bronnen referentiekaders:

NIVRA, handreiking interne beheersing (NL)

Interne audit van de Vlaamse Gemeenschap, handreiking

IBR, richtlijnen en boek, een praktische kijk op administratieve organisatie en interne controle, Standaard Uitgeverij, ISBN 90 341 9696 8

Autoriteiten op het vlak van interne controle (naast COSO)

Agenda

1. Inleiding: wat is interne controle juist?2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA

Het starten met interne controle Controlemaatregelen in administratieve en operationel e processen Functiescheiding IT Controles Conclusie ORCA - analyse

5. Cases / Voorbeelden

Slide 36PricewaterhouseCoopersSeptember 2007

Het starten met interne controle

Stappenplan uit te voeren op alle niveaus van de organisatie

Per niveau/proces:

O - Objectieven? / Controleobjectieven?

R - Risicos?

C - Controlemaatregelen?

A - Aligneren

ORCORC

Aligneren

N

N-1

N-2

.

Proc

esse

n

.

ORCORC

ORCORC

ORCORC

ORCORC

ORCORC

ORCORC

ORCORC

ORCORC

ORCORC

AlignerenAligneren

Aligneren

Missie strategisch

operationeel

Slide 37PricewaterhouseCoopersSeptember 2007

Controledoelstellingen

Controlemaatregelen in administratieve en operationele processen

Authorisatie: diegene die een transactie uitvoert is daartoe gemachtigd Volledigheid: alle transacties/verwerkingen zijn geregistreerd Tijdigheid: de administratieve transacties zijn tijdig Juistheid: de transacties zijn correct geregistreerd Echtheid: er zijn geen fictieve of dubbele transacties Eigendomsrecht: de activa in de jaarrekening behoren de instelling toe Cut off: de transactie is geregistreerd in de juiste periode Waardering: transacties zijn voor juist bedrag, volgenswaarderingsregels geregistreerd

Adequaatheid van het systeem van interne controle: per controledoelstellingmoeten de gepaste controlemaatregelen in de processen ingebed zijn of omgekeerd: de controlemaatregel(en) moet(en) sluitend zijn in functie van de controledoelstelling

Slide 38PricewaterhouseCoopersSeptember 2007

Bijvoorbeeld: innen van heffingen

Controlemaatregelen in administratieve en operationele processen

Impact

Probability

Opbrengsten zijnminder dangeraamd

Controledoelstellingen ivm dit risico?

Slide 39PricewaterhouseCoopersSeptember 2007

Bijvoorbeeld:

Controlemaatregelen in administratieve en operationele processen

Controledoelstellingen ivm dit risico?

Oa. volledigheid, tijdigheid en juistheid van de ontvangsten

Controlemaatregelen?

Slide 40PricewaterhouseCoopersSeptember 2007

Aandachtspunten ivm functiescheiding

functiescheiding moet permanent zijn (ook bij vervangingen)

functiescheiding moet ondersteund worden door een adequaatprofielbeheer en aangepaste toegangscontrole tot/in de

ITsystemen

Functiescheiding

Slide 41PricewaterhouseCoopersSeptember 2007

IT controles

grijze zone:-computer controles en toepassingsspecifieke controles overlappenelkaar

trend:-meer computer controles en minder toepassingsspecifiekecontroles

-meer geautomatiseerde toepassingsspecifieke controles en minder manuele controles

TOEPASSING :

. Dossierbeheer

. Aankopen

. Personeelsbeheer

. Boekhouding

. Rapportering

IT :

. LOGISCHE BEVEILIGING

. FYSIEKE BEVEILIGING

. COMPUTER UITBATING

. ONTWIKKELING

. WIJZIGINGEN

Slide 42PricewaterhouseCoopersSeptember 2007

Interne controle in IT applicatie

InputEdit

Output

IT

Verwerk

BasisGegevens

Transactie Informatie

TransactieGegevens

Slide 43PricewaterhouseCoopersSeptember 2007

Conclusie: ORCA analyse van een proces

map de processtappen (niet noodzakelijk flow chart van het volledigeproces), bijvoorbeeld: belastingen: heffen, innen, handhaven

map de waardekringloop

definieer de (controle) objectieven

definieer de risicos

evalueer welke beheersmaatregelen adequaat zijn

evalueer of ze ook effectief worden toegepast

ga na of de controlemaatregelen gealligneerd zijn met de doelstellingen van het proces (kostprijs van de controle verantwoord? ongewenste neveneffectenvoor de doelgroep?)

Slide 44PricewaterhouseCoopersSeptember 2007

Conclusie - stappenplan uit te voeren op alle niveaus van de organisatie

Per niveau/proces:

bijvoorbeeld

Transparantie, eerlijk omgaanmet partners, efficint en zuinigwerken

ORCORC

Aligneren

N

N-1

N-2

.

Proc

esse

n

.

ORCORC

ORCORC

ORCORC

ORCORC

ORCORC

ORCORC

ORCORC

ORCORC

ORCORC

AlignerenAligneren

Aligneren

Missie strategisch

operationeel

Aankopen bij de meestvoordelige leverancier

Tijdig, juiste hoeveelhedenbeschikbaar hebben

Slide 45PricewaterhouseCoopersSeptember 2007

Voorbeeld: Aankoopproces

ORCA analyse

Behoeftedetecteren

Marktraadplegen

Bestelling Levering

Voorraadbeheer

Boekhouding

Slide 46PricewaterhouseCoopersSeptember 2007

Voorbeeld (niet exhaustief) van een O-R-C analyse voor eenaankoopproces

ORCA analyse

Agenda

1. Inleiding: wat is interne controle juist?2. Statements of interne controle: wat houdt dit in?3. Bronnen/autoriteiten op het vlak van interne controle4. Interne controle implementeren: ORCA5. Cases / Voorbeelden

Slide 48PricewaterhouseCoopersSeptember 2007

Voorbeeld: aanwervingsprocedure personeel

ORCA analyse

Slide 49PricewaterhouseCoopersSeptember 2007

Voorbeeld selectieprocedure personeel

Controledoelstellingen?

Risicos?

Controlemaatregelen?

ORCA analyse

Data die nog moeten vastgelegd worden.

1. overlegvergadering met ICF en projectleiding P2 in januari (niet W VL)

2. opleiding controlemaatregelen voor leidinggevenden na 9/4/2007

3. werkvergadering functionele vereisten voor de elektronische opvolging van hetICS met ICF (week 10/3)

4. actiepunten controlemaatregelen overleg met ICF (week 19/3)

5. werkvergadering actieplan in functie van de agendering van het gentegreerdactieplan op deputatie (voor eind mei)