Integriteit bij het Rijk

Integriteit bij het Rijk

een handreiking voor een audit 2e versie



Werkgroep Integriteits Audit Stuurgroep Integriteits Audit Den Haag, 19 december 2002

Inhoudsopgave

1

2

3

4

Inleiding en leeswijzer 1.1 Inleiding

1

1.2 Leeswijzer

2

De uitgangspunten van de handreiking integriteitsaudit 2.1 De doelstelling van de handreiking

4

2.2 De reikwijdte van de handreiking

5

2.3 De status van de handreiking

5

Integriteit als onderdeel van de bedrijfsvoering 3.1 Definitie integriteit

6

3.2 Integriteit als onderdeel van de bedrijfsvoering (VBTB)

6

3.3 De rol van de auditor bij integriteit als onderdeel van de bedrijfsvoering

8

De ontwikkelingsstadia van het integriteitsbeleid en de rol van de onderscheiden actoren daarin

5

4.1 Inleiding

11

4.2 Het vertrekstadium (uitgangspunten en randvoorwaarden)

11

4.3 Het stadium van bewustwording

12

4.4 Het stadium van implementatie

13

4.5 Het stadium van borging en evaluatie

14

De (organisatorische) opzet en uitvoering van de integriteitsaudit 5.1 Inleiding

17

5.2 Totstandkoming auditopdracht

18

5.3 Samenstelling onderzoeksteam

18

5.4 De centrale plaats en de doelstellingen van omgevings- en procesanalyse

19

5.5 Omgevingsanalyse

20

5.6 Procesanalyse

22

5.7 Specifieke vervolgwerkzaamheden

23

6

5.8 Evaluatie bevindingen

23

5.9 Uitbrengen auditrapport

23

5.10 Documentatie

24

Rijksbreed toetsingskader voor de integriteitsaudit 6.1 Vooraf

26

6.2 Integriteitsrisico’s en maatregelen van de organisatie

26

6.3 Risicoanalyse

30

6.4 Indeling van het rijksbrede toetsingskader op hoofdlijnen

32

6.5 Uitwerking hoofdlijnen toetsingskader in concrete toetspunten (aandachtspunten) 34 6.6 Hantering van het toetsingskader als hulpmiddel (referentiekader)

36

6.7 Rijksbreed toetsingskader integriteit

37

Bijlagen 1

Begrippenlijst

2

Samenstelling Stuurgroep Integriteits Audit (SIA) en Werkgroep Integriteits Audit (WIA)

3

Geraadpleegde rapporten voor ontwikkeling van de handreiking integriteitsaudit

4

Overzicht van relevante regelgeving over integriteit in Ambtenarenwet en ARAR

5

Overzicht van overige relevante regelgeving en literatuur over integriteit bij het Rijk

6

Via Interne Beheersing naar Corporate Governance (COSO); Achtergronden

7

Vragenlijsten bij het rijksbreed toetsingskader 7.1 Vragenlijst management 7.2 Vragenlijst werknemer 7.3 Vragenlijst cultuur van de organisatie

Inleiding en leeswijzer

1.


1.1

Inleiding

De overheid is als eerste verantwoordelijk voor het uitdragen en handhaven van de principes van een democratische rechtsstaat. Onder deze principes vallen onder andere integriteit, betrouwbaarheid, transparantie van besluitvorming. Overheidsdiensten verkeren daarnaast vaak in een monopoliepositie en daarom is vertrouwen in de legitimatie van het openbaar bestuur belangrijk voor de burgers. Overheidsmedewerkers treden steeds meer in contact met de samenleving en hebben hierbij meer vrijheden en eigen verantwoordelijkheid. Daarnaast stelt de maatschappij steeds hogere eisen aan de overheid. Integriteit is derhalve niet alleen een interne aangelegenheid, doch is ook belangrijk bij de relaties met actoren in de samenleving. Juist die relaties zijn immers medebepalend voor het imago van de overheid. Integriteit is in de eerste plaats een kwestie van mentaliteit en bewustwording. Het moet “tussen de oren zitten”. Bewustwording en een juiste mentaliteit alleen zijn echter niet voldoende. Er is ook een systeem nodig van "checks and balances”, met heldere regels en afspraken, met een organisatiestructuur die integriteit bevordert en met controlemechanismen, waardoor het gedrag voor elkaar en voor anderen controleerbaar wordt. Het opstellen van gedragsregels met duidelijke normen en waarden vormt daar een belangrijk onderdeel van.

De ontwikkelingen in het kader van de regeringsnota “Van Beleidsbegroting Tot Beleidsverantwoording” (VBTB, 19 mei 1999) zijn in dit verband van belang, omdat die erop gericht zijn dat de overheid op transparante wijze inzicht geeft in de effectiviteit, doelmatigheid en rechtmatigheid van haar beleid, alsmede in de uitvoering daarvan. VBTB betekent ook dat de minister in de jaarlijkse verantwoording via een mededeling over de bedrijfsvoering, verantwoording aflegt over de bedrijfsvoering van zijn ministerie. Aangezien integriteit een kwaliteitsaspect is van de bedrijfsvoering kan dat onderwerp onderdeel zijn van de bedrijfsvoeringsmededeling.

De integriteit van de overheid staat sinds de parlementaire enquête bouwnijverheid extra in de belangstelling. In dit kader is begin 2002 de eerste versie van de handreiking integriteitsaudit ontwikkeld. Aan de hand van deze handreiking zijn vervolgens integriteitsaudits bij de betrokken bouwdepartementen uitgevoerd.

De handreiking was een eerste proeve, die vanwege de tijdsdruk nog niet was uitgetest. Parallel met de uitvoering van deze audits is de handreiking derhalve voor commentaar voorgelegd aan het pSG1

beraad, IOFEZ, IODAD, ICPR en de IODAD-Kenniskring forensische accountancy en CDI’s. De opmerkingen die hieruit zijn voortgekomen en de opgedane ervaringen in de praktijk zijn door een 2

stuur- en werkgroep verwerkt in de voorliggende tweede versie van de handreiking. Daarbij zijn de 1

IOFEZ (Interdepartementaal Overleg Financieel Economische Zaken); IODAD (Interdepartementaal Overleg Departementale Accountantsdiensten); ICPR (Interdepartementaal Contactorgaan Personeelsdiensten Rijksdienst); CDI (Centraal Directeur Inkoop). 2 Voor de samenstelling van de stuurgroep (SIA) en de werkgroep (WIA), zie bijlage 2.

-1-


rijksbrede ontwikkelingen op het gebied van bedrijfsvoering (VBTB) en auditfunctie (Kwaliteitsplan Auditfunctie) en de mede als gevolg hiervan noodzakelijke herziening van het Handboek Controle DAD’s, ook meegenomen in de tweede versie. De onderdelen, die specifiek betrekking hadden op de parlementaire enquête bouwnijverheid, zijn veralgemeniseerd.

Met voornoemde aanpassingen is er nu een actuele, rijksbrede handreiking voor de uitvoering van integriteitsaudits bij de departementen en hun organisatieonderdelen. In de hierna volgende leeswijzer wordt in het kort ingegaan op de inhoud en specifieke doelgroepen van de handreiking.

1.2

Leeswijzer

Hoofdstuk 2 De uitgangspunten van de handreiking integriteitsaudit Hoofdstuk 2 gaat in op de doelstelling, reikwijdte en status van de handreiking. Het geeft een beeld van de mogelijkheden, maar ook van de beperkingen van deze handreiking voor een integriteitsaudit. Het hoofdstuk is aanbevolen voor hen die de handreiking voor het uitvoeren van een integriteitsaudit willen gebruiken.

Hoofdstuk 3 Integriteit als onderdeel van de bedrijfsvoering In hoofdstuk 3 komt de plaatsbepaling van integriteit als onderdeel van de bedrijfsvoering aan de orde. Het schema op blz. 10 geeft hiervan een goede weergave. Het is een achtergrondhoofdstuk voor alle gebruikers van de handreiking.

Hoofdstuk 4 De ontwikkelingsstadia van het integriteitsbeleid en de rol van de onderscheiden actoren daarin Hoofdstuk 4 is vooral van belang voor het management dat verantwoordelijk is voor de invulling van het integriteitsbeleid en het verstrekken van de opdracht voor de uitvoering van de integriteitsaudit. Een goed overzicht geeft het schema “de ontwikkelingsstadia van het integriteitsbeleid en de rol van de onderscheiden actoren daarin” (blz. 16). In dit schema is ook de relatie met hoofdstuk 5 kort beschreven.

Hoofdstuk 5 De (organisatorische) opzet en uitvoering van de integriteitsaudit Waar hoofdstuk 4 vooral is gericht op het management, is hoofdstuk 5 vooral gericht op auditors. De (organisatorische) opzet en de uitvoering van de integriteitsaudit komen aan bod. Het schema op blz. 24 geeft een goede weergave hiervan.

-2-


Hoofdstuk 6 Rijksbreed toetsingskader voor de integriteitsaudit Hoofdstuk 6 bevat het rijksbrede toetsingskader voor het integriteitsbeleid en de integriteitsaudit. Het schema van paragraaf 6.7 geeft de meest directe toegang tot dit toetsingskader. In bijlage 7 zijn als voorbeeld vragenlijsten opgenomen, die aansluiten op het in hoofdstuk 6 opgenomen toetsingskader. Het rijksbrede toetsingskader voor de integriteitsaudit is een verdere uitwerking van een aantal rapporten over integriteit. Bijlage 3 geeft een overzicht van deze rapporten.

-3-

Uitgangspunten van de handreiking integriteitsaudit.

2

Uitgangspunten van de handreiking integriteitsaudit

2.1

De doelstelling van de handreiking

De doelstelling van de handreiking is een kader te bieden voor zowel het management als de auditor. Deze handreiking kan door het management als vertrekpunt genomen worden voor de concrete opdrachtverlening en door de auditor als vertrekpunt voor het concreet inrichten van de audit. Zowel de opdrachtverlening als de inrichting van de audit dienen echter toegesneden te zijn op de specifieke situatie bij het betrokken departement.

Eigen verantwoordelijkheid van de auditor In deze handreiking wordt ervan uitgegaan dat de auditor een integriteitsaudit op speciaal verzoek van het betrokken management uitvoert (d.w.z. op ad hoc -basis). In de nabije toekomst zullen bij alle ministeries periodieke onderzoeken (audits) naar de bedrijfsvoering uitgevoerd gaan worden. Hieronder vallen dan ook periodieke integriteitsaudits, ingebed in een reguliere planning en controlcyclus. De integriteitsaudit zal in die situatie meer vanuit de eigen verantwoordelijkheid van de auditor kunnen geschieden. De invoering van periodieke onderzoeken naar de bedrijfsvoering vindt met name zijn grondslag in het rapport "De auditfunctie in het VBTB-tijdperk" (ook wel genoemd het rapport-Kordes, mei 2001), waarin onder meer de aanbeveling is opgenomen om de departementale accountantsdiensten (DAD's) om te vormen tot departementale auditdiensten. Zie voor een nadere uitwerking hiervan het rapport "Kwaliteitsplan audit-functie Rijksoverheid" (februari 2002).

Omdat niet alle organisaties hetzelfde zijn, zal de integriteitsaudit voor iedere organisatie op een andere wijze moeten worden ingevuld en uitgewerkt. Afhankelijk van de specifieke integriteitsrisico’s binnen de organisatie, risico’s uniek voor de organisatie, zal op bepaalde processen meer en op andere minder de nadruk komen te liggen. Naast deze specifieke risico’s kan voor de overheid als totaal een vijftal categorieën van algemene integriteitsrisico’s worden benoemd. Deze algemene risico’s zijn inherent aan het functioneren van de overheid als organisatie. De vijf categorieën zijn:

1) contacten met derden; 2) belangenverstrengeling; 3) toegang tot financiële informatie en geldstromen; 4) gebruik van middelen van de organisatie; 5) (ongewenste) omgangsvormen.

Bij de opstelling van het rijksbrede toetsingskader in hoofdstuk 5 van deze handreiking zijn deze categorieën van algemene integriteitsrisico’s als uitgangspunt genomen en vertaald naar maatregelen en activiteiten om deze risico’s te verminderen. De specifieke aanvulling/verdieping van deze algemene integriteitsrisico’s en maatregelen zal door het departement zelf dienen te geschieden.

-4-

Uitgangspunten van de handreiking integriteitsaudit.

2.2

De reikwijdte van de handreiking

De reikwijdte van de handreiking wordt bepaald door het ruime integriteitsbegrip zoals dat door BZK in de afgelopen jaren in het kader van het rijksbrede integriteitsbeleid is ontwikkeld. Vanuit de visie dat het departementale integriteitsbeleid een integraal onderdeel is van de bedrijfsvoering, is deze handreiking voor een integriteitsaudit bruikbaar voor alle bedrijfsprocessen. De integriteitsaudit richt zich op alle interne processen binnen een overheidsorganisatie waarin de integriteitsrisico’s van de organisatie beheerst zouden moeten worden. Een overheidsorganisatie heeft echter niet alleen met zichzelf te maken, maar ook met zijn omgeving. Die omgeving kan binnen het gehele bestaande spectrum variëren van andere overheidsorganisaties tot commerciële ondernemingen en burgers. Wanneer in de relatie met deze omgeving integriteit een kritische factor is, heeft het management van een overheidsorganisatie de plicht al het mogelijke te doen om na te gaan – bijvoorbeeld door screening - of de externe partij ook integer is. Aangezien de handreiking zich richt op de interne organisatie van een departement, wordt de integriteit van de omgeving verder buiten beschouwing gelaten. De handreiking is ontwikkeld tegen de achtergrond van de recente ontwikkelingen rond het Kwaliteitsplan audit-functie Rijksoverheid en kan gebruikt worden voor een audit naar de opzet, het bestaan en de werking van het integriteitsbeleid bij een organisatie. Uitgangspunt hierbij zal zijn de strategische risicoanalyse van het management van de organisatie ervan uitgaande dat deze er is. Voor zover de strategische risicoanalyse ontbreekt dienen in ieder geval de genomen beheersingsmaatregelen als uitgangspunt te worden genomen. Voor wat betreft de werking zal niet specifiek worden onderzocht in hoeverre individuele ambtenaren inbreuk op het integriteitsbeleid hebben gemaakt, maar wel of medewerkers bekend zijn met de regelgeving en beleidslijnen inzake integriteit en (zeggen) zich daaraan (te) houden. Natuurlijk kunnen zich daarbij risico’s en signalen voordoen op het niveau van individuen. Deze risico’s en signalen kunnen aanleiding geven tot een specifiek intern (vervolg)onderzoek al dan niet aangevuld met een forensisch onderzoek.

2.3

De status van de handreiking: hulpmiddel

De status van de handreiking is: een hulpmiddel. De concrete opdrachtverlening voor de audit is de verantwoordelijkheid van het management en de concrete inrichting van de audit is de verantwoordelijkheid van de auditor. Deze handreiking kan als een model, als een vertrekpunt worden genomen voor de concrete opdrachtverlening en inrichting van de audit, maar beiden blijven maatwerk, waarvoor het management respectievelijk de auditor verantwoordelijk is.

-5-

Integriteit als onderdeel van de bedrijfsvoering

3


3.1

Definitie integriteit

In dit hoofdstuk wordt een nadere begripsbepaling gegeven van het integriteit(sbeleid) en een integriteitsaudit. In de literatuur komen meerdere definities van integriteit voor. In de Handreiking “Integriteit van bestuurders bij gemeenten en provincies” van de VNG uit 2001 wordt aangegeven dat bestuurlijke integriteit inhoudt dat de verantwoordelijkheid die met de functie samenhangt, wordt aanvaard en dat er de bereidheid is om daarover verantwoording af te leggen. In deze handreiking worden de volgende kernbegrippen van integriteit genoemd: dienstbaarheid, functionaliteit, onafhankelijkheid, openheid, betrouwbaarheid en zorgvuldigheid. 3

In het artikel “de integriteitsbarometer van organisatie” van dr. M. Kaptein wordt de volgende omschrijving van integriteit gegeven: “Integriteit behelst ook de zorgvuldige omgang met andere bedrijfsmiddelen (zoals werktijd, informatieen communicatiemiddelen en bedrijfsinformatie), de wijze waarop medewerkers met elkaar omgaan zoals de afwezigheid van (seksuele) intimidatie, discriminatie, pesten, vriendjespolitiek en geweld) en de wijze waarop de belangen van externen wordt gerespecteerd”.

In de inventarisatie van Financiën van februari 2000 naar de rol van de DAD’s op het gebied van integriteit is gekozen voor de volgende werkdefinitie:

“Al het overheidshandelen, zowel van de organisatie als van haar medewerkers, dat gekenmerkt wordt door onkreukbaarheid en betrouwbaarheid en als zodanig de legitimiteit van de openbare dienst bevestigt”.

Deze definitie, die ook wordt aangehouden in deze handreiking, houdt in dat de bestuurder of de ambtenaar zich zodanig gedraagt dat hij ten opzichte van iedere burger, organisatie en instelling vrij blijft staan en zich zonder verplichtingen voelt.

3.2


Het management is verantwoordelijk voor de bedrijfsvoering van een ministerie. Onder bedrijfsvoering wordt verstaan de sturing en beheersing van de bedrijfsprocessen binnen een ministerie om de gestelde beleidsdoelstellingen te kunnen realiseren. Het betreft sturing en beheersing van zowel de primaire processen als van de processen die hiervoor faciliterend zijn (de zogenaamde ondersteunende processen).

De regeringsnota VBTB geeft als doelstelling aan dat de overheid op een open en transparante wijze inzicht geeft in de effectiviteit, doelmatigheid en rechtmatigheid van haar beleid en de uitvoering

3

Bedrijfskunde, jaargang 73, 2001 nr. 3. -6-


ervan. Hierbij is ook een grotere aandacht waar te nemen voor de wijze waarop de overheid haar taken uitvoert. Integer handelen vormt in dit kader een essentieel onderdeel van een goede sturing en beheersing van de bedrijfsvoering van een organisatie. De mate waarin bij een organisatie sprake is van “beheerste bedrijfsprocessen” kan in ernstige mate worden aangetast als de beheersing van de integriteit niet voldoende is. Het voeren van beleid om eraan bij te dragen dat medewerkers integer handelen is dus noodzakelijk voor de beheersing van de bedrijfsvoering. De ontwikkeling, toepassing en controle op de uitvoering van het integriteitsbeleid is maatwerk. De ministeries zijn zelf verantwoordelijk voor de wijze waarop zij het integriteitsbeleid, binnen hun organisatiecultuur, -structuur en -processen vormgeven, rekening houdend met het rijksbrede kader van het ministerie van BZK.

Een effectief integriteitsbeleid is mede van belang vanwege de schade die een integriteitsaantasting teweegbrengt: •

Een integriteitsaantasting binnen een enkel onderdeel van de overheid kan uitstralen naar de gehele overheid waardoor het vertrouwen van de burger in de gehele overheid verloren kan gaan;

•

Kleinere integriteitsaantastingen leiden tot grotere, indien geen correctiemechanisme in werking treedt;

•

Niet-integer gedrag van medewerkers lokt, indien er geen correctiemechanisme in werking treedt, soortgelijk gedrag op bij anderen.

Het management is verantwoordelijk voor de samenhang van het integriteitsbeleid. Doordat op verschillende terreinen maatregelen kunnen worden genomen (personeelsbeleid, organisatie/cultuur, administratieve organisatie/interne controle (AO/IC), beveiliging) bestaat het risico dat het integriteitsbeleid een versnipperd karakter krijgt. Het management zal in het kader van de strategische risicoanalyse per afdeling/proces een inschatting moeten maken van de risico’s die de organisatie loopt en welke impact deze risico’s hebben, indien inbreuk wordt gemaakt op de integriteit. Deze risicoanalyse leidt dan tot te nemen beheersingsmaatregelen. Afhankelijk van het soort risico wordt (een combinatie van) maatregelen getroffen op het gebied van personeelsbeleid, AO/IC, organisatie/cultuur en/of beveiliging. Bij de uitvoering van de risicoanalyse kan gebruik worden gemaakt van het “Handboek Integriteitsonderzoek” van de Algemene Inlichtingen en Veiligheidsdienst (AIVD). Dit is een instrument dat zich richt op inventarisatie van kwetsbaarheid, weerbaarheid en weerbaarheidsverhogende maatregelen waarmee organisaties zelfstandig aan de slag kunnen (de AIVD biedt hierbij het benodigde voorbeeldmateriaal en ondersteunende instrumenten aan).

Integriteitsbeleid is gericht op de beïnvloeding van het gedrag van de medewerkers. Deze beïnvloeding kan plaatsvinden door waarborgen in de structuur (regelgeving, aanwezigheid vertrouwenspersoon, etc.), in de processen (AO, werving en selectie, rapportage, etc.), maar vooral ook in de cultuur (normen en waarden van de organisatie). Het wel of niet nemen van een beheersingsmaatregel is een afweging tussen de kans dat het risico zich voordoet en de impact

-7-


daarvan ten opzichte van de kosten en het uiteindelijke effect van de beheersingsmaatregel. Daarbij moet worden gerealiseerd dat de cultuur vooral ook wordt beïnvloed door zogenaamde soft controls. Belangrijk is dat het (top)management duidelijke normen stelt over wat wel en niet kan (het zogenaamde “boundary system””). Het management heeft hierbij een belangrijke voorbeeldfunctie voor de medewerkers en zal de medewerkers hierop moeten aanspreken.

cultuur

integriteit

structuur

processen

Het management is verantwoordelijk voor het opzetten van een sturings - en beheersingssysteem dat met redelijke mate van zekerheid waarborgt dat de bedrijfsvoering beheerst wordt. De maatregelen van sturing en beheersing moeten worden ingebed in het management control systeem. Het geheel ondersteunt het management bij het dragen van zijn verantwoordelijkheden. Het management heeft pas enige zekerheid over de opzet, bestaan en werking van dit systeem als daarin een adequate kwaliteitsborging door middel van monitoring en auditing wordt ondergebracht. Monitoring vindt plaats als onderdeel van de eigen interne controle (IC) en controlfunctie. Met het laten uitvoeren van een onafhankelijke audit kan het management zich zekerheid verschaffen over de toereikendheid van het systeem naar opzet, bestaan en/of werking. In alle gevallen moeten degenen die de audit uitvoeren in een onafhankelijke positie verkeren om de audit onpartijdig en objectief te kunnen uitvoeren.

3.3

De rol van de auditor bij integriteit als onderdeel van de bedrijfsvoering

Het management kan de auditor opdracht geven een onderzoek in te stellen naar de door het management getroffen beheersingsmaatregelen in het kader van het integriteitsbeleid. Het gaat hier in feite om een bedrijfsvoeringsonderzoek dat is toegespitst op integriteit. Het beheersingsproces is onderwerp van onderzoek. De belangrijkste uitkomsten van de integriteitsaudit worden vastgelegd in de conclusieparagraaf van het auditorsrapport. De conclusies gaan afhankelijk van de opdracht over de opzet, het bestaan en/of de werking van de geïdentificeerde beheersingsmaatregelen in relatie tot integriteit. De conclusie bevat normaal gesproken een verslag van bevindingen van de audit. De eerste keer dat een integriteitsaudit wordt uitgevoerd kan deze worden gebruikt als nulmeting voor de stand van zaken met betrekking tot het integriteitsbeleid van een departement. Afhankelijk van deze nulmeting kunnen de vervolgaudits worden gepland.

-8-


In het kader van VBTB zal de verantwoording over de uitvoering van de bedrijfsprocessen als geheel plaatsvinden door het opnemen van een mededeling over de bedrijfsvoering in het departementale jaarverslag door de minister. Op basis van het sturings- en beheersingssysteem van het integriteitsbeleid en de audit die heeft plaatsgevonden naar opzet, bestaan en/of werking van het systeem, is het denkbaar dat in de nabije toekomst de minister in de bedrijfsvoeringsmededeling verantwoording gaat afleggen over het integriteitsbeleid als onderdeel van de bedrijfsvoering. In deze mededeling wordt, onder verwijzing naar het van toepassing zijnde normenkader, ingegaan op:

1) de punten van aandacht die gedurende de uitvoering van bedrijfsprocessen naar voren zijn gekomen, evenals de daarvoor te treffen verbetermaatregelen; 2) (indien gewenst) bijzondere risico’s bij bepaalde processen en/of belangrijke kwaliteitsverbeteringen binnen de bedrijfsvoering. De auditdienst dient de financiële informatie in het departementale jaarverslag te certificeren. De auditdienst geeft met de accountantsverklaring géén oordeel over de deugdelijke totstandkoming van niet-financiële informatie (inclusief de mededeling over de bedrijfsvoering). De auditdienst informeert de departementsleiding over de tekortkomingen in het proces van totstandkoming van niet-financiële informatie in het zogenaamde rapport van bevindingen dat gelijktijdig met de accountantsverklaring wordt uitgebracht. In de mededeling over de bedrijfsvoering zal eventueel een passage zijn opgenomen waarin de minister aangeeft in hoeverre bij het departement op het punt van het integriteitsbeleid sprake is van een beheerst bedrijfsproces. Daarbij kan de minister zich overigens mede baseren op de uitkomsten van de uitgevoerde integriteitsaudits.

-9-


Integriteit als onderdeel van de bedrijfsvoering en de rol van de auditor daarbij

Uitgangspunten van sturing en beheersing (bedrijfsvoering)

Strategische risicoanalyse door het management

Keuze van de beheersingsmaatregelen gericht op integriteit

Monitoring van de bedrijfsvoering binnen de P & C cyclus

Audit over de kwaliteit van de getroffen beheersmaatregelen dan wel over de kwaliteit van een integriteitsrapportage

Verantwoording d.m.v. een mededeling over de bedrijfsvoering van de minister

Audit naar ordelijke en controleerbare totstandkoming van de mededeling over de bedrijfsvoering

- 10 -

Ontwikkelingsstadia integriteitsbeleid en de rol van de actoren

4

De ontwikkelingsstadia van het integriteitsbeleid en de rol van de onderscheiden actoren daarin

4.1

Inleiding

In dit hoofdstuk wordt op hoofdlijnen ingegaan op de verschillende ontwikkelingsstadia van het departementale integriteitsbeleid en de rol van de verschillende actoren in de onderscheiden stadia van deze cyclus. De belangrijkste betrokkenen bij de cyclus zijn het ministerie van BZK, het departementale management en de auditor. Een ministerie kan zich wat betreft het gevoerde integriteitsbeleid in een minder of meer gevorderd stadium bevinden. Daarbij is het vertrekstadium voor ieder departement het rijksbrede integriteitsbeleid en de weten regelgeving. Vervolgens worden de volgende stadia doorlopen: •

het bewustwordingsstadium: bepalen of aanpassen van de departementale integriteitsrisico’s en de ontwikkeling of de aanpassing van een departementaal integriteitsbeleid;

•

het implementatiestadium: treffen van departementale integriteitsmaatregelen;

•

het stadium van borging en evaluatie: handhaving van het departementale integriteitsbeleid.

De stadia vormen samen een cyclus. Dat houdt in dat er in principe geen formeel begin en geen einde is, met andere woorden er is sprake van een continu proces. Dit komt mede, omdat de interne en externe omgeving (en dus ook het beleid, de weten regelgeving) en de inherente integriteitsrisico’s voortdurend veranderen.

Het is de verantwoordelijkheid van het departementale management zorg te dragen voor een goede waarborging van integriteit. Dit vereist onder andere een geregelde evaluatie van het integriteitsbeleid.

4.2

Het vertrekstadium (uitgangspunten en randvoorwaarden)

In de rol van sectorwerkgever voor het Rijk treedt de minister van BZK voor het integriteitsbeleid coördinerend op. Het uitgangspunt hierbij is dat de departementen primair zelf verantwoordelijk zijn voor het zorgdragen voor een integere organisatie. Zij zijn verantwoordelijk voor de uitvoering, het toezicht en de handhaving van het integriteitsbeleid bij hun departement. De coördinerende rol van BZK is te betitelen als kaderstellend en stimulerend. Kaders zijn te vinden in de door BZK geformuleerde weten regelgeving die voor de sector Rijk geldt. Binnen deze kaders kunnen de departementen eigen beleidsregels opstellen die zijn toegesneden op specifieke situaties. De stimulerende rol behelst het faciliteren en initiëren van kennisuitwisseling tussen de departementen op het terrein van integriteitsbeleid. Het ministerie van BZK past het rijksbrede integriteitsbeleid aan naar aanleiding van wijzigingen in de interne en externe omgeving van het rijk en bereidt aanpassingen in de weten regelgeving betreffende integriteit voor in overleg met de departementen – onder andere via het

- 11 -


Interdepartementaal Contactorgaan Personeelsdiensten Rijksdienst (ICPR) - en legt dit geheel voor aan het parlement. De weten regelgeving en het daarmee samenhangende kabinetsbeleid is het uitgangspunt en de randvoorwaarde voor alle andere onderdelen van de cyclus. Vanuit hun kennis en ervaring met integriteits- (en andere) audits kunnen de auditors in de toekomst (al dan niet via het IODAD) naast de ICPR (zoals nu al gebeurt) BZK adviseren op het punt van controleerbaarheid en uitvoerbaarheid van de rijksbrede wet - en regelgeving.

4.3

Het stadium van bewustwording

Uitgaande van de rijksbrede weten regelgeving betreffende integriteitsbeleid moet het management transparant maken welke algemene en specifieke integriteitsrisico’s de eigen overheidsorganisatie loopt. Deze inventarisatie is nodig om effectief en efficiënt beleid te kunnen ontwikkelen om de risico’s op een aanvaardbaar niveau te brengen of te houden. Zo bereikt dan wel behoudt de organisatie een zo groot mogelijke weerbaarheid tegen integriteitsinbreuken. Bij deze inventarisatie kan zoals eerder opgemerkt gebruik worden gemaakt van het “Handboek Integriteitsonderzoek“ van de AIVD. Een auditor moet, gezien de bij zijn overige werkzaamheden opgedane kennis van de organisatie, bij uitstek in staat worden geacht om het management van overheidsorganisaties hierbij te adviseren.

Op basis van de geïnventariseerde integriteitsrisico’s zal het management beleid gaan formuleren om de integriteitsrisico’s te beheersen. Het management kan hierbij aansluiten op de drie W-vragen uit VBTB: 1.

Wat willen we bereiken (met het integriteitsbeleid)?

2.

Wat gaan we daarvoor doen?

3.

Wat gaat het kosten?

Conform de VBTB -systematiek zal over deze vragen verantwoording kunnen worden afgelegd in het (sociaal) jaarverslag van het departement en overkoepelend in het sociaal jaarverslag van het Rijk (uitzonderingsrapportage).

Niet vaak zal het mogelijk zijn om (tegen aanvaardbare kosten) een integriteitsrisico geheel tot nul te reduceren. Dat betekent dat bij vrijwel alle risico’s een afweging moet worden gemaakt. Risico’s zullen daar waar mogelijk ook in hun onderlinge samenhang moeten worden bekeken. Het gaat om vragen zoals: 4

1.

Binnen welke marges spreken we nog van een aanvaardbaar restrisico ?

2.

Welke combinatie van maatregelen gebruiken we om dat restrisico te benaderen?

Maar minstens zo belangrijk zijn de volgende vragen: 3.

Hoe zorgen we voor bewustwording en commitment binnen de organisatie?

4.

Hoe zorgen we voor de juiste cultuur binnen de organisatie?

5.

Met wat voor maatregelen willen we ervoor gaan zorgen dat de handhaving gewaarborgd is?

4

Het complement van het restrisico is het gewenste integriteitsniveau.

- 12 -


In het bewustwordingsstadium staat de vraag centraal wat integriteit nu eigenlijk betekent en op welke wijze hieraan invulling kan worden gegeven binnen de organisatie. Het signaleren van integriteitsrisico’s en het treffen van maatregelen om integriteitsinbreuken te voorkomen is – zoals gezegd – primair een verantwoordelijkheid van het management. Bij het definiëren en inschatten van integriteitsrisico’s zal de auditor nagaan of de organisatie zelf een inschatting heeft gemaakt van de integriteitsrisico’s, daarbij passende beheersingsmaatregelen heeft getroffen en ter zake een (geschreven) integriteitsbeleid heeft. De auditor zal dus moeten bezien welke activi teiten het management op dit punt heeft verricht en wat de uitkomsten daarvan zijn.

De activiteiten van de auditor zullen hierbij primair zijn gericht op ondersteuning van het management, door het in kaart brengen van mogelijke opties voor het bepalen van een integriteitsbeleid, door te wijzen op handhavingsaspecten en door te beoordelen of het beoogde integriteitsbeleid leidt tot de door het management geformuleerde doelstellingen et cetera.

4.4

Het stadium van implementatie

Het volgende stadium in de ontwikkelingscyclus van het integriteitsbeleid is dat het door het management geformuleerde beleid wordt geïmplementeerd. Alle maatregelen zullen uitgewerkt moeten worden. Een voorbeeld hiervan is een gedragscode die uitgeschreven moet worden en zijn plaats moet krijgen in de interne voorschriften, bijv. doorvertaald in het personeelsbeleid (bij aanname, functieomschrijvingen, beoordelingsgesprekken, etc.) en in het handhavingsbeleid (toezicht op naleving, sancties bij niet-naleving, etc.). Maar bij uitwerken alleen kan het natuurlijk niet blijven. De maatregelen moeten een levend en vanzelfsprekend geheel binnen de organisatie zijn. Integriteit is zowel een kwestie van cultuur als een kwestie van maatregelen. Zoals eerder is aangegeven speelt het (top)management van de organisatie hierbij een belangrijke rol. Iedere individuele medewerker moet de tijd en ruimte krijgen om zich af te vragen wat hij of zij moet veranderen en wat in zijn of haar omgeving dient te veranderen om de organisatie op het gewenste integriteitsniveau te brengen. Bij de invulling en uitwerking van de handhavingsmaatregelen zal wederom bekeken worden in hoeverre aangesloten kan en moet worden op de P&C-cyclus van het departement.

Indien de organisatie van het bewustwordingsstadium is overgegaan naar het implementatiestadium, verandert ook de functie van de audit. In concreto gaat het dan om beoordeling van en advisering over het geïmplementeerde integriteitsbeleid en de getroffen beheersingsmaatregelen. Hierbij zullen de sterke en zwakke punten in de inbedding en de werking van het integriteitsbeleid in organisatie worden beoordeeld. In dit verband is het belangrijk er ook rekening mee te houden dat cultuur wat anders is dan alleen het nemen van maatregelen. Dit betekent dat passende maatregelen alleen geen zekerheid geeft dat alles onder controle is. De werking van de maatregelen kan vrijwel alleen op indirecte wijze worden gemeten door middel van observatie, vergelijking en gebruik van vragenlijsten.

- 13 -


Daarom ook is het van belang dat de audit wordt uitgevoerd door een multidisciplinair team met aandacht voor de cultuurelementen.

4.5

Het stadium van borging en evaluatie

Het laatste stadium van de cyclus omvat de borging en evaluatie (handhaving) van het gewenste integriteitsniveau. In het stadium van borging en evaluatie heeft het integriteitsbeleid zich ontwikkeld tot een volwaardig element in de P&C-cyclus en is ingebed in het management control systeem. Het management wordt met behulp van een monitoringsysteem periodiek geïnformeerd over de voortgang en de effecten van de maatregelen die het heeft laten treffen. Bovendien wordt het management geïnformeerd of, gegeven veranderingen in de interne en/of externe omgeving, nieuwe risico’s ontstaan dan wel oude risico’s verdwijnen (en de daarop van toepassing zijnde maatregelen wellicht overbodig zijn geworden). Het management zal vanzelfsprekend alleen betekenis kunnen ontlenen aan de rapportages, wanneer de informatie die daar in staat de werkelijkheid deugdelijk weer geeft. Een beoordeling door een auditor verschaft hem de gewenste zekerheid (assurance). Indien de audit uitwijst dat de getroffen beheersingsmaatregelen in opzet van voldoende kwaliteit zijn, zal ten behoeve van het testen van de juiste en volledige werking van deze maatregelen een testplan worden opgesteld en uitgevoerd. De test op de werking zal in ieder geval gericht moeten zijn op de beheersingsmaatregelen die in belangrijke mate (worden geacht) bij (te) dragen aan de reductie van het integriteitsrisico en/of aan te merken zijn als maatregelen die het karakter hebben van (c.q. vergelijkbaar zijn met) onvervangbare maatregelen van interne controle. Ook hierbij moet, net als in het stadium van implementatie, de kanttekening worden gemaakt dat cultuur anders is dan alleen het nemen van maatregelen.

In dit stadium kan de auditor zijn aandacht richten op de wijze van borging en evaluatie van het integriteitsbeleid en de wijze van verslaglegging daarover. Aan de uitvoerder van de audit kan door het management worden gevraagd daarover assurance te verlenen via een specifiek (bedrijfsvoerings)onderzoek ten aanzien van de naleving het integriteitsbeleid. Verder komt in dit stadium ook de beoordeling van informatieprocessen (uitkomsten van het integriteitsbeleid) meer pregnant naar voren als onderdeel van de werkzaamheden van de auditor. Wanneer de uitkomst van zo’n beoordeling leidt tot het signaleren van een of meerdere knelpunten, kan de auditor ook adviseren hoe deze knelpunten kunnen worden opgelost (waarmee de hiervoor beschreven cyclus van de ontwikkelingsstadia opnieuw aanvangt: bewustwording, implementatie, borging en evaluatie).

- 14 -


ONTWIKKELINGSSTADIA INTEGRITEITSBELEID “CYCLUS” Vertrekpunt

Bewustwording

Implementatie

Borging

Evaluatie knelpunt

geen knelpunt

In de P&C-cyclus zal binnen het ministerie aandacht worden besteed aan de uitkomsten van deze integriteitsaudits. Het management zal vervolgens nagaan of het behoefte heeft aan aanvullende audits dan wel een uitbreiding van de opdracht. Ook behoort in het geval van specifieke signalen van inbreuk op de integriteit een intern (vervolg)onderzoek al dan niet aangevuld met een forensisch onderzoek tot de mogelijkheden.

Het voorgaande is in het volgende schema weergeven. Dit schema bevat de verschillende ontwikkelingsstadia van het departementale integriteitsbeleid en de rol van de verschillende actoren in de onderscheiden stadia van deze cyclus. De actoren zijn in dit geval het departementale management en de auditors.

- 15 -

Schema van de ontwikkelingsstadia van het integriteitsbeleid en de rol van de onderscheiden actoren daarin de actoren

Rol management (beslissen)

mogelijke rol auditor (adviseren en beoordelen)

stadia van de cyclus •

1. • •

1. Vertrekpunt (basis): Rijksbreed integriteitsbeleid; weten regelgeving op het gebied van integriteit Bewustwording: Integriteitsrisico’s Integriteitsbeleid (opzet)

•

Ministerie van BZK is verantwoordelijk voor de totstandkoming van het rijksbrede • integriteitsbeleid en de rijksbrede weten regelgeving.

•

inventariseren en vastleggen van de integriteitsrisico’s mede o.b.v. rijksbreed integriteitsbeleid, weten regelgeving (zie ook “Handboek Integriteitsonderzoek” van de AIVD); bepalen welke integriteitsrisico’s het departement op welke wijze wil afdekken; handhavingsbeleid bepalen; vaststellen en onder de aandacht van alle betrokkenen brengen (bewustwording en commitment). Auditbeleid invullen binnen de kaders die het audit committee voor het departement heeft vastgesteld.

•

opstellen van (interne) regelgeving (o.b.v. wetgeving); opstellen van gedragscodes; doorvertalen van regels en gedragscodes in werkinstructies; doorvertalen van regels en gedragscodes in het personeelsbeleid (bij aanname, in functieomschrijvingen en in beoordelingsgesprekken; aanwijzen wie in de organisatie verantwoordelijk is/zijn voor de handhaving; instructies opstellen voor degenen die op uitvoerend niveau voor de handhaving zorgen. opstellen van de planning en control van de uitvoering van het integriteitsbeleid (incl. een goed werkend monitorsysteem); opdrachtverlening voor de integriteitsaudit; bepalen vorm van de uitkomst van de integriteitsaudit (verslag van bevindingen of een beoordeling); bepalen structuur voor de rapportagecyclus (frequentie, vorm, afstemming, geadresseerden, opdrachtgever, etc.); bewaken van de follow up van de bevindingen voor zover noodzakelijk.

•

• • • •

2. •

Implementatie: Maatregelen (bestaan)

• • • • • •

3. •

Borging en evaluatie: Handhaving (werking)

• • • • •

- 16 -

• • •

• •

•

in IODAD-verband adviseren (van BZK) over uitvoerbaarheid en controleerbaarheid van deze weten regelgeving.

het management ondersteunen bij het inventariseren en vastleggen van integriteitsrisico’s; adviseren over de verschillende opties voor het bepalen· van een integriteitsbeleid; adviseren over de verschillende opties bij het bepalen van het handhavingsbeleid; beoordelen of het beoogde integriteitsbeleid leidt tot het door het management beoogde doel (beoordeling van de opzet). adviseren over de inhoud en het samenstel van de te treffen maatregelen; aanbieden van best practices; beoordelen of het voorgenomen pakket van maatregelen, wanneer het deugdelijk wordt ingevoerd, kan leiden tot het door het management beoogde doel (beoordeling van opzet en bestaan).

uitvoering van een integrale integriteitsaudit in opdracht van het management (beoordeling van opzet, bestaan en werking).

(Organisatorische) opzet en uitvoering van de integriteitsaudit

5


5.1

Inleiding

Op basis van de aan de auditor verstrekte opdracht zal voor elk uit te voeren onderzoek de integriteitsaudit nader ingevuld moeten worden. Het specifiek maken van de opdracht en het onderzoeksplan is belangrijk voor de klantgerichtheid en kwaliteitsbewaking. Bij het concretiseren van een opdracht komen onder meer de volgende aspecten aan de orde: •

de aard en de reikwijdte van de verstrekte opdracht (bijv. een nulmeting of een gericht onderzoek naar de werking van enkele beheersingsmaatregelen);

•

het ontwikkelingsstadium van het integriteitsbeleid waarin de organisatie zich bevindt (bewustwording, implementatie of borging/evaluatie);

•

de wijze waarop de audit tijdens het onderzoek wordt afgestemd met en teruggekoppeld aan de opdrachtgever. Wanneer het integriteitsbeleid en de invoering ervan volop in ontwikkeling zijn, is regelmatige terugkoppeling extra van belang;

•

het departementale integriteitsbeleid – als onderdeel van de bedrijfsvoering – en de ter uitwerking daarvan opgestelde (uitvoerings)voorschriften en richtlijnen;

•

de besturingsvisie van een organisatie;

•

de wenselijkheid van een onafhankelijk oordeel over de opzet, dan wel het bestaan, dan wel de werking van het integriteitsbeleid;

•

de recente stand van zaken betreffende algemene en specifieke weten regelgeving op het gebied van integriteit.

Belangrijk uitgangspunt voor de in deze handreiking beschreven aanpak is dat de besturing van het ministerie plaatsvindt op basis van een procesgerichte risicoanalyse door het management. Het referentiekader mededeling over de bedrijfsvoering beschrijft de uitgangspunten voor de invulling van de risicoanalyse door het management als instrument voor de systematische afweging van het departementale management om te komen tot het wegnemen of verkleinen van risico’s met betrekking tot het bereiken van beleidsdoelstellingen via de bedrijfsvoering (het nemen van interne beheersingsmaatregelen). Het gehele samenstel van de door het management getroffen interne beheersingsmaatregelen wordt het interne beheersingssysteem (of management control systeem) genoemd.

- 17 -


De opzet en uitvoering van de integriteitsaudit omvat de volgende stappen: 1) totstandkoming auditopdracht; 2) samenstelling onderzoeksteam; 3) omgevingsanalyse; 4) procesanalyse; 5) specifieke vervolgwerkzaamheden; 6) evaluatie bevindingen (afsluiting en oordeelsvorming); 7) uitbrengen auditrapport; 8) documentatie.

Deze stappen worden hieronder achtereenvolgens toegelicht. De onderlinge samenhang van deze stappen blijkt uit het schematisch overzicht dat aan het eind van dit hoofdstuk is opgenomen. Ter ondersteuning van concrete onderzoeksactiviteiten voorziet de integriteitsaudit in een aantal vragenlijsten. Uiteraard dienen deze - afhankelijk van de onderzoeksopdracht - nader ingevuld te worden.

5.2

Totstandkoming auditopdracht

De auditor én de opdrachtgever moeten een goed beeld hebben van wat de opdracht precies inhoudt en wat ermee wordt beoogd. De auditor zal starten met een bespreking met de opdrachtgever over het doel, de aard en de reikwijdte van het onderzoek en aan wie gerapporteerd moet worden. Dit overleg is met name van belang om te voorkomen dat er verkeerde verwachtingen ontstaan. Hierbij is belangrijk of het onderzoek alleen ter ondersteuning is van het management van de organisatie (adviseringsinstrument) of dat bijvoorbeeld ook een onafhankelijk oordeel in de vorm van een mededeling aan de departementsleiding moet worden gegeven (beoordelingsinstrument). Dit onderdeel moet resulteren in een opdrachtbevestiging. Bij het bepalen van de opdracht is ook van belang in welk ontwikkelingsstadium het departementale integriteitsbeleid zich bevindt; dit heeft immers invloed op de auditaanpak (zie hoofdstuk 4).

5.3

Samenstelling onderzoeksteam

De samenstelling van het onderzoeksteam moet zijn afgestemd op de aard van de opdracht en het onderzoekplan. De samenstelling van het auditteam is afhankelijk van de specifieke omstandigheden bij iedere individuele opdracht. Iedere discipline die onmisbaar is voor de goede uitvoering van de audit dient in het team te worden opgenomen. Op diverse plaatsen in deze handreiking is het gememoreerd: integriteit is niet uitsluitend te vangen in regels en maatregelen, het is ook een kwestie van de juiste cultuur. Normen kunnen vaak wel in goed toetsbare regels en maatregelen worden vertaald. Waarden zijn echter moeilijk meetbaar. Het lijkt daarom voor de hand te liggen om in ieder team, dat een integriteitsaudit uitvoert, een deskundige op te nemen die de meer gedragswetenschappelijke kant van de integriteit binnen de organisatie beoordeelt. Daarnaast is multidisciplinaire deskundigheid nodig voor een juiste interpretatie van weten regelgeving en het beoordelen van de kwaliteit van de beheersingsmaatregelen.

- 18 -


Dit betekent dat integriteitsaudits zich bij uitstek lenen voor een multidisciplinair onderzoeksteam c.q. een bemensing vanuit een virtuele auditpool. Afhankelijk van het aandachtsgebied dat wordt onderzocht kunnen, naast de accountant en overige medewerkers van de departementale accountantsdienst, medewerkers worden ingeschakeld van de Directie Financieel-Economische Zaken (AO/IC), van de directie Personeel en Organisatie (personeelsmanagement), van ICT (informatiebeveiliging) en de afdeling Beveiliging en van de afdeling Kwaliteitszorg en/of van een beleidsdirectie van het desbetreffende beleidsveld (organisatie/cultuur). Ook kan specifieke deskundigheid worden ingebracht door juristen, psychologen of voorlichters. De belangrijkste bijdrage die de accountant kan leveren is zijn ervaring met het uitvoeren van audits en zijn ervaring op terreinen als AO/IC, misbruik en oneigenlijk gebruik. Verder wordt hij algemeen erkend als een onafhankelijk en onpartijdig deskundige. Dit is met name van belang als van de onderzoeker een expliciet oordeel wordt verlangd.

5.4

De centrale plaats en de doelstellingen van omgevings- en procesanalyse

Zoals uit het schema blijkt vormen de omgevingsanalyse en de procesanalyse een belangrijke rol bij het vertrekpunt van de integriteitsaudit. Beide analyses bieden de auditdienst inzicht in: •

de doelstellingen die het ministerie t.a.v. integriteit nastreeft en de omgeving waarin dit gebeurt;

•

de (interne en externe) risico’s ten aanzien van het realiseren van deze doelstellingen;

•

de gevolgen en de significantie van deze risico’s voor de inrichting en uitkomsten van de processen (activiteiten/prestaties), de bedrijfsvoering en het jaarverslag;

•

de beheersingsmaat regelen die het departement heeft getroffen om deze risico’s af te dek ken.

De omgevingsanalyse heeft tot doel te komen tot kennis van de besturings- en beheersingsomgeving (understanding the business) en daaraan een globale richtinggevende risico-inschatting te koppelen. Deze risico-inschatting is van belang voor de oriëntatie en de verdere invulling van de integriteitsaudit. De auditdienst zal de omgevingsanalyse en de proces analyse mede baseren op de uitkomsten van de door het (lijn)management uitgevoerde risicoanalyses en de op grond daarvan door het (lijn)management getroffen beheersingsmaatregelen. In het Handboek departementale auditdiensten wordt in dat verband uitgegaan van het volgende model en daarbij behorende terminologie:

1) het departementale management bepaalt de na te streven beleidsdoelstellingen en verricht in dat verband een risicoanalyse om systematisch inzicht te verkrijgen in de factoren die de realisatie van de beleidsdoelstellingen in de weg kunnen staan; 2) de departementale auditdienst verricht in het kader van de uitvoering van zijn audit een omgevingsanalyse en een procesanalyse; 3) in het kader van de omgevings- en procesanalyse verricht de auditdienst een risico-evaluatie (in het kader van de omgevingsanalyse op het niveau van het departement als geheel en in het kader van de procesanalyse op het niveau van de afzonderlijke processen). Deze risico-

- 19 -


evaluaties hebben tot doel richting en inhoud te geven aan het door de auditdienst uit te voeren onderzoek.

5.5

Omgevingsanalyse

Om te komen tot een op de organisatie toegesneden onderzoeksaanpak moet inzicht worden verkregen in de aard, de activiteiten en de bedrijfsprocessen van de organisatie. Dit gebeurt in het kader van de omgevingsanalyse die de auditor verricht. Hiertoe worden onder meer interviews gehouden met het management en personeel van de organisatie en wordt kennis genomen van: •

het jaarplan en het jaarverslag (inclusief de verantwoording) van de organisatie;

•

het organisatie- en formatierapport;

•

de managementletters en de accountantsrapporten (waaronder ook rapporten van de operational en EDP-auditors) alsmede de follow up van de adviezen die in de rapporten zijn opgenomen. Voor zover aanwezig ook de rapporten van de Algemene Rekenkamer en de financieel-beheerbrieven van het Ministerie van Financiën;

•

het integriteitsbeleid (voor zover aanwezig);

•

het beveiligingsplan en rapportages omtrent de beveiliging;

•

de externe partijen van de organisatie alsmede de belangen van deze externe partijen;

Verder strekt het tot aanbeveling goed rond te kijken in de organisatie. Het is zinvol om voor de hand liggende documenten van tevoren op te vragen, zodat de interviews niet onnodig belast worden met vragen naar de bekende weg of het opzoeken van reguliere documenten.

Het uitgangspunt van de omgevingsanalyse wordt gevormd door de integriteitsdoelstellingen die het departement(sonderdeel) zich uitgaande van de rijksbrede regels heeft gesteld. Het verantwoordelijke management moet zelf zijn doelstellingen helder maken en in dat verband zijn strategische risicoanalyse verrichten. De strategische risicoanalyse is nodig om effectief en efficiënt beleid te ontwikkelen om de risico’s op een aanvaardbaar niveau te brengen of te houden, opdat de organisatie een zo groot mogelijke weerbaarheid tegen integriteitsinbreuken bereikt dan wel behoudt. 5

De auditor kan deze risicoanalyse als vertrekpunt voor zijn omgevi ngsanalyse hanteren. Het verrichten van de strategische risicoanalyse is en blijft primair een verantwoordelijkheid van het departementale (lijn)management. Het management moet – gegeven de geformuleerde integriteitsdoelstellingen – beslissen welke beheersingsmaatregelen genomen moeten worden. De auditor kan van de door het management verrichte strategische risicoanalyse gebruik maken. Hij moet daartoe bezien welke activi teiten het management op dit punt heeft verricht en wat daarvan de uitkomsten zijn.

5

Ter verduidelijking van het gehanteerde begrippenkader zij het volgende opgemerkt: 1. het management verricht een strategische risicoanalyse om systematisch inzicht te verkrijgen in de factoren die de realisatie van de beleidsdoelstellingen in de weg kunnen staan; 2. de auditdienst verricht een omgevingsanalyse en een procesanalyse.

- 20 -


Voor zijn omgevingsanalyse maakt de auditor gebruik van de door het departement geformuleerde: •

doelstellingen die het ministerie nastreeft, het belang van het aspect integriteit daarbij en de omgeving waarin dit gebeurt;

•

(interne en externe) risico’s ten aanzien van het realiseren van de integriteitsdoelstellingen;

•

gevolgen en de significantie van integriteitsrisico’s voor de activiteiten/prestaties, de bedrijfsvoering en het jaarverslag.

Tijdens de omgevingsanalyse zal specifiek moeten worden ingegaan op de wijze waarop het besluitvormingsproces en het management control systeem is ingericht en in hoeverre sprake is van aanwezigheid van sleutelfunctionarissen. Verder wordt nagegaan of er een gedragscode is opgesteld. Als er geen gedragscode aanwezig is kan gevraagd worden naar de visie van het management hieromtrent. Nagegaan wordt of er een registratie aanwezig is van integriteitsinbreuken. Voor zover deze niet aanwezig is kan gevraagd worden naar incidenten die zich hebben voorgedaan. Tevens wordt nagegaan aan de hand van managementletters en accountantsrapporten of er gebreken in de AO/IC zijn die integriteitsrisico’s kunnen inhouden (bijvoorbeeld gebreken in de betaalorganisatie).

Bij de omgevingsanalyse worden samenvattend de volgende stappen doorlopen: 1) verkrijgen van algemeen inzicht in de organisatie en haar omgeving, in het bijzonder wat betreft strategie, doelstellingen, ontwikkelingen en plannen; beoordelen van de cultuur (attitude) ten aanzien van het omgaan met integriteitsrisico’s; 2) identificeren van de strategische integriteitsrisico’s die het management onderkent en bepalen van de gevolgen en de signifi cantie voor de bedrijfsvoering; 3) identificeren van de vanuit het oogpunt van integriteitsinbreuken significante activi teiten, transactiestromen/standen en gerelateerde ‘business controls’; 4) selecteren van de relevante (sub)processen en plannen van de procesanalyse (zie hierna).

Bij het integriteitsbeleid gaat het om het identificeren van integriteitsrisico’s binnen een organisatie. Deze risico’s zijn groter indien sprake is van kwetsbare werkgebieden - zoals uitbesteden van opdrachten - en kunnen zich voordoen in specifieke omstandigheden, zoals contacten met derden (werkbezoeken, het aannemen van geschenken en het vervullen van nevenfuncties). Maatregelen die in het kader van het integriteitsbeleid worden genomen richten zich veelal op deze kwetsbare handelingen. Deze maatregelen kunnen betrekking hebben op de organisatie/cultuur, de administratieve organisatie/interne controle (AO/IC), het personeelsbeleid en het beveiligingsbeleid. Op deze gebieden kunnen “aandachtspunten integriteit” worden geformuleerd gericht op de structuur, de processen en de cultuur van een organisatie, die tezamen het rijksbrede toetsingskader integriteitsbeleid vormen. In hoofdstuk 6 wordt dit rijksbrede toetsingskader verder uitgewerkt.

- 21 -


5.6

Procesanalyse

De auditor zal nagaan aan de hand van interviews en bestaande documentatie waaronder integriteitsplan, gedragscodes, beveiligingsmaatregelen, AO/IC beschrijvingen (functiescheiding, bevoegdheden en taakverdeling), personeelsbeleid e.d. of er beheersingsmaatregelen getroffen zijn om de integriteitsrisico’s te mitigeren. Dit gebeurt in de fase van de procesanalyse. De processen, waarbij een risico met significante impact op de bedrijfsvoering wordt onderkend, komen in aanmerking voor een onderzoek in de fase van de procesanalyse. NB De term “significant” (veelbetekenend, opvallend) heeft een ruimer toepassingsgebied dan het begrip “materieel” (aanzienlijk, omvangrijk). Materialiteit wordt veelal alleen gehanteerd in relatie tot de financiële verantwoording en niet tot het (brede) gebied van de bedrijfsvoering. Significant hoeft derhalve niet materieel te zijn. Bij de procesanalyse worden de beleidsinhoudelijke (bedrijfs- en uitvoerings)processen beoordeeld. De audit zal bij de proces beoordeling niet alle processen voor de volle 100% kunnen afdekken. Er zal derhalve een selectie moeten worden gemaakt van de processen die in een bepaald jaar in de audit doorgelicht zullen worden (roulerend-cyclische aanpak)., met een accent op de vanuit het oogpunt van integriteit significante processen.

Bij de audit worden in dit stadium van het integriteitsbeleid de volgende stappen doorlopen: •

opstellen plan van aanpak voor het procesgerichte integriteitsonderzoek;

•

verkrijgen inzicht in de integriteitsaspecten van het bedrijfsproces, hun plaats in de procesdoelstellingen en de daarbij relevante informatiesystemen;

•

identificeren van de beheersingsmaatregelen die ten aanzien van het integriteitsbeleid zijn getroffen en beoordeling van de restrisico’s;

•

verrichten van een risico-evaluatie;

•

evalueren van de uitkomsten, plannen van de systeemtests en/of toetsen van de werking van de getroffen integriteitsmaatregelen.

Als onderdeel van de procesanalyse zal de auditor nagaan of de opzet van het stelsel van integriteitsmaatregelen adequaat is. Ten behoeve van de uitvoering van de integriteitsaudit zullen vragenlijsten moeten worden opgesteld.

De auditor zal onder meer aan de hand van interviews, integriteitsplannen, gedragscodes, beveiligingsmaatregelen, AO/IC-beschrijvingen, etc. beoordelen of er afdoende maatregelen zijn getroffen om de door het management benoemde integriteitsrisico’s af te dekken. Mochten belangrijke maatregelen ontbreken, dan zal de auditor in zijn rapportage aan het management aanbevelingen doen voor te treffen verbeteracties.

Als uitkomst van de omgevingsanalyse en de procesanalyse worden integriteitsrisico’s en significante transactiestromen en processen en hun eventuele gevolgen voor de bedrijfsvoering vastgelegd.

- 22 -


Hierbij wordt de koppeling naar het proces gelegd waarin het gesignaleerde risico moet worden beheerst.

5.7

Specifieke vervolgwerkzaamheden

Uit de omgevingsanalyse en de procesanalyse is de auditor duidelijk geworden welke integriteitsrisico’s aanwezig zijn en welke beheersingsmaatregelen getroffen zijn. In het vervolg van de audit zal duidelijk moeten worden wat de kans is dat een integriteitsrisico zich voordoet en of de beheersingsmaatregelen - gegeven het risico - afdoende werken. Hierbij moet een verdiepingsslag worden gemaakt met behulp van expliciete vragen. Zo dienen de essentiële beheersingsmaatregelen op hun werking getoetst te worden. Dit gebeurt als onderdeel van de zogeheten specifieke vervolgwerkzaamheden die in het kader van de integriteitsaudit volgend op de omgevingsanalyse en de procesanalyse moeten worden verricht.

De auditor stelt een nader auditprogramma op voor het uitvoeren van deze specifieke vervolgwerkzaamheden. Gegeven de onderzoeksopdracht zal in het onderzoeksplan zijn aangegeven welke beheersingsmaatregelen hij zal toetsen en op welke wijze hij deze toetsing zal inrichten, bijvoorbeeld via interviews, het kennisnemen van notulen en besprekingsverslagen, het uitvoeren van systeemtesten gericht op de naleving van de beheersingsmaatregelen, onderzoek naar uiterlijke kenmerken op documenten en dossieronderzoek. Belangrijk is dat de auditor in de vorige fase mogelijk zijn huiswerk goed heeft gedaan, zodat hij in deze fase met gerichte vragen aan de slag kan en zonodig kan doorvragen. In het onderzoeksplan is vermeld welke personen van de organisatie de onderzoeker wil interviewen. Ten behoeve van de uitvoering van het onderzoek zullen vragenlijsten worden opgesteld. Voor zover er standaardvragenlijsten zijn, zullen deze nader geconcretiseerd moeten worden.

5.8

Evaluatie bevindingen

In de evaluatiefase worden de bevindingen geëvalueerd en kan een totaaloordeel worden gevormd. Het resultaat hiervan is een evaluatiememorandum. In het kader van de kwaliteitsbewaking verdient het aanbeveling om een andere auditor, die geen deel uitmaakt van het onderzoeksteam, de uitvoering van het onderzoek te laten beoordelen. Hierbij zal de medebeoordelend auditor ook moeten nagaan of de bevindingen van het onderzoek de getrokken conclusies rechtvaardigen.

5.9

Uitbrengen auditrapport

Het rapport zal in overeenstemming moeten zijn met de opdracht zoals overeengekomen met de opdrachtgever. Als een accountant deel uitmaakt van het onderzoeksteam en deze niet de eindverantwoordelijkheid draagt, zullen afspraken moeten worden gemaakt over de ondertekening en de wijze van uitbrengen van het rapport. De accountant is ook bij integriteitsaudits gehouden aan vaktechnische eisen en de voor accountants geldende gedrags- en beroepsregels.

- 23 -


Het rapport kan als volgt worden ingedeeld: •

managementsamenvatting;

•

inleiding, waarbij een verwijzing naar de opdracht en onderzoeksaanpak (doelstelling en reikwijdte);

•

voorzover beperkingen in het onderzoek zijn opgetreden, zal hiervan melding moeten worden gemaakt;

•

bevindingen;

•

conclusies (voor zover de gegeven opdracht zich hiertoe leent);

•

aanbevelingen;

•

ondertekening en datering;

•

bijlagen, bijvoorbeeld een verantwoordingsdocument waarover een oordeel wordt gegeven, gehanteerde vragenlijsten, aangetroffen beheersingsmaatregelen en een procesbeschrijving.

5.10

Documentatie

De uitvoering van het onderzoeksplan dient gedocumenteerd te worden. Van de interviews dienen besprekingsverslagen te worden opgesteld. Deze dienen te worden afgestemd met de geïnterviewden. De op deze wijze verkregen informatie dient te worden geverifieerd met systeemtesten, dossieronderzoek, onderzoek naar uiterlijke kenmerken van de documenten, aanwezigheid van registraties en dergelijke. Voor ieder uitgevoerd onderdeel van het auditplan zal een verslag van bevindingen (memorandum) opgesteld moeten worden. In de uitvoeringsfase zal ook moeten worden beoordeeld in hoeverre de visie / uitgangspunten van het management daadwerkelijk leven bij het personeel. Het is van belang dat de leden van het onderzoeksteam regelmatig hun voorlopige onderzoeksbevindingen met elkaar afstemmen. Als uit de voorlopige onderzoeksresultaten blijkt dat het onderzoeksplan aanpassing behoeft, zal dit met de opdrachtgever moeten worden afgestemd.

- 24 -


SCHEMATISCH OVERZICHT VAN DE AUDITAANPAK Omgevingsanalyse Ø

Ø

Ø

Ø

verkrijg algemeen inzicht in de organisatie en haar omgeving, in het bijzonder wat betreft strategie, doelstellingen, ontwikkelingen en plannen o.g.v. integriteitsbeleid identificeer de (strategische) risico’s die het management onderkent en bepaal de gevolgen en de significantie voor de beheersing van integriteitsrisico’s. Geef aan welke witte vlekken er mogelijk bestaan in de risicoanalyse die het management heeft verricht identificeer bedrijfsprocessen met een hoog integriteitsrisico en daaraan gerelateerde interne beheersingsmaatregelen selecteer de relevante (sub)processen en plan de

Plan van aanpak procesanalyse

Opdracht gever


procesanalyse

Procesanalyse Ø Ø Ø

Ø Ø

opstellen plan van aanpak (voor de belangrijkste te onderzoeken processen) inzicht in het bedrijfsproces, de procesdoelstellingen en de daarvoor relevante integriteitsrisico’s identificeer de beheersingsmaatregelen, de specifieke maatregelen t.b.v. de verslaggeving en beoordeel de restrisico’s verricht een risico-evaluatie evalueer de uitkomsten, plan de systeemgerichte werkzaamheden en toets de werking


Opdracht gever

Uitkomsten procesanalyse

auditprogramma

Specifieke vervolgwerkzaamheden Ø Ø Ø

per object risicofactoren vaststellen plan de resterende specifieke vervolgwerkzaamheden uitvoering van de specifieke vervolgwerkzaamheden volgens het opgestelde programma

vastlegging uitkomsten specifieke vervolgwerkzaamheden

Plannings memorandum

- 25 -

Opdracht gever

Rijksbreed toetsingskader voor de integriteitsaudit

6


6.1

Vooraf

In de hoofdstukken 1 t/m 5 zijn de ontwikkelingen geschetst rond bedrijfsvoering (VBTB) en operational audit (Kwaliteitsplan auditfunctie). Deze algemene ontwikkelingen zullen voor wat betreft het integriteitsbeleid in de komende jaren kunnen uitmonden in een “baseline integriteit” - zoals er nu al een “baseline financieel en materieel beheer” is - onder de overkoepelende paraplu van het referentiekader mededeling over de bedrijfsvoering (ministerie van Financiën, februari 2002). In dit hoofdstuk wordt het rijksbrede toetsingskader voor een audit van het integriteitsbeleid bij de departementen uitgewerkt . Het toetsingskader kan als referentiekader worden gebruikt voor de toetsing van de strategische risicoanalyse die het management moet uitvoeren. Deze risicoanalyse wordt in paragraaf drie van dit hoofdstuk verder uitgewerkt. Het toetsingskader omvat een aantal wettelijke bepalingen waaraan ieder departement zal moeten voldoen (de relevante regelgeving). Deze wettelijke bepalingen zijn in het algemeen ruim geformuleerd en geven de ruimte hieraan een departementsspecifieke invulling te geven. Daarnaast bevat het toetsingskader het beleidskader voor integriteit dat bestaat uit een aantal mogelijk te nemen maatregelen. Het gaat hier om maatregelen en activiteiten die in het algemeen zinvol worden geacht om in het kader van het integriteitsbeleid te nemen. De maatregelen en activiteiten zijn ontleend aan het rijksbrede integriteitsbeleid zoals dat wordt gecoördineerd door BZK. Het kader kan door de departementen als een checklist worden gebruikt en door de auditor als toetsingskader. Het is niet noodzakelijk alle procesactiviteiten en maatregelen die worden genoemd, ook daadwerkelijk te treffen. Wel is het belangrijk om aan te geven waarom is besloten dat een (proces)activiteit of maatregel in het departementsspecifieke geval niet is getroffen. De auditor kan dan dat gegeven (inclusief de argumentatie) bij zijn audit betrekken.

6.2

Integriteitsrisico’s en maatregelen van de organisatie

Iedere organisatie heeft expliciet dan wel impliciet (proces)activiteiten en/of maatregelen getroffen en 6

activiteiten ondernomen om de integriteitsrisico’s te verminderen en daarmee zoveel mogelijk te voorkomen dat integriteitsinbreuken plaatsvinden. In hoofdlijn betekent dit de beïnvloeding van het gedrag van de medewerkers, zodat deze meer weerbaar zijn. Te denken valt hierbij aan gedragscodes, het afleggen van de ambtseed en aandacht voor integriteit bij selectie en training van personeel. Daarnaast is het van groot belang dat binnen de organisatie een open en transparante cultuur heerst waar (on)gewenste waarden, normen en gedrag vrijelijk kunnen worden besproken.

Integriteit is een veelomvattend begrip en kan vanuit verschillende invalshoeken worden benaderd. Hieronder worden werkgebieden, activiteiten en situaties beschreven waarin integriteitsinbreuken

6

Waar in het vervolg wordt gesproken over maatregelen, worden ook de ondernomen (proces) activiteiten bedoeld.

- 26 -


kunnen plaatsvinden. De verschillende invalshoeken zijn voor een deel overlappend, maar zijn toch opgenomen om een beeld te geven wanneer risico’s op integriteitsinbreuken worden gelopen. In zijn algemeenheid gaat het erom dat een medewerker van de organisatie iets van waarde kan verkrijgen, waarmee hij voor zichzelf voordeel kan behalen of waarmee een andere partij zodanig voordeel kan behalen. De andere partij kan dan ongeoorloofde druk op de medewerker gaan uitoefenen. De ambtenaar neemt dus in alle gevallen een cruciale positie in.

De volgende kwetsbare werkgebieden kunnen worden genoemd: •

Innen van aanslagen, premies, belastingen, etc.

•

Uitbesteden van opdrachten, orders, aanbestedingen, etc.

•

Uitkeren van subsidies, premies, toelagen, uitkeringen, sponsoring, etc.

•

Verlenen van vergunningen, legitimatiebewijzen, machtigingen, etc.

•

Handhaven zoals toezicht, controle, opsporing, vervolging, etc.

Daarnaast kunnen, ook buiten de hierboven genoemde werkgebieden, activiteiten worden onderscheiden die een organisatie kwetsbaar maken, namelijk het omgaan met of toegang hebben tot (vertrouwelijke) informatie, activiteiten rondom girale of contante gelden en activiteiten rond zowel het aanschaffen, beheren als gebruiken van goederen en het inhuren van diensten.

Bij de vraag of iets wel of geen integriteitsinbreuk is, is er vaak sprake van een grijs gebied. Dit grijze gebied kan niet altijd in regels en procedures worden gevat. Binnen organisaties kan daarom een procedure worden afgesproken over hoe met dit grijze gebied om te gaan. Bijvoorbeeld dat een medewerker die twijfelt over een bepaalde handeling de mogelijkheid heeft hierover vooraf te overleggen. Ook kan achteraf worden aangegeven hoe in een bepaalde situatie is gehandeld en kan worden besproken of dit de juiste handelswijze is geweest (verantwoording afleggen). Het is noodzakelijk dat hierover een open cultuur bestaat zodat medewerkers hun twijfels durven uit te spreken.

Maatregelen in het kader van integriteit zullen altijd ten doel hebben bepaalde integriteitsrisico’s te verminderen. Deze risico’s doen zich meestal voor in bepaalde situaties. Deze situaties kunnen worden ingedeeld in vijf algemene categorieën: 1) Contacten met derden; 2) Belangenverstrengeling; 3) Toegang tot (financiële) informatie en geldstromen; 4) Gebruik van middelen van de organisatie; 5) (Ongewenste) omgangsvormen. Hieronder zal op deze categorieën afzonderlijk worden ingegaan. Daarbij zal worden aangegeven in welke situaties deze risico’s zich (in het bijzonder) voordoen en welke maatregelen bijvoorbeeld in die situaties kunnen worden genomen.

- 27 -


ad 1

Contacten met derden

Bij alle contacten die medewerkers van een organisatie hebben met derden kunnen risico’s ontstaan op integriteitsinbreuken. De risico’s ontstaan met name wanneer de medewerker iets van waarde heeft voor een derde. Te denken valt hierbij aan vertrouwelijke informatie, de mogelijkheid om een opdracht te gunnen, de bevoegdheid om vergunningen, beschikkingen of subsidies te verlenen, (niet-) handhaving van rechtsregels, dan wel inspectietaken die al dan niet tot sancties kunnen leiden.

Een derde kan druk gaan uitoefenen of de medewerker verleiden tot het afstaan van hetgeen van waarde is aan de derde. In het eerste geval is er sprake van intimidatie van de medewerker, in het tweede geval van omkoping. In de praktijk zal dit zich sneller voordoen bij solistische functies of situaties waarin een medewerker alleen opereert. Druk uitoefenen kan variëren van morele druk, bijvoorbeeld “we kennen mekaar toch zo goed” en ”anders zal ik de volgende keer...”, tot dreigementen zoals “ik weet je te vinden” en “ik weet waar je kinderen op school zitten”. Het verleiden van medewerkers kan plaatsvinden door het aanbieden van excursies, werkbezoeken en geschenken, het verrichten van gratis diensten.

Ook is het mogelijk dat een ambtenaar een derde uitlokt (verleidt) tot niet -integer gedrag. Bijvoorbeeld als een ambtenaar van een derde een tegenprestatie vraagt voor het verlenen van een bepaalde opdracht.

De privé-situatie van de medewerker kan medebepalend zijn voor de wijze waarop de medewerker om zal gaan met druk van of verleiding door of van een derde. Als een medewerker bijvoorbeeld in financiële problemen zit of een grote verbouwing wil uitvoeren, zal deze sneller in de verleiding komen om in te gaan op een aanbod van een derde. Daarnaast kunnen privé-problemen (emotioneel/relationeel) van invloed zijn op het beoordelingsvermogen van de medewerker.

De maatregelen van een organisatie zullen vooral betrekking hebben op specifieke situaties waarin het risico dat omgang met derden in zich heeft, daadwerkelijk groter wordt. Zo zullen maatregelen zijn gericht op het voorkomen van solistische functies, het aan banden leggen van het aannemen van geschenken, het weerbaar maken van medewerkers tegen druk van buitenaf door trainingen, het lastiger maken van uitlokking van derden, etc.

ad 2

Belangenverstrengeling

Belangenverstrengeling kan ontstaan doordat de medewerker in zijn functie of door zijn organisatorische positie toegang heeft tot bepaalde informatie of behaalde handelingen kan verrichten die de medewerker in een andere hoedanigheid voor zichzelf of voor anderen kan gebruiken.

Situaties waarin dit zich kan voordoen zijn: -

de medewerker heeft nevenfuncties die op enigerlei wijze een verbinding hebben met het werk dat hij doet;

- 28 -


-

de medewerker kan vertrouwelijke informatie gebruiken om er voordeel mee te behalen (bijv. bij beleggingen);

-

de medewerker kan vergunningen of subsidies verlenen aan instanties waar hij zelf ook bij betrokken is.

Ook kan sprake zijn van bepaalde privé omstandigheden , waardoor belangenverstrengeling kan ontstaan. Bijvoorbeeld doordat familieleden/vrienden ergens van kunnen profiteren of door het hebben van een relatie met een leverancier of een justitiabele, etc.

De maatregelen van de organisatie zullen in dit geval vooral betrekking hebben op openheid. De medewerker dient bekend te maken wanneer hij op enigerlei wijze privé direct of indirect gelieerd is met een derde, door een nevenfunctie, aandelen, etc. Het moet binnen de organisatie duidelijk zijn in welke gevallen een relatie minder gewenst is of in ieder geval risico’s met zich meebrengt. Daarnaast kan het in dit geval zinvol zijn een vertrouwenspersoon in te stellen om medewerkers de mogelijkheid te geven “grijze gebieden” te bespreken.

ad 3

Toegang tot (financiële) informatie en geldstromen

Indien een medewerker toegang heeft tot (financiële) informatie en geldstromen is er altijd een potentieel risico voor de ontvreemding van geld en het doorgeven van voor een ander essentiële informatie.

In bepaalde situaties wordt extra risico gelopen. Te denken valt hierbij aan te veel bevoegdheden in één hand, omgang met grote bedragen en omgang met contant geld. Ook dient hierbij gekeken te worden naar de relatie tussen bestellingen en facturen; bijvoorbeeld kan degene die bestelt ook de factuur betaalbaarstellen? Ook wanneer het gaat om informatie die een concurrentievoordeel kan verschaffen aan een derde, wordt extra risico gelopen. Denk hierbij aan woningbouwlokaties of begroting voor aanbesteding.

De privé situatie speelt ook hierbij een rol. Zo kunnen financiële problemen de verleiding, om zich geld toe te eigenen, vergroten.

De maatregelen van de organisatie zullen veelal betrekking hebben op waarborgen in de procedures (AO/IC): functiescheiding, dubbelchecks, parafen. Daarnaast dienen bij de werving van personeel op risicovolle functies de integriteitsrisico’s meegenomen te worden, bijvoorbeeld door aandacht te schenken aan integriteit in het sollicitatiegesprek en door bij de selectie te letten op mogelijke relaties in het (arbeids)verleden. Daarnaast moet duidelijk zijn welke informatie als vertrouwelijk wordt beschouwd en dus intern moet blijven.

- 29 -


ad 4

Gebruik van middelen van de organisatie

Voor alle medewerkers in een organisatie bestaat de mogelijkheid de organisatie te benadelen door bepaalde handelingen. Zo is het mogelijk zaken van de organisatie aan te wenden voor eigen gebruik. Er kunnen te hoge declaraties worden ingediend. Tot slot kan een medewerker zich ten onrechte ziek melden of zich niet aan de werktijden houden. Voor al deze zaken geldt dat er snel sprake is van een cultuur die ruimte laat voor een grijs gebied: wel of geen kantoorartikelen mee naar huis nemen en wat als er thuis een notitie mee wordt geschreven; is geregeld te laat op het werk een probleem en wat als er ook in de trein of thuis wordt gewerkt, etc. Uitgangspunt is uiteraard dat middelen van de organisatie alleen voor werkzaamheden ten behoeve van die organisatie mogen worden gebruikt, maar in geen enkele organisatie kan dat in zijn absoluutheid worden gerealiseerd.

De maatregelen van de organisatie zullen zijn gericht op alle medewerkers. In eerste instantie is het belangrijk open en transparant te zijn over het gewenste gedrag van medewerkers. Een gedragscode, voorlichting, bespreking van veel voorkomende situaties en bevordering van discussies over hetgeen wel of niet integer is kunnen hierbij een belangrijke rol spelen. Het goede voorbeeld dat het management geeft kan hierbij ook een belangrijke rol spelen. Het nemen van procedurele maatregelen is onder meer zinvol bij declaraties. Tot slot kan door een goede toegangsbeveiliging en een goed materieelbeheer ervoor gezorgd worden dat waardevolle spullen niet makkelijk mee naar huis kunnen worden genomen.

ad 5

(Ongewenste) Omgangsvormen

Ongewenste omgangsvormen binnen de organisatie, zoals discriminatie, sexuele intimidatie of pestgedrag, kunnen ertoe leiden dat medewerkers zich niet veilig voelen en daardoor hun werk niet goed kunnen uitvoeren. Daarnaast bestaat het risico dat er een ongewenste uitstroom van medewerkers ontstaat. Bij ongewenste omgangsvormen spelen machtsverhoudingen een belangrijke rol. Ook hierbij is vaak een grijs gebied tussen gewenste en ongewenste omgangsvormen, dat veelal wordt bepaald door persoonlijke normen en waarden en het gevoel van een persoon in een bepaalde situatie.

De maatregelen van de organisatie zullen zich in dit geval vooral richten op het bespreekbaar maken van het onderwerp. Een gedragscode, voorlichting, bespreking van veel voorkomende situaties en bevordering van discussies over hetgeen wel of niet integer is kunnen hierbij een belangrijke rol spelen. Daarnaast dient een vertrouwenspersoon te worden aangesteld bij wie waar medewerkers concrete gevallen kunnen melden. Tot slot is aandacht nodig voor de afhandeling van integriteitsinbreuken. Gedacht moet worden aan duidelijke sancties, waarover helder wordt gecommuniceerd en die bij overtreding worden toegepast.

6.3

Risicoanalyse

Het (top)management van een organisatie is verantwoordelijk voor een samenhangend en effectief integriteitsbeleid. Het (top)management van een organisatie zal daarom op basis van een strategische

- 30 -


risicoanalyse (zie hiervoor ook hoofdstuk 5) moeten bepalen welke processen het meest kwetsbaar zijn voor integriteitsinbreuken. Het is hierbij van belang niet alleen van binnenuit naar de organisatie te kijken, maar ook van buitenaf. Waar zitten zwakke plekken in de organisatie en hoe kunnen andere partijen hier misbruik van maken. De risicoanalyse leidt tot identificatie van de bedrijfsprocessen met een hoog risico op integriteitsinbreuken. De verschillende invalshoeken zoals beschreven in de vorige paragraaf kunnen hierbij worden gebruikt. Ook kan hierbij gebruik worden gemaakt van het “Handboek Integriteitsonderzoek” van de AIVD. Indien bepaalde processen als risicovol worden beschouwd zullen adequate maatregelen moeten worden genomen. Er zullen algemene beheersingsmaatregelen moeten worden genomen die voor de gehele organisatie gelden, zoals het afleggen van de ambtseed, een algemene gedragscode (organisatie/cultuur). Dit is de basis van waaruit het verdere integriteitsbeleid met specifieke maatregelen kan worden ingevuld.

Het management moet ervoor zorgdragen dat de risicovolle processen worden beschreven en dat processtappen worden onderscheiden. Per processtap kunnen dan de specifieke risico’s worden benoemd. Op basis van deze specifieke risico’s kunnen specifieke maatregelen worden genomen. Deze maatregelen kunnen door de auditor naast de toetspunten uit het toetsingskader worden gelegd. Uitgangspunt is dat in ieder geval aan alle wettelijke regelgeving wordt voldaan. Het is van belang daarbij ook te bekijken in welk stadium het departement op de verschillende toetspunten is. Is er slechts sprake van het stadium van bewustwording of is het departement al in het stadium van implementatie en vervolgens borging en evaluatie van (dit aandachtspunt van) het integriteitsbeleid. De mate waarin de genomen maatregelen het risico beheersen, bepalen het overgebleven restrisico. Het management zal moeten bepalen of dit restrisico acceptabel is. Daarbij zal een afweging moeten worden gemaakt met de kosten (inspanning/capaciteit) die gepaard gaan met verdergaande maatregelen. Het hieronder opgenomen schema geeft deze manier van werken kort weer.

Risicovol proces

Algemene risico’s

Algemene

Toetsingskader

Restrisico

Toetsingskader

Restrisico

maatregelen

Processtappen

Specifieke risico’s

Specifieke maatregelen

Bovenstaande beschrijving geeft de ideaalsituatie weer. De meeste departementen zijn op dit moment nog niet zover dat zij op de beschreven wijze werken. De auditdienst kan adviseren hoe bovenstaande manier van werken vorm kan worden gegeven. Daarbij kan de auditdienst een nulmeting naar de opzet van het integriteitsbeleid uitvoeren, waarna op basis van deze nulmeting het integriteitsbeleid verder kan worden ingevuld. Deze nulmeting kan aan de hand van het toetsingskader worden uitgevoerd.

- 31 -


6.4

Indeling van het rijksbrede toetsingskader op hoofdlijnen

Afhankelijk van de gesignaleerde risico’s kunnen maatregelen worden getroffen teneinde het risico op integriteitsinbreuken in bepaalde situaties te verminderen. Deze kunnen worden ingedeeld in een aantal aandachtsgebieden. Voor ieder aandachtsgebied kan een organisatieonderdeel worden aangewezen dat functioneel verantwoordelijk is voor het desbetreffende aandachtsgebied. Het management van de organisatie is eindverantwoordelijk voor de samenhang van het gehele integriteitsbeleid en de organisatorische verankering daarvan.

1) Organisatie/cultuur (management); 2) Administratieve organistatie/Interne Controle (AO/IC) (controller en auditdienst); 3) Personeelsbeleid (personeelszaken); 4) Beveiligingsbeleid (facilitaire zaken en ICT-afdeling).

Hieronder zullen per aandachtsgebied op hoofdlijnen het beleidskader en de relevante regelgeving worden weergegeven. Een overzicht van de meest relevante regelgeving over integriteit is opgenomen in bijlage 8.

ad 1

Organisatie/cultuur

a.

Beleidskader

Binnen de organisatie zullen waarborgen aanwezig moeten zijn om integriteitsinbreuken te voorkomen. Het management van de organisatie zal een integriteitsbeleid moeten hebben geformuleerd op basis van een risicoanalyse. Dit integriteitsbeleid dient periodiek te worden geactualiseerd om aangesloten te blijven bij de dynamische omgeving waarin wordt geopereerd. Het management is verantwoordelijk voor de organisatie van het integriteitsbeleid en dient de samenhang van het integriteitsbeleid te waarborgen.

De cultuur van de organisatie is een belangrijke factor voor integriteit. Het beïnvloeden van de cultuur is een langdurige zaak en vergt veel energie. Het is uitermate belangrijk dat het (top)management duidelijke normen stelt, deze gewenste normen en waarden uitdraagt en het goede voorbeeld geeft. Daarnaast is transparantie over de gewenste integriteitscultuur, maar ook over de afhandeling van integriteitsinbreuken noodzakelijk. •

Een integriteitsaantasting binnen een enkel onderdeel van de overheid kan uitstralen naar de gehele overheid, waardoor het vertrouwen van de burger in de gehele overheid verkoren kan gaan;

•

Kleinere integriteitsaantastingen leiden tot grotere, wanneer er geen correctiemechanisme in werking treedt;

•

Niet-integer gedrag van medewerkers lokt, wanneer er geen correctiemechanisme in werking treedt, soortgelijk gedrag op bij anderen.

- 32 -


Het integriteitsbeleid van een organisatie wordt vaak uitgedragen in een gedragscode die breed verspreid en gecommuniceerd wordt. Instrumenten kunnen verder zijn voorlichting: integriteitsspel, bespreking van bepaalde concrete situaties voor wat betreft het aspect integriteit, video’s.

b.

Relevante regelgeving •

BZK-circulaire “Systematisch ontwikkelen van preventief beleid” van december 1994, nummer AD94/U 1369;

•

De instelling van een vertrouwenspersoon is opgenomen in de BZK -circulaire AD 97/U114 van 19 februari 1997 met als onderwerp de uitvoering van de motie Kamp c.s. inzake integriteit;

•

De “Klokkenluidersregeling” is opgenomen in de Staatscourant 2000, nummer 243.

ad 2

Administratieve organisatie/Interne controle (AO/IC)

a.

Beleidskader

Het vastleggen van heldere verantwoordelijkheden en bevoegdheden en het vastleggen van heldere procedures in de administratieve organisatie, rekening houdend met de risico’s die worden gelopen, is essentieel voor de invulling van het integriteitsbeleid. De AO dient daarbij actueel en bekend te zijn binnen de organisatie. De naleving van de AO wordt gewaarborgd door een voldoende niveau van interne controlemaatregelen.

b.

Relevante regelgeving

In de Comptabiliteitswet 2001 is opgenomen dat er een controleerbaar en ordelijk beheer moet zijn. (art. 22). Deze bepaling is verder uitgewerkt in de Baseline financieel en materieelbeheer. In het HAFIR is in dit verband een groot aantal regels opgenomen in verband met financieel beheer, materieelbeheer, contracten, aanbesteding van werken en inkoop (voor grote projecten en PPS gelden nog afzonderlijke eisen)

ad 3

Personeelsbeleid

a.

Beleidskader

Integriteit dient structureel onderdeel te zijn van het personeelsbeleid. Bij de werving en selectie van personeel zal een antecedentenonderzoek kunnen plaatsvinden; bij vertrouwensfuncties een onderzoek door de AIVD. Daarnaast kan bij de werving - in de advertentie en/of tijdens het sollicitatiegesprek - expliciet de aandacht worden gevestigd op het belang van integer handelen. Als personeel eenmaal in dienst is kan door middel van periodieke aandacht voor nevenactiviteiten of mogelijke andere kwetsbaar makende belangen en door aandacht voor integriteit in het functioneringsgesprek, het voorkómen van integriteitsinbreuken verder worden gewaarborgd.

b.


De basis voor regelingen op het gebied van integriteit ligt in art. 125 van de Ambtenarenwet.

- 33 -


In art. 125a Ambtenarenwet zijn regels opgenomen ten aanzien van belangenverstrengeling en het omgaan met vertrouwelijke informatie.

In het ARAR zijn ter uitvoering daarvan verschillende bepalingen opgenomen die betrekking hebben op het personeelsbeleid, te weten: •

Artikel 9: antecedenten- en veiligheidsonderzoek;

•

Artikel 51: eed, belofte;

•

Artikel 57: functiewisseling;

•

Artikel 61: nevenwerkzaamheden;

•

Artikel 64: aannemen van geschenken.

BZK heeft een aantal circulaires uitgevaardigd die op bepaalde punten nadere invulling geven aan bovengenoemde artikelen (AD94/U825 van 6 december 1994 (nevenfuncties), AD97/U114 van 14 juli 1999 (aannemen van geschenken) en van 13 september 1999 (draaideurconstructie). Er is een rijksbrede regeling voor het omgaan met vermoedens van een misstand (Klokkenluidersregeling, Staatscourant 2000, nr. 243). De AIVD zal begin 2003 het “Handboek integriteitsonderzoek; leidraad voor preventief zelfonderzoek naar kwetsbare handelingen binnen overheidsorganisaties” uitbrengen.

ad 4

Beveiligingsbeleid

a.

Beleidskader

Beveiligingsbeleid dient mede gericht te zijn op de eigen medewerkers, waardoor de kans op integriteitsinbreuken wordt verkleind. Door een adequate beveiliging kan worden gezorgd dat onbevoegden geen toegang hebben tot vertrouwelijke informatie, dat medewerkers en/of onbevoegden minder makkelijk waardevolle spullen mee naar huis nemen, etc.

b.


In het Voorschrift Informatiebeveiliging Rijksdienst (VIR) zijn de bepalingen ten aanzien van de beveiliging van informatie opgenomen.

6.5

Uitwerking hoofdlijnen toetsingskader in concrete toetspunten (aandachtspunten)

In het toetsingskader wordt per aandachtsgebied (kolom 1) een aantal algemene aandachtspunten (toetspunten integriteit) in kolom 2 geformuleerd. Per aandachtsgebied is een nadere onderverdeling gemaakt aan de hand van de indeling van de management control volgens het COSO-model (zie bijlage 6).

- 34 -


COSO-indeling

Verklaring

Besturingskader

Het besturingskader bepaalt de sociale structuur en atmosfeer waarbinnen medewerkers activiteiten en beheersingsmaatregelen uitvoeren.

Risicobeheersing

Risicobeheersing omvat het vaststellen van doelstellingen en prioriteiten en het signaleren van risico’s dat doelstellingen niet worden bereikt.

Specifieke beheersingsmaatregelen

Specifieke beheersingsmaatregelen omvatten de middelen en maatregelen die worden ingezet om het bereiken van de doelstellingen van de organisatie te beheersen.

Informatie & communicatie

Informatie omvat hetgeen wordt gesignaleerd, vastgesteld en gecommuniceerd en de medewerkers in staat stelt hun verantwoordelijkheden na te komen.

Bewaking

Bewaking is gericht op het waarborgen van zowel de kwaliteit als de goede werking van het management control systeem als geheel.

De vetgedrukte regels in kolom 2 van het toetsingskader geven aan dat het hier om wettelijke regels of rijksbrede regelgeving zoals geformuleerd door BZK gaat. Deze algemene aandachtspunten kunnen tezamen als rijksbreed algemeen toetsingskader worden gehanteerd voor het uitvoeren van een audit naar de opzet, bestaan en werking van het departementale integriteitsbeleid, met als uitgangspunt het rijksbrede integriteitsbeleid. Bij de aandachtspunten is in kolom 3 aangegeven of dit een aandachtspunt betreft dat overwegend betrekking heeft op de cultuur, de structuur dan wel de processen van de organisatie (zie ook de driehoek in paragraaf 3.2). Dit maakt het mogelijk de structuurgerichte, respectievelijk de procesgerichte en de cultuurgerichte aandachtspunten afzonderlijk onder elkaar te zetten. Hierbij moet wel worden bedacht dat met name de structuurgerichte en de procesgerichte aandachtspunten sterk in elkaars verlengde liggen.

Indien daaraan behoefte bestaat kan ieder departement zelf een specifieke vertaling (verdieping en aanvulling) van het rijksbrede toetsingskader maken, gericht op de specifieke departementale situatie. Departementen kunnen immers een aanvullend departementaal beleidskader integriteit hebben ontwikkeld. Het kan bijvoorbeeld worden vertaald naar een specifiek toetsingskader voor bijvoorbeeld een audit van het integriteitsbeleid bij een bepaald bedrijfsproces zoals aanbesteden/inkopen. Ook kan behoefte bestaan aan extra aandacht voor departementsspecifieke omstandigheden. Een voorbeeld hiervan is het ministerie van Justitie met de Justitiecode. In deze code is bijvoorbeeld als extra aandachtspunt voor Justitie toegevoegd privé-relaties van werknemers van justitiële inrichtingen. In de gedragscode van het ministerie van Buitenlandse Zaken is een top 10 opgenomen met een inschatting van de meest voorkomende vormen van niet-integer gedrag die bij Buitenlandse Zaken

- 35 -


niet worden getolereerd. Voorbeelden hiervan zijn het ten onrechte gunnen van paspoorten of visa en de handel in of onrechtmatig gebruik van belastingvrije goederen door diplomaten. Een ander voorbeeld is de compliance-regeling van het ministerie van Financiën. Deze regeling geeft gedragsregels voor transacties in effecten door medewerkers. Dit zal in principe leiden tot een verdieping van dit aandachtspunt bij het toetsingskader van Financiën.

In bijlage 7 van deze handreiking is een aantal vragenlijsten opgenomen dat bij de uitvoering van de audit kan worden gebruikt als checklist bij het toetsingskader. Deze vragenlijsten zijn uitsluitend bedoeld als voorbeeld van vragen die (per aandachtspunt) gesteld kunnen worden. Dit betekent dat departementen uit de (veelheid van) vragen een selectie kunnen maken, deze kunnen aanvullen en/of aanpassen, gericht op de departementale specifieke situatie en op basis van de departementaal gemaakte beleidskeuzes.

6.6

Hantering van het toetsingskader als hulpmiddel (referentiekader)

Bij ieder te hanteren toetspunt uit het toetsingskader zal een professionele afweging moeten plaatsvinden. Het is niet de bedoeling de toetspunten met een simpel ja of nee te beantwoorden, maar bij ieder toetspunt te onderzoeken op welke wijze het departement daaraan vanuit een strategische risicoanalyse (impliciet dan wel expliciet) invulling heeft gegeven. Dit kan worden weergegeven in de toelichting. Het toetsingskader geeft daarbij op hoofdlijnen de toetspunten en de te hanteren vragen (bijlage 7) weer, die indien gewenst door de auditor gebruikt kunnen worden. Voorop staat dat het toetsingskader een hulpmiddel is (referentiekader), geen keurslijf. Voor de (organisatorische) opzet en uitvoering van de audit kan verwezen worden naar hoofdstuk 5.

- 36 -


6.7

Rijksbreed toetsingskader integriteit

1 Aandachtsgebieden

2 Rijksbreed toetsingskader (Vet gedrukt is wet- of regelgeving)

A. Organisatie/cultuur

3 S/ P/ C

Besturingskader 1.

Er is een actueel, schriftelijk vastgelegd integriteitsbeleid, gebaseerd op de bestaande weten regelgeving inzake integriteit.

S

2.

Er is naast het departementale integriteitsbeleid aanvullend een specifiek integriteitsbeleid geformuleerd voor risicovolle gebieden. Bijvoorbeeld Rijkswaterstaat (aanbesteding), Justitie (penitentiaire inrichtingen), Financiën en EZ (compliance).

S

3.

Er is een verantwoordelijke instantie aangewezen voor de coördinatie van het integriteitsbeleid bij het departement en de vertaling van rijksbrede regelgeving naar het departement en het bijhouden daarvan.

S

Er zijn duidelijke, heldere normen en waarden vastgelegd in een gedragscode. Daarin wordt ook aandacht besteed aan de bestaande weten regelgeving op het gebied van integriteit.

S

4.

5.

Er is een vertrouwenspersoon voor − Integriteit (BZK AD97/U114 en AD97/U842) − Klokkenluiders (Stc. 2000, 243) − Seksuele intimidatie/discriminatie (Klachtenregeling seksuele intimidatie burgerlijk Rijkspersoneel, AD 94/U854 van 22 juli 1994).

S

6.

Het management vervult een voorbeeldfunctie.

C

7.

Er is aandacht voor integriteit in overleggen tussen management en medewerkers.

C

8.

Er is naast doelmatigheid ook voldoende aandacht voor de rechtmatigheid van handelingen.

C

9.

Het management ondersteunt het volgen van curs ussen (m.b.t. integriteit) door medewerkers.

C

Risicobeheersing 10. Het integriteitsbeleid bevat concrete en zo mogelijk meetbare doelstellingen.

S

11. Het integriteitsbeleid is gebaseerd op een strategische risicoanalyse van het management. Kwetsbare werkgebieden zijn hierbij geïdentificeerd.

P

12. Er is een overzicht van risicovolle functies .

S

13. Het management is zich bewust van de integriteitsrisico’s. en vervult hierbij een C voorbeeldfunctie. 14. De medewerkers zijn zich bewust van de integriteitsrisico’s.

- 37 -

C


Specifieke beheersingsmaatregelen 15. Op basis van de strategische risicoanalyse van het management zijn toereikende maatregelen genomen.

P

16. Er is een procedure voor de melding van integriteitsinbreuken en er is een centrale registratie en analyse van integriteitsinbreuken.

S

17. De taken en bevoegdheden van deze vertrouwenspersoon zijn vastgelegd.

S

18. De vertrouwenspersonen hebben onder bronbescherming de bevoegdheid adviezen/voorstellen voor aanpak uit te brengen.

S

19. Er is een heldere en bekende procedure voor afhandeling integriteitsinbreuken (correctie/exit) en een meldingsprocedure voor pogingen door derden.

P

Informatie en communicatie 20. De gedragscode is beschikbaar voor alle medewerkers en het bestaan ervan wordt regelmatig onder de aandacht gebracht.

P

21. De medewerkers zijn bekend met de gedragscode.

C

22. Er is interne communicatie door voorlichting, video’s, integriteitsspel.

P

Bewaking

B. AO/IC

23. Het integriteitsbeleid maakt als kwaliteitsaspect onderdeel uit van de bedrijfsvoering.

S

24. Het integriteitsbeleid is onderdeel van de planning & controlcyclus.

P

25. Er is een transparantie en openheid over handelingen (aan collega’s vertellen, dilemma’s bespreken).

C

26. Er is zelfcorrigerend vermogen door uiten kritiek, open communicatie en elkaar aanspreken op (on)gewenst gedrag.

C

27. Er is openheid/transparantie over afhandeling van individuele integriteitsinbreuken.

C

Besturingskader 1.

Er is in algemene zin voldoende aandacht voor checks en balances.

P

Risicobeheersing 2.

Er zijn geen solistische functies bij risicovolle werkgebieden.

S

Specifieke beheersingsmaatregelen 3.

Er zijn heldere vastgelegde verantwoordelijkheden en bevoegdheden in

- 38 -

S


financiële processen. 4.

Er zijn heldere procedures voor materieelbeheer.

P

5.

Over risicovolle werkgebieden vindt een objectieve verslaglegging/ verantwoording plaats en wordt een afzonderlijk dossier bijgehouden.

S

6.

Er is een handelswijze voor het omgaan met zaken in een grijs gebied wanneer P blijkt dat iets niet geregeld is (overleg vooraf en verantwoording achteraf).

7.

Er is functiescheiding bij risicovolle functies (aankoop en beheer van goederen, beheer van gelden/budgetten, etc.), (toetspunt BZK 3).

S

Informatie en communicatie 8.

Er is bekendheid met de procedures bij de medewerkers.

C

Bewaking 9.

C. Personeelsbeleid

Er is sprake van controleerbaarheid van handelingen.

P

10. De naleving van de AO wordt gemonitord.

P

11. Er is onafhankelijke (accountant)controle op de naleving van alle regelingen/procedures.

S

Besturingskader 1.

Er is een arbeidsklimaat waarin privé-problemen/privérelaties bespreekbaar zijn.

C

Specifieke maatregelen 2.

In de wervingsprocedure wordt op basis van een risicoanalyse aandacht besteed aan integriteitsaspecten (opvragen referenties, verklaring omtrent het gedrag). Er wordt bij vertrouwensfuncties een BVD-onderzoek uitgevoerd (art. 9 lid 8 ARAR).

P

4.

Er is een regeling om een draaideurconstructie te voorkomen Circulaire Tegengaan draaideur-constructie binnen de Rijksdienst AD 1999/U84410, (toetspunt BZK 10).

S

5.

Door alle medewerkers wordt de ambtseed afgelegd (art. 51 ARAR).

S

6.

Er is aandacht voor integriteit bij introductieprogramma.

C

7.

Er zijn cursussen waarin aandacht wordt besteed aan integriteitsaspecten

S

8.

Er zijn actuele en adequate functiebeschrijvingen.

S

9.

De loyaliteit van de medewerker aan de organisatie wordt bevorderd (is aandachtspunt in functionerings - en beoordelingsgesprekken).

C

10. Er wordt uitvoering gegeven aan de Klokkenluidersregeling (Stc. 2000, 243).

S

11. Er is een actuele en schriftelijk vastgelegde registratie van nevenfuncties en het ontvangen van nevenverdiensten (art. 61 ARAR) Circulaire Nevenwerkzaamheden rijksambtenaren AD 94/U825 van 6 december 1994, (toetspunt BZK 5).

S

3.

- 39 -

S


12. Er is een regeling voor het aannemen van geschenken (inclusief uitnodigingen, diensten) (art. 64 ARAR en Circulaire aanvaarden van geschenken door rijksambtenaren BZK 14 juli 1999, kenmerk AD1999/U75958) (toetspunt BZK 5).

S

13. Er wordt op risicovolle functies regelmatig gerouleerd,.

P

Informatie en communicatie 14. Aan mogelijke belangenverstrengeling en nevenactiviteiten van medewerkers op risicovolle functies wordt periodiek aandacht besteed.

D. Beveiligingsbeleid

P

Besturingskader 1.

De normen voor de basisvoorzieningen informatiebeveiling en de VIR worden nageleefd. (Voorschrift informatiebeveiliging rijksdienst).

S

Specifieke beheersingsmaatregelen 2.

Er is een adequate fysieke beveiliging (toegangscontrole, identificatieplicht, registratie bezoekers, afsluiten werkruimten, etc.).

3.

Het beheer van geautomatiseerde systemen is zodanig geregeld dat deze uitsluitend kunnen worden gemuteerd door daartoe bevoegde functionarissen. (toetspunt BZK 4).

S

P

4.

Er zijn voorschriften voor het omgaan (produceren, muteren, verspreiden, vermenigvuldigen, administreren, opbergen, etc.) met vertrouwelijke informatie (toetspunt BZK 1).

S

5.

Er zijn voorschriften voor het privé-gebruik van goederen.

S

6.

Er wordt een clean desk-beleid gevoerd.

C

7.

Er is een goede administratie van ziekteverzuim en werktijden. Er is een goede registratie van waardevolle goederen o.b.v. een risicoanalyse en conform Besluit Materieelbeheer.

P

- 40 -


Bijlagen



- 41 -


Bijlagen



Werkgroep Integriteits Audit Stuurgroep Integriteits Audit - 42 -


Den Haag, 19 december 2002

- 43 -


Bijlagen

1. Begrippenlijst 2. Samenstelling Stuurgroep Integriteits Audit (SIA) en Werkgroep Integriteits Audit (WIA) 3. Geraadpleegde rapporten voor ontwikkeling van de handreiking integriteitsaudit 4. Overzicht van relevante regelgeving over integriteit in Ambtenarenwet en ARAR 5. Overzicht van overige relevante regelgeving en literatuur over integriteit bij het Rijk 6. Via Interne Beheersing naar Corporate Governance (COSO); Achtergronden 7. Vragenlijsten bij het rijksbreed toetsingskader 7.1 Vragenlijst management 7.2 Vragenlijst werknemer 7.3 Vragenlijst cultuur van de organisatie

- 44 -


Bijlage 1

Begrippenlijst

Algemeen integriteitsrisico Risico met betrekking tot integriteit dat bij alle organisaties voorkomt. Dit risico is inherent aan het functioneren van een organisatie.

Algemene maatregelen tegen integriteitsinbreuken Maatregelen ter vergroting van de weerbaarheid tegen integriteitsinbreuken die van meer algemene aard zijn maar bijdragen aan het integer functioneren van de organisatie.

Auditaanpak Zie hoofdstuk 5.

Bedrijfsvoering De sturing en beheersing van de beheersprocessen binnen een ministerie om de gestelde beleidsdoelstellingen te kunnen realiseren. Het betreft sturing en beheersing van zowel de primaire processen als van de processen die hiervoor faciliterend zijn, de zogenaamde secundaire processen.

Belangenverstrengeling Het verschijnsel dat medewerkers andere belangen (veelal privé-belangen) laten prevaleren boven het organisatiebelang (loyaliteitsconflicten).

Bestuurlijke integriteit De verantwoordelijkheid die met een functie samenhangt wordt aanvaard, en men is bereid hierover verantwoording af te leggen.

Besturingskader (CoSo-model) Het besturingskader bepaalt de sociale structuur en atmosfeer waarbinnen medewerkers activiteiten en beheersingsmaatregelen uitvoeren.

Bewustwordingsstadium Bepalen of aanpassen van de departementale integriteitsrisico’s en de ontwikkeling of aanpassing van een departementaal integriteitsbeleid. Hierbij staat de vraag centraal wat integriteit nu eigenlijk betekent en op welke wijze hieraan invulling kan worden gegeven binnen een organisatie

Borging- en evaluatiestadium In dit stadium heeft het integriteitsbeleid zich ontwikkeld tot een volwaardig element van de planning en control cyclus en is ingebed in het management control systeem. Het management wordt periodiek geïnformeerd over de voortgang en effecten van getroffen maatregelen.

Bewaking (CoSo-model) Bewaking is gericht op het waarborgen van zowel de kwaliteit als de goede werking van het management control systeem als geheel. - 45 -

Rijksbreed toetsingskader voor de integriteitsaudit Dilemma Een praktijksituatie, waarin integriteit een belangrijke rol speelt en waarbij je voor een moeilijke keuze staat. Het is een situatie waarin het niet meteen duidelijk is of je iets wel of niet moet doen of zeggen. Dilemma’s zijn vraagstukken, waarbij een keuze moet worden gemaakt uit meerdere alternatieven. Deze alternatieven kunnen niet tegelijkertijd worden gekozen en voor ieder alternatief zijn goede argumenten te geven.

- 46 -

Rijksbreed toetsingskader voor de integriteitsaudit Evaluatiememorandum Het resultaat van de in de evaluatiefase geëvalueerde bevindingen en het daaruit gevormde totaalbeeld.

Gewenst integriteitsniveau Dit is het complement van het restrisico. De mate waarin de genomen maatregelen het risico beheersen, bepalen het overgebleven restrisico. Het management bepaalt of dit restrisico acceptabel is.

ICPR Interdepartementaal Contactorgaan Personeelsdiensten Rijksdienst.

Implementatiestadium Het implementeren van het door het management geformuleerde beleid en alle hiervoor te treffen maatregelen. De maatregelen moeten niet alleen worden uitgewerkt, maar moeten een levend en vanzelfsprekend geheel binnen de organisatie zijn. Integriteit is zowel een kwestie van cultuur als van maatregelen.

Integriteit Al het overheidshandelen, zowel van de organisatie als van haar medewerkers, dat gekenmerkt wordt door onkreukbaarheid en betrouwbaarheid en als zodanig de legitimiteit van de openbare dienst bevestigd.

Integriteitsbeleid Het geheel van door een organisatie genomen maatregelen teneinde een zo groot mogelijke mate van integriteit van de medewerkers en daarmee van de organisatie te bewerkstelligen. Bij het integriteitsbeleid gaat het erom dat het management de integriteitsrisico’s binnen de organisatie identificeert en op basis hiervan het integriteitsbeleid formuleert.

Integriteitsinbreuk Hiervan is sprake als de integriteit van de organisatie wordt geschonden. Bij de vraag of iets wel of geen integriteitsinbreuk is, is er vaak sprake van een grijs gebied.

Integriteitsonderzoek-/audit Onderzoek/audit gericht op het in kaart brengen van de mogelijke integriteitsrisico’s en het doen van aanbevelingen tot het treffen van maatregelen ter vergroting van de weerbaarheid hiertegen. De audit is gericht op de opzet, bestaan en werking van het integriteitsbeleid van de organisatie. Deze audit bevat in hoofdlijnen de volgende stappen: • • • •

omgevingsanalyse procesanalyse specifieke (gegevensgerichte) vervolgwerkzaamheden oordeelsvorming en rapportering

Integriteitsrisico Het integriteitsrisico is de kans dat bij de medewerkers van een organisatie zich een integriteitsinbreuk voordoet. Hierdoor is het mogelijk dat de medewerker en hiermee de organisatie minder integer is of zelfs niet meer integer genoeg is.

Intern beheersingssysteem Het geheel van door het management getroffen interne beheersingsmaatregelen. - 47 -

Rijksbreed toetsingskader voor de integriteitsaudit IODAD Interdepartementaal Overleg Departementale Accountantsdiensten.

IOFEZ Interdepartementaal Overleg Financieel Economische Zaken.

- 48 -

Rijksbreed toetsingskader voor de integriteitsaudit Kwetsbare handelingen Handelingen die vanwege hun aard en inhoud een mogelijk risico vormen voor de integriteit van de organisatie en die daarom extra goed omkleed moeten worden met maatregelen die de weerbaarheid van de organisatie hiertegen verhogen.

Omgevingsanalyse De omgevingsanalyse heeft tot doel te komen tot kennis van de besturings- en beheersingsomgeving en daaraan een globale richtinggevende risico-inschatting te koppelen. Deze risico-inschatting is van belang voor de oriëntatie en de verdere invulling van integriteitsaudit. De omgevingsanalyse vormt het vertrekpunt van de auditaanpak, waarbij de strategische analyse van het management als uitgangspunt wordt genomen.

Ontwikkelstadia integriteitsbeleid Stadia die samen een cyclus, een continue proces vormen voor het beheersen van het integriteitsbeleid. Deze cyclus heeft als basis het vertrekstadium gevolgd door bewustwordingsstadium, implementatiestadium en borging- en evaluatiestadium.

Organisatiecultuur De onderliggende (informele) waarden en normen die van invloed zijn op de manier van werken binnen de organisatie. Cultuur geeft vorm aan het gedrag en de verhoudingen tussen de medewerkers van de organisatie onderling (intern) en aan de omgang met de buitenwacht (extern)

Organisatiestructuur Het geheel van formele regels, procedures en voorschriften, dat het integer functioneren van de organisatie ten goede komt.

Procesanalyse Bij de procesanalyse licht de auditor – gegeven de uitkomsten van de omgevingsanalyse – een aantal processen van de organisatie door. Bij de procesanalyse worden de beleidsinhoudelijke processen beoordeeld. De audit zal bij de procesbeoordeling niet alle processen voor de volle 100% kunnen afdekken. Daarom zal een selectie moeten worden gemaakt van de processen die in een bepaald jaar zullen worden doorgelicht, met de nadruk op de vanuit het oogpunt van integriteit significante processen.

Rijksbreed toetsingskader integriteit In dit kader zijn de toetspunten integriteit opgenomen. Deze toetspunten zijn een hulpmiddel voor het management bij het uitvoeren van de strategische risicoanalyse ten aanzien van integriteit en het vormgeven van het integriteitsbeleid. Daarnaast is het kader een hulpmiddel voor de auditor bij de planning en uitvoering van de integriteitsaudit. Risicoanalyse (m.b.t. integriteit) Op basis van een risicoanalyse bepaalt het management welke processen het meest kwetsbaar zijn voor integriteitsinbreuken Hierbij is het van belang niet alleen van binnen, maar ook van buiten af naar de organisatie te kijken. De risicoanalyse leidt tot identificatie van de bedrijfsprocessen met een hoog risico op integriteitsbreuken.

Risicobeheersing (CoSo-model) Risicobeheersing omvat het vaststellen van doelstellingen en prioriteiten en het signaleren van risico’s dat de doelstellingen niet worden gehaald.

Solistisch handelen - 49 -

Rijksbreed toetsingskader voor de integriteitsaudit Als medewerkers voor een lange tijd dezelfde kwetsbare werkzaamheden blijven verrichten bestaat het risico dat zich te nauwe persoonlijke bindingen met cliënten leveranciers en belanghebbenden ontwikkelen.

Specifieke beheersingsmaatregelen (CoSo-model) Deze omvatten de middelen en de maatregelen die worden ingezet om het bereiken van de doelstellingen van de organisatie van de organisatie te beheersen.

- 50 -

Rijksbreed toetsingskader voor de integriteitsaudit Specifiek integriteitsrisico Risico met betrekking tot integriteit dat uniek is voor de organisatie. Dit risico hangt samen met het functioneren van een organisatie.

Specifieke maatregelen tegen integriteitsinbreuken Maatregelen ter vergroting van de weerbaarheid tegen integriteitsinbreuken, die exclusief en specifiek zijn toegespitst op het onderwerp integriteit.

VBTB Van Beleidsbegroting Tot Beleidsverantwoording. De doelstelling hiervan is dat de overheid op een open en transparante wijze inzicht geeft in de effectiviteit, doelmatigheid en rechtmatigheid van haar beleid en de uitvoering daarvan.

Weerbaarheid/ weerstandsvermogen De mate waarin een organisatie ‘gewapend’ is tegen integriteitaantastingen (-inbreuken). Houdt in dat de inrichting van het werk zo weinig mogelijk ruimte overlaat voor niet-integer handelen. Weerbaarheid omvat het geheel aan formele regels en voorzieningen, en informeel bestaande afspraken en cultuur die het integer functioneren van de organisatie helder maken.

- 51 -


Bijlage 2

Samenstelling Stuurgroep Integriteits Audit (SIA) P.H.E. Bartholomeus RA (voorzitter)

Ministerie van Financiën

drs. H.J. Beentjes


drs. ing. H.A. Duringhof

Ministerie van LNV

W.A. de Munck-Kraamer RA

Ministerie van VROM

L.A.M. van den Nieuwenhuijzen RA

Ministerie van Defensie

drs. A.W. Spieseke

Ministerie van BZK

drs. C.D. van der Steen AA (secretaris)


H. Varenbrink RA

Ministerie van VenW

mr. R.O. Vos


Samenstelling Werkgroep Integriteits Audit (WIA) drs. H.J. Beentjes


drs. W.M.P van Dijck


drs. J.P. Dirkx


L.C. Driessen RA MGA

Ministerie van Justitie

drs. F.A. van den Hoek RA


J.E. Lammerding RA

Ministerie van VROM

C.A.J. van Schie RA MGA

Ministerie van Justitie

drs. H.H.G. Smeets RA


drs. A.W. Spieseke

Ministerie van BZK

drs. C.D. van der Steen AA (secretaris)


mr. R.O. Vos (voorzitter)


drs. A.C. van Weerd MPM


R.J. Wetting RA RO

Ministerie van LNV

drs. J.M.L. van der Wielen RA MGA


J.T.M. van der Zalm

Ministerie van VenW

- 52 -


Bijlage 3

Geraadpleegde rapporten voor ontwikkeling van de handreiking integriteitsaudit

1.

“Auditmodel Integriteit” – IODAD-Kenniskring Forensische Accountancy, januari 2002.

2.

Concept plan van aanpak voor “De ontwikkeling en uitvoering van een integriteitsaudit” – Ministerie van Verkeer en Waterstaat, januari 2002.

3.

Handreiking “Integriteit van bestuurders bij gemeenten en provincies” – VNG, 2001

4.

Stedelijk eindrapport “Meer Weerbaar” - Gemeente Amsterdam, december 2000.

5.

Handleiding “Een beetje integer kan niet” – BVD, april 1996.

6.

“KEMA 8001-1 Norm voor integriteitsmanagement bij gemeenten” – KEMA, juli 1999.

7.

“Integriteitsbeleid bij het Rijk: stand van zaken”, Tweede Kamer 1995-1996, 24 655, nrs. 1-2 – Algemene Rekenkamer, maart 1996.“

8.

In contact met het contract” – Directie Accountancy Rijksoverheid van het ministerie van Financiën, Den Haag, 25 januari 2000.

9.

“Audit Bestuurssensitiviteit” – Accountantsdienst Ministerie van Justitie, Den Haag, april 2002

10. “Handboek Controle Departementale Auditdiensten, versie 1.0” – IODAD, Den Haag, oktober 2002 11. “Handboek Integriteitsonderzoek; leidraad voor preventief zelfonderzoek naar kwetsbaarheden binnen overheidsorganisaties” - Ministerie van BZK/AIVD, Den Haag, 2003

- 53 -


Bijlage 4

1 2 Overzicht van relevante regelgeving over integriteit in Ambtenarenwet en ARAR Ambtenarenwet Artikel 125 (J) 1.

Voor zover deze onderwerpen niet reeds bij of krachtens de wet zijn geregeld, worden voor de ambtenaren, door of vanwege het rijk aangesteld, bij of krachtens algemene maatregel van bestuur voorschriften vastgesteld betreffende: a. aanstelling, schorsing en ontslag; b. het onderzoek naar de geschiktheid en de bekwaamheid; c.

bezoldiging en wachtgeld;

d. diensttijden; e. verlof en vakantie; f.

voorzieningen in verband met ziekte;

g. bescherming bij de arbeid; h. woon-, verblijfs- en bereikbaarheidsverplichtingen; i.

medezeggenschap;

j.

de melding en de registratie van nevenwerkzaamheden die de belangen van de dienst voor zover deze in verband staan met de functievervulling, kunnen raken;

k.

het verbieden van nevenwerkzaamheden waardoor de goede vervulling van de functie of de goede functionering van de openbare dienst, voor zover deze in verband staat met de functievervulling, niet in redelijkheid zou zijn verzekerd;

l.

overige rechten en verplichtingen;

m. disciplinaire straffen; n. de instelling en werkwijze van commissies waaraan de beslissing met uitsluiting van administratieve organen is opgedragen, voor zover deze worden mogelijk gemaakt; o. de wijze, waarop met de daarvoor in aanmerking komende vakorganisaties van overheidspersoneel overleg wordt gepleegd over aangelegenheden van algemeen belang voor de rechtstoestand van de ambtenaren, alsmede de gevallen waarin overeenstemming in dat overleg dient te worden bereikt.

Artikel 125a (J) 1.

2.

De ambtenaar dient zich te onthouden van het openbaren van gedachten of gevoelens of van de uitoefening van het recht tot vereniging, tot vergadering en tot betoging, indien door de uitoefening van deze rechten de goede vervulling van zijn functie of de goede functionering van de openbare dienst, voor zover deze in verband staat met zijn functievervulling, niet in redelijkheid zou zijn verzekerd. Het eerste lid is, voor wat betreft het recht van vereniging, niet van toepassing op het lidmaatschap van: a. een politieke groepering, waarvan de aanduiding is ingeschreven overeenkomstig de Kieswet of b. een vakvereniging. De ambtenaar is verplicht tot geheimhouding van hetgeen hem in verband met zijn functie ter kennis is gekomen, voor zover die verplichting uit de aard der zaak volgt.

Meest relevante artikelen uit het ARAR - 54 -


Artikel 9 1. Een aanstelling voor de tijd van langer dan drie maanden kan slechts plaatsvinden, indien het bevoegd gezag op grond van de gegevens waarover het beschikt van oordeel is dat de betrokkene in voldoende mate geschikt en bekwaam is voor de desbetreffende functie. 2. Het bevoegd gezag kan voor een bepaalde functie of voor een groep van functies eisen van geschiktheid en bekwaamheid vaststellen waaraan de betrokkene moet voldoen om voor een aanstelling in aanmerking te komen. 3. Teneinde vast te stellen of de betrokkene in voldoende mate geschikt of bekwaam is, wordt deze aan een onderzoek onderworpen, waaronder begrepen het verifiëren en zo nodig aanvullen van de gegevens die door de betrokkene desgevraagd zijn verstrekt. 4. Het onderzoek, bedoeld in het derde lid, omvat tevens: a. een psychologisch onderzoek, indien daaraan naar het oordeel van het bevoegd gezag behoefte bestaat; b. een geneeskundig onderzoek, indien dit op grond van een wettelijk voorschrift verplicht is gesteld dan wel indien op grond van functie-eisen een onderzoek naar de medische geschiktheid van de betrokkene noodzakelijk is. 5.

Onze Minister stelt vast voor welke functies een onderzoek naar de medische geschiktheid van de betrokkene noodzakelijk is. 6. Het bevoegd gezag kan, met uitzondering van de gevallen, bedoeld in het zevende en het achtste lid, van de betrokkene vergen dat deze een verklaring omtrent het gedrag als bedoeld in de Wet op de justitiële documentatie en op de verklaringen omtrent het gedrag overlegt. 7. Indien het, anders dan een vertrouwensfunctie als bedoeld in artikel 1, eerste lid, onder a, van de Wet veiligheidsonderzoeken, een functie betreft die bijzondere eisen stelt aan de integriteit of verantwoordelijkheid van de betrokkene, wordt naar de betrokkene een antecedentenonderzoek ingesteld. Aanstelling in een zodanige functie is slechts mogelijk, indien op grond van een ten aanzien van de betrokkene ingesteld antecedentenonderzoek tegen diens vervulling van de desbetreffende functie geen bezwaar blijkt te bestaan. 8. Aanstelling in een vertrouwensfunctie als bedoeld in artikel 1, eerste lid, onder a, van de Wet veiligheidsonderzoeken is slechts mogelijk, indien ten aanzien van de betrokkene een verklaring als bedoeld in artikel 1, eerste lid, onder b, van die wet is afgegeven. 9. Onze Minister stelt nadere regels vast ter uitvoering van het antecedentenonderzoek. Deze nadere regels dienen in ieder geval waarborgen te bevatten omtrent een voldoende bescherming van de persoonlijke levenssfeer van de betrokkene. 10. Het geneeskundig onderzoek, bedoeld in het vierde lid, onderdeel b, mag pas plaatsvinden, indien de betrokkene naar het oordeel van het bevoegd gezag op grond van het onderzoek, bedoeld in het derde lid, en eventueel na het psychologisch onderzoek, bedoeld in het vierde lid, onderdeel a, overigens voldoende bekwaam en geschikt is voor de desbetreffende functie. Ook een verklaring omtrent het gedrag mag dan pas worden gevraagd. 11. Een antecedentenonderzoek of een veiligheidsonderzoek wordt pas ingesteld als naar het oordeel van het bevoegd gezag de betrokkene bekwaam en geschikt is voor de betreffende functie. 12. Onze Minister van Binnenlandse Zaken kan omtrent het onderzoek, bedoeld in het derde lid, nadere regels vaststellen.

Artikel 50 1. 2. 3.

De ambtenaar is gehouden de plichten uit zijn functie voortvloeiende nauwgezet en ijverig te vervullen en zich te gedragen, zoals een goed ambtenaar betaamt. Het is de ambtenaar verboden in dienst uniformkledingstukken te dragen, tenzij deze van regeringswege zijn verstrekt of voorgeschreven. Het is de ambtenaar verboden bij gekleed gaan in uniform insignes of andere onderscheidingstekens te dragen, tenzij deze van regeringswege zijn verstrekt of voorgeschreven of tot het dragen daarvan door Onze Minister President vergunning is verleend.

Artikel 51 1. De ambtenaar is verplicht een eed of een belofte af te leggen. 2. Bij ministeriële regeling worden regels gesteld inzake het afleggen door de ambtenaar van de eed of de belofte. 3. Bij regeling van Onze Minister van Binnenlandse Zaken wordt het formulier vastgesteld dat wordt gebruikt voor het afleggen door de ambtenaar van de eed of de belofte.

- 55 -


Artikel 57 1. 2.

3.

4.

De ambtenaar kan op zijn aanvraag een andere functie worden opgedragen. Wanneer het belang van de dienst zulks vordert, is de ambtenaar verplicht, een andere passende functie te aanvaarden: a. overeenkomstig het bepaalde in artikel 49h indien het gaat om een verplaatsing in het kader van een reorganisatie, en; b. overeenkomstig het bepaalde in artikel 49h, eerste lid in de overige gevallen. Het opdragen van een andere functie aan de ambtenaar, bedoeld in artikel 4, vijfde lid, onder a, vindt plaats door Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties in overeenstemming met Onze Minister. Het opdragen van een andere functie aan de ambtenaar, bedoeld in artikel 4, vijfde lid, onder b of c, vindt plaats door Onze Minister in overeenstemming met Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties

Artikel 61 1.

2. 3.

De ambtenaar is verplicht aan Onze Minister, op een door Onze Minister te bepalen wijze, opgave te doen van de nevenwerkzaamheden die hij verricht of voornemens is te gaan verrichten, die de belangen van de dienst voor zover deze in verband staan met zijn functievervulling, kunnen raken. Onze Minister voert een registratie op basis van de op grond van het eerste lid gedane opgaven. Het is de ambtenaar verboden nevenwerkzaamheden te verrichten waardoor de goede vervulling van zijn functie of de goede functionering van de openbare dienst, voor zover deze in verband staat met zijn functievervulling, niet in redelijkheid zou zijn verzekerd. Bij ministeriële regeling kunnen nadere regels omtrent dit verbod worden gesteld.

Artikel 62 1. 2.

Het is den ambtenaar verboden, middellijk of onmiddellijk deel te nemen aan aannemingen en leveringen ten behoeve van openbare diensten, tenzij daarvoor toestemming is verleend. Hij is verplicht zich te gedragen naar hetgeen voor hem is bepaald ten aanzien van het deelnemen, middellijk of onmiddellijk, aan aannemingen en leveringen ten behoeve van anderen.

Artikel 64 1. 2.

Het is den ambtenaar in zijn ambt verboden, anders dan met goedvinden van het bevoegd gezag, vergoedingen, beloningen, giften of beloften van derden te vorderen, te verzoeken of aan te nemen. Het aannemen van steekpenningen is onvoorwaardelijk en ten strengste verboden.

- 56 -


Bijlage 5 Overzicht van overige relevante regelgeving en literatuur over integriteit bij het Rijk 1. Machtsbederf ter discussie Bijdragen aan het debat over bestuurlijke integriteit. Redactie: L.W.J.C. Huberts. VU Uitgeverij, Amsterdam 1994 Toelichting In 1992 houdt de minister van Binnenlandse Zaken, mw. I. Dales een voordracht tijdens het VNGcongres op 2 en 3 juni van dat jaar: om de integriteit van het openbaar bestuur. 2. De notitie thema Integriteit van de Openbare Sector door minister van BiZa (I.Dales) TK, 1993-1994, 23400 VII, nr. 11 De notitie bevat hoofdzakelijk beleidsuitgangspunten en een aantal praktische voornemens Toelichting Deze notitie aan de TK is voortgekomen uit eerdere toezeggingen, gedaan in het mondelinge overleg in de TK over de nota “De georganiseerde criminaliteit in Nederland. Dreigingsbeeld en plan van aanpak”. In de notitie zegt mw. Dales dat zij zal nagaan of de bestaande regelgeving voldoet aan de UN Code for Public Officials. De bedoeling van deze code is: − ambtenaren duidelijk maken wat hun verplichtingen zijn; − vasthouden of herwinnen van het vertrouwen in overheidshandelen. 3. Geactualiseerde stand van zaken inzake het thema Integriteit van de Openbare Sector door minister van BiZa (E.vanThijn) TK, 1993-1994, 23400 VII, nr. 29 Deze notitie heeft als bijlage een lijst van in gang gezette en voorgenomen activiteiten in de categorieën: bewustwording, sectorspecifieke voorzieningen en voorstellen tot wezenlijke veranderingen, voorzien van tijdpad. Toelichting Voor de categorie wezenlijke veranderingen worden voorstellen gedaan tot aanpassing van de wet - en regelgeving, alsmede van het bestaande instrumentarium, indien onvoldoende bescherming bestaat tegen inbreuken op de integriteit. 4. Klachtenregeling seksuele intimidatie burgerlijk rijkspersoneel Besluit van de minister van BiZa tot vaststelling van een uniforme procedure voor de afhandeling van klachten i.v.m. seksuele intimidatie BiZa, 22 juli 1994, kenmerk AD 94/U854 5. Circulaire systematisch ontwikkelen van een preventief beleid met twee basisnotities: − rechtspositionele instrumenten integriteit openbare dienst; − organisatorische en personele matregelen integriteit sector Rijk. BiZa, december 1994, kenmerk AD94/U1369 6. Circulaire nevenwerkzaamheden rijksambtenaren met bijlage waarin een: − Overzicht van relevante artikelen uit de Grondwet; − Ambtenarenwet; − Wet persoonsregistratie en ARAR. BiZa, december 1994, kenmerk AD94/U825 7. Voortgangsrapportage integriteit sector rijk BiZa, januari 1996, kenmerk AD96/U89 Toelichting Deze rapportage is gebaseerd op een vragenlijst die door Biza naar de departementen is gestuurd

8. Integriteitsbeleid bij het Rijk: stand van zaken Algemene Rekenkamer, Den Haag, maart 1996 - 57 -

Rijksbreed toetsingskader voor de integriteitsaudit Tweede Kamer, 1995-1996, 24655, nrs. 1-2 9. Motie van het lid H.G.J. Kamp CS 1 oktober 1996 Tweede Kamer, 1996-1997, 24655, nr. 3 Toelichting De motie noemt de volgende bestanddelen: − -het melden en registreren van nevenfuncties; − -het aannemen van geschenken of diensten; − -de handelwijze bij aantasting van integriteit of vermoedens daarvan; − -functieroulatie bij kwetsbare functies; − -het aanstellen van een vertrouwenspersoon. De motie Kamp wordt ingediend in het Algemeen Overleg tussen TK en BiZa op 26 september 1996 over de voortgangsrapportage van BiZa (punt 6) en het onderzoek van de Rekenkamer (punt 7) Tweede Kamer, 1996-199, 24655, nr. 4 10. In het Algemeen Rijksambtenarenreglement (ARAR) was reeds een verbod opgenomen tot het verrichten van bepaalde nevenwerkzaamheden (art.61, lid 2). In 1997 heeft aanpassing en uitbreiding van de Ambtenarenwet en de Militaire Ambtenarenwet 1931 plaats gevonden in verband met het verrichten van nevenwerkzaamheden (Staatsblad 224, Wet van 21 mei 1997). Op grond hiervan is art.61 ARAR eveneens in dezelfde zin aangepast (Staatsblad 665, besluit van 4 december 1997). Departementen zijn thans op grond van het ARAR bevoegd om bij AMvB nadere regels te stellen op het terrein van nevenfuncties. 11. Circulaire, voorzien van een Kader Integriteit BiZa, februari 1997, kenmerk AD97/U114 Toelichting In deze circulaire reikt BiZa de departementen een kader aan voor de uitvoering van de motie Kamp CS. 12. Voortgangsrapportage integriteit openbaar bestuur BiZa, september 1997, kenmerk AD97/U842 Toelichting Naast de sector Rijk (motie Kamp) komen ook internationale aspecten aan de orde, het wetgevingstraject BIBOB, de politie, binnenlandse veiligheid en politiek. 13. Nevenwerkzaamheden ambtsdragers en ambtenaren Brief van de minister van BiZa Tweede Kamer, 1997-1998, 25918, nr. 1

- 58 -

Rijksbreed toetsingskader voor de integriteitsaudit 14.Integriteit bij het Rijk: stand van zaken Brief van de minister van BZK Tweede Kamer, 1998-1999, 24655, nr. 5 Toelichting In oktober 1998 wordt een evaluatie aan de TK gezonden over de uitvoering van de motie Kamp. BZK maakt daarin de gevolgtrekking dat de ministeries inmiddels over voldoende maatregelen en instrumenten beschikken om een adequaat integriteitsbeleid te kunnen voeren. Het komt er nu op aan deze op de werkvloer toe te passen. Citaat: Daarbij kan bezien worden of de departementale accountantsdiensten een rol kunnen spelen in de controle op de uitvoering van de maatregelen en instrumenten. Dit is de eerste keer dat de DAD’s worden genoemd in het kader van (de controle op) het integriteitsbeleid. 15.Integriteit bij het Rijk: stand van zaken Brief van de minister van BZK Tweede Kamer, 1998-1999, 24655, nr. 7 3 Toelichting De minister van BZK komt op basis van toezeggingen in het algemeen overleg van 3 februari 1999 met twee nieuwe maatregelen: − de draaideurconstructie (tegen ex-ambtenaren die hun oude stoel gaan bekleden als extern adviseur); − de klokkenluidersproblematiek (bescherming van ambtenaren die misstanden aan de kaak stellen). Daarmee komt het aantal concrete maatregelen op 5 (motie Kamp) plus 2 (extra) is 7 stuks. De minister van BZK wijdt in dit kader een aparte paragraaf aan de inschakeling van de departementale accountantsdiensten en deelt de Tweede Kamer mede dat de Directie Accountancy Rijksoverheid (DAR) van het ministerie van Financiën een inventarisatie zal houden van de mogelijke rol van de DAD’s inzake integriteit. 16. Aanvaarden van geschenken door rijksambtenaren BZK, juli 1990, kenmerk AD1999/U75958 Toelichting BZK verzoekt de departementen tot nadere vaststelling van de richtlijn geschenken (op basis van ARAR, art.64 en gerelateerd aan AD97/U114, zie onder punt 9). Geschenken mogen o.a. niet de waarde van fl. 100,- te boven gaan. 17.Inventarisatie rol DAD op het gebied van integriteit Ministerie van Financiën/Directie Accountancy Rijksoverheid Den Haag, februari 2000 Toelichting Uit de beantwoording van de vragen door de DAD’s blijkt dat de meeste DAD’s voor zichzelf een mogelijke rol zien op het terrein van integriteit, indien de departementsleiding daarom vraagt, zowel in de adviessfeer als in de auditsfeer. Een aantal DAD’s is van mening dat integriteitsaudits in de toekomst tot de mogelijkheden behoren 18.Vertrouwen in verantwoordelijkheid; Management- en Personeelsontwikkeling Rijksdienst; Integriteit van het openbaar bestuur Drie boekjes die zijn geschreven naar aanleiding van de Parlementaire Enquête Commissie Vliegramp Bijlmermeer BZK, Den Haag, september 1999 Toelichting In de nota staan de nieuwe elementen draaideurconstructie en klokkenluidersregeling beschreven, alsmede een evaluatie van (de uitvoering) van de 5 punten uit de motie Kamp. 19. Circulaire tegengaan draaideurconstructie binnen de rijksdienst BZK, februari 1999, kenmerk AD1999/U84410 20. Vertrouwen in verantwoordelijkheid; Integriteit van het openbaar bestuur; - 59 -

Rijksbreed toetsingskader voor de integriteitsaudit Management- en personeelsontwikkeling Rijksdienst Brief van de minister van BZK Tweede Kamer, 1999-2000, 26806, nr. 3 21. Vertrouwen in verantwoordelijkheid; Integriteit van het openbaar bestuur; Management- en personeelsontwikkeling Rijksdienst Brief van de minister van BZK Tweede Kamer, 2000-2001, 26806, nrs. 5 en 7 4 Toelichting Evaluatie van het integriteitsbeleid in twee delen (oktober 2000; januari 2001). Deel 1 is tamelijk praktisch en bevat een bijlage met de stand van zaken bij de departementen. Opvallend is dat naast de evaluatie van de punten uit de motie Kamp, ook aandacht aan de cultuur wordt geschonken, zoals blijkt uit vragen naar opleidingen, brochures, trainingen, veiligheidsonderzoeken. De draaideurconstructie doet voor het eerst mee in de evaluatie. In deel 2 wordt een meer beleidsmatige samenvatting gegeven, waarin ook een interim-regeling inzake de klokkenluidersproblematiek wordt aangekondigd, nodig totdat de ambtenarenwet in dat opzicht is gewijzigd. Een opmerkelijke conclusie uit deze evaluatie is dat op de meeste ministeries nog geen sprake is van een structurele controle op de uitvoering van het integriteitsbeleid. De minister van BZK pleit ervoor dat dit wel gaat gebeuren en dat daarbij de mogelijke rol van de DAD’s wordt bezien. Hij verwijst daarbij naar de uitspraken van de minister van Financiën in zijn brief aan de TK inzake de Financiële verantwoordingen over het jaar 1999, waarin een paragraaf is opgenomen over integriteit in het kader van de bedrijfsvoering (VBTB) en de controle daarop (Tweede Kamer, 1999-2000, 27127, nr.1). 22. Financiële verantwoording over het jaar 1999 Brief van de minister van Financiën Tweede Kamer, 1999-2000, 27127, nr. 1 Toelichting Uitleg van de uitkomsten van DAR-inventarisatie naar de rol van de DAD’s op het gebied van het departementale integriteitsbeleid en uiteenzetting over integriteit als aspect van de bedrijfsvoering in het kader van VBTB. De minister wijst ook terug naar eerdere uitspraken van zijn collega van BZK in dit verband (Tweede Kamer, 24655, nr. 7, zie punt 14) 23. Financiële verantwoordingen over het jaar 2000 Financieel Jaarverslag van het Rijk Tweede Kamer, 2000-2001, 27700, nr. 2 Toelichting Minister gaat in op de evaluatie van het rijksbrede integriteitsbeleid door BZK (punt 19) en zegt dat de DAD kan worden ingeschakeld door de departementsleiding inzake advies- en controletaken betreffende het integriteitsbeleid. De regering zal inventariseren op welke wijze door de departementen invulling wordt gegeven aan een structurele controle van de uitvoering van het integriteitsbeleid en welke rol de DAD’s hierbij zullen spelen.

- 60 -

Rijksbreed toetsingskader voor de integriteitsaudit 24. Financiële verantwoording over het jaar 2000 Lijst van vragen en antwoorden Tweede Kamer 2000-2001, 277000, nr. 75 Toelichting Schriftelijke vraag (nr. 34) over de rol van de DAD’s inzake structurele controle op de uitvoering van het integriteitsbeleid bij de departementen 25.Van beleidsbegroting tot beleidsverantwoording Verslag van een algemeen overleg Tweede Kamer 2000-2001, 26573, nr. 67 Toelichting De minister van Financiën acht de integriteitskwestie zeer belangrijk. Er moet op een of andere manier iets worden gedaan aan best practises of benchmarking. Het is van groot belang dat het onderwerp hoog op de agenda blijft staan. 26. Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (Wet BIBOB) Regels inzake de bevordering van integriteitsbeoordelingen door het openbaar bestuur met betrekking tot beschikkingen of overheidsopdrachten Tweede Kamer, 2000-2001, 26883, nr. 5 27. Wijziging Ambtenarenwet in verband met integriteit Wijziging Ambtenarenwet, Militaire ambtenarenwet en Politiewet op het punt van openbaarmaking van nevenwerkzaamheden, het melden van financiële belangen en effectentransacties en tot het omgaan met vermoedens van misstanden Tweede Kamer, 2000-2001, 27602, nrs. 1-2 en 3 Advies Raad van State, Tweede Kamer, 2000-2001, 27602 A en B Verslag van bevindingen van vaste commissie BZK in verband met voorbereiding wetsvoorstel Tweede Kamer, 2000-2001, 27602, nr. 4 28. Nota Integriteit Financiële Sector Brief van de minister van Financiën, december 1997 Tweede Kamer, 1997-1998, 25830. Nr. 1 Röntgenfoto met wetswijzingen, 25830, nr. 7 29. Rijksbreed overzicht integriteit en de rol van de DAD’s bij de naleving van het departementale integriteitsbeleid Financiën, DAR 2001-00322N. 10 Juli 2001 30. De audit-functie in het VBTB-tijdperk Interdepartementaal beleidsonderzoek CDV-accountancy Werkzaamheden van de DAD in de toekomst Ministerie van Financiën/Directie Accountancy Rijksoverheid Den Haag, 31 mei 2001 31. Kwaliteitsplan audit-functie Rijksoverheid Regeringsnota: Bijdrage aan de verdere ontwikkeling van de audit-functie. Ministerie van Financiën en Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Den Haag, februari 2002 32. Bouwfraude en corruptie bij ambtenaren Brief van de staatssecretaris van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer en de ministers van Verkeer en Waterstaat wen van Economische Zaken. Tweede Kamer, 2001-2002, 28093, nr. 18

- 61 -

Rijksbreed toetsingskader voor de integriteitsaudit 33. Bouwfraude en corruptie bij ambtenaren Idem Toelichting De tien toetspunten die BZK heeft aangeleverd als basis voor een departementaal integriteitsbeleid luiden als volgt: − Omgaan met vertrouwelijk informatie − Periodieke screening van functionarissen op risicovolle functies − Functiescheiding in kwetsbare posities en controle op de uitvoering van de werkzaamheden van deze functionarissen (inclusief mandaatregelingen) − Beheer van geautomatiseerde bestanden en systemen, die uitsluitend te muteren zijn door daartoe bevoegde functionarissen − Verrichten van nevenwerkzaamheden, aannemen van geschenken en de omgang met leveranciers of contractpartners − Gedragscodes voor personen en teams die aanbestedingsprocedures moeten uitvoeren en bestekken opstellen − Bezit en gebruik van een groslijst van geselecteerde ondernemingen die inzicht verschaft in een aantal basisgegevens over de betrouwbaarheid van de contractpartners − Treffen van correctieve, arbeidsrechtelijke maatregelen in geval van overtreding − Aanwezigheid van regels om “draaideurconstructies” tegen te gaan. Het gaat daarbij om voormalige ambtelijke medewerkers die voor dezelfde soort van werkzaamheden tegen een hogere beloning worden ingehuurd. 34. Integriteit bij het Rijk, een handreiking voor een audit (met bijlagen) Ministerie van Financiën/Directie Accountancy Rijksoverheid - Werkgroep en Stuurgroep Integriteitsaudit, Den Haag, februari 2002 Toelichting In de door de ministerraad ingestelde SG-taskforce Bouwfraude is in januari 2002 besloten dat een integriteitsaudit/toetsingskader in maart 2002 gereed zal zijn, zodat de departementen in de toekomst regelmatig audits kunnen houden (actiepunt 5 uit Bouwfraude en corruptie bij ambtenaren, Tweede Kamer, 2001-2002, 28093, nr.18). Daarop heeft Financiën, Directie Accountancy Rijksoverheid (DAR) de coördinatie van de ontwikkeling van een rijksbreed toetsingskader op zich genomen (o.a. op basis van het bij de IODAD-kenniskring Forensische Accountancy ontwikkelde auditmodel integriteit). Daarin zullen de tien toetspunten van BZK worden opgenomen. 35. Managementsamenvatting integriteitsaudits (met bijlagen) Ministerie van Financiën/Directie Accountancy Rijksoverheid - Werkgroep en Stuurgroep Integriteitsaudit, Den Haag, juni 2002 36. De bouw uit de schaduw; Eindrapport Parlementaire Enquetecommissie Bouwnijverheid Tweede Kamer, vergaderjaar 2002-2003, 28 244, nrs. 5-6, Den Haag, 12 december 2002. e

37. Integriteit bij het Rijk, een handreiking voor een audit, 2 versie (met bijlagen) Ministerie van Financiën/Directie Accountancy Rijksoverheid - Werkgroep en Stuurgroep Integriteitsaudit, Den Haag, december 2002

- 62 -


Bijlage 6

Via Interne Beheersing naar Corporate Governance (COSO) Achtergronden

- 63 -


Inhoudsopgave Voorwoord

4

Inleiding

5

1

Aanleiding

5

Doelstelling en doelgroep

5

Het begrip interne beheersing

5

Opbouw rapport

5

Benchmark

6

Praktijkvoorbeelden

6

De vijf componenten van interne beheersing A Risicobeoordeling B Beheersingsmaatregelen C Informatie en communicatie D Bewaking E Beheersingskader

7 8 8 8 9 9

2. Onderlinge samenhang tussen de vijf componenten en de doelstellingen van interne beheersing 3.

4.

Toepassingen van interne-beheersingssystemen 3.1 Wat kan met interne-beheersingssystemen worden bereikt? 3.2 Wat kan met interne-beheersingssystemen niet worden bereikt? Opzet van het instrument 4.1 Algemeen gebruik 4.2 Onderverdeling in deelcomponenten 4.3 De "management control cyclus" in de deelcomponenten 4.4 Voorbeelden van analyses 4.5 Van evaluatie naar eindoordeel

Bijlagen 1 Lijst met deskundigen die hun medewerking hebben verleend 2 Praktijkvoorbeelden 3 Relevante aanbevelingen Commissie Peters 4 Vergelijking COSO met CoCo 5 Vergelijking COSO met analyse- en beoordeiingsinstrument 6 Literatuur

3

- 64 -

10 11 11 11 12 12 12 13 14 14

15 16 21 22 24 28


Voorwoord Inhakend op de ontwikkelingen op het gebied van corporate governance en interne beheersing publiceerde het Koninklijk NIVRA in 1996 studierapport 37 "Interne beheersing en accountant". in dit rapport worden begrippen op het gebied van interne beheersing uit een aantal internationale publicaties toegelicht en met elkaar vergeleken. In 1997 verscheen het rapport van de Commissie Corpotate Governance (ook wel Commissie Peters genoemd), waarin de commissie aanbevelingen doet om in organisaties te komen tot corporate governance, of zoals de commissie het noemt: goed bestuur. De aanbevelingen gaan ook in op het beoordelen van interne-beheersingssystemen en op de wijze waarop hierover verantwoording moet worden afgelegd. Noch in het rapport "Interne beheersing en accountant", noch in het rapport van de Commissie Peters, worden echter concrete instrumenten aangereikt om tot een beoordeling van interne-beheersingssystemen te komen en daarover verantwoording af te leggen. De verwachting bestaat evenwel dat over enkele jaren in Nederland in het jaarverslag informatie moet worden verstrekt omtrent het interne-beheersingssysteem. Een eis die vergaande maatschappelijke en praktische consequenties met zich mee brengt en die de ontwikkeling van een analyse- en beoordelingsinstrument noodzakelijk maakt. Met het oog daarop heeft het NIVRA een breed forum van deskundigen uitgenodigd te adviseren over dit onderwerp met het doel te komen tot een analyse- en beoordelingsinstrument dat kan worden gehanteerd voor het beoordelen van interne-beheersingssystemen. De deskundigen hebben bijgedragen aan drie groepen: een klankbordgroep, een stuurgroep en een werkgroep (zie bijlage l). In de klankbordgroep hebben leden van de volgende organisaties geparticipeerd: De Nederlandsche Bank (DNB); de Verzekeringskamer (VK); de Stichting Toezicht Effectenverkeer (STE); het Nederlands Centrum voor Directeuren en Commissarissen (NCD); het Institute of Internal Auditors Nederland (IIA); de Nederlandse Orde van Register EDP Auditors (NOREA); het Controllersinstituut (Cl); de Commissie Monitoring Corporate Governance. De leden van de klankbordgroep hebben op grond van hun persoonlijke expertise een adviesrol vervuld omdat ze allen het belang van goede interne beheersing binnen ondernemingen onderschrijven. Zij hebben de totstandkoming van het rapport kritisch gevolgd en het eindproduct beoordeeld. De eindverantwoordelijkheid voor het rapport ligt bij het NIVRA. De leden van de stuurgroep hebben op grond van hun ervaring en kennis op het gebied van interne beheersing een bijdrage geleverd aan de totstandkoming van dit rapport. Zij onderhielden de contacten met de leden van de klankbordgroep en hebben de leden van de werkgroep geadviseerd bij het ontwikkelen van het instrument en het schrijven van dit rapport. De leden van de werkgroep tenslotte, hebben in nauwe samenspraak met de stuurgroep en de klankbordgroep dit rapport geschreven en een analyse- en beoordelingsinstrument ontwikkeld. Voordat het instrument zijn definitieve vorm kreeg, is het voorgelegd aan een aantal ondernemingen met de vraag het instrument te testen in de eigen organisatie. De organisaties hebben aan die vraag gevolg gegeven; hun ervaringen en suggesties tot verbetering zijn in het materiaal verwerkt. De opstellers hebben aan een aantal andere ondernemingen gevraagd voorbeelden uit hun eigen organisatie te verstrekken. Een aantal van die praktijkvoorbeelden is geanonimiseerd in dit rapport opgenomen (zie bijlage 2). Het NIVRA dankt op deze plaats alle deskundigen die aan de totstandkoming van dit rapport hebben bijgedragen. Amsterdam, december 1998 Het Bestuur.

4 - 65 -


Inleiding Aanleiding In 1997 verscheen het rapport van de Commissie Corporate Governance (ook wel Commissie Peters genoemd). De aanleiding voor dat rapport was tweeledig: enerzijds de vergaande internationalisering van de economie en internationaal gewijzigde verhoudingen en anderzijds de discussies over rol, positie en invloed van de kapitaalverschaffer. In het rapport zijn 40 aanbevelingen opgenomen die bestuurders zouden behoren op te volgen wil er sprake zijn van goed bestuur. Het rapport bevat ook aanbevelingen over het beoordelen van de opzet van interne-beheersingssystemen en de wijze waarop hierover verantwoording moet worden afgelegd (de aanbevelingen 17, 21, 34 en 36 zijn opgenomen in bijlage 3). De commissie beveelt aan de verantwoordelijkheid voor de interne beheersing primair te leggen bij de Raad van Bestuur. Tenslotte roept de Commissie zowel opstellers en gebruikers van verantwoordingsinformatie alsmede accountants op om consensus te bereiken over de opzet en implementatie van internebeheersingssystemen en over de wijze waarop over de interne beheersing in het jaarverslag moet worden gerapporteerd. Richtlijnen over de beoordeling van opzet en implementatie van internebeheersingssystemen zijn in de aanbevelingen van de commissie echter niet opgenomen. Doelstelling en doelgroep Het Koninklijk NIVRA, draagt met dit rapport graag bij aan het tot stand brengen van een algemeen aanvaard raamwerk voor het analyseren en beoordelen van de opzet van internebeheersingssystemen en de verantwoording daarover. Dit rapport biedt daarvoor de achtergrondinformatie, maar ook een instrument dat ondernemingen kunnen gebruiken om het beoordelingsproces uit te voeren. Het rapport is in beginsel bestemd voor het management van grotere ondernemingen. Maar ook andere ondernemingen kunnen de achtergrondinformatie en het instrument gebruiken om de effectiviteit van hun interne-beheersingssysteem te beoordelen. Anderen die bij de onderneming betrokken zijn -zoals commissarissen, leden van audit committees, interne accountants en externe accountants -kunnen dit rapport gebruiken als hulpmiddel voor het beoordelen van de mate van interne beheersing. Het begrip interne beheersing In NIVRA studierapport 37 "Interne beheersing en accountant" uit 1996 is het begrip interne beheersing als volgt gedefinieerd: Interne beheersing is een proces, gericht op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van'doelstellingen in de volgende categorieën: • de effectiviteit efficiëntie van bedrijfsprocessen; • de betrouwbaarheid van de financiële inforrnatieverzorging; • de naleving, van relevante weten regelgeving.

Ook in dit rapport zal deze definitie worden gehanteerd. Opbouw rapport Dit rapport bestaat uit een theoretisch deel en een praktisch deel in de vorm van een analyse- en beoordelingsinstrument interne beheersing. Het analyse- en beoordelingsinstrument is in een separaat boekwerk opgenomen. Om het gebruik te vergemakkelijken, is het analyse- en beoordelingsinstrument ook op CD-ROM opgenomen. Door de menugestuurde werkwijze en de mogelijkheid om vragen toe te voegen die in een specifieke situatie relevant zijn, kan het analyse- en beoordelingsinstrument op een effectieve en efficiënte manier worden gebruikt.

5 - 66 -

Rijksbreed toetsingskader voor de integriteitsaudit Het theoretische deel is bedoeld voor managers en beschrijft achtergronden. Hierin wordt het concept van interne beheersing behandeld. Dit gebeurt aan de hand van vijf begrippen die ook in internationale publicaties worden gehanteerd om interne beheersing nader te definiëren en tot een toetsingsinstrument voor interne beheersing te komen. Die begrippen zijn: A. risicobeoordeling; B. beheersingsmaatregelen; C. informatie en communicatie; D. bewaking en E. beheersingskader. In het vervolg van dit rapport noemen we deze begrippen: de vijf componenten van interne beheersing. Citaat uit pilotonderzoeken: De rol van degene die het instrument in de onderneming brengt (facilitator) is heel belangrijk

In het praktisch deel wordt het analyse- en beoordelingsinstrument interne beheersing beschreven. Het is bedoeld voor de professionals die het analyse- en beoordelingsinstrument gaan gebruiken. Ook het analyse- en beoordelingsinstrument is opgezet aan de hand van de vijf componenten. Het analyse- en beoordelingsinstrument is redelijk zelfstandig bruikbaar, zij het dat de gebruiker ten aanzien van de oordeelsvorming specifieke kennis en vaardigheden moet bezitten op het gebied van organisatiekunde en/of bedrijfsdiagnose. Benchmark Het is de bedoeling op basis van de ervaringen met het analyse- en beoordeiingsinstrument "best practices" per component te ontwikkelen. Het NIVRA ontvangt daartoe graag ervaringen van gebruikers. Praktijkvoorbeelden Er zijn bij een aantal ondernemingen pilots uitgevoerd. Enkele vragen en opmerkingen zijn cursief in een kader in de tekst van dit rapport opgenomen. In bijlage 2 zijn praktijkvoorbeelden opgenomen van ondernemingen die het analyse- en beoordelingsinstrument hebben toegepast.

6 - 67 -


1

De vijf componenten van interne beheersing

Het afgelopen decennium is de belangstelling voor interne beheersing aanzienlijk toegenomen. Aanleiding hiervoor was onder andere de vraag of het grote aantal faillissementen en fraudes, in met name het Verenigd Koninkrijk en de Verenigde Staten, te wijten zouden zijn aan falende interne beheersingssystemen. Als gevolg hiervan zijn in die landen commissies opgericht, zoals het Cadbury Committee en het Committee of Sponsoring Organisations of the Treadway Commission (COSO), die zich ten doel hebben gesteld interne beheersing nader te definiëren en tot een raamwerk te komen om interne beheersingssystemen te toetsen. De hier gehanteerde vijf componenten van interne beheersing: risicobeoordeling, beheersingsmaatregelen en informatie en communicatie, bewaking en beheersingskader zijn afkomstig uit het COSO-rapport. De componenten zijn afgeleid van de wijze waarop het management leiding geeft aan de onderneming en ze zijn binnen het managementproces geïntegreerd. De onderverdeling van de vijf componenten in deelcomponenten is ontleend aan het Canadese CoCorapport. In bijlage 4 is de vergelijking tussen het COSO-rapport en het CoCo-rapport opgenomen. In bijlage 5 is een vergelijking opgenomen tussen het in dit rapport ontwikkelde raamwerk en het COSO-rapport. Uit deze vergelijking kan worden geconcludeerd dat alle elementen van het COSO-rapport in hoofdlijnen zijn opgenomen.

Bewaking

Informatie & Risicobeoordeling

Beheersingsmaatregelen

Communicatie

Beheersingskader

Figuur 1: De vijf componenten van interne beheersing (KPMG)

Hieronder worden de afzonderlijke componenten van interne beheersing toegelicht. De kern per component is telkens eerst als vraag opgenomen. Wanneer de antwoorden op die vragen voor een bepaalde onderneming positief zijn, is er sprake van interne beheersing. Interne beheersing gedefinieerd als een proces dat erop gericht is een redelijke zekerheid te krijgen over het bereiken van doelstellingen in de volgende categorieën: • de effectiviteit en efficiëntie van bedrijfsprocessen; • de betrouwbaarheid van de financiële informatieverzorging; • de naleving van relevantie weten regelgeving.

7 - 68 -

Rijksbreed toetsingskader voor de integriteitsaudit In bijlage 2 worden de componenten nog geïllustreerd met enkele praktijkvoorbeelden. A

Risicobeoordeling

Hoe gaat de organisatie om met de interne en externe risico’s, die het realiseren van de organisatiedoelstellingen in de weg staan? Elke onderneming heeft te maken met een verscheidenheid aan interne en externe risico's, die op hun ernst en consequenties moeten worden beoordeeld. De component risicobeoordeling heeft hierop betrekking. Voor een effectieve risicobeoordeling is allereerst noodzakelijk dat de organisatiedoeistellingen voor processen en activiteiten worden vastgesteld op verschillende niveaus in de organisatie en in onderlinge samenhang. De risicobeoordeling bestaat uit het identificeren en analyseren van die risico's die het realiseren van deze doelstellingen in de weg kunnen staan. Op deze manier verschaft risicobeoordeling een basis voor het bepalen van de wijze waarop deze risico's dienen te worden beheerst. Aangezien zich voortdurend externe en interne veranderingen voordoen, is het ook nodig om de risico's die gepaard gaan met veranderingen te onderkennen en het hoofd te bieden. B

Beheersingsmaatregelen

Hoe zorgt de organisatie ervoor dat datgene dat moet gebeuren ookw erkelijk wordt uitgevoerd? De component beheersingsmaatregelen is erop gericht te waarborgen dat richtlijnen van het management worden uitgevoerd. De beheersingsmaatregelen betreffen het beleid en de maatregelen die voor die waarborging zijn ingesteld. Dan gaat het bijvoorbeeld om procedures, waarin is vastgelegd hoe werkzaamheden moeten worden uitgevoerd, maar ook over werkoverleg. Ook helpen de beheersingsmaatregelen waarborgen dat de nodige actie wordt ondernomen wanneer risico's optreden die een bedreiging vormen voor realisatie van de doelstellingen van de onderneming. Beheersingsmaatregelen komen voor op alle niveaus en binnen alle afdelingen van de onderneming en omvatten een scala aan verschillende procedures.

c

Informatie en communicatie

Hoe waarborgt de organisatie dat de informatie die nodig is om werkzaamheden goed uit te voeren bij de juiste personen aanwezig is en wordt gebruikt?

Medewerkers van de onderneming kunnen hun taken uitsluitend efficiënt uitvoeren wanneer de daarvoor benodigde en relevante informatie is geïdentificeerd, vastgelegd en gecommuniceerd op een bepaalde wijze en in een bepaalde frequentie. Bijvoorbeeld via informatiesystemen die rapporten en overzichten genereren met informatie over de bedrijfsvoering, de financiële positie en de naleving van weten regelgeving. Dergelijke informatie maakt het mogelijk om de bedrijfsactiviteiten uit te voeren en te controleren. Daarbij gaat het niet alleen om interne, door de onderneming gegenereerde informatie, maar ook om informatie over externe ontwikkelingen, waarvan het management kennis dient te nemen in het belang van verantwoorde besluitvorming en externe rapportering. Communicatie moet binnen de gehele onderneming dus op effectieve wijze plaatsvinden. Het is de taak van het management van de onderneming om alle werknemers te doordringen van de noodzaak de interne beheersing van het communicatieproces serieus op te vatten. Zo moet elke werknemer weten wat zijn eigen rol is daarbinnen, en in hoeverre de eigen activiteiten samenhangen met en van invloed zijn op die van anderen. En de werknemers moeten in staat worden gesteld om belangrijke informatie aan de leiding te communiceren. Verder is van belang dat effectieve communicatie plaatsvindt met belanghebbenden van buiten de onderneming, zoals afnemers, leveranciers, regelgevende instanties en aandeelhouders.

8 - 69 -

Rijksbreed toetsingskader voor de integriteitsaudit D

Bewaking

Hoe zorgt de organisatie ervoor dat de werkprocessen tot de gewenste effectiviteit en efficiëntie leiden? Door de kwaliteit van het interne-beheersingssysteem regelmatig te beoordelen, wordt gewaarborgd dat de werkzaamheden tot de gewenste output leiden. Dit kan plaatsvinden met behulp van continue bewaking, afzonderlijke evaluaties, of door een combinatie van beide. Continue bewaking vindt plaats tijdens de uitvoering van de bedrijfsactiviteiten. Hierbij moet worden gedacht aan routinematige activi teiten op het gebied van beheersing en toezicht, maar ook aan andere activiteiten die door het personeel in het kader van hun dagelijkse werkzaamheden worden uitgevoerd. Wat de diepgang en frequentie van afzonderlijke evaluaties moet zijn, hangt voornamelijk af van de uitkomsten van de risicobeoordeling en van de effectiviteit van de continue bewakingsmaatregelen: naarmate die minder zekerheid geven, zal meer accent moeten liggen op afzonderlijke evaluaties. Tekortkomingen in deze component van de interne beheersing dienen aan de leidinggevenden te worden gerapporteerd, in ernstige gevallen aan het topmanagement of de directie. E

Beheersingskader

Hoe kan de organisatie er zeker van zijn dat de onderneming op de juiste wijze wordt bestuurd? De component beheersingskader is van grote invloed op de houding van het personeel en de aandacht van het personeel voor interne beheersing. Het beheersingskader vormt de basis voor alle andere elementen van interne beheersing en draagt bij aan discipline en structuur. Factoren die de kwaliteit van het beheersingskader bepalen zijn onder meer: de integriteit, zakelijke ethiek en deskundigheid van de medewerkers; de stijl van leidinggeven van het management; de wijze waarop bevoegdheden en verantwoordelijkheden door het management worden gedelegeerd, maar ook de inzet en ontwikkeling van personeel; de aandacht die de directie voor de onderneming heeft en de mate waarin zij er sturing aan geeft.

Citaat uit pilotonderzoeken: Men moet zich realiseren dat het instrument niet gebruikt moet gaan worden als handboek. Het is een handleiding in het denkproces, het moet leven

9 - 70 -


2

Onderlinge samenhang tussen de vijf componenten en de doelstellingen van interne beheersing

De vijf componenten van interne beheersing die hierboven zijn besproken, vormen een geïntegreerd systeem dat dynamisch op veranderende omstandigheden reageert. De componenten kunnen niet los van elkaar gezien worden en het systeem zal moeten meeveranderen wanneer de omstandigheden veranderen waarin de onderneming verkeert. Het interne-beheersingssysteem is verstrengeld met de bedrijfsactiviteiten van de onderneming. De effectiviteit van de interne beheersing is dan ook het grootst indien de beheersingsmaatregelen in de infrastructuur van de onderneming zijn ingebed en een wezenlijk onderdeel uitmaken van de onderneming. Met interne beheersing wordt getracht drie categorieën doelstellingen te onderscheiden. Het internebeheersingssysteem kan namelijk als effectief worden beschouwd indien het management redelijke zekerheid heeft dat: • voldoende inzicht kan worden verkregen in de mate en efficiency waarin de doelstellingen van de onderneming worden bereikt; • gepubliceerde jaarrekeningen en interne informatie betrouwbaar zijn; • relevante wettelijke voorschriften en regels worden nageleefd. Tussen deze drie categorieën doelstellingen en de vijf componenten voor interne beheersing bestaat een direct verband. Alle componenten zijn namelijk ieder afzonderlijk gerelateerd aan eik van de categorieën doelstellingen. Wanneer een bepaalde categorie wordt geanalyseerd, zoals bijvoorbeeld de effectiviteit en efficiency van de bedrijfsactiviteiten, moeten dus alle vijf elementen daarin vertegenwoordigd zijn en goed functioneren om te kunnen vaststellen dat de interne beheersing rond de bedrijfsactiviteiten effectief is.

10 - 71 -


3

Toepassingen van interne-beheersingssystemen

3.1

Wat kan met interne-beheersingssystemen worden bereikt?

Interne beheersing kan een onderneming helpen om de gestelde doelen te bereiken zonder in allerlei valkuilen te belanden of op verrassingen te stuiten. Interne beheersing dient dus als hulpmiddel bij het waarborgen dat operationele en financiële doelstellingen ook op langere termijn worden bereikt en bij het voorkomen van verlies van bedrijfsmiddelen. Verder kan interne beheersing een bijdrage leveren aan de betrouwbaarheid van de financiële verslaggeving. Tenslotte kan de interne beheersing mede waarborgen dat de onderneming relevante regels en wettelijke voorschriften naleeft, zodat de reputatie van de onderneming niet wordt geschaad of andere nadelige gevolgen worden ondervonden. 3.2

Wat kan met interne-beheersingssystemen niet worden bereikt?

Zelfs de meest effectieve interne beheersing kan niet meer doen dan een redelijke mate van zekerheid verschaffen dat de doelstellingen van de onderneming ook op langere termijn worden bereikt. Interne beheersing kan informatie genereren over de mate waarin de onderneming op weg is (of juist niet op weg is) om haar doelstellingen te realiseren. Maar interne beheersing kan van een potentieel zwakke manager geen sterke manager maken. Nog ervan afgezien dat het management geen invloed heeft op veranderingen in overheidsbeleid, initiatieven van de concurrentie of economische omstandigheden. Interne beheersing is ook geen middel om winstmaximalisatie te waarborgen, laat staan het voortbestaan van de onderneming. Evenmin is het eenvoudig om een uitspraak te doen over interne beheersing in een dynamische omgeving. Overigens kunnen beheersingsmaatregelen worden omzeild indien meer personen kwaad willen en heeft het management altijd de mogelijkheid om de interne beheersing te doorbreken. Tenslotte worden de mogelijkheden van de interne beheersing beperkt doordat niet altijd voor alle gewenste maatregelen middelen beschikbaar zijn. Immers de voordelen van de beheersingsmaatregelen moeten steeds worden afgewogen tegen de kosten.

- 72 -


4

Opzet van het instrument

4.1

Algemeen gebruik

Met als uitgangspunt de vijf componenten is het analyse- en beoordelingsinstrument interne beheersing ontwikkeld, een instrument dat gehanteerd kan worden om de mate van interne beheersing binnen een onderneming te analyseren en daarover een oordeel te geven. Wanneer het instrument wordt gebruikt om tot een oordeel te komen over de algehele mate van interne beheersing, zijn analyses van alle vijf de componenten nodig. Het management kan het instrument ook gebruiken om heel gericht in de onderneming sterke en te verbeteren punten te inventariseren. Dan kan uiteraard worden ingezoomd op een bedrijfsonderdeel, of op één van de vijf componenten. Het instrument bestaat per component uit een aantal lijsten met aandachtspunten, die de gebruiker helpen vast te stellen op welke zaken de analyse gericht moet worden. Het instrument bevat dus geen kant-enklare checklists die toepasbaar zijn op ieder type onderneming. Daarvoor zijn de verschillen tussen ondernemingen te groot. Wel zijn de componenten onderverdeeld in een reeks deelcomponenten. Bovendien is het instrument erop gericht bedrijfsprocessen te analyseren. Op de deelcomponenten en op de focus op bedrijfsprocessen, wordt in de volgende paragrafen ingegaan. Het management houdt de eindverantwoordelijkheid voor haar interne-beheersingssysteem. Dat wil echter niet zeggen dat het management de analyse met het instrument ook zelf moet uitvoeren. De analyse kan gedelegeerd worden aan terzake deskundigen. Indien men streeft naar een objectivering van de oordeelsvorming binnen de onderneming, kan de analyse zelfs door meerdere personen worden uitgevoerd, zodat de uitkomsten met elkaar kunnen worden vergeleken. Grotere ondernemingen kunnen het raamwerk het beste gebruiken per afzonderlijk onderdeel van de onderneming (bijvoorbeeld afdelingen, business units). Nadat de interne-beheersingssystemen van deze onderdelen zijn geanalyseerd, kan een "overall view" verkregen worden van de totale onderneming door de uitkomsten per onderdeel naast elkaar te leggen. 4.2

Onderverdeling in deelcomponenten

De componenten zijn ieder onderverdeeld in een aantal deelcomponenten. Zo is de component beheersingsmaatregelen onderverdeeld in de drie deelcomponenten: interne-beheersingsmaatregelen, procedures en coördinatiemechanismen. In de figuur hieronder (figuur 3) is aangegeven hoe een oordeel over het gehele interne-beheersings systeem is gebaseerd op oordelen over de verschillende componenten die op hun beurt weer zijn gebaseerd op oordelen per deelcomponent.

A1 Ondernemingsdoelstellingen A2 Externe en interne omgeving A3 Kritieke succesfactoren en prestatieindicatoren A4 Risicoanal yse

Inwrot heboerstogsm*atregelen B1 Interne beheersmaatregelen B2 Procedures B3 C*Ordi~emechanknien B3 Coördinatiemechanismen

C1 Communicatie C2 Informatiebehoeften C3 Planning C4 Informatievoorziening en informatiesystemen

D1 Prestatieniveau D2 Veronderstellingen uitgangspunten D3 Follow-up procedure D4 Effectiviteitsmeting

A Risicobeoordeling

B Beheersings maatregelen

C Informatie & Communicatie

D Bewaking

E1 Taken en bevoegdheden E2 Personeelsbeleid E3 Kennis en vaardigheden E4 Stijl van leidinggeven E5 Ethisch gedrag

E Beheersingskader Figuur 3.- Van een oordeel over deelcomponenten naar een totaaloordeel.

12 - 73 -

Interne Beheersings Systeem

Rijksbreed toetsingskader voor de integriteitsaudit 4.3

"Management control cyclus" in deelcomponenten

Om een oordeel te geven over de mate van interne beheersing op een bepaald aspect van de bedrijfsvoering, is het nodig het proces op dat gebied te analyseren. Zo is het binnen de component Beheersingsmaatregelen niet voldoende om na te gaan of procedures aanwezig zijn of (goed) worden gebruikt. Om tot een oordeel te komen moet de gehele "management control cyclus" rond de procedures worden geanalyseerd. Die cyclus wordt in de Angelsaksische literatuur wel kort aangeduid met de vierslag: "plan, do, check, act". In het instrument is de cyclus aangeduid met: 1. opzet/beleid; 2. uitvoering; 3. toetsing; 4. evaluatie en bijsturing. De aandachtspunten zijn ook volgens deze vier fasen van de managementcyclus in het instrument gerangschikt. Ter illustratie enkele aandachtspunten in de vorm van vragen die per cyclusonderdeel bij de deelcomponent procedures zijn opgenomen. B2

PROCEDURES

1.

Opzet / beleid Op welke wijze worden proceduresopgesteld? Hoe worden medewerkers betrokken bij het opstellen van procedures. In welke mate is bij het opstellen van procedures rekening gehouden met geldende normen en waarden in de onderneming?

2.

Uitvoering Hoe worden procedures bekendgemaakt aan medewerkers? Hoe worden procedures vastgelegd? In welke mate worden procedures expliciet bekendgemaakt? Hoeveel tijd is beschikbaar om procedures te implementeren? Toetsing Hoe onafhankelijk zijn de medewerkers die naleving van procedures toetsen? Hoe deskundig zijn de medewerkers die toetsen? Hoe wordt getoetst? Hoe worden de effecten van procedures op medewerkers getoetst?

3.

4.

Evaluatie en bijsturing Hoe flexibel zijn procedures? Hoe worden toetsresultaten besproken met toezichthouders? Wat zijn de consequenties voor medewerkers bij het niet naleven van procedures? In welke mate worden resultaten van evaluaties verwerkt in nieuwe procedures?

Figuur 4. Voorbeeld van aandachtspunten per deelcomponent (hier deelcomponent Procedures).

Zoals uit het voorbeeld blijkt, zijn de aandachtspunten als vraag gesteld en dienen ze als ondersteuning voor het beoordelingsproces en voor het onderkennen van sterke en te verbeteren punten in het interne-beheersingssysteem. Ze vormen dus geen uitputtende lijst. Bovendien zijn niet altijd alle aandachtspunten van toepassing op iedere onderneming. Citaat uit pilotonderzoeken: Bespreken van de aandachtspunten met de medewerkers van de betrokken afdelingen is belangrijk.

13

- 74 -

Wanneer in een onderneming een specifiek aandachtspunt ontbreekt, hoeft dat dus niet te impliceren dat er iets "mis" zou zijn met de interne beheersing op dat gebied. Het kan zijn dat de onderneming het niet opportuun acht om voor bepaalde risico's binnen bedrijfsprocessen interne-beheersingsmaatregelen te treffen. Wel kan men zich dan afvragen of het invoeren van nog ontbrekende internebeheersingsmaatregelen op termijn te overwegen valt. De aandachtspunten dienen dus als een referentiekader, waarbij de gebruiker zich steeds moet blijven afvragen of het systeem van interne beheersing voldoende is, gegeven de situatie waarin de onderneming zich bevindt. 4.4

Voorbeelden van analyses

In bijlage 2 is een aantal (geanonimiseerde) praktijkvoorbeelden opgenomen van analyses van het internebeheersingsproces in bestaande ondernemingen. De analyses zijn gemaakt op basis van een eerdere versie van het instrument en volgen per component de management control cyclus. De voorbeelden geven niet het analyseproces zelf weer, maar de belangrijkste bevindingen van de analyses. Citaat uit pilotonderzoeken: Zwakke punten worden gemakkleijker opgemerkt dan sterke punten. De analyses zijn hier opgenomen ter illustratie van de vraag: op welke factoren let men bij het beoordelen van de mate van interne beheersing? De voorbeelden zijn specifiek voor de situatie van de betreffende onderneming en dus uitsluitend als illustratie bedoeld. 4.5

Van evaluatie naar eindoordeel

Nadat per onderdeel van de management control cyclus de mate van beheersing is geanalyseerd, kan een samenvattend oordeel over de effectiviteit van de interne beheersing over het desbetreffende onderdeel worden geven. Deze evaluatie per deelcomponent moet worden beoordeeld op de vierpuntsschaal: slecht, matig, voldoende en goed. In het instrument hebben deze kwalificeringen de volgende betekenis. Oordeel slecht matig voldoende goed

Betekenis Waarborgen voor het bereiken van belangrijke onderneming doelstellingen zijn onvoldoende aanwezig (veel te verbeteren punten). Er zijn enkele waarborgen aanwezig voor het bereiken van belangrijke ondernemingsdoelstellingen, maar verbetering op kritische onderdelen is noodzakelijk. Er zijn voldoende waarborgen aanwezig voor het bereiken van belangrijke onderneming doelstellingen, maar verbetering op niet kritische onderdelen is aan te bevelen. Waarborgen voor het bereiken van belangrijke onderneming doelstellingen zijn aanwezig (veel sterke punten).

In het instrument kunnen de oordelen over de deelcomponenten worden getotaliseerd per component. Nadat voor eik van deze vijf componenten afzonderlijk een oordeel is verkregen, kunnen deze oordelen naast elkaar worden gelegd om tot een eindoordeel te komen over het totale internebeheersingssysteem. In het instrument is ruimte vrijgelaten om dit eindoordeel te motiveren, zeker als verbetering gewenst blijkt te zijn. Vervolgens kan het management gepaste acties in gang zetten om verbeteringen in het interne-beheersingssysteem aan te brengen. Citaat uit pilotonderzoeken: Het is een instrument, geen invuloefening!

14 - 75 -

Bijlage 7

Vragenlijsten

bij het rijksbreed toetsingskader

- 76 -

Bijlage 7.1

Vragenlijst management Dienstonderdeel:

……………………………………………………………………………….

Datum interview:

……………………………………………………………………………….

Geïnterviewde: Naam

……………………………………………………………………………….

Functie

……………………………………………………………………………….

Interview uitgevoerd door:

……………………………………………………………

Aantekeningen uitgewerkt op:

……………………………………………………………

Rapportage gereed:

……………………………………………………………

Tevens dossieronderzoek: ja/nee (voeg de uitgewerkte vragenlijst van het dossieronderzoek bij) A

Organisatie/cultuur

J/N / n.v.t.

1

2

3

4

Besturingskader • Is er voor uw departement een beleidsplan integriteit opgesteld waarin het integriteitsbeleid is vastgelegd? • Wordt dit plan regelmatig geactualiseerd? • Is alle bestaande weten regelgeving daarin verwerkt (bij de opstelling van het beleidsplan integriteit in beschouwing genomen)? • Kunt u in het kort uw visie geven op integriteit voor uw eigen organisatieonderdeel? • Zijn er risicovolle gebieden te benoemen? • Zo ja, heeft u daarvoor een specifiek integriteitsbeleid geformuleerd? • Is binnen uw departement een coördinator integriteitsbeleid aangesteld? • Is er een procedure binnen uw departement gericht op het identificeren en bijhouden van weten regelgeving op het gebied van integriteit? • Is er in uw organisatie een gedragscode integriteit? • Bevat deze gedragscode de weten regelgeving op het gebied van integriteit? • Bevat deze gedragscode duidelijke, heldere normen en waarden? • Bevat deze gedragscode ook normen en waarden voor de omgang met elkaar teneinde discriminatie en sexuele intimidatie tegen te

- 77 -

Toelichting

5

6

7

8 9

10

gaan? • Weet u wie de departementale vertrouwenspersoon is voor: Ø Integriteit? Ø Ongewenste omgangsvormen? Ø Klokkenluidersregeling? • Is er bij uw eigen organisatieonderdeel een vertrouwenspersoon aangesteld? • Is er bekendheid gegeven aan het bestaan van: Ø De vertrouwenspersoon integriteit? Ø De vertrouwenspersoon ongewenste omgangsvorm? Ø Het meldpunt klokkenluidersregeling? • Is bekend hoeveel ambtenaren binnen uw organisatie op de hoogte zijn van de functie van de: Ø Vertrouwenspersoon integriteit? Ø Vertrouwenspersoon ongewenste omgangsvorm? Ø Meldpunten klokkenluidersregeling? • Is er een rapportage beschikbaar over de werkzaamheden die het afgelopen jaar zijn ontplooid door: Ø De vertrouwenspersoon integriteit Ø De vertrouwenspersoon ongewenste omgangsvorm Ø Het meldpunt klokkenluidersregeling? • Bent u zich bewust van de voorbeeldfunctie die u heeft op het gebied van integriteit? • Hoe geeft u daar concreet invulling aan? • Zijn afdelingen binnen uw organisatieonderdeel gevraagd om integriteit tijdens het werkoverleg (als een van de punten op de agenda) aan de orde te stellen? • Is integriteit daadwerkelijk aan de orde geweest in het werkoverleg? • Gebeurt dit periodiek? • Worden er over het algemeen verslagen van het werkoverleg opgesteld? • Wordt binnen uw organisatieonderdeel rechtmatigheid boven doelmatigheid gesteld? • Is integriteitsbevordering onderdeel van de doelstellingen van het opleidingsplan? • Beoordeelt u de cursussen die medewerkers willen/kunnen volgen ook op integriteitsaspecten? • Volgen de medewerkers cursussen waarin integriteitsaspecten aan de orde komen? Risicobeheersing • Zijn er in het kader van het integriteitsbeleid zelf doelstellingen geformuleerd? • Zijn deze volgens u concreet? • Zijn deze volgens u (voozover mogelijk) meetbaar?

- 78 -

11

12

13

14

15

16

• Stoelt het geformuleerde integriteitsbeleid op een risico-analyse? • Wordt een dergelijke risico-analyse periodiek uitgevoerd zodat het integriteitsbeleid actueel blijft? • Is bij de risico-analyse geïdentificeerd welke werk-zaamheden samenhangen met integriteitsrisico’s? • Is er een inventarisatie beschikbaar van functies en/of activiteiten die uit het oogpunt van integriteit binnen uw organisatieonderdeel als (extra) kwetsbaar kunnen worden aangemerkt? Zie ook vraag 1, aanvullend: • Kent u het departementale integriteitsbeleid? • Kent u de weten regelgeving op het gebied van integriteit? • Bent u zich bewust van de integriteitsrisico’s binnen uw eigen organisatieonderdeel? • Heeft u de indruk dat de medewerkers zich bewust zijn van de integriteitsrisico’s binnen uw departement en uw organisatieonderdeel? • Zo ja, op welke wijze manifesteert zich dit? • Op welke wijze wordt integriteit bespreekbaar gemaakt binnen uw organisatieonderdeel? Specifieke beheersingsmaatregelen • Is er een overzicht van maatregelen die opgenomen zijn in het kader van het integriteitsbeleid? • Sluiten deze maatregelen aan op de uitgevoerde risico-analyse? • Zijn er procedures binnen uw departement om discriminatie te voorkomen? • Zijn er procedures om sexuele intimidatie te voorkomen? • Is er een procedure voor het melden van incidenten en inbreuken op integriteit? • Bevat de procedure de volgende punten: Ø Hoe een inbreuk gemeld kan worden bij een vert rouwenspersoon; Ø Wie verantwoordelijk is voor de behandeling van het incident en de bewaking van de voortgang ervan? Ø Hoe terugkoppeling naar de betrokkene is geregeld? Ø Hoe de organisatie en de OR worden geïnformeerd? Ø Of en zo ja hoe de pers wordt geïnformeerd? Ø Op welke wijze registratie en rapportage plaatsvindt? Ø Wanneer en hoe de evaluatie van inbreuken plaatsvindt? • Weet u waar binnen het departement de registratie van integriteitsschendingen

- 79 -

17

18

19

20

21

22

plaatsvindt? • Vindt er binnen het departement ook een (centrale) analyse van de geregistreerde integriteitsinbreuken plaats? • Weet u door wie deze analyse plaatsvindt en wordt deze bekend gemaakt? Is er een functiebeschrijving aanwezig voor: • De vertrouwenspersoon integriteit? • De vertrouwenspersoon ongewenste omgangs vorm? • Het meldpunt klokkenluidersregeling? • Worden deze functies onafhankelijk van mogelijk andere functies uitgevoerd? • Brengen de vertrouwenspersonen onafhankelijke rapportages uit met adviezen/voorstellen ten aanzien van de aanpak? • Is er een procedure voor afhandeling van integriteitsinbreuken? • Is voorzien in een meldpunt voor klachten van externen over niet-integer gedrag van ambtenaren? • Bestaat er een procedure voor het opleggen van een sanctie? • Wordt de afhandeling en eventueel opgelegde sanctie geregistreerd? Informatie en communicatie • Worden medewerkers regelmatig geattendeerd op het bestaan van de gedragscode? • Weet u waar u de gedragscode kunt vinden? • Heeft u de indruk dat de medewerkers bekend zijn met de gedragscode? • Zo ja, op welke wijze manifesteert zich dit? • Zijn er bewustwordingsactiviteiten rondom integriteit georganiseerd? • Zo ja, om wat voor activiteiten ging dit? • Welke onderwerpen zijn tijdens de bewustwordingsactiviteiten het meest aan de orde geweest? • Zijn er verslagen van deze bijeenkomsten gemaakt? • Wat is het percentage ambtenaren binnen uw organisatieonderdeel dat het afgelopen jaar aan tenminste één afzonderlijke bewustwordings-activiteit heeft deelgenomen? • Is er binnen uw organisatieonderdeel geld en tijd gereserveerd voor deze bewustwordingsactiviteiten in het komende jaar? • Is iemand verantwoordelijk gesteld voor het organiseren van bewustwordingsactiviteiten? • Wordt in intern voorlichtingsmateriaal aandacht besteed aan de integriteitsaspecten van het werk?

- 80 -

23

24

25

26

27

Bewaking • Is er een integriteitsbeleid geformuleerd dat aansluit bij de missie en visie van de organisatie en vervolgens vertaald wordt naar doelstellingen ten aanzien van de bedrijfsvoering? • Worden er in een jaarplan voornemens ten aanzien van integriteit geformuleerd? • Worden de activiteiten op het gebied van integriteit door uw organisatie gemonitord en geëvalueerd? • Wordt over (de uitvoering van) het integriteitsbeleid verantwoording afgelegd in een jaarverslag? • Wie is binnen de organisatie de verantwoordelijke voor de ontwikkeling, uitvoering, monitoring en coördinatie van het integriteitsbeleid? • Welke middelen zijn toegewezen voor de realisatie van het integriteitsbeleid? • Uit welke activiteiten blijkt dat er sprake is van een operationeel integriteitsbeleid? • Heeft u inzicht in de realisatie en borging van integriteitsbeleid bij uw organisatie? • Op welke wijze is de naleving van de beheersingsmaatregelen, die in het integriteitsbeleid zijn geformuleerd, geborgd? • Hoe wordt de uitvoering van de beheersmaatregelen zichtbaar gemaakt? • Wordt de uitvoering van het integriteitsbeleid geaudit? • Is hierbij aandacht of de getroffen beheersings-maatregelen voorzien in de realisatie van doelstellingen van het integriteitsbeleid geformuleerd? • Wie voert de audit uit? • Wordt er door medewerkers voorzover u weet onderling gesproken over risicovolle handelingen/activiteiten? • Komen daarbij integriteitsaspecten wel eens aan de orde? • Worden medewerkers binnen uw organisatieonderdeel aangesproken indien zij minder gewenst gedrag vertonen? Zo ja, door wie? • Is uw indruk dat medewerkers zich vrij voelen kritiek te uiten? • Uiten medewerkers daadwerkelijk kritiek? • Zo ja, wat gebeurt er met deze kritiek? • Wordt over de afhandeling van integriteitsinbreuken naar de medewerkers toe gecommuniceerd? • Is in de afgelopen periode (jaar) een geval van integriteitsinbreuk en de afhandeling ervan bekend gemaakt?

- 81 -

B

Administratieve organisatie/interne cultuur

J/N / n.v.t.

1

2

3

4

5

6

7

Besturingskader • Wordt binnen uw organisatieonderdeel periodiek nagedacht over de invulling van de checks en balances rondom de risicovolle handelingen binnen de organisatie? Risicobeheersing • Worden solistische functies bij kwetsbare handelingen zoveel mogelijk voorkomen? • Wordt bij risicovolle contacten met derden altijd met twee personen opgetreden? • Vindt bij ziekte altijd vervanging of uitstel plaats? Specifieke beheersingsmaatregelen • Is er een actueel vastgestelde administratieve organisatie (AO)? • Is in de AO speciale aandacht besteed aan de risicovolle handelingen en risicovolle functies (heldere beschrijving verantwoordelijkheden/bevoegdheden?) • Is voor iedereen duidelijk wat gedeclareerd kan worden? Zijn hiertoe nadere richtlijnen gegeven en ligt dit in een circulaire/reiskostenregeling vast? • Moeten bonnen e.d. bij de declaratie ingediend worden? • Worden de declaraties intern gecontroleerd en door wie? • Door wie worden de declaraties van de leiding gecontroleerd? • Bent u bekend met de procedure voor het beheer van goederen? • Zijn in deze procedures (administratieve organisatie) de verantwoordelijkheden en bevoegdheden helder vastgelegd? • Wordt van risicovolle handelingen: Ø Een apart dossier bijgehouden? Ø Objectief verslaggelegd? Ø Verantwoording afgelegd? • Indien in bestaande procedures niet is voorzien in de wijze van handelen (grijs gebied), is hiervoor dan een werkwijze afgesproken (bijvoorbeeld overleg met direct leidinggevende)? • Is er binnen uw organisatieonderdeel een procedure voor zaken in een grijs gebied? • Is deze procedure schriftelijk vastgelegd? • Wordt u weleens door medewerkers om advies gevraagd over bepaalde handelingen waarbij twijfel bestaat over hoe te handelen vanuit een oogpunt van integriteit? • Is er in de administratie en organisatie

- 82 -

Toelichting

rekening gehouden met functiescheiding bij risicovolle handelingen/risicovolle functies? • Zo ja, op welke wijze?

Informatie en communicatie 8 • Heeft u de indruk dat de medewerkers voldoende op de hoogte zijn van bovenstaande procedures (B1 en B2)? • Waarop baseert u dit?

9

10

11

Bewaking • Is het mogelijk om (risicovolle) handelingen van medewerkers binnen uw organisatieonderdeel achteraf te controleren? • Is monitoring van de naleving van de AO onderdeel van de reguliere P&C-cyclus? • Zo ja, door wie wordt deze monitoring uitgevoerd en hoe vaak per jaar? • Besteedt de accountantsdienst bij de controle aandacht aan het integriteitsaspect bij de naleving van regelingen en procedures?

- 83 -

C

Personeelsbeleid

J/N / n.v.t.

1

2

3

4

5

Besturingskader • Wordt binnen uw organisatie ruimte gegeven voor het bespreken van privéomstandigheden die van invloed kunnen zijn op het functioneren van een medewerker? • Heeft u weleens meegemaakt dat een medewerker dergelijke privé-omstandigheden wilde bespreken? Specifieke maatregelen • Wordt bij het aantrekken van nieuwe functionarissen (intern of extern) een sollicitatieprocedure aangehouden? • Komt integriteit aan de orde in sollicitatiegesprekken? • Worden sollicitanten tijdens de wervingsprocedure expliciet gewezen op integriteitsaspecten van hun (nieuwe) werk? • Worden externe sollicitanten verplicht een curriculum vitae in te dienen? • Moeten externe sollicitanten (aanvullende) referenties opgeven? • Zo ja, worden die referenties gecontroleerd? • Worden de originele getuigschriften en/of diploma’s van de externe sollicitanten ingezien? • Worden externe sollicitanten naar een “verklaring omtrent het gedrag” gevraagd? • Wordt bij een interne vervulling van een vacature informatie ingewonnen over het functioneren van de kandidaten in hun vorige functie? • Gelden voor tijdelijke externe medewerkers dezelfde regels? • Zijn er binnen de organisatie functies aangemerkt als vertrouwensfuncties, waarvoor de BVD een veiligheidsonderzoek instelt? • Vinden deze BVD-onderzoeken bij deze vertrouwensfuncties altijd plaats? • Kent u de regeling ter voorkoming van draaideurconstructies? • Bent u binnen uw organisatie al eens geconfronteerd met een medewerker die de dienst had verlaten en daarna als extern medewerker is ingehuurd? (draaideurconstructie)? • Is daar een aparte gedragsregel voor opgesteld? • Is een regeling getroffen voor het op systematische wijze afnemen van de eed/belofte?

- 84 -

Toelichting

6

7

8

9

10

11

12

• Is een verantwoordelijke aangewezen voor de uitvoering hiervan? • Wordt bij de eed of belofte een duidelijke relatie gelegd met het integriteitsvereiste? • Wordt aan medewerkers na aanstelling een introductieprogramma aangeboden? • Zo ja, wordt bij dat programma expliciet aandacht besteed aan de integriteit en de problemen die zich daarbij kunnen voordoen? • Worden er binnen uw organisatie cursussen aangeboden waarin aandacht wordt besteed aan integriteitsaspecten? • Is voor de medewerkers een functiebeschrijving gemaakt? • Zijn de functiebeschrijvingen actueel? • Bieden de functiebeschrijvingen een zo compleet mogelijk overzicht van de te verrichten werkzaamheden? • Bieden de functiebeschrijvingen een nauwkeurige afbakening van de grenzen van de bevoegdheden van de functionarissen? • Beschikken de functionarissen over een exemplaar van hun functiebeschrijving? • Komt integriteit aan de orde in functionerings/beoordelingsgesprekken met medewerkers? • Zo ja, welke onderwerpen op het gebied van integriteit komen aan de orde in functionerings/ beoordelingsgesprekken? • Is er aandacht voor loyaliteit (betrokkenheid) van de medewerkers bij de organisatie? • Wordt binnen uw organisatie invulling gegeven aan de klokkenluidersregeling? • Zo ja, op welke wijze? • Is er een inventarisatie aanwezig van de nevenfuncties van de binnen uw organisatieonderdeel werkzame amtenaren? • Op welk moment vindt registratie van nevenfuncties plaats? • Dienen alle nevenfuncties door de ambtenaren te worden gemeld? • Zo nee, welke niet? • Beschikt uw organisatieonderdeel over schriftelijk vastgelegde criteria voor het beoordelen van nevenfuncties? • Hebben er het afgelopen jaar meldingen plaatsgevonden van het vervullen van vermeend conflicterende nevenwerkzaamheden? • Bent u bekend met de wijze van afhandeling van deze meldingen? • Is er een verantwoordelijke aangewezen voor de registratie van nevenwerkzaamheden? • Is de richtlijn voor het aannemen van geschenken onder de aandacht van de medewerkers gebracht? • Zo ja, hoe?

- 85 -

13

14

• Moeten ontvangen geschenken worden gemeld? • Vindt deze melding plaats bij de direct leidinggevende? • Zo nee, bij wie dan? • Worden ontvangen geschenken en/of geweigerde geschenken geregistreerd? • Zijn er het afgelopen jaar meldingen binnengekomen van ambtenaren die vonden dat zij van externen ongepaste geschenken en diensten kregen aangeboden? • Hebben er het afgelopen jaar meldingen plaatsgevonden van vermeend aannemen van ongeoorloofde geschenken en/of uitnodigingen? • Bent u bekend met de wijze van afhandeling hiervan? • Zijn er activiteiten binnen uw organisatieonderdeel ontplooid om te achterhalen of ambtenaren zich houden aan de regels voor het ontvangen van geschenken en invitaties? • Is er binnen uw organisatie beleid gemaakt om een bepaalde vastgestelde periode te wisselen van functie? (functieroulatie) • Wordt in (onderdelen van) de organisatie een systeem van functieroulatie gehanteerd? • Is er een procedure opgesteld voor de roulatie van kwetsbare functies? • Is binnen uw organisatie iemand verantwoordelijk gesteld voor het functieroulatiebeleid? Informatie en communicatie • Vindt binnen uw organisatieonderdeel periodiek een screening plaats van medewerkers op risicovolle functies?

- 86 -

D

Beveiligingsbeleid

J/N / n.v.t.

1.

2

3

4

5

Besturingskader • Is binnen uw organisatie uitvoering gegeven aan het VIR (Voorschrift Informatiebeveiliging Rijksdienst? • Zijn de maatregelen in het kader van de VIR voor de kritische bedrijfsprocessen geïmplementeerd? Specifieke beheersingsmaatregelen • Is er binnen uw organisatie een toegangsregeling van toepassing? • Dienen bezoekers zich te identificeren? Worden bezoekers geregistreerd? Kunnen werkruimtes afgesloten worden? • Wordt voor diefstalgevoelige goederen gebruik gemaakt van een “uitvoerbewijs”? Wordt dit “uitvoerbewijs” ook daadwerkelijk gecontroleerd? • Zijn de bevoegdheden en verantwoordelijkheden van medewerkers doorgevoerd in de geautomatiseerde informatiesystemen? • Is er beleid ontwikkeld inzake de zorgvuldige omgang met vertrouwelijke informatie? • Is er een beschrijving opgesteld van de informatie die binnen uw organisatie als vertrouwelijk wordt beschouwd? • Welke drie belangrijkste maatregelen zijn binnen uw organisatieonderdeel genomen om een zorgvuldige omgang met vertrouwelijke informatie te stimuleren? • Is er een procedure opgesteld voor de te nemen acties in het geval dat onzorgvuldige omgang met c.q. misbruik van vertrouwelijke informatie vastgesteld wordt? • Hebben er het afgelopen jaar meldingen plaatsgevonden van vermeend onzorgvuldige omgang met c.q. misbruik van vertrouwelijke informatie? • Bent u bekend met de afhandeling van deze meldingen? • Is er een verantwoordelijke aangewezen inzake het beleid m.b.t. vertrouwelijke informatie? • Wordt binnen uw organisatie registratie gehouden van arbeidstijd, verlof en ziekte? • Zijn hiervoor procedures opgesteld? • Zijn er richtlijnen opgesteld met betrekking tot het privé-gebruik door ambtenaren van de aan hen ter beschikking gestelde waardevolle organisatiemiddelen zoals bijv. zakelijke computers? • Vindt er monitoring plaats van het

- 87 -

Toelichting

6

7

internetgedrag van ambtenaren? • Zijn bepaalde internetsites afgesloten? • Hebben er het afgelopen jaar meldingen plaatsgevonden van vermeend onzorgvuldig omgaan met internet/e-mail? • Bent u bekend met de afhandeling van deze meldingen? • Hebben er het afgelopen jaar meldingen plaatsgevonden van vermeend misbruik/diefstal van organisatiemiddelen (zoals van geld, werktijd, computerapparatuur, etc.)? • Bent u bekend met de afhandeling van deze meldingen? • Kunt u aangeven wat het (geschatte) schadebedrag het afgelopen jaar is geweest aan organisatiemiddelen door roekeloos/onzorgvuldig gedrag van ambtenaren? • Is er een beleidsverantwoordelijke aangewezen voor de zorguldige omgang met organisatiemiddelen? • Wordt binnen uw organsiatie een clean desk beleid gevoerd? • Zo ja, wordt actief aangegeven welke voordelen een clean desk beleid heeft? • Wordt dit beleid gecontroleerd? • Is binnen uw organisatie centraal aangegeven welke goederen geregistreerd moeten worden? • Vindt er daadwerkelijk gebruikersregistratie plaats van waardevolle organisatiemiddelen?

- 88 -

Bijlage 7.2

Vragenlijst medewerker Dienstonderdeel:

……………………………………………………………………………….

Datum interview:

……………………………………………………………………………….

Geïnterviewde: Naam

……………………………………………………………………………….

Functie

……………………………………………………………………………….

Interview uitgevoerd door:

……………………………………………………………

Aantekeningen uitgewerkt op:

……………………………………………………………

Rapportage gereed:

……………………………………………………………

Tevens dossieronderzoek: ja/nee (voeg de uitgewerkte vragenlijst van het dossieronderzoek bij) A

Organisatie/cultuur

J/N/ n.v.t.

1 2

3

4 5 6

7

Besturingskader • Is er binnen uw departement een actueel schriftelijk vastgelegd integriteitsbeleid? • Is er binnen uw organisatieonderdeel een specifiek integriteitsbeleid (gericht op risicovolle gebieden)? • Weet u wie binnen uw departement verantwoordelijk is voor de coördinatie van het integriteitsbeleid? • Is er een gedragscode? • Geen specifieke vragen • Ziet u dat het management een voorbeeldfunctie vervult op het gebied van integriteit? • Heeft u het gevoel dat u het management kunt aanspreken op hun gedrag? • Is er een vorm van gezamenlijk overleg over het werk met de leiding en naaste collega’s – hierna te noemen “werkoverleg’? • Als u werkoverleg heeft, komt dan het thema “integriteit in het werk” wel eens ter sprake? • Is integriteit een onderwerp dat periodiek terugkeert op de agenda van het werkoverleg? • Is bij de leiding bekend met wie door u contacten worden onderhouden? • Is bij de leiding bekend wat die contacten inhouden? • Legt u periodiek verantwoording over het werk af aan de leiding? • Hoe vaak gebeurt dit?

- 89 -

Toelichting

8

9

10

11

12

13

14

15

16 17 t/m 18

• Wordt uw werk door de leiding (op risicovolle onderdelen) getoetst? • Wordt u in uw werk vooral beoordeeld op het resultaat of ook op de wijze waarop het resultaat tot stand is gekomen? • Worden er cursussen gegeven waarin aandacht is voor integriteitsaspecten? • Wordt u door uw leidinggevende gestimuleerd om aan dergelijke cursussen deel te nemen? Risicobeheersing • Vindt u de doelstellingen van het integriteitsbeleid helder? • Kunt u een aantal doelstellingen van het integriteitsbeleid noemen? • Verricht u kwetsbare handelingen? • Als u kwetsbare handelingen verricht, wilt u daarvan (maximaal) drie voorbeelden geven? • Zijn er voorschriften voor de uitvoering van de door u genoemde handelingen? • Zo ja, wilt u per voorbeeld aangeven of u de inhoud van deze voorschriften kent? • Wilt u per voorbeeld aangegeven of u een exemplaar heeft van deze voorschriften? • Onderhoudt u voor de uitoefening van uw functie externe contacten? • Heeft u omgang met vertrouwelijke informatie? • Heeft u omgang met gelden of budgetten? • Heeft u te maken met de aanschaf met goederen en/of het inhuren van diensten? • Is er binnen uw departement een overzicht van risicovolle functies? • Weet u waar u dit overzicht kunt vinden? • Heeft naar uw idee het management voldoende aandacht voor de integriteitsproblematiek? • Waar blijkt dit uit? • Weet u of u in uw functie integriteitsrisico’s loopt? • Zo ja, op welk terrein? Specifieke beheersingsmaatregelen • Krijgt u voor die kwetsbare handelingen extra begeleiding van de leiding, los van een mogelijk overleg over het werk? • Verricht u die kwetsbare handelingen in onderlinge samenwerking met naaste collega’s? • Wordt u bij afwezigheid vervangen door een collega die evenzeer gekwalificeerd is voor het verrichten van die kwetsbare handelingen? • Zie vragen bij A 20 • Weet u wie vertrouwenspersoon is voor: Ø Integriteit? Ø Sexuele intimidatie? Ø Klokkenluidersregeling?

- 90 -

19

20 t/m 21

22

23 24

25

• Heeft u wel eens gehoord van gevallen van fraude, diefstal of andere vormen van niet -integer handelen binnen uw organisatie? • Weet u of er een procedure is voor de melding van dergelijke integriteitsinbreuken? • Weet u waar en hoe er integriteitsinbreuken kunt melden? • Heeft u wel eens een integriteitsinbreuk gemeld? Is naar uw idee conform de geldende richtlijnen gehandeld? • Heeft u zicht op hoe binnen de organisatie met eventuele discriminatie wordt omgegaan? • Bent u zelf wel eens gediscrimineerd en heeft u het idee dat er conform de geldende richtlijnen mee omgegaan is? • Heeft u zicht op hoe binnen de organisatie met eventuele sexuele intimitatie wordt omgegaan? • Heeft u zelf wel eens met sexuele intimidatie te maken gehad en heeft u het idee dat er conform de geldende richtlijnen mee is omgegaan? • Heeft u wel eens gehoord van pogingen van buitenstaanders om ambtelijke beslissingen van een collega op oneigenlijke wijze te beïnvloeden? • Zo ja, weet u of deze pogingen formeel gemeld zijn binnen uw organisatie? Informatie en communicatie • Kent u de inhoud van de gedragscode? • Kunt u op basis van deze gedragscode bepalen wat binnen de organisatie als wel of niet integer wordt beschouwd? • Weet u waar u de gedragscode van uw departement kunt vinden? Wordt u regelmatig geattendeerd op het bestaan van de gedragscode? • Worden er binnen uw departement wel eens activiteiten op het gebied van integriteitsbewustzijn georganiseerd? • Is u wel eens de mogelijkheid geboden een video over integriteit te bekijken of een integriteitsspel te spelen? • Wordt u door uw leidinggevende gestimuleerd om aan dergelijke activiteiten deel te nemen? Bewaking • Ziet u dat het management integriteit behandelt als onderdeel van de bedrijfsvoering? • Is het integriteitsbeleid opgenomen in jaarplannen en managementrapportages? • Wordt volgens u het integriteitsbeleid voldoende gemonitord? • Bent u wel eens geconfronteerd met zaken, waarbij uw ambtelijke beslissingen consequenties konden hebben voor uw privé-leven? • Heeft u wel eens te maken gehad met het

- 91 -

26 27

aanbieden van diensten of geschenken etc. door derden, waarbij u twijfelde of u dit kon aannemen? • Heeft u dergelijke situaties besproken met een collega en/of de leiding? • Zo ja, heeft u in dergelijke situaties de zaak afgestaan, dan wel een collega en/of de leiding betrokken bij de besluitvorming? • Heeft u het gevoel dat u collega’s kunt aanspreken op hun gedrag? • Wordt bij uw organisatie bekend gemaakt dat er een melding van een integriteitsinbreuk is geweest? • Wordt er een registratie bijgehouden? • Bent u bekend met sancties hiertegen?

- 92 -

B

Administratieve organisatie/interne cultuur

J/N / n.v.t.

1

Besturingskader • Geen vragen

2

Risicobeheersing Zie ook vraag A 23

3 t/m 4

5

6

Specifieke beheersingsmaatregelen • Zijn er voor uw organisatieonderdeel voorschriften voor de omgang met gelden of budgetten? • Zo ja, hebben deze voorschriften betrekking op: Ø Het toekennen of toewijzen van gelden of budgetten? Ø Het beheer van gelden of budgetten? Ø Het besteden of uitkeren van gelden of budgetten? • Zijn er voor uw organisatieonderdeel richtlijnen voor het indienen en toekennen van declaraties? • Zo ja, is de inhoud van die richtlijnen aan u bekend? • Worden deze richtlijnen in de praktijk toegepast? • Zijn er voor uw organisatieonderdeel voorschriften voor de aanschaf van goederen of het inhuren van diensten? • Zo ja, hebben deze voorschriften betrekking op: Ø Het vaststellen van kwaliteitseisen of leveringsvoorwaarden? Ø Het aanvragen van offertes? Ø Het voeren van onderhandelingen met (potentiële) leveranciers? Ø Het toekennen van opdrachten of het aanwijzen van leveranciers? • Worden deze voorschriften in de praktijk toegepast? • Worden risicovolle handelingen zoals inkopen, onderhandelingen met derden, etc. (achteraf) schriftelijk vastgelegd? • Wordt van risicovolle handelingen een apart dossier bijgehouden? • Vindt u dat u in de praktijk meer bevoegdheden en verantwoordelijkheden heeft, dan u formeel zijn verleend, met andere woorden: is er in dit opzicht sprake van een “grijs gebied”? • Zo ja, pleegt u over beslissingen in dat grijs gebied voorafgaand overleg met de leiding? • Legt u over beslissingen in dat grijs gebied achteraf verantwoording af aan de leiding? • Is de leiding in de regel snel en

- 93 -

Toelichting

7

8

9

10 t/m 12

gemakkelijk bereikbaar voor consultatie? • Is de gewenste wijze van handelen in een grijs gebied ergens vastgelegd? • Is er binnen uw organisatieonderdeel voldoende functiescheiding (dat wil zeggen dat voor risicovolle handelingen verschillende medewerkers voor verschillende stappen in het proces bevoegd zijn handelingen te verrichten)? • Heeft u bevoegdheden in een risicovol proces (zoals betaling van facturen, bestellen) die een ander binnen uw afdeling niet heeft? Informatie en communicatie • Weet u waar u de beschrijving van de administratieve organisatie (procedures) kunt vinden? • Zijn deze op een toegankelijke manier beschikbaar? • Raadpleegt u de procedures regelmatig? • Zo nee, waarom niet? Bewaking • Kunt u achteraf aantonen hoe en waarom u in een bepaalde situatie bij beslissingen heeft gehandeld? Geen vragen

- 94 -

C

Personeelsbeleid

J/N / n.v.t.

9

1

2

3

4

5

6

8

10

Besturingskader • Heeft u in uw werkomgeving wel eens gehoord van privé-problemen (relationeel, financieel, enz.) van een collega, die invloed hadden op het werk? • Zijn privé-problemen (relationeel, financieel enz.) bespreekbaar binnen uw organisatie? • Heeft u kennis van regelingen die betrekking hebben op relaties op het werk? • Wat doet u als u constateert dat een privérelatie leidt tot ongewenste functievermenging? • Heeft u al eens zoiets aan de hand gehad? • Zo ja, is hier naar uw mening op een juiste wijze mee omgegaan? Specifieke beheersingsmaatregelen • Is in de sollicitatieprocedure voor uw huidige functie aandacht geweest voor integriteitsaspecten? • Zijn voordat u werd aangenomen referenties opgevraagd? • Heeft u originele diploma’s, etc. moeten laten zien? • Is voor uw functie een veiligheidsonderzoek/ antecedentenonderzoek nodig? • Is dit veiligheidsonderzoek/ antecedentenonderzoek uitgevoerd? • Worden bij uw organisatie oud-collega’s ingehuurd? • Kent u de procedure hiervoor? • Heeft u de eed/belofte afgelegd? • Heeft u het idee dat u duidelijk is gemaakt wat dit betekent? • Heeft dit op u impact gehad? • Heeft u een introductieprogramma gevolgd toen u in dienst kwam bij het ministerie? • In welk jaar is dit geweest? • Is tijdens het programma aandacht geschonken aan integriteitsaspecten? • Bent u in het bezit van uw functiebeschrijving? • Is deze functiebeschrijving nog actueel? • Krijgt u (minimaal) 1 x per jaar een functionerings- of beoordelingsgesprek? • Als u een functionerings- of beoordelingsgesprek heeft, wordt er dan aandacht besteed aan het thema “integriteit in het werk”? • Weet u hoe u kunt handelen indien u een misstand signaleert binnen uw organisatie? • Bent u bekend met de zgn.

- 95 -

Toelichting

11

12

13

7

klokkenluidersregeling? • Zijn er voor uw organisatieonderdeel regels voor het bekleden van nevenfuncties? • Kent u de inhoud van deze regels? • Worden deze regels in de praktijk toegepast? • Heeft u zelf uw eventuele nevenwerkzaamheden opgegeven? • Zijn er voor uw organisatieonderdeel regels voor het accepteren van relatiegeschenken? • Zo ja, kent u de inhoud van deze regels? • Worden deze regels in de praktijk toegepast? • Worden u wel eens geschenken, gratis diensten aangeboden? Wordt u wel eens uitgenodigd voor werkbezoek, feestelijkheden, sportwedstrijden, etc.? • Meldt u aan de leiding dat u iets is aangeboden? • Zijn er voor uw organisatieonderdeel regels voor het accepteren van vergoedingen van derden voor activiteiten die in het verlengde van uw functie liggen (zoals het houden van lezingen, verzorgen van cursussen, geven van advies enz.)? • Zo ja, kent u de inhoud van deze regels? • Worden deze regels in de praktijk toegepast? • Kent u binnen uw organisatie functies die een bepaald veiligheidsrisico met zich meebrengen? • Vindt daarbij roulatie van functies plaats? Informatie en communicatie Geen vragen

- 96 -

D

Beveiligingsbeleid

J/N / n.v.t.

1

2

3

4

5

6

7

Besturingskader Geen vragen Specifieke beheersingsmaatregelen • Is bij uw organisatie een speciale toegangsregeling van toepassing? • Wordt deze consequent toegepast? • Zijn geautomatiseerde systemen beveiligd met een wachtwoord? • Kunt u alleen gegevens muteren waartoe u bevoegd bent? • Heeft u de indruk dat de geautomatiseerde systemen voldoende zijn beveiligd? • Zijn er voor uw organisatieonderdeel voorschriften met betrekking tot het tegengaan van kennisname door onbevoegden van vertrouwelijke informatie? • Zo ja, hebben deze voorschriften betrekking op: Ø Het produceren, muteren en/of vertalen van vertrouwelijke informatie? Ø Het administreren of documenteren van vertrouwelijke informatie? Ø Het opbergen of bewaren van vertrouwelijke informatie (bijv. een “cleandesk” beleid)? Ø Het vermenigvuldigen van vertrouwelijke informatie? Ø Het verspreiden van vertrouwelijke informatie? • Worden deze voorschriften in de praktijk toegepast? • Stel dat u wordt gebeld door de pers met een vraag over de organisatie, wat doet u? • Zijn er voor uw organisatieonderdeel voorschriften voor het privé-gebruik van goederen en diensten van het werk? • Zo ja, kent u de inhoud van deze voorschriften? • Worden deze voorschriften in de praktijk toegepast? • Wordt binnen uw organisatieonderdeel een clean desk beleid gevoerd? • Zo ja, wordt u door het management gestimuleerd om hier daadwerkelijk invulling aan te geven? • Hoe verloopt de procedure van ziekmeldingen binnen de organisatie? • Zijn er specifieke afspraken ten aanzien van werktijden? • Zijn er specifieke afspraken t.a.v. het gebruik van dienstmaterialen? • Is er controle bij het verlaten van het pand?

- 97 -

Toelichting

• Hoe wordt omgegaan met het meenemen van rijksmateriaal buiten de organisatie?

- 98 -

Bijlage 7.3

Vragenlijst cultuur van de organisatie (aanvullend bij de vragen blok A: Organisatie en cultuur)

Waar ik werk: 1. Is het belangrijker om de zaken volgens het boekje te verrichten dan om ze op tijd af te hebben. eens eens, noch oneens oneens

2. Word je vooral beoordeeld op het resultaat van het werk en nauwelijks op de wijze waarop je dat resultaat hebt bereikt. eens eens, noch oneens oneens

3. Mag ik vaak geïmproviseerd worden in het belang van het resultaat. eens eens, noch oneens oneens

4. Laten de meeste collega’s hun eigen belangen zwaarder wegen dan die van het werk. eens eens, noch oneens oneens

5. Laten de meeste collega’s de belangen van het eigen onderdeel meestal zwaarder wegen dan die van de gehele organisatie. eens eens, noch oneens oneens

6. Laat je je collega’s niet vallen, wat er ook gebeurt. eens eens, noch oneens oneens

- 99 -

7. Is het vanaf de werkvloer nauwelijks te volgen welke koers de leiding aanhoudt. eens eens, noch oneens oneens

8. Is het gebruik dat naaste collega’s elkaar informeren over de ontplooide en nog uit te voeren werkzaamheden. eens eens, noch oneens oneens

9. Word ik vaak geconfronteerd met afwijkende interne berichten of geluiden over eenzelfde onderwerp. eens eens, noch oneens oneens

10. Durven de meeste collega’s alleen onder elkaar kritiek uit te oefenen op de leiding. eens eens, noch oneens oneens

11. Worden ernstige fouten of vergissingen meestal getolereerd. eens eens, noch oneens oneens

12. Worden fouten van hogere functionarissen eerder en vaker met de mantel der liefde bedekt dan die van lagere functionarissen. eens eens, noch oneens oneens

13. Is het erg belangrijk om je op- of aanmerkingen goed te verpakken als je kritiek wilt uiten. eens eens, noch oneens oneens

- 100 -

14. Leidt het leveren van kritiek zelden tot aanpassingen van werkprocessen. eens eens, noch oneens oneens

- 101 -

Integriteit bij het Rijk

Recommend Documents