Aanpak organisatie-audits bij de Vlaamse administratie

In eerste instantie wordt het huidige niveau van risicomanagement binnen de organisatie geëvalueerd. Dit gebeurt aan de hand van een maturiteitsmodel bestaande uit 12 verschillende aspecten/elementen van risicomanagement, waarbij een onderscheid wordt gemaakt tussen ‘risico-identificatie en –evaluatie’ en ‘risicobeheer’. Aan elk van de geëvalueerde elementen kent Audit Vlaanderen een maturiteitsinschatting toe, waarna een gewogen gemiddelde maturiteitsinschatting berekend wordt.

Vervolgens wordt het belang van elk thema uit de Leidraad interne controle/organisatiebeheersing ingeschat aan de hand van 5 parameters:

1. impact op de doelstellingen;
2. complexiteit van wet- en regelgeving;
3. financieel belang;
4. effect op de dagelijkse werking;
5. integriteit, bescherming van activa of voorkomen van fraude.

Op basis van de resultaten uit de vorige stap, selecteert Audit Vlaanderen de meest belangrijke thema’s voor de geauditeerde entiteit. Vervolgens gaat Audit Vlaanderen na of de belangrijkste risico’s voor de gekozen processen/thema’s onder controle zijn, en of de beheersmaatregelen goed zijn opgezet om de risico’s in te dekken.

Het toegekende maturiteitsniveau van het risicomanagement (stap 1), bepaalt in welke mate Audit Vlaanderen hierbij kan verder bouwen op de resultaten van de risicoanalyse van de geauditeerde entiteit. In het geval de Vlaamse entiteit nog geen zicht heeft op haar belangrijkste risico’s voor de gekozen processen, ondersteunt Audit Vlaanderen het proces van de risico-identificatie en -evaluatie en krijgt de entiteit na deze oefening haar inherent en residueel risicoprofiel voor de bekeken processen.