Het management duidt een medewerker aan om het project te leiden. Deze projectleider stelt een multidisciplinaire werkgroep samen met collega’s:

• uit verschillende delen van de organisatie
• met verschillende functies
• met voldoende kennis over de organisatie

Het is een pluspunt als in de werkgroep collega’s zitten die vertrouwd zijn met:

• de functies en processen van de organisatie (bv P&O-verantwoordelijke, procesmanagers)
• organisatiebeheersing (bv ankerpunt organisatiebeheersing)
• het thema integriteit (bv de contactpersoon integriteit)
• communicatie (bv de communicatieambtenaar of –verantwoordelijke: de lijsten vindt u in de Wegwijs Vlaamse overheid(opent in nieuw venster).

Samen met de werkgroep zal de projectleider beginnen met het verzamelen van alle beschikbare relevante informatie en gegevens en nagaan hoe correct het allemaal nog is = stap 2

De projectgroep gaat na of volgende informatie en gegevens over de organisatie bestaan en hoe correct deze zijn:

• Lijst van functies
• Lijst van kwetsbare functies
• Lijst van processen
• Eventuele eerdere (integriteits)risicoanalyses

Het samenbrengen van alle relevante informatie en gegevens en het checken van de correctheid ervan is belangrijk voor:

• de efficiëntie van het project
• de keuze van de meest geschikte methodiek.

Een integriteitsrisicoanalyse kan starten op basis van:

• de functies in een organisatie
• de processen van een organisatie.

Beide werkwijzen zijn evenwaardig maar hebben uiteraard een andere invalshoek.

Het loont om bij een risicoanalyse op basis van processen een onderscheid te maken tussen:

• Kernprocessen
• Managementprocessen (of sturende processen)
• Ondersteunende processen

De keuze voor de ene of andere vertrekbasis hangt af van:

• wat er al beschikbaar is in de organisatie
• de context van de organisatie. Een organisatie die volop in verandering zit, moet inschatten of de processen of functies door de veranderingen zullen wijzigen en dus zich baseren op wat er stabiel blijft.

Omdat zowel processen als functies in de loop van de tijd veranderen, is het nodig om regelmatig te checken of de analyse en bijbehorende maatregelen nog geldig zijn.

Is deze informatie nog niet beschikbaar dan zal de werkgroep de nodige informatie zelf verzamelen, bijvoorbeeld door:

• het interviewen van mensen in de organisatie met relevante kennis zoals leidinggevenden
• een brainstorm of workshop
• zelfevaluatie
• het gebruik van checklists

Aan de hand van de lijsten met functies en/of processen maakt de werkgroep een overzicht van alle potentiële risico’s (= kwetsbaarheden). In grote organisaties kunnen ook de leidinggevenden of andere collega’s die relevante kennis en informatie hebben de matrix voor de eigen entiteit invullen.

Hierbij een voorbeeld van een kwetsbaarheidsmatrix om in een tabel een overzicht te maken van de potentiële risico’s.

In de eerste kolom staan de verschillende kwetsbare handelingen of kwetsbare situaties:

• Contact met derden (bv met leveranciers, met klanten, …)
• Belangenvermenging
• Contact met belangrijke/gevoelige/persoonsgebonden informatie of geld
• Gebruik van middelen (bv budgetten, bedrijfswagen, materiaal,..)
• Ongewenste omgangsvormen
• Machts- of gezagsposities
• Monopolieposities

Zorg in de tabel voor een omschrijving van de handelingen zodat iedereen precies weet wat het inhoudt. Zo kan iedereen de tabel op eenzelfde manier invullen.

In de tweede kolom koppelt u deze kwetsbare handelingen aan werkgebieden (processen) van uw organisatie zoals bijvoorbeeld:

• verlenen (bv van vergunningen)
• uitkeren (van lonen, vergoedingen, premies en subsidies)
• uitbesteden (overheidsopdrachten)
• innen (boetes, belastingen)
• handhaven
• beoordelen
• inspecteren
• …

Het verfijnen van de matrix kan door:

• de processen in concrete deelhandelingen onder te verdelen
• de functies en functiehouders in de tabel te voegen.

Met deze matrix krijgt u een zicht op alle mogelijke risico’s die zich kunnen voordoen in uw organisatie.

In de kwetsbaarheidsmatrix vult u per risico de bestaande maatregelen in. Zo krijgt u een beeld van in welke mate potentiële risico’s zijn afgedekt.

Preventieve maatregelen zijn maatregelen die vooraf worden genomen om te voorkomen dat er zich integriteitsschendingen zouden voordoen. Er zijn heel wat verschillende mogelijke preventieve maatregelen.

Hieronder een niet-exhaustieve lijst van generieke maatregelen als voorbeeld:

• Regelgeving
• Charters en codes
• Arbeidsreglement
• Eedaflegging
• HR-beleid: personeelspeiling, coaching, opleidingen, teamdagen, waardering, motivatie, inschaling, organisatiecultuur, onthaalbeleid, functierotatie, doorstroombeleid, exitbeleid
• Voorbeeldig leiderschap
• Informatiebeheer

Deze algemene lijst kan steeds worden aangevuld met specifieke preventieve maatregelen per type proces bijvoorbeeld

• vier-ogenprincipe
• dubbele handtekening
• functiescheiding, ...

Zie de opsomming werkgebieden/processen onder 3. Potentiële risico’s bepalen: verlenen (bv van vergunningen), uitkeren (van lonen, vergoedingen, premies en subsidies), uitbesteden (overheidsopdrachten), innen (boetes, belastingen), handhaven, beoordelen, inspecteren, …

Detectieve maatregelen zijn maatregelen die dienen om integriteitsschendingen, als ze zich zouden voordoen, vast te stellen.

Er zijn heel wat verschillende mogelijke detectieve maatregelen.

Hieronder een niet-exhaustieve lijst van generieke maatregelen als voorbeeld:

• Meldkanalen binnen entiteiten: leidinggevende, personeelsvertegenwoordigers, vertrouwenspersonen, klachtenmanager
• Meldkanalen op Vlaamse overheidsniveau: IAVA, Spreekbuis, Vlaamse Ombudsdienst,
• Externe meldingskanalen: politie, procureur des konings
• Audit en controle: onderzoek door IAVA, Rekenhof, externe auditfirma’s
• Opvangen van signalen via personeelspeiling

Het kan ook hier nuttig zijn om niet alleen generieke detectieve maatregelen op te sommen, maar ook eens na te denken over processpecifieke detectieve maatregelen. Zie de opsomming werkgebieden/processen onder 3. Potentiële risico’s bepalen: verlenen (bv van vergunningen), uitkeren (van lonen, vergoedingen, premies en subsidies), uitbesteden (overheidsopdrachten), innen (boetes, belastingen), handhaven, beoordelen, inspecteren, …

Reactieve maatregelen ten slotte zijn maatregelen die worden genomen als reactie op een integriteitsschending.

Hieronder een niet-exhaustieve lijst van generieke maatregelen als voorbeeld:

• Opstart integriteitsbeleid indien dit ontbreekt: preventief, detectief en reactief
• Remediëringsbeleid: training, begeleiding
• Intern sanctiebeleid: waarschuwing, berisping, overplaatsing, schorsing, ontslag
• Extern sanctiebeleid: vervolging

Het kan hier opnieuw nuttig zijn om niet alleen generieke reactieve maatregelen op te sommen, maar ook eens na te denken over processpecifieke reactieve maatregelen. Zie de opsomming werkgebieden/processen onder 3. Potentiële risico’s bepalen: verlenen (bv van vergunningen), uitkeren (van lonen, vergoedingen, premies en subsidies), uitbesteden (overheidsopdrachten), innen (boetes, belastingen), handhaven, beoordelen, inspecteren, …

Maatregelen kritisch bekijken

In een volgende stap moeten de generieke en processpecifieke maatregelen kritisch worden bekeken op basis van volgende criteria:

Weging van risico’s

Na de opsomming van de maatregelen en de kritische kijk erop moeten de risico’s worden gewogen. Deze weging gebeurt aan de hand van twee onderdelen: de kans op het risico en de impact als het risico zich voordoet.

• Kans op risico: dit hangt onder andere af van resultaten van kritische kijk op maatregelen (werken ze, zijn ze gekend, worden ze toegepast?). Deze kunnen op verschillende manieren worden gecategoriseerd. Hieronder eenvoorbeeld van kansklassen:

• Impact als risico zich voordoet:
  • financiële benadeling van de organisatie
  • verkwisting van belastingsgeld
  • verlies van aanzien en aantasting van de goede naam, waardoor burgers, het bestuur of bedrijven het vertrouwen verliezen
  • negatieve invloed op de werking van de organisatie
  • negatieve invloed op de werksfeer, spanningen en normvervaging
  • benadelen van klanten, relaties of burgers
  • rechtspositionele gevolgen voor de medewerkers
  • politiek-bestuurlijke implicaties
  • …

Deze kunnen op verschillende manieren worden gecategoriseerd. Hieronder een voorbeeld van gevolgklassen:

Weging scoren

Wanneer we de kans vermenigvuldigen met de impact komen we tot een risicoscore die een inschatting geeft gaande van een laag inherent risico, een matig inherent risico en een hoog inherent risico. Eens de scores gekend moet menbekijken in welke mate de risico’s zijn afgedekt door de bestaande beheersmaatregelen.

Tip

Als scores worden toegekend door een kleine groep, weegt een individuele score te zwaar door. Om dit te vermijden is het een goede praktijk om een overleg te organiseren met de projectgroep. Tijdens het overleg kan de persoon met de meeste kennis van zaken over het risico een toelichting geven. Daarna kan de hele groep een score toekennen. Het toekennen van scores gebeurt best anoniem om te voorkomen dat er groepsdruk ontstaat.

Meerjarenplanning opstellen

Voor de uitvoering van de maatregelen om de in kaart gebrachte integriteitsrisico’s zoveel mogelijk te vermijden, stelt u een actieplan op. In dit actieplan bepaalt u:

• wat u eerst zal aanpakken
• welke acties de volgende jaren aan bod komen.

Bij het opstellen van een meerjarenplanning voor het uitwerken van uw maatregelen voor integriteitsrisicomanagement kunt u doen volgens de principes van projectmanagement.

Daarbij geeft u aan:

• hoe u de maatregelen gaat realiseren
• wie de maatregelen gaat realiseren
• welke middelen daarvoor nodig zijn (personeels- en financiële middelen)
• hoe u de kwaliteit van de maatregelen bewaakt
• hoe u de betrokkenen op de hoogte houdt van de voortgang
• tegen wanneer u de maatregel zal realiseren (timing)

Acties op korte termijn

De weging van de risico’s zegt u welke acties het dringendst zijn. Het is logisch dat u eerst werk maakt van de acties met de hoogste prioriteitsscores.
Daarnaast is het aan te raden om ook acties die met kleine inspanningen gerealiseerd kunnen worden, als quickwins worden opgenomen in het actieplan voor het eerste werkjaar.

Acties op middellange termijn

De overige acties neemt u op in een actieplan op middellange termijn. Beperk het aantal werkjaren om alle acties te realiseren. Uw organisatie evolueert en u moet zorgen dat de maatregelen beantwoorden aan de actuele behoeften van uw organisatie.

Link met interne controle en organisatiebeheersing
Het invoeren van de maatregelen neemt u ook best op in de organisatiebeheerings- en interne controleprocessen van uw organisatie. Daarbij is het van belang dat duidelijk is wie verantwoordelijk is voor de uitvoering, opvolging van de maatregelen en dat de realisatie en doeltreffendheid meetbaar is.

Controle en bijsturing
Bij een planning die loopt over meerdere jaren, kijkt u na een tijdje naar de ingevoerde maatregelen om te checken of ze inderdaad het gewenste resultaat opleveren. U kunt ze dan eventueel bijsturen mochten ze nog niet het beoogde resultaat leveren.

Vervolg
Na het afwerken van de volledige meerjarenplanning, start een nieuwe cyclus van analyse met nieuwe maatregelen. Integriteitsrisicoanalyse is een oefening die een organisatie regelmatig moet herhalen zodat de maatregelen blijven beantwoorden aan de evoluties van de organisatie en maatschappij.