chat-altchatcrossloginquestion-circlesearchsmileystarthumbup-downwarning
Vlaanderen
Contacteer ons
    Terug naar overzicht Stuur een e-mail

    Stuur een e-mail naar 1700, de informatiedienst voor al uw vragen aan de overheid.
    U ontvangt een kopie van uw bericht.

    Terug naar overzicht Chat met ons
    Uw chatgesprek wordt automatisch gestart zodra er een medewerker beschikbaar is.
    Even geduld, uw positie in de wachtrij wordt bepaald.

    Stappenplan

    Succesfactoren voor een succesvolle integriteitsrisicoanalyse

    Het maken van een integriteitsrisicoanalyse is een solide basis voor een integriteitsbeleid op maat van uw entiteit. Wil een integriteitsbeleid slagen dan moet voldaan zijn aan een aantal randvoorwaarden of succesfactoren. Deze voorwaarden stemmen in grote lijnen overeen met de succesfactoren voor procesmanagement:

    • Steun en betrokkenheid
      Het management moet zorgen voor voldoende draagvlak en steun voor het project binnen de organisatie. Dat begint met een duidelijke en heldere keuze voor het project en dit ook van bij de start bekendmaken aan de medewerkers. Ook het voorbeeldgrdrag van het management speelt hier een rol, goede intenties worden ondermijnd als het handelen de intenties tegenspreekt.

      In de communicatie moet ook het doel en het belang van het project expliciet aan bod komen. Zo is een risicoanalyse geen uiting van wantrouwen tov de medewerkers. Een risicoanalyse is niet op gericht op vaststellen van schendingen maar wel op het versterken van de weerbaarheid van de organisatie.

    • Voldoende tijd en middelen inzetten voor de risicoanalyse
      De doorlooptijd van de risicoanalyse hangt in grote mate af van:
      • de tijd en middelen die de organisatie ervoor inzet
      • hoeveel informatie, processen en functies al beschikbaar zijn
      • hoe actueel deze gegevens nog zijn

    Stappenplan

    stappenplan

    1. Samenstellen van de werkgroep

    Het management duidt een medewerker aan om het project te leiden. Deze projectleider stelt een multidisciplinaire werkgroep samen met collega’s:

    • uit verschillende delen van de organisatie
    • met verschillende functies
    • met voldoende kennis over de organisatie

    Het is een pluspunt als in de werkgroep collega’s zitten die vertrouwd zijn met:

    Samen met de werkgroep zal de projectleider beginnen met het verzamelen van alle beschikbare relevante informatie en gegevens en nagaan hoe correct het allemaal nog is = stap 2

    2. Integriteitsscan: verzamelen relevante informatie en gegevens

    De projectgroep gaat na of volgende informatie en gegevens over de organisatie bestaan en hoe correct deze zijn:

    • Lijst van functies
    • Lijst van kwetsbare functies
    • Lijst van processen
    • Eventuele eerdere (integriteits)risicoanalyses

    Het samenbrengen van alle relevante informatie en gegevens en het checken van de correctheid ervan is belangrijk voor:

    • de efficiëntie van het project
    • de keuze van de meest geschikte methodiek.

    Een integriteitsrisicoanalyse kan starten op basis van:

    • de functies in een organisatie
    • de processen van een organisatie.

    Beide werkwijzen zijn evenwaardig maar hebben uiteraard een andere invalshoek.

    Integriteitsrisicoanalyse op basis van functies Integriteitsrisicoanalyse op basis van processen 
    geeft een beter beeld
    makkelijker om voor bepaalde functiegroepen concrete maatregelen en afspraken te maken  over het verloop van de processen
    er kan ook eenvoudig extra aandacht gaan naar de zogenaamde kwetsbare functies over de verschillende onderdelen van de processen
    er is meer fragmentarisch zicht op de processen waarbinnen de functies optreden over welke processen kwestbaar zijn
    over welke processen bij risico’s een grotere impact kunnen hebben

      Het loont om bij een risicoanalyse op basis van processen een onderscheid te maken tussen:

      • Kernprocessen
      • Managementprocessen (of sturende processen)
      • Ondersteunende processen

      Lees meer over de soorten processen

      De keuze voor de ene of andere vertrekbasis hangt af van:

      • wat er al beschikbaar is in de organisatie
      • de context van de organisatie. Een organisatie die volop in verandering zit, moet inschatten of de processen of functies door de veranderingen zullen wijzigen en dus zich baseren op wat er stabiel blijft.

      Omdat zowel processen als functies in de loop van de tijd veranderen, is het nodig om regelmatig te checken of de analyse en bijbehorende maatregelen nog geldig zijn. 

      Is deze informatie nog niet beschikbaar dan zal de werkgroep de nodige informatie zelf verzamelen, bijvoorbeeld door:

      • het interviewen van mensen in de organisatie met relevante kennis zoals leidinggevenden
      • een brainstorm of workshop
      • zelfevaluatie
      • het gebruik van checklists

      3. Potentiële risico’s bepalen (kwetsbaarheidsmatrix opstellen)

      Aan de hand van de lijsten met functies en/of processen maakt de werkgroep een overzicht van alle potentiële risico’s (= kwetsbaarheden). In grote organisaties kunnen ook de leidinggevenden of andere collega’s die relevante kennis en informatie hebben de matrix voor de eigen entiteit invullen.

      Hierbij een voorbeeld van een kwetsbaarheidsmatrix om in een tabel een overzicht te maken van de potentiële risico’s.

      In de eerste kolom staan de verschillende kwetsbare handelingen of kwetsbare situaties:

      • Contact met derden (bv met leveranciers, met klanten, …)
      • Belangenvermenging
      • Contact met belangrijke/gevoelige/persoonsgebonden informatie of geld
      • Gebruik van middelen (bv budgetten, bedrijfswagen, materiaal,..)
      • Ongewenste omgangsvormen
      • Machts- of gezagsposities
      • Monopolieposities

      Zorg in de tabel voor een omschrijving van de handelingen zodat iedereen precies weet wat het inhoudt. Zo kan iedereen de tabel op eenzelfde manier invullen.

      In de tweede kolom koppelt u deze kwetsbare handelingen aan werkgebieden (processen) van uw organisatie zoals bijvoorbeeld:

      • verlenen (bv van vergunningen)
      • uitkeren (van lonen, vergoedingen, premies en subsidies)
      • uitbesteden (overheidsopdrachten)
      • innen (boetes, belastingen)
      • handhaven
      • beoordelen
      • inspecteren
      •  …

      Het verfijnen van de matrix kan door:

      • de processen in concrete deelhandelingen onder te verdelen 
      • de functies en functiehouders in de tabel te voegen.

      Met deze matrix krijgt u een zicht op alle mogelijke risico’s die zich kunnen voordoen in uw organisatie.

      4. Maatregelen

      Bestaande maatregelen oplijsten

      In de kwetsbaarheidsmatrix vult u per risico de bestaande maatregelen in. Zo krijgt u een beeld van in welke mate potentiële risico’s zijn afgedekt.

      illustratie bij preventieve maatregelen

      Preventieve maatregelen zijn maatregelen die vooraf worden genomen om te voorkomen dat er zich integriteitsschendingen zouden voordoen.  Er zijn heel wat verschillende mogelijke preventieve maatregelen.

      Hieronder een niet-exhaustieve lijst van generieke maatregelen als voorbeeld:

      • Regelgeving
      • Charters en codes
      • Arbeidsreglement
      • Eedaflegging
      • HR-beleid: personeelspeiling, coaching, opleidingen, teamdagen, waardering, motivatie, inschaling, organisatiecultuur, onthaalbeleid, functierotatie, doorstroombeleid, exitbeleid
      • Voorbeeldig leiderschap
      • Informatiebeheer

      Deze algemene lijst kan steeds worden aangevuld met specifieke preventieve maatregelen per type proces bijvoorbeeld

      • vier-ogenprincipe
      • dubbele handtekening
      • functiescheiding, ...

      Zie de opsomming werkgebieden/processen onder 3. Potentiële risico’s bepalen: verlenen (bv van vergunningen), uitkeren (van lonen, vergoedingen, premies en subsidies), uitbesteden (overheidsopdrachten), innen (boetes, belastingen), handhaven, beoordelen, inspecteren, …

      illustratie bij detectieve maatregelenDetectieve maatregelen zijn maatregelen die dienen om integriteitsschendingen, als ze zich zouden voordoen, vast te stellen.

      Er zijn heel wat verschillende mogelijke detectieve maatregelen.

      Hieronder een niet-exhaustieve lijst van generieke maatregelen als voorbeeld:

      • Meldkanalen binnen entiteiten: leidinggevende, personeelsvertegenwoordigers, vertrouwenspersonen, klachtenmanager
      • Meldkanalen op Vlaamse overheidsniveau: IAVA, Spreekbuis, Vlaamse Ombudsdienst, 
      • Externe meldingskanalen: politie, procureur des konings
      • Audit en controle: onderzoek door IAVA, Rekenhof, externe auditfirma’s
      • Opvangen van signalen via personeelspeiling

      Het kan ook hier nuttig zijn om niet alleen generieke detectieve maatregelen op te sommen, maar ook eens na te denken over processpecifieke detectieve maatregelen. Zie de opsomming werkgebieden/processen onder 3. Potentiële risico’s bepalen:  verlenen (bv van vergunningen), uitkeren (van lonen, vergoedingen, premies en subsidies), uitbesteden (overheidsopdrachten), innen (boetes, belastingen), handhaven, beoordelen, inspecteren, …

      illustratie bij reactie en sanctieReactieve maatregelen ten slotte zijn maatregelen die worden genomen als reactie op een integriteitsschending. 

      Hieronder een niet-exhaustieve lijst van generieke maatregelen als voorbeeld:

      • Opstart integriteitsbeleid indien dit ontbreekt: preventief, detectief en reactief
      • Remediëringsbeleid: training, begeleiding
      • Intern sanctiebeleid: waarschuwing, berisping, overplaatsing, schorsing, ontslag
      • Extern sanctiebeleid: vervolging

      Het kan hier opnieuw nuttig zijn om niet alleen generieke reactieve maatregelen op te sommen, maar ook eens na te denken over processpecifieke reactieve maatregelen.  Zie de opsomming werkgebieden/processen onder 3. Potentiële risico’s bepalen:  verlenen (bv van vergunningen), uitkeren (van lonen, vergoedingen, premies en subsidies), uitbesteden (overheidsopdrachten), innen (boetes, belastingen), handhaven, beoordelen, inspecteren, …

      Maatregelen kritisch bekijken

      In een volgende stap moeten de generieke en processpecifieke maatregelen kritisch worden bekeken op basis van volgende criteria:

      Kwaliteitscheck Toepassingscheck
      Duidelijk? Zijn de maatregelen voor iedereen verstaanbaar en kan iedereen ermee aan de slag? Gekend? Zijn de maatregelen door de hele organisatie gekend?
      Transparant? Zijn de maatregelen transparant in de zin dat er geen addertjes of verborgen zaken zijn? Toepasbaar? Zijn de maatregelen toepasbaar op de organisatie?
      Open? Zijn de maatregelen gecommuniceerd en weten de medewerkers waar de maatregelen te raadplegen zijn? Aanvaardbaar? Zijn de maatregelen aanvaardbaar voor het personeel van de organisatie?
      Volledig? Zijn er nog maatregelen te bedenken die nog niet in kaart zijn gebracht? Toegepast? Worden de maatregelen in de praktijk toegepast?
      Tegenstrijdig? Spreken de maatregelen elkaar niet tegen?
      Actueel? Zijn de maatregelen nog up to date?
      Duurzaam? Zijn de maatregelen ook nog geldig op middellange termijn? Zijn ze stabiel?
      Efficiënt? Staan de middelen in verhouding tot het resultaat?

      5. Prioriteiten bepalen

      Weging van risico’s

      Na de opsomming van de maatregelen en de kritische kijk erop moeten de risico’s worden gewogen.  Deze weging gebeurt aan de hand van twee onderdelen: de kans op het risico en de impact als het risico zich voordoet. 

      • Kans op risico: dit hangt onder andere af van resultaten van kritische kijk op maatregelen (werken ze, zijn ze gekend, worden ze toegepast?).  Deze kunnen op verschillende manieren worden gecategoriseerd.  Hieronder eenvoorbeeld van kansklassen:

      Klasse

      Kans

      Waarschijnlijkheidsgraad

      1

      0%

      Totaal onwaarschijnlijk

      2

      0 tot 5%

      Onwaarschijnlijk

      3

      5 tot 25%

      Mogelijk

      4

      25 tot 50%

      Waarschijnlijk

      5

      50 tot 100%

      Vrijwel zeker

      • Impact als risico zich voordoet:
        • financiële benadeling van de organisatie
        • verkwisting van belastingsgeld
        • verlies van aanzien en aantasting van de goede naam, waardoor burgers, het bestuur of  bedrijven het vertrouwen verliezen
        • negatieve invloed op de werking van de organisatie
        • negatieve invloed op de werksfeer, spanningen en normvervaging
        • benadelen van klanten, relaties of burgers
        • rechtspositionele gevolgen voor de medewerkers
        • politiek-bestuurlijke implicaties

      Deze kunnen op verschillende manieren worden gecategoriseerd. Hieronder een voorbeeld van gevolgklassen:

      Klasse

      Impact

      1

      Jammer

      2

      Beperkt

      3

      Behoorlijk

      4

      Ernstig

      5

      Ramp

      Weging scoren

      Wanneer we de kans vermenigvuldigen met de impact komen we tot een risicoscore die een inschatting geeft gaande van een laag inherent risico, een matig inherent risico en een hoog inherent risico.  Eens de scores gekend moet menbekijken in welke mate de risico’s zijn afgedekt door de bestaande beheersmaatregelen.

      Tip

      Als scores worden toegekend door een kleine groep, weegt een individuele score te zwaar door. Om dit te vermijden is het een goede praktijk om een overleg te organiseren met de projectgroep. Tijdens het overleg kan de persoon met de meeste kennis van zaken over het risico een toelichting geven. Daarna kan de hele groep een score toekennen. Het toekennen van scores gebeurt best anoniem om te voorkomen dat er groepsdruk ontstaat.

       

       

      Gevolg

       

       

      1

      2

      3

      4

      5

      Kans

      1

      1

      2

      3

      4

      5

      2

      2

      4

      6

      8

      10

      3

      3

      6

      9

      12

      15

      4

      4

      8

      12

      16

      20

      5

      5

      10

      15

      20

      25

       

      Risico Score  
      Aanvaardbaar (1-5)
      (=laag inherent risico)
      De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is zeer beperkt tot nagenoeg onbestaande.
      Ongewenst/Schadelijk (6-12)
      (=matig inherent risico)
      De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is beperkt tot groot.
      Kritiek (13-25)
      (=hoog inherent risico)
      De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is zeer groot.
      Risico afdekking  
      Voldoende
      (=laag residueel risico)
      Het risico wordt door de bestaande beheersmaatregelen beperkt tot een aanvaardbaar niveau.
      Gedeeltelijk
      (=matig residueel risico)
      Het risico wordt door de bestaande beheersmaatregelen gedeeltelijk afgedekt. Aanvullende beheersmaatregelen zijn wenselijk, zij kunnen leiden tot een betere beheersing van het risico.
      Onvoldoende
      (=hoog residueel risico)
      Het risico wordt door de bestaande beheersmaatregelen onvoldoende afgedekt of er zijn geen beheersmaatregelen aanwezig. Aanvullende beheersmaatregelen zijn noodzakelijk om het risico tot en aanvaardbaar niveau te herleiden.

      6. Actieplan

      Meerjarenplanning opstellen

      Voor de uitvoering van de maatregelen om de in kaart gebrachte integriteitsrisico’s zoveel mogelijk te vermijden, stelt u een actieplan op. In dit actieplan bepaalt u:

      • wat u eerst zal aanpakken
      • welke acties de volgende jaren aan bod komen.

      Bij het opstellen van een meerjarenplanning voor het uitwerken van uw maatregelen voor integriteitsrisicomanagement kunt u doen volgens de principes van projectmanagement.

      Daarbij geeft u aan:

      • hoe u de maatregelen gaat realiseren
      • wie de maatregelen gaat realiseren
      • welke middelen daarvoor nodig zijn (personeels- en financiële middelen)
      • hoe u de kwaliteit van de maatregelen bewaakt
      • hoe u de betrokkenen op de hoogte houdt van de voortgang
      • tegen wanneer u de maatregel zal realiseren (timing)

      Acties op korte termijn

      De weging van de risico’s zegt u welke acties het dringendst zijn. Het is logisch dat u eerst werk maakt van de acties met de hoogste prioriteitsscores.
      Daarnaast is het aan te raden om ook acties die met kleine inspanningen gerealiseerd kunnen worden, als quickwins worden opgenomen in het actieplan voor het eerste werkjaar.

      Acties op middellange termijn

      De overige acties neemt u op in een actieplan op middellange termijn. Beperk het aantal werkjaren om alle acties te realiseren. Uw organisatie evolueert en u moet zorgen dat de maatregelen beantwoorden aan de actuele behoeften van uw organisatie.

      Link met interne controle en organisatiebeheersing
      Het invoeren van de maatregelen neemt u ook best op in de organisatiebeheerings- en interne controleprocessen van uw organisatie. Daarbij is het van belang dat duidelijk is wie verantwoordelijk is voor de uitvoering, opvolging van de maatregelen en dat de realisatie en doeltreffendheid meetbaar is.


      Controle en bijsturing
      Bij een planning die loopt over meerdere jaren, kijkt u na een tijdje naar de ingevoerde maatregelen om te checken of ze inderdaad het gewenste resultaat opleveren. U kunt ze dan eventueel bijsturen mochten ze nog niet het beoogde resultaat leveren.

      Vervolg
      Na het afwerken van de volledige meerjarenplanning, start een nieuwe cyclus van analyse met nieuwe maatregelen. Integriteitsrisicoanalyse is een oefening die een organisatie regelmatig moet herhalen zodat de maatregelen blijven beantwoorden aan de evoluties van de organisatie en maatschappij.

      Er is ook een PDF-versie van het stappenplan beschikbaar.