Risicoanalyse integriteit Deel 1: theorie (Dieter Vanhee) Belang: Het belang van een integriteitsrisicoanalyse kan moeilijk worden onderschat. Een instrument hierbij is de leidraad interne controle/organisatiebeheersing. Integriteit is één van de vier globale doelstellingen (EIKE). Het is geen apart hoofdstuk in de leidraad, maar is er doorheen versmolten; voornamelijk in het hoofdstuk ‘organisatiecultuur’. Er is ook een handreiking integriteit. Het is belangrijk om zicht te krijgen op de risico’s en maatregelen. Daarvoor is een integriteitsrisicoanalyse nodig. Het is een fundament voor het integriteitsbeleidsplan. Stappenplan: zes stappen. Deze zijn vrij theoretisch; het is zeker mogelijk om de stappen in een andere volgorde toe te passen. 1. Werkgroep samenstellen met projectleider. De groep moet multidisciplinair worden samengesteld met kennis van functies en processen binnen de organisatie, organisatiebeheersing en integriteit. 2. Integriteitsscan. Een scan maken van integriteit door het verzamelen van relevante informatie en gegevens die vandaag aanwezig zijn in de organisatie. Je kan starten bij de functies of bij de processen, beiden zijn evenwaardig. In principe moeten deze wisselbaar zijn en moet het resultaat hetzelfde zijn. Is de informatie niet beschikbaar, dan kan je die gaan verzamelen, bv. a.d.h.v. interviews, workshops, focusgroepen, eerdere integriteitsanalyses (niet beginnen van nul), ... Deze relevante info samenbrengen en checken op correctheid. 3. Risico’s binnen kwetsbaarheidsmatrix. Bovenaan in de matrix staan de kwetsbare werkgebieden of processen (verlenen, uitkeren, uitbesteden, …), opzij staan de kwetsbare handelingen of situaties (contact met derden, belangenvermenging, …). In deze matrix wordt aangegeven wat de risico’s zijn. Per cel van de matrix opmaken welke risico’s zich kunnen manifesteren. 4. Het oplijsten van maatregelen en deze kritisch bekijken. In deze stap gaan we maatregelen toewijzen aan de risico’s uit de matrix. We spreken van preventieve (integriteitsschending voorkomen), detectieve (integriteitsschending kunnen vaststellen) en reactieve (achteraf, als reactie) maatregelen. Voorbeelden van preventieve maatregelen: regelgeving, charters en codes, arbeidsreglement, … Voorbeelden van detectieve maatregelen: meldkanalen binnen entiteiten, personeelspeiling, … Voorbeelden van reactieve maatregelen: opstart integriteitsbeleid, intern sanctiebeleid, extern sanctiebeleid, … Vervolgens gaan we deze maatregelen kritisch bekijken en twee checks doen: op vlak van kwaliteit (duidelijk, transparant, volledig, open, tegenstrijdig, actueel, duurzaam, efficiënt) en op vlak van toepassing (gekend, toepasbaar, aanvaardbaar, toegepast). De bestaande maatregelen kunnen we aanvullen in de kwetsbaarheidsmatrix. 5. Prioriteiten bepalen. Dit is een mathematische stap. De kans op risico’s indelen in klassen (bv. 5 klassen met een kans en een waarschijnlijkheidsgraad). Daar kan je de impact aan koppelen van dat risico: 5 klassen met impact (van klein tot een ramp). Als we dat gedaan hebben, kunnen we de kans vermenigvuldigen met de impact om te komen tot een risicoscore. We moeten ook kijken naar de risicoafdekking door een beheersmaatregel: voldoende, gedeeltelijk of onvoldoende. => tot hier ging het over het in kaart brengen van risicoanalyse
6. Actieplan. Dit moet tegemoetkomen aan de zaken die naar boven zijn gekomen in negatieve zin. Het moet een antwoord bieden op hoge risicoscores en onvoldoende risicoafdekking. Principes van projectmanagement gebruiken! Acties op korte, middellange en lange termijn. De cyclus regelmatig herhalen. Dit stappenplan is vrij theoretisch. Praktische voorbeelden vindt u terug op de website bestuurszaken: ingedeeld volgens omvang van de entiteit, type entiteit en de toegepaste methodiek integriteits risicoanalyse. Succesfactoren: Draagvlak en steun binnen de ganse organisatie, een multidisciplinaire werkgroep, een kwetsbaarheidsmatrix (dit is nl. overzichtelijk en er is per cel aangeven waar de risico’s zitten). Kritisch blijven in de oefening en kritisch blijven kijken naar bestaande maatregelen. Het mathematische luik (het wegen van risico’s) moet zorgvuldig gedaan worden! De risicoafdekkingsgraad moet objectief blijven: daarom kan je ze met een grote groep valideren om outliers te vermijden. Tijd, mensen en middelen. Regelmatig de cyclus herhalen, het kan niet zijn dat je het één keer doet en daarna 20 jaar niks doet. Meer informatie Websites en contact? http://www.bestuurszaken.be/integriteit http://www.bestuurszaken.be/integriteitsrisicoanalyse http://www.bestuurszaken.be/organisatiebeheersing
[email protected] [email protected] Ondersteuning? Het agentschap voor overheidspersoneel (AgO) biedt u begeleiding bij uw risicoanalyse:
[email protected]
Deel 2: praktijkvoorbeeld (Henk Jans, Waterwegen en Zeekanaal NV) We zijn binnen de Vlaamse overheid met 26000 personen. 5% daarvan zijn mensen die niet-integer zijn: 1300. Die zijn de oorzaak van de integriteitsmeldingen. Er blijven er dus nog veel onder de radar! Henk Jans is directieadviseur bij de gedelegeerd bestuurder van W&Z. Oorsprong Burning platform: instrument m.b.t. veranderingsmanagement. Als je een integriteitsbeleid wil opstarten, toon de noodzaak! Als je iets in de organisatie wil veranderen, zorg dan dat je een burning platform hebt zodat je anderen kan overtuigen. Toen W&Z begon met integriteitsbeleid, was het een nieuwe organisatie. Er waren twee verschillende personeelsstatuten. Een belangrijke component hiervan waren de premies en vergoedingen en het vormde een uitdaging om deze te unificeren. Toen we deze van naderbij bekeken, bleken ze heel fraudegevoelig. Dat was het burning platform. Daarnaast was er binnen de Vlaamse overheid generiek sterk de vraag ontstaan om te groeien naar een integriteitsbeleid. Dit vond plaats begin 2007. We zijn gestart met een consultant omdat er te weinig kennis in huis was en omdat er héél delicate kwesties bij waren. We wilden kennis binnenhalen en deze kennis overtanken naar de organisatie. Dat laatste is van belang omdat we al te vaak zien dat de boel in het water valt wanneer de consultant vertrekt. Er was toen ook minder kennis binnen de Vlaamse overheid m.b.t. integriteit. We zijn gestart met een beknopte risicoanalyse: SAINT risicoanalyse. Dit is een beperkte analyse met een beperkt aantal mensen. Hier werden beleidsdocumenten en structuren op gebaseerd. SAINT is een analyse die je van het schap neemt en zelf kan invullen, met als voordeel dat je snel te werk kan gaan. Saint is een product van BIOS (Nederlands integriteitsbureau van de overheid). We hebben een selectie gemaakt van de kwetsbare processen en functies. De consultant was hierbij heel nuttig want die had veel ervaring en kon de problemen gemakkelijk aantonen. W&Z kende toen de risicomatrix nog niet, maar beveelt dit ten zeerste aan! Van een wit blad vertrekken is namelijk moeilijk en met dit instrument kan je concreet aan de slag. Binnen de processen schatten we de prioritaire risico’s in. De beheersmaatregelen die we al hadden, werden hier tegenover gezet. Vervolgens bleven de residuele risico’s over. Dan bekeken we hoe groot de kans nog was op het risico nadat er maatregelen op losgelaten waren. Hier kwam een top tien uit. Vervolgens konden we zien wat we er aan konden doen. Het is belangrijk om te tonen aan de organisatie dat je bezig bent: als je ermee start, is het belangrijk dat je snel iets kan laten zien. Die SAINT-analyse is vrij eenvoudig dus een handig hulpmiddel hierbij. Beleidsdocumenten Hier volgen een aantal voorbeelden: een gedragscode, een beleidsplan (meerjarenplan dat elk jaar wordt vertaald in jaarplan dat voortrolt, wordt regelmatig aangepast), een protocol voor een klokkenluidersregeling (W&Z had dit dus voor de Vlaamse overheid), een protocol vertrouwenspersoon integriteit (VPI), een uitdrukkelijke procedure over hoe omgaan met ongewenste omgangsvormen (ongewenst seksueel gedrag en pesterijen). Zijn er aparte personen voor integriteit en ongewenst gedrag? Dat was in het begin het geval omdat deze zaken juridisch
verschillend worden behandeld. Ongewenst seksueel gedrag e.d. zit in preventie op het werk; integriteit zit niet in dit regelgevend kader. Dit was echter niet duidelijk voor de werkvloer. Daarom heeft men dit in eenzelfde structuur gestoken zodat het voor werkvloer eenvoudiger is (maar administratief is het wel lastiger). Gedragscode. Er bestaat een generieke gedragscode, we hebben die specifiek gemaakt voor de eigen organisatie zodat het beter zou aansluiten en omdat het gemakkelijker is om mensen hierop aan te spreken (“we hebben het zelf gemaakt”). Deze beantwoordt vragen zoals: “Hoe moet ik me gedragen in een bepaald geval? Bv. ik ben toezichter op een werf en de aannemer staat daar met drie flessen cognac, wat moet ik doen?” Beleidsplan. Er is een rollend beleidsplan dat elk jaar opnieuw vertaald wordt in een ondernemingsplan. Het loopt over een aantal jaren, dit is moeilijk in het begin maar het voordeel is dat je ziet waar je wil landen. We zijn gestart met het integriteitsbeleid op te bouwen als een project: “we staan hier en we moeten naar daar en zo gaan we dat doen”. Anderhalf jaar geleden zag men dat het project rond was, dus vanaf nu onderhouden we het proces. Het is een procesmatig gebeuren geworden. Protocollen. De procedure ongewenste omgangsvormen: dit zijn concrete handleidingen; voor sommige zaken is het in detail uitgewerkt (bv. hoe omgaan met auto van de firma? De kinderen mogen er niet mee leren rijden, je mag er niet in roken, …; hoe omgaan met websites, e-mail?). De woestijn: stuur uw mensen niet in de woestijn maar geef hen handvaten! Als je met delicate zaken begint die niet te vatten zijn, moet je zorgen dat uw mensen handvaten hebben. Ze moeten weten wat ze in een concrete situatie moeten doen. Structuren IDPBW: (interne dienst voor preventie en bescherming op het werk) dit is wettelijk voorzien en daar zitten een aantal aspecten van integriteit in. Daarnaast zijn er ook eigen structuren: het team integriteit (vertrouwenspersonen, preventieadviseur en coördinator) en de stuurgroep integriteit (op het niveau van het beleid, ook leidinggevenden zoals de algemeen directeur; dit is de centrale motor om beleid te maken en te sturen). Componenten van het beleid Er is een gedragscode die je moet werkbaar maken en houden. Hoe ervoor zorgen dat mensen zich integer gedragen? Hoe zorgen dat die gedragscode leeft op de werkvloer? Het is een moeilijke kwestie om dit om te zetten in de praktijk! Het grootste deel van de mensen krijg je gewoon mee omdat zij integriteit een goede zaak vinden. Maar als dat niet onderhouden wordt, verwatert het. Dit is één van de grote uitdagingen in dit proces: je moet het levend, actueel houden. Je moet zorgen dat mensen op werkvloer het proces uitdragen. Daarom versterken we het individueel moreel oordeel: we gaan mensen confronteren met concrete situaties en vragen: wat zou je doen? Dilemmatraining is hier heel nuttig. Daarnaast gaan we ook verleidingen wegnemen: zorgen dat processen zo in elkaar zitten dat de kat niet bij de melk staat. Hoe kan je bv. verhinderen dat er geld gestolen wordt? Bv. geen cash geld meer! Bv. hoe vermijden dat er omkoping plaats vindt? Persoonlijk contact wegwerken. Daarnaast een vangnet opzetten: zorgen dat uw mensen, als ze problemen hebben met integriteit, daarmee bij iemand terecht kunnen. De eerste contactpersoon is de leidinggevende. De
kans is echter groot dat die betrokken is bij het probleem en dan heb je iemand anders nodig: de vertrouwenspersoon integriteit (opgeleid, karakterieel geschikt, …). Die zijn er dus voor als er vrees is om naar de leidinggevende te gaan. Acties Als de documenten uitgewerkt zijn, worden de resultaten daarvan bekeken, geëvalueerd en teruggekoppeld naar de werkvloer. Het is belangrijk om overvloedig te communiceren (bv. in het personeelsblad, met affiches, … ). Maak gebruik van verschillende kanalen. Daarnaast worden er trainingen voorzien i.v.m. dilemma’s en kwetsbaarheden: hoe omgaan met geld, subsidies, … Een training kan hier heel verhelderend zijn. Er zijn ook opleidingen voor de mensen die moeten omgaan met vertrouwenskwesties. Deze opleiding wordt actueel gehouden en meermaals gegeven. Voortdurend blijven praten over integriteitsbeleid. We hebben zelfs een jaarthema gehad om integriteitsbeleid te ondersteunen: ‘hoe kunnen wij als organisatie betrouwbaar zijn’. Onderhandelingsmaterie De maatregelen die je invoert of voorstelt om in te voeren zijn onderhandelingsmaterie t.o.v. de vakbonden! Je kan dit niet zo maar invoeren. Als je een framework opmaakt met beheersmaatregelen, grijp je namelijk in in de manier waarop mensen moeten werken en dat is onderhandelingsmaterie. Er moet daarom overleg gepleegd worden met de vakbond. Risicoanalyse integriteit 2012 Onze risicoanalyse was klassiek, maar had ook het karakter van audit op audit. Er werd gekeken of de zaken uit de vorige risicoanalyse waargemaakt waren. Het is handig om een instrument te hebben om processen te koppelen aan personen: wie is erbij betrokken? Op die manier kan je hen bevragen naar hun ervaringen enz. Dit werd ontwikkeld door onze consultant kwaliteitszorg, maar we gebruiken het nog vaak! De mogelijkheid moet er zijn om risico’s te beheersen. Er zijn twee mogelijkheden dat je er weinig aan kan doen: als het parlement niet mee wil, of als het te moeilijk is om een bepaald risico effectief te beheersen. Er kunnen risico’s zijn waarvan de kost om het op te lossen heel hoog is. Bv. niet genoeg mensen, middelen, tijd, … Wanneer men zich er bij neer legt, is men risicoaanvaarder. Maar als je zwaar inzet op risico’s die je eigenlijk niet kan beheersen, hou je een hoop frustratie over. Een concreet voorbeeld? W&Z zou een budget moeten hebben van 2,5% voor het onderhoud van installaties, maar we hebben maar 1%. Er is dus echt een risico dat de boel letterlijk in elkaar stuikt. De middelen zijn echter schaars dus we kunnen niet vragen om meer geld. Dit is dus een voorbeeld van risicoaanvaarding. De volgende stap is: afvragen welk risico je neemt door dit risico te aanvaarden. Je kan de installaties laten draaien, maar dan kunnen er doden vallen, overstromingen zijn, … Je kan de installaties ook gewoon stil leggen. Focussen op quick wins! Die zijn snel opgelost en je kan ze dan tonen aan de werkvloer.
Verdere stappen: PDCA Plan – do – check – act : als je iets doet, moet je een cyclus doorlopen van verschillende stappen. Zien of het werkt, en dan opnieuw beginnen. Dit is een heel belangrijk gegeven, niet alleen in integriteit. Vragen? Er kunnen integriteitsproblemen verholpen worden door het persoonlijk contact met bv. aannemers weg te werken. Maar dit kan je toch niet altijd doen? Een werfleider die verkeerslichten controleert zal toch steeds contact moeten hebben met de aannemer? Risico’s kunnen inderdaad nooit 100% afgedekt worden. Je moet trainingen geven aan werknemers om te verhelpen dat ze in de val lopen van bv. aannemers. Je kan proberen op termijn te vermijden dat risico’s zich voordoen. Het is een cultuur, een integriteitscultuur. Doen jullie ook aan sensibilisering van de klant? Ja, dit is een actie die we geregeld doen bij schippers en aannemers. We brengen een uitdrukkelijke boodschap naar die mensen: we willen niet dat… het is verboden dat… geef geen cadeaus bij nieuwjaar… Deze boodschap dragen we uitdrukkelijk uit, maar ligt soms wel moeilijk.