Integriteitsrisicoanalyse Stevige basis voor een goed functionerende en integere organisatie Dieter Vanhee – beleidsmedewerker organisatieontwikkeling - DKB Kristien Verbraeken – coördinator Integriteitszorg - AgO Masterclass integriteitsrisicoanalyse 25 november 2016 Brussel
Inhoud 1. Wat 2. Belang 3. Stappenplan 4. Succesfactoren 5. Meer informatie
1. Wat is een integriteitsrisico?
Enkele voorbeelden
Kwetsbare functies
Wat is een integriteitsrisicoanalyse? = een methode, om de meest structurele kwetsbaarheden op het vlak van integriteit, van de organisatie in kaart te brengen. Deze kwetsbaarheden van risico’s die de integriteit van de organisatie van haar medewerkers kan aantasten. Om deze risico’s te kennen en om gepaste maatregelen te kunnen nemen, doen we een integriteitsrisicoanalyse.
2. Belang Organisatiebeheersing VO Zicht op risico’s en maatregelen Leidraad interne controle/organisatiebeheersing Handreiking integriteit Zicht op risico’s en maatregelen Fundament voor het integriteitsbeleidsplan
3. Stappenplan Stap 1: Samenstellen van een werkgroep Projectleider Multidisciplinaire werkgroep met kennis rond functies en processen binnen de organisatie, organisatiebeheersing, communicatie en integriteit
3. Stappenplan Stap 2: Integriteitsscan: verzamelen van relevante informatie en gegevens Lijst van functies Lijst van kwetsbare functies Lijst van processen Eventueel eerdere (integriteits)risicoanalyses Samenbrengen relevante bestaande info en checken correctheid
3. Stappenplan Stap 2: Integriteitsscan: verzamelen van relevante informatie en gegevens Integriteitsrisicoanalyse kan starten obv functies of processen in de organisatie evenwaardig! IRA obv functies IRA obv processen Gemakkelijker om voor bepaalde functiegroepen concrete maatregelen / afspraken te maken Geeft een beter beeld over het verloop en de verschillende onderdelen van de processen Eenvoudig om extra aandacht te geven aan kwetsbare functies Geeft een beter beeld over welke processen kwetsbaar zijn Geeft een beter beeld over welke processen bij risico’s een grotere impact kunnen hebben
3. Stappenplan Stap 2: Integriteitsscan: verzamelen van relevante informatie en gegevens Keuze voor functies of processen hangt af van: Wat er al beschikbaar is in de organisatie Context van de organisatie. Bvb. organisatie in verandering baseert zich best op wat meest stabiel blijft. Is informatie niet beschikbaar, dan zelf info verzamelen, bijvoorbeeld door interviews van mensen in organisatie, brainstorm, workshop, zelfevaluatie, checklists, …
3. Stappenplan Stap 3: Risico’s binnen kwetsbaarheidsmatrix Opmaak potentiële risico’s. Voorbeeld: Kwetsbare werkgebieden / processen Kwetsbare handelingen/ situaties Verlenen Uitkeren Uitbesteden Innen Handhaven Beoordelen Inspecteren … Contact met derden Belangenvermenging Contact met belangrijke/ gevoelige / persoonsgebonden informatie of geld Gebruik van middelen Ongewenste omgangsvormen Machts- of gezagsposities Monopolieposities
3. Stappenplan Stap 4: Maatregelen oplijsten en kritisch bekijken In kwetsbaarheidsmatrix per risico maatregelen aanvullen Drie types maatregelen: Preventief Detectief Reactief
3. Stappenplan Stap 4: Maatregelen oplijsten en kritisch bekijken Preventieve maatregelen (niet-exhaustief): Regelgeving Charters en codes Arbeidsreglement Eedaflegging HR-beleid Voorbeeldig leiderschap Informatiebeheer Specifieke maatregelen per type proces bvb. vier-ogenprincipe, dubbele handtekening, functiescheiding
3. Stappenplan Stap 4: Maatregelen oplijsten en kritisch bekijken Detectieve maatregelen (niet-exhaustief): Meldkanalen binnen entiteiten: leiddinggevende, personeelsvertegenwoordiger, vertrouwenspersoon, klachtenmanager Meldkanalen op VO-niveau: Audit Vlaanderen, Spreekbuis, Vlaamse Ombudsdienst Externe meldingskanalen: politie, procureur Audit en controle: onderzoek door Audit Vlaanderen, Rekenhof, externe auditfirma’s Opvangen signalen via personeelspeiling Processpecifieke detectieve maatregelen
3. Stappenplan Stap 4: Maatregelen oplijsten en kritisch bekijken Reactieve maatregelen (niet-exhaustief): Opstart integriteitsbeleid indien dit ontbreekt: preventief, detectief en reactief Remediëringsbeleid: training, begeleiding Intern sanctiebeleid: waarschuwing, berisping, overplaatsing, schorsing, ontslag Extern sanctiebeleid: vervolging
3. Stappenplan Stap 4: Maatregelen oplijsten en kritisch bekijken Maatregelen kritisch bekijken Kwaliteitscheck: Duidelijk? Transparant? Open? Volledig? Tegenstrijdig? Actueel? Duurzaam? Efficiënt? Toepassingscheck: Gekend? Toepasbaar? Aanvaardbaar? Toegepast?
3. Stappenplan Stap 5: Prioriteiten bepalen Kans op risico’s. Voorbeeld: Klasse Kans Waarschijnlijkheidsgraad 1 0% Totaal onwaarschijnlijk 2 0 tot 5% Onwaarschijnlijk 3 5 tot 25% Mogelijk 4 25 tot 50% Waarschijnlijk 5 50 tot 100% Vrijwel zeker
3. Stappenplan Stap 5: Prioriteiten bepalen Impact bij voordoen risico. Voorbeeld: Voorbeeld: Klasse Impact 1 Klein 2 Beperkt 3 Behoorlijk 4 Ernstig 5 Ramp
3. Stappenplan Stap 5: Prioriteiten bepalen Weging van scores: Kans x impact = risicoscore Voorbeeld: Risicoscore Aanvaardbaar (1-5) (=laag inherent risico) De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is zeer beperkt tot nagenoeg onbestaande. Ongewenst/schadelijk (6-12) (=matig inherent risico) De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is beperkt tot groot. Kritiek (13-25) (=hoog inherent risico) De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is zeer groot.
3. Stappenplan Stap 5: Prioriteiten bepalen Weging van scores: Kans x impact = risicoscore Voorbeeld: Kans Impact 1 2 3 4 5 6 8 10 9 12 15 16 20 25
3. Stappenplan Stap 5: Prioriteiten bepalen Risicoafdekking door bestaande beheersmaatregelen. Voorbeeld: Risico afdekking Voldoende (=laag residueel risico) Het risico wordt door de bestaande beheersmaatregelen beperkt tot een aanvaardbaar niveau. Gedeeltelijk (= matig residueel risico) Het risico wordt door de bestaande beheersmaatregelen gedeeltelijk afgedekt. Aanvullende beheersmaatregelen zijn wenselijk, zij kunnen leiden tot een betere beheersing van het risico. Onvoldoende (= hoog residueel risico) Het risico wordt door de bestaande beheersmaatregelen onvoldoende afgedekt of er zijn geen beheersmaatregelen aanwezig. Aanvullende beheersmaatregelen zijn noodzakelijk om het risico tot een aanvaardbaar niveau te herleiden.
3. Stappenplan Stap 6: Actieplan Klemtoon op matige/hoge risicoscores met gedeeltelijke/onvoldoende risicoafdekking Principes van projectmanagement Acties op korte, middellange en lange termijn Periodieke controle en bijsturing Integriteitsrisicoanalyse regelmatig herhalen
3. Stappenplan Voorbeelden: https://overheid.vlaanderen.be/voorbeelden-0 ingedeeld volgens: De omvang van de entiteit (0-100, 101-200, 201-500, 501-1000, +1000) Departement/agentschap Toegepaste methodiek risicoanalyse integriteit
4. Succesfactoren Draagvlak en steun binnen ganse organisatie; Positief voorbeeldgedrag van het management; Communicatie over het doel van de integriteitsrisicoanalyse; Multidisciplinaire werkgroep; Kwetsbaarheidsmatrix; Het oplijsten en kritisch bekijken van maatregelen; Zorgvuldig wegen van de risico’s en de impact van mogelijke risico’s; Objectieve risicoafdekkingsgraad maatregelen; Maken en uitvoeren van een actieplan; Tijd, mensen en middelen; Regelmatig de cyclus van integriteitsrisicoanalyse herhalen.
5. Meer informatie Websites en contact? http://overheid.vlaanderen.be/integriteit http://overheid.vlaanderen.be/integriteitsrisicoanalyse http://overheid.vlaanderen.be/organisatiebeheersing dieter.vanhee@kb.vlaanderen.be kristien.verbraeken@kb.vlaanderen.be
Project : Integriteit en belanghebbenden Departement Landbouw en Visserij – dienst Omgeving
Visie op integriteit Als Departement zetten we in op een integriteitsbeleid dat de hele organisatie omvat. Door in te zetten op de bespreekbaarheid en bewustwording ervan draagt dit bij tot een hogere kwaliteit en professionaliteit. Inzetten op: Kwetsbaarheden identificeren in werking Gedrag t.a.v. belanghebbenden Functiescheidingen in de structuur Integriteit in de cultuur - waarden. Klachten en bezwaren duidelijk Mona
Waarom? Prioritair project gekozen tijdens opmaak ondernemingsplan 2016 Verkennen van integriteitsrisico’s in omgang met belanghebbenden en inventariseren van risicogroepen Dienst Omgeving als piloot Stedenbouw doorlichting door interne controle Ontwikkelplan 2016 Mona
Doel? Analyse en bewustmaking van integriteitsrisico’s bij uitvoeren van jullie taken (extra focus in contact met belanghebbenden) welke zijn de risico’s? Op welke momenten in het proces doen risico’s zich voor? hoe goed zijn de risico’s afgedekt door effectieve beheersmaatregelen? wat zijn de noden? Alle opdrachten van de dienst Omgeving zijn in scope Mona Analyse en bewustmaking van integriteitsrisico’s die gepaard gaan met de opdrachten van dienst omgeving specifiek in contact met belanghebbenden. Alle opdrachten van de dienst omgeving zijn in scope. We willen weten hoe integriteit in relatie tot belanghebbenden wordt ervaren in de dienst Omgeving. Bij welke functiegroepen zijn er risico’s inzake integriteit en welke zijn die risico’s? Welke functiegroepen in de dienst hebben nood aan een richtinggevend kader? Welk resultaat beogen we? Het moet duidelijk zijn wie de belanghebbenden zijn, welke de interne risicogroepen zijn en welke de risico’s zijn in de omgang met de belanghebbenden. Door de bespreking is er bewustmaking rond de integriteitsrisico’s. Het is duidelijk of dergelijke oefening nuttig kan zijn voor de andere diensten (mogelijke latere uitbreiding van de piloot). Het is duidelijk wat de noden zijn naar richtinggevend kader (= input voor vervolgtraject).
Aanpak workshop
Stap 1 : in kaart brengen van de Belanghebbenden? Mona
Belanghebbenden? 3 groepen : Groep 1 : Stedenbouw Groep 2 : Gebiedsgerichte werking Groep 3 : Verdedigen landbouwbeleid Vlaams niveau Som de belanghebbenden op voor de verschillende processtappen : Met wie kom je in aanraking bij de uitvoering van de taken? Op wie heeft het advies/inbreng impact? Mona Met wie kom je in aanraking bij de uitvoering van de taken ? Op wie heeft het advies/inbreng impact ? (Voor wie doe je het, wie neem je mee in gedachten bij de advisering van het dossier/beleid) doelpubliek. Noem een belanghebbende op en de facilitator noteert deze bij de bijhorende processtap/blok.
Stap 2 : Integriteitsrisico’s Mona
Integriteitsrisico’s : kwetsbaarheidsmatrix = Lijst van kwetsbare handelingen en lijst van mogelijke kwetsbare processen Kwetsbaarheidsmatrix Aangepast dienst Omgeving Processen : 6-tal stappen Verlenen van advies of geven van inbreng Aanzet geven tot beroep /aanvullende aandachtspunten …. Handelingen : Contact met derden Belangenvermenging Contact met belangrijke informatie Mona Vervolgens hebben wij voor de processtappen van de 3 processen (stedenbouwkundige vergunningen, gebiedsgerichte werking en verdedigen landbouwbeleid) de volgende handelingen geanalyseerd op mogelijke integriteitsrisico’s : Contact met derden Belangenvermenging Contact met belangrijke informatie
Integriteitsrisico’s Opdracht : Op welke stappen in het proces zijn er mogelijke risico’s op vlak van Contact met derden Belangenvermenging Contact met belangrijke informatie Geef voorbeelden van risicosituaties Mona
Stap 3 : Bestaande Beheersmaatregelen
Beheersmaatregelen Geef voor de risicosituaties de huidige beheersmaatregelen Preventief Charters, gedragscodes Coaching Toepassen vierogen-principe, functiescheiding Detectief Interne controle, audit Interne en externe meldkanalen Reactief Sanctiebeleid Remediëringsbeleid 1. Preventieve maatregelen zijn maatregelen die vooraf worden genomen om te voorkomen dat er zich integriteitsschendingen zouden voordoen 2. Detectieve maatregelen zijn maatregelen die dienen om integriteitsschendingen, als ze zich zouden voordoen, vast te stellen 3. Reactieve maatregelen zijn maatregelen die worden genomen als reactie op een integriteitsschending
Stap 4 : Weging integriteitsrisico’s
Weging integriteitsrisico’s Opdracht : Plaats de opgesomde voorbeelden van integriteitsrisico’s in relatie met belanghebbenden in de figuur : Verticale as : kans dat het risico zich kan voordoen Horizontale as : impact als het risico zich voordoet Mona
Stap 5 : Evaluatie beheersmaatregelen
Evaluatie van de huidige beheersmaatregelen Zijn de beheersmaatregelen afdoende ? Kwaliteitscheck Duidelijk Open Volledig Tegenstrijdig Actueel Duurzaam Efficiënt Toepassingscheck Gekend Toepasbaar Aanvaardbaar Toegepast Zijn de beheersmaatregelen afdoende ? Maatregelen kritisch bekijken (enkele vragen kiezen voor workshop) In een volgende stap moeten de generieke en processpecifieke maatregelen kritisch worden bekeken op basis van volgende criteria: *Kwaliteitscheck Duidelijk? Zijn de maatregelen voor iedereen verstaanbaar en kan iedereen ermee aan de slag? Transparant? Zijn de maatregelen transparant in de zin dat er geen addertjes of verborgen zaken zijn? Open? Zijn de maatregelen gecommuniceerd en weten de medewerkers waar de maatregelen te raadplegen zijn? Volledig? Zijn er nog maatregelen te bedenken die nog niet in kaart zijn gebracht? Tegenstrijdig? Spreken de maatregelen elkaar niet tegen? Actueel? Zijn de maatregelen nog up to date? Duurzaam? Zijn de maatregelen ook nog geldig op middellange termijn? Zijn ze stabiel? Efficiënt? Staan de middelen in verhouding tot het resultaat? *Toepassingscheck Gekend? Zijn de maatregelen door de hele organisatie gekend? Toepasbaar? Zijn de maatregelen toepasbaar op de organisatie? Aanvaardbaar? Zijn de maatregelen aanvaardbaar voor het personeel van de organisatie? Toegepast? Worden de maatregelen in de praktijk toegepast?
Evaluatie beheersmaatregelen OPDRACHT : Kleef een groene sticker bij de huidige beheersmaatregelen die de integriteitsrisico’s voldoende afdekken Kleef een rode sticker bij de integriteitsrisico’s die nog niet zijn afgedekt door beheersmaatregelen Bij de beheersmaatregelen die de integriteitsrisico’s niet voldoende afdekken
Stap 6 : Actieplan
Actieplan Opdracht : Bedenk nodige acties/beheersmaatregelen bij de rode stickers Geef aan of de actie binnen de dienst versus departement moet ontwikkeld worden.
Algemeen resultaat Actieplan voor dienst Omgeving Missie/visie/waarden oefening voor de Dienst Omgeving: Wat is onze kerntaak Hoe gaan we om met externen en met elkaar (rolverdeling) Integriteitskader uitwerken voor onduidelijkheden binnen de dienst Vorming rond weerbaarheid Blijven inzetten op open feedbackcultuur binnen het team Toevoegen rubriek rond integriteit in contact met belanghebbenden in de handleiding voor peter/meter voor nieuwkomers
Evaluatie workshop
Evaluatie workshop Mona
Evaluatie workshop Gemiddelde totaalscore voor de workshop : 7,5 op 10 Positieve punten : Het is goed om hierover na te denken als groep en een duidelijke lijn te bepalen. (5) zeer case- en dienstgericht, bottom-up nadenken (2) Goede opbouw van de workshop (2) de uiteindelijke conclusie, 'nl. meer integriteit/huisregels'' opschrijven' is positief (1)
Implementatie departement Landbouw en Visserij Piloot als ‘best practice’ op Maturiteitsforum gebracht op 18/11 Noden bevraagd bij andere diensten Draaiboek + 1 facilitator uit de werkgroep integriteit om mee te begeleiden
Integriteit binnen het departement O&V Hier komt de ondertitel
Vóór 2011 Departement= som van integere personeelsleden Concreet probleem => Richtlijn (vb: pralines) => Geen éénduidige visie over wat integriteit is en dus ook geen “beleid”
Het kanteljaar: 2011 Validatieaudit door IAVA: CULT: 2 Aanbeveling: Het Departement OV bepaalt haar integriteitsbeleid en zet instrumenten in die zowel gericht zijn op het voorkomen als op het detecteren van integriteitsaantastingen.
Het kanteljaar: 2011 Twee opdrachten: Antwoord op vragen: wat is een integere organisatie? Uit wat bestaat een integriteitsbeleid? Project integriteit (niveau departement): =>In kaart brengen van kwetsbare functies =>In kaart brengen van de risico’s (+beheersmaatregelen)
Wat is een integere organisatie? Departement O&V: Een organisatie die integer handelt, is een betrouwbare partner. Een integere organisatie is een organisatie die zich aan wetten en regels houdt en die zichzelf bepaalde fatsoensnormen oplegt, dus ook aan zijn medewerkers. (handreiking integriteitsbeleid IAVA)
Inhoud integriteitsbeleid? Twee luiken: 1/Vergroten van de weerbaarheid van medewerkers tegen mogelijke aantastingen en schendingen van de integriteit én 2/Het ondersteunen van de medewerkers in de omgang met moeilijke situaties en integriteitdilemma’s => Nodig om de missie van het departement (een betrouwbare partner zijn) te realiseren
Project integriteit Uitgangspunten: Vertrekken van reeds beschikbare en stabiele informatie: oefening moet meerdere jaren meegaan Pragmatische aanpak Resultaten moeten op KT bekend zijn (≠ praatbarak) De beheersmaatregelen moeten concreet zijn geformuleerd en uitvoerbaar zijn De beheersmaatregelen moeten vertrekken vanuit een positieve benadering
Project Integriteit Beschikbare informatie: Uitgetekende kernprocessen (stabiel!) Handreiking integriteit IAVA Structuur: -Werkgroep: één afgevaardigde per afdeling -Ankerpunt OB: trekker en verantwoordelijke Timing: Resultaten uiterlijk binnen 4 maanden beschikbaar Gefaseerde aanpak van het project
Fase 1: In kaart brengen van kwetsbare functies Screening van de 8 kernprocessen naar risicofactoren Gebruikte criteria (handreiking integriteit IAVA): Contact met derden Mogelijkheid tot belangenvermenging Contact belangrijke informatie Contact grote sommen geld Gebruik middelen organisatie Monopolie positie
Resultaat fase 1: conclusies Kwetsbare functies (functies die in aanmerking komen met één of meer risicofactoren) bevinden zich in alle kernprocessen Contacten met derden; mogelijkheid belangenvermenging én contact met belangrijke informatie zijn de belangrijkste risicofactoren 50,67% VTE (2011) binnen het departement heeft een kwetsbare functie.
Fase 2: In kaart brengen van integriteitsrisico’s Screening van de 8 kernprocessen naar integriteitsrisico’s: Zoals inbreuken op: Objectiviteit (≠ neutraliteit) Communicatie Functiescheiding Toezicht Gedrag/houding
Fase 2: In kaart brengen van integriteitsrisico’s Screening van de 8 kernprocessen naar integriteitsrisico’s: Integriteitsrisico’s ≠^procesrisico’s Uitgangspunt: processen worden correct uitgevoerd De oefening wordt uitgevoerd op niveau KP maw het gaat om strategische integriteitsrisico’s Geen weging (cfr strategisch niveau) Geen enkel risico wordt “aanvaard”
Resultaat fase 2: conclusies 40 (strategische) risico’s te herleiden tot 9 onderwerpen: 28 risico’s hebben te maken met eerder “abstracte” elementen Gedetecteerde strategische risico’s Gebrek aan loyauteit 8 Inbreuk op gedragscode 7 Geen objectiviteit Onoordeelkundig verspreiden informatie 6 Kennismonopolie 4 Hoge onkostenvergoedingen 1 (Persoonlijke) Verrijking 2 Bevoordelen kandidaten door advies Toezichthoudende functie = uitvoerende en of registerende functie Totaal 40
Fase 3: Formuleren van beheersmaatregelen Fase 3: maatregelen formuleren die de medewerkers beter ondersteunen/ wapenen en weerbaarder maken Per risico één of meerdere beheersmaatregelen formuleren KP => strategische integriteitsrisico’s => beheersmaatregelen toepassing op heel het departement Uitwerken beheersmaatregelen verspreid over heel het departement
Resultaat fase 3: Beheersmaatregelen (Waarden)Charter Gedragscode Werken volgens het 4-ogen principe/ dubbele handtekening principe/ in teamverband Communicatiebeleid naar en voor de verschillende doelgroepen (inclusief kabinet) Jobrotatie Functiescheiding Richtlijnen onkosten Voorbeeldfunctie
Resultaat fase 3: overzichtstabel Risico beheersmaatregel op strategisch niveau Opmerkingen bij voorgestelde beheersmaatregel Inbreuk op gedragscode Er is een gecommuniceerde gedragscode binnen het departement De gedragscode is een code waarin richtlijnen zijn opgenomen waarin wordt weergegeven hoe alle personeelsleden van het departement zich dienen te verhouden tegenover derden (= iedereen buiten het departement). Dit zowel voor wat betreft a/ uiten van persoonlijke meningen tegenover derden (= iedereen buiten het departement) al dan niet na er een beslissing is genomen b/ beleefdheidsvormen in mailverkeer c/ kledingsvoorschriften op vergaderingen met derden (= iedereen buiten het departement) d/ publiceren van persoonlijke teksten/opiniestukken/artikels als personeelslid van het departement e/ hoe omgaan met klanten die u onder druk zetten enz… De gedragscode is van toepassing op alle personeelsleden binnen het departement. De modaliteiten over de naleving van de gedragscode moeten worden bepaald nadat de gedragscode is opgesteld en de invulling ervan is goedgekeurd door het DMC.
Fase 4: Goedkeuring en planning Fase 4: Meerjarenplanning opstellen door management Dec 2011: Maatregelen moeten in voege zijn september 2012 Alle afdelingen worden betrokken bij uitwerken maatregelen Oktober 2012 groot communicatiemoment “week van de waarden” Jaarlijkse communicatieactie 2017: Evaluatie van beheersmaatregelen
Na 2011-2012 Er is een visie op integriteit en een integriteitsbeleid Elk jaar is er een communicatie/ vorming omtrent de waarden => blijvend sensibiliseren => steeds een nieuwe manier zoeken en vinden om aandacht medewerkers vast te houden Integriteit(issues) zijn bespreekbaar In 2017 opnieuw een grootschalige oefening waarin effectiviteit van de beheersmaatregelen wordt nagegaan
Conclusie Oefening uitvoeren op zich is haalbaar zowel in tijd als inzet personeel Gewijzigde houding tov integriteit is merkbaar (management én personeel) Korte bevraging: positief Uitwerken beheersmaatregelen binnen het departement heeft tijd en inzet personeel gevraagd Blijvende sensibilisering is nodig (=werk van lange adem) - Sancties?