Vlaamse administratie: nieuwsbrief nr 35 (mei 2015)

  1. Wijziging auditcomité van de Vlaamse administratie
  2. Overleg met de kernministers
  3. De auditstrategie voor de Vlaamse administratie
  4. Globale bevindingen van de thema-audit informatiebeveiliging
  5. Binnenkort: thema-audit projectmanagement

 

1. Wijziging auditcomité van de Vlaamse administratie

De samenstelling van het auditcomité van de Vlaamse administratie onderging de afgelopen periode verschillende wijzigingen. Als gevolg van het aantreden van de huidige Vlaamse Regering op 25 juli 2014, zijn de vertegenwoordigers van de Vlaamse Regering gewijzigd. Volgende personen werden aangeduid als vertegenwoordigers van de Vlaamse Regering:               

  • Miet Vandersteegen, raadgever van Geert Bourgeois, minister-president van de Vlaamse Regering en Vlaams minister van Buitenlands Beleid en Onroerend Erfgoed;
  • Johan Hanssens, adjunct-kabinetschef algemeen beleid van Annemie Turtelboom, viceminister-president van de Vlaamse Regering en Vlaams minister van Begroting, Financiën en Energie;
  • Martin Ruebens, secretaris-generaal van het departement Kanselarij en Bestuur.

Op voordracht van het auditcomité werd bij beslissing van de Vlaamse Regering van 30 januari 2015 Luc Discry aangeduid als nieuwe voorzitter van het auditcomité.  Diane Breesch werd aangeduid als onafhankelijk deskundige.

Jean-Pierre Bostoen, die eveneens voorzitter is van het auditcomité van de lokale besturen, en Saskia Van Uffelen blijven in het auditcomité zetelen als onafhankelijk deskundigen.

> terug naar begin

 

Audit Vlaanderen

2. Overleg met de kernministers

Op 11 februari 2015 vond het jaarlijks overleg tussen een afvaardiging van de twee auditcomités en de kernministers plaats. Dit overleg kadert binnen de adviesfunctie van de auditcomités aan de Vlaamse Regering. De kernministers van de Vlaamse Regering zijn: de minister-president, Geert Bourgeois, en de viceministers-president, Hilde Crevits, Annemie Turtelboom en Liesbeth Homans. Tijdens dit overleg werden de realisaties van Audit Vlaanderen in 2014 toegelicht. Ook de auditstrategie van Audit Vlaanderen voor deze legislatuur en de geplande audits voor 2015 werden bekendgemaakt. Met dit overleg wordt de betrokkenheid van het politieke niveau bij de strategie van Audit Vlaanderen en de opgeleverde resultaten versterkt, zonder de onafhankelijkheid van het agentschap in het gedrang te brengen.

> terug naar begin

 

Audit Vlaanderen

3. De auditstrategie voor de Vlaamse administratie

In het ondernemingsplan 2015-2019 van Audit Vlaanderen is de auditstrategie voor de volgende jaren bepaald. Voor de audits binnen de Vlaamse  administratie heeft het auditcomité de volgende krijtlijnen vastgelegd:

  • Zorgen voor een goede risico-afdekking door een mix van organisatie-, thema- en procesaudits  afgestemd op:
  • het risicoprofiel van de organisaties;
  • de werkzaamheden van andere controle-actoren (single audit-principe);
  • politieke prioriteiten en input van het management.
  • Onderzoeken uitvoeren in geval van fraude en andere onregelmatigheden.
  • Opvolgen en evalueren van het holdingmodel met decentrale auditdiensten.
  • Jaarlijks rapporteren over de implementatie van de aanbevelingen.
  • Verder opvolgen van en rapporteren over de evolutie van de uitbouw van organisatie- en risicobeheersing.

Wat betekent dit concreet op het niveau van de auditopdrachten?

Organisatie-audits

Fusies en de implementatie van de zesde staatshervorming hebben als gevolg dat veel van de huidige maturiteitsinschattingen momenteel – of weldra – niet meer accuraat zijn. Omwille van deze redenen schort Audit Vlaanderen de uitvoering van steekproefsgewijze controles rond organisatiebeheersing in 2015 tijdelijk op. Vanaf 2016 zal een nieuw beeld van de maturiteit van organisatiebeheersing voor het audituniversum geleidelijk aan worden opgebouwd.
Concreet betekent dit dat elke organisatie een nieuwe  evaluatie van de organisatiebeheersing krijgt  in de komende 5 jaar. De auditintensiteit wordt afgestemd op het risicoprofiel van de organisatie:

  • Nieuwe organisaties en/of volledig gereorganiseerde organisaties krijgen een volledige nieuwe evaluatie met als referentiekader de Leidraad 2015.
  • De zelfevaluatie is het uitgangspunt voor de opstart van een organisatie-audit.
  • Stabiele organisaties en/of organisaties met een hoge maturiteit krijgen steekproefsgewijze (beperkte) controles op basis van een meerjarenplanning.
  • Risicomanagement krijgt meer aandacht in de Leidraad 2015 en er zal dus ook meer op worden gefocust bij de inschatting van het maturiteitsniveau.
Thema-audits en detectie-audits

De prioriteiten worden afgestemd op:

  • Gemeenschappelijke dienstverlening in het kader van de ‘holdingstructuur’ van de werking van de Vlaamse administratie (ICT, financieel, overheidsopdrachten, HRM-personeel,…);
  • Transversale thema’s;
  • De keuze van onderwerpen zal gebaseerd zijn op een meerjarenplanning.
  • De focus  ligt op efficiëntie en integriteit.
Procesaudits

In het kader van de meerjarenplanning zullen een 50-tal prioritaire processen, afgestemd op het kerntakendebat, worden geselecteerd voor het uitvoeren van een procesaudit.
Ook voor de procesaudits ligt de focus op efficiëntie en integriteit.

Interbestuurlijke audits

Afhankelijk van de resultaten van het kerntakendebat, het project ‘Administratieve interacties tussen de Vlaamse overheid en gemeentebesturen van op de werkvloer bekeken’ en de werkzaamheden van de paritaire commissie decentralisatie, wordt de opportuniteit van een interbestuurlijke audit continu overwogen. Interbestuurlijke audits zijn audits van processen die zich op verschillende bestuursniveaus (gemeentelijk, provinciaal, Vlaams) situeren.

Beleidsgerichte rapporten

In 2015 worden omwille van de grondige wijzigingen in het audituniversum de beleidsgerichte rapporten per entiteit en per bevoegdheidspakket van de ministers on hold gezet, uitgezonderd een jaarrapportering over de opvolging van de aanbevelingen.

In 2016 zullen er terug beleidsgerichte rapporten worden opgesteld, maar meer in functie van de uitgevoerde auditopdrachten.

> terug naar begin

 

Audit Vlaanderen

4. Globale bevindingen van de thema-audit informatiebeveiliging

De Vlaamse administratie beheert en verwerkt tal van gegevens van burgers, ondernemingen en personeelsleden en draagt bijgevolg de verantwoordelijkheid om de gepaste beveiliging van deze informatie te garanderen. Hoewel tal van organisaties en overheden de afgelopen jaren af te rekenen kregen met cybercriminaliteit, bleef de Vlaamse administratie daar tot nu toe grotendeels van gespaard. 

Aangezien de omvang en het belang van digitaal opgeslagen en uitgewisselde informatie alsmaar toeneemt, ontstond in 2013 het idee voor de uitvoering van een thema-audit rond informatiebeveiliging. Het doel van deze thema-audit was te evalueren in welke mate de Vlaamse administratie over beheersmaatregelen beschikt om het gewenste niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie te garanderen. Gezien de technische complexiteit van de bedreigingen waarmee de informatiesystemen tegenwoordig worden geconfronteerd, liet Audit Vlaanderen zich bij deze auditopdracht bijstaan door experten met specifieke kennis ter zake.

  • In een eerste fase (augustus 2013 - januari 2014) werd een auditprogramma uitgewerkt en uitgetest bij twee pilootopdrachten.
  • In een tweede fase (februari 2014 - oktober 2014) volgde de uitrol naar vier andere entiteiten. De bevindingen van deze onderzoeken werden geconcretiseerd in zes individuele rapporten. Deze auditrapporten werden na afloop bezorgd aan de betrokken organisaties.
  • De derde fase (oktober 2014 - januari 2015) omvatte de opmaak van een globaal rapport. Dit rapport is gebaseerd op de bevindingen uit de zes individuele auditopdrachten en de vaststellingen n.a.v. veiligheidstesten en kwetsbaarheidsanalyses op een aantal gemeenschappelijke platformen. De resultaten van de thema-audit tonen aan dat de Vlaamse administratie weliswaar initiatieven heeft genomen voor de beveiliging van haar informatie, maar niettemin kwetsbaar blijft voor huidige en toekomstige bedreigingen op het vlak van informatiebeveiliging.

De geïdentificeerde tekortkomingen zijn te wijten aan kwetsbaarheden zowel op niveau van de Vlaamse administratie als op entiteitsniveau. De kwetsbaarheden op beide niveaus leiden afzonderlijk, maar vooral in combinatie met elkaar, tot risico’s voor de integriteit, vertrouwelijkheid en beschikbaarheid van informatie over burgers, personeelsleden en ondernemingen. Sommige kwetsbaarheden zijn eenvoudig te remediëren, andere zijn complexer en vergen specifieke investeringen.

Op korte termijn voorziet het Facilitair Bedrijf alvast een verbetering van de beveiligingsmaatregelen van het bekabelde, interne netwerk van de Vlaamse overheid en ontwikkelt de gemeenschappelijke ICT-dienstverlener een actieplan voor het verhelpen van de structurele tekortkomingen.

De Vlaamse minister voor Binnenlands Bestuur onderschrijft de aanbevelingen en formuleerde in de Commissie Bestuurszaken van 3 maart 2015 een aantal concrete acties om uitvoering te geven aan de aanbevelingen. U vindt het globaal rapport van deze thema-audit en het relevante fragment uit het verslag van de Commissie Bestuurszaken van 3 maart 2015 op de website van Audit Vlaanderen.

> terug naar begin

 

Audit Vlaanderen

5. Binnenkort: thema-audit projectmanagement

In 2015 is Audit Vlaanderen gestart met de thema-audit projectmanagement. In deze thema-audit wordt een evaluatie gemaakt van de aanpak van projecten binnen de Vlaamse administratie. Om deze thema-audit grondig uit te voeren, heeft Audit Vlaanderen een controleprogramma opgesteld. Het controleprogramma is gebaseerd op de projectmethode PRINCE2, dat gericht is op het management, de aansturing en de organisatie van een project. Het controleprogramma van Audit Vlaanderen is ook afgetoetst aan verscheidene andere kaders uit de projectmethodiek, om een maximale kwaliteit van de audit te garanderen.

De thema-audit kent een verloop in 3 fasen, waarbij telkens enkele projecten worden geëvalueerd. Momenteel worden in de eerste ronde twee projecten onderzocht: “Modern HR-beleid” en “Complexe projecten”. In juni en september volgen respectievelijk ronde 2 en 3. Audit Vlaanderen selecteert voor het uitvoeren van deze thema-audit voornamelijk projecten die een zekere omvang en complexiteit kennen.

Voor elk geauditeerd project wordt een auditrapport opgeleverd. Na afloop van de thema-audit bij diverse entiteiten zal een globaal rapport worden opgesteld. Het globale rapport zal bevindingen en aanbevelingen bevatten over de projectaanpak binnen de Vlaamse overheid. Als partner van het management wil Audit Vlaanderen zo een bijdrage leveren aan de verdere professionalisering en optimalisering van de projectwerking. 

> terug naar begin