Gedaan met laden. U bevindt zich op: Integriteitsrisicoanalyse

Integriteitsrisicoanalyse

Wil je als integriteitsactor binnen de Vlaamse overheid zelf een risicoanalyse maken op het vlak van integriteit? Op deze webpagina vind je een aantal methodes en praktische voorbeelden.

Waarom?

Er bestaan risico’s die de integriteit van een organisatie en die van haar medewerkers kunnen aantasten. Om die risico’s in kaart te brengen en passende maatregelen te kunnen nemen, is een integriteitsrisicoanalyse van groot belang. Zo’n analyse vormt een gefundeerde vertrekbasis voor een succesvol integriteitsbeleid.

Methodes

Er zijn verschillende instrumenten die entiteiten een houvast bieden bij een integriteitsrisicoanalyse. Ruwweg zijn er 2 methodes: 1 die vertrekt vanuit de functies en 1 die vertrekt vanuit de processen. Beide methoden zijn evenwaardig. De keuze hangt af van wat het best past bij de organisatie en van de gegevens die al beschikbaar zijn.

Zijn bijvoorbeeld de processen van de organisatie al in detail in kaart gebracht, dan zijn de processen uiteraard een goed vertrekpunt.

Uiteraard zijn zowel processen als functies onderhevig aan veranderingen. Daarom is het belangrijk om in het continu proces van risicomanagement de processen en functies regelmatig te actualiseren.

Stappenplan

  • Stap 1

    Het management duidt een medewerker aan om het project te leiden. Deze projectleider stelt een multidisciplinaire werkgroep samen met collega’s:

    • uit verschillende delen van de organisatie
    • met verschillende functies
    • met voldoende kennis over de organisatie

    Het is een pluspunt als in de werkgroep collega’s zitten die vertrouwd zijn met:

    • de functies en processen van de organisatie (bv P&O-verantwoordelijke, procesmanagers)
    • organisatiebeheersing (bv ankerpunt organisatiebeheersing)
    • het thema integriteit (bv de contactpersoon integriteit)
    • communicatie (bv de communicatieambtenaar of –verantwoordelijke: de lijsten vindt u in de Wegwijs Vlaamse overheid(opent in nieuw venster).

    Samen met de werkgroep zal de projectleider beginnen met het verzamelen van alle beschikbare relevante informatie en gegevens en nagaan hoe correct het allemaal nog is = stap 2

  • Stap 2

    De projectgroep gaat na of volgende informatie en gegevens over de organisatie bestaan en hoe correct deze zijn:

    • Lijst van functies
    • Lijst van kwetsbare functies
    • Lijst van processen
    • Eventuele eerdere (integriteits)risicoanalyses

    Het samenbrengen van alle relevante informatie en gegevens en het checken van de correctheid ervan is belangrijk voor:

    • de efficiëntie van het project
    • de keuze van de meest geschikte methodiek.

    Een integriteitsrisicoanalyse kan starten op basis van:

    • de functies in een organisatie
    • de processen van een organisatie.

    Beide werkwijzen zijn evenwaardig maar hebben uiteraard een andere invalshoek.

    Integriteitsrisicoanalyse op basis van functiesIntegriteitsrisicoanalyse op basis van processen
    geeft een beter beeld
    makkelijker om voor bepaalde functiegroepen concrete maatregelen en afspraken te maken over het verloop van de processen
    er kan ook eenvoudig extra aandacht gaan naar de zogenaamde kwetsbare functiesover de verschillende onderdelen van de processen
    er is meer fragmentarisch zicht op de processen waarbinnen de functies optredenover welke processen kwestbaar zijn
    over welke processen bij risico’s een grotere impact kunnen hebben

    Het loont om bij een risicoanalyse op basis van processen een onderscheid te maken tussen:

    • Kernprocessen
    • Managementprocessen (of sturende processen)
    • Ondersteunende processen

    De keuze voor de ene of andere vertrekbasis hangt af van:

    • wat er al beschikbaar is in de organisatie
    • de context van de organisatie. Een organisatie die volop in verandering zit, moet inschatten of de processen of functies door de veranderingen zullen wijzigen en dus zich baseren op wat er stabiel blijft.

    Omdat zowel processen als functies in de loop van de tijd veranderen, is het nodig om regelmatig te checken of de analyse en bijbehorende maatregelen nog geldig zijn.

    Is deze informatie nog niet beschikbaar dan zal de werkgroep de nodige informatie zelf verzamelen, bijvoorbeeld door:

    • het interviewen van mensen in de organisatie met relevante kennis zoals leidinggevenden
    • een brainstorm of workshop
    • zelfevaluatie
    • het gebruik van checklists
  • Stap 3

    Aan de hand van de lijsten met functies en/of processen maakt de werkgroep een overzicht van alle potentiële risico’s (= kwetsbaarheden). In grote organisaties kunnen ook de leidinggevenden of andere collega’s die relevante kennis en informatie hebben de matrix voor de eigen entiteit invullen.

    Hierbij een voorbeeld van een kwetsbaarheidsmatrix om in een tabel een overzicht te maken van de potentiële risico’s.

    In de eerste kolom staan de verschillende kwetsbare handelingen of kwetsbare situaties:

    • Contact met derden (bv met leveranciers, met klanten, …)
    • Belangenvermenging
    • Contact met belangrijke/gevoelige/persoonsgebonden informatie of geld
    • Gebruik van middelen (bv budgetten, bedrijfswagen, materiaal,..)
    • Ongewenste omgangsvormen
    • Machts- of gezagsposities
    • Monopolieposities

    Zorg in de tabel voor een omschrijving van de handelingen zodat iedereen precies weet wat het inhoudt. Zo kan iedereen de tabel op eenzelfde manier invullen.

    In de tweede kolom koppelt u deze kwetsbare handelingen aan werkgebieden (processen) van uw organisatie zoals bijvoorbeeld:

    • verlenen (bv van vergunningen)
    • uitkeren (van lonen, vergoedingen, premies en subsidies)
    • uitbesteden (overheidsopdrachten)
    • innen (boetes, belastingen)
    • handhaven
    • beoordelen
    • inspecteren

    Het verfijnen van de matrix kan door:

    • de processen in concrete deelhandelingen onder te verdelen
    • de functies en functiehouders in de tabel te voegen.

    Met deze matrix krijgt u een zicht op alle mogelijke risico’s die zich kunnen voordoen in uw organisatie.

  • Stap 4

    In de kwetsbaarheidsmatrix vult u per risico de bestaande maatregelen in. Zo krijgt u een beeld van in welke mate potentiële risico’s zijn afgedekt.

    Preventieve maatregelen zijn maatregelen die vooraf worden genomen om te voorkomen dat er zich integriteitsschendingen zouden voordoen. Er zijn heel wat verschillende mogelijke preventieve maatregelen.

    Hieronder een niet-exhaustieve lijst van generieke maatregelen als voorbeeld:

    • Regelgeving
    • Charters en codes
    • Arbeidsreglement
    • Eedaflegging
    • HR-beleid: personeelspeiling, coaching, opleidingen, teamdagen, waardering, motivatie, inschaling, organisatiecultuur, onthaalbeleid, functierotatie, doorstroombeleid, exitbeleid
    • Voorbeeldig leiderschap
    • Informatiebeheer

    Deze algemene lijst kan steeds worden aangevuld met specifieke preventieve maatregelen per type proces bijvoorbeeld

    • vier-ogenprincipe
    • dubbele handtekening
    • functiescheiding, ...

    Zie de opsomming werkgebieden/processen onder 3. Potentiële risico’s bepalen: verlenen (bv van vergunningen), uitkeren (van lonen, vergoedingen, premies en subsidies), uitbesteden (overheidsopdrachten), innen (boetes, belastingen), handhaven, beoordelen, inspecteren, …

    Detectieve maatregelen zijn maatregelen die dienen om integriteitsschendingen, als ze zich zouden voordoen, vast te stellen.

    Er zijn heel wat verschillende mogelijke detectieve maatregelen.

    Hieronder een niet-exhaustieve lijst van generieke maatregelen als voorbeeld:

    • Meldkanalen binnen entiteiten: leidinggevende, personeelsvertegenwoordigers, vertrouwenspersonen, klachtenmanager
    • Meldkanalen op Vlaamse overheidsniveau: IAVA, Spreekbuis, Vlaamse Ombudsdienst,
    • Externe meldingskanalen: politie, procureur des konings
    • Audit en controle: onderzoek door IAVA, Rekenhof, externe auditfirma’s
    • Opvangen van signalen via personeelspeiling

    Het kan ook hier nuttig zijn om niet alleen generieke detectieve maatregelen op te sommen, maar ook eens na te denken over processpecifieke detectieve maatregelen. Zie de opsomming werkgebieden/processen onder 3. Potentiële risico’s bepalen: verlenen (bv van vergunningen), uitkeren (van lonen, vergoedingen, premies en subsidies), uitbesteden (overheidsopdrachten), innen (boetes, belastingen), handhaven, beoordelen, inspecteren, …

    Reactieve maatregelen ten slotte zijn maatregelen die worden genomen als reactie op een integriteitsschending.

    Hieronder een niet-exhaustieve lijst van generieke maatregelen als voorbeeld:

    • Opstart integriteitsbeleid indien dit ontbreekt: preventief, detectief en reactief
    • Remediëringsbeleid: training, begeleiding
    • Intern sanctiebeleid: waarschuwing, berisping, overplaatsing, schorsing, ontslag
    • Extern sanctiebeleid: vervolging

    Het kan hier opnieuw nuttig zijn om niet alleen generieke reactieve maatregelen op te sommen, maar ook eens na te denken over processpecifieke reactieve maatregelen. Zie de opsomming werkgebieden/processen onder 3. Potentiële risico’s bepalen: verlenen (bv van vergunningen), uitkeren (van lonen, vergoedingen, premies en subsidies), uitbesteden (overheidsopdrachten), innen (boetes, belastingen), handhaven, beoordelen, inspecteren, …

    Maatregelen kritisch bekijken

    In een volgende stap moeten de generieke en processpecifieke maatregelen kritisch worden bekeken op basis van volgende criteria:

    KwaliteitscheckToepassingscheck
    Duidelijk? Zijn de maatregelen voor iedereen verstaanbaar en kan iedereen ermee aan de slag?Gekend? Zijn de maatregelen door de hele organisatie gekend?
    Transparant? Zijn de maatregelen transparant in de zin dat er geen addertjes of verborgen zaken zijn?Toepasbaar? Zijn de maatregelen toepasbaar op de organisatie?
    Open? Zijn de maatregelen gecommuniceerd en weten de medewerkers waar de maatregelen te raadplegen zijn?Aanvaardbaar? Zijn de maatregelen aanvaardbaar voor het personeel van de organisatie?
    Volledig? Zijn er nog maatregelen te bedenken die nog niet in kaart zijn gebracht?Toegepast? Worden de maatregelen in de praktijk toegepast?
    Tegenstrijdig? Spreken de maatregelen elkaar niet tegen?
    Actueel? Zijn de maatregelen nog up to date?
    Duurzaam? Zijn de maatregelen ook nog geldig op middellange termijn? Zijn ze stabiel?
    Efficiënt? Staan de middelen in verhouding tot het resultaat?
  • Stap 5

    Weging van risico’s

    Na de opsomming van de maatregelen en de kritische kijk erop moeten de risico’s worden gewogen. Deze weging gebeurt aan de hand van twee onderdelen: de kans op het risico en de impact als het risico zich voordoet.

    • Kans op risico: dit hangt onder andere af van resultaten van kritische kijk op maatregelen (werken ze, zijn ze gekend, worden ze toegepast?). Deze kunnen op verschillende manieren worden gecategoriseerd. Hieronder eenvoorbeeld van kansklassen:

    Klasse

    Kans

    Waarschijnlijkheidsgraad

    1

    0%

    Totaal onwaarschijnlijk

    2

    0 tot 5%

    Onwaarschijnlijk

    3

    5 tot 25%

    Mogelijk

    4

    25 tot 50%

    Waarschijnlijk

    5

    50 tot 100%

    Vrijwel zeker

    • Impact als risico zich voordoet:
      • financiële benadeling van de organisatie
      • verkwisting van belastingsgeld
      • verlies van aanzien en aantasting van de goede naam, waardoor burgers, het bestuur of bedrijven het vertrouwen verliezen
      • negatieve invloed op de werking van de organisatie
      • negatieve invloed op de werksfeer, spanningen en normvervaging
      • benadelen van klanten, relaties of burgers
      • rechtspositionele gevolgen voor de medewerkers
      • politiek-bestuurlijke implicaties

    Deze kunnen op verschillende manieren worden gecategoriseerd. Hieronder een voorbeeld van gevolgklassen:

    Klasse

    Impact

    1

    Jammer

    2

    Beperkt

    3

    Behoorlijk

    4

    Ernstig

    5

    Ramp

    Weging scoren

    Wanneer we de kans vermenigvuldigen met de impact komen we tot een risicoscore die een inschatting geeft gaande van een laag inherent risico, een matig inherent risico en een hoog inherent risico. Eens de scores gekend moet menbekijken in welke mate de risico’s zijn afgedekt door de bestaande beheersmaatregelen.

    Tip

    Als scores worden toegekend door een kleine groep, weegt een individuele score te zwaar door. Om dit te vermijden is het een goede praktijk om een overleg te organiseren met de projectgroep. Tijdens het overleg kan de persoon met de meeste kennis van zaken over het risico een toelichting geven. Daarna kan de hele groep een score toekennen. Het toekennen van scores gebeurt best anoniem om te voorkomen dat er groepsdruk ontstaat.

    Gevolg

    1

    2

    3

    4

    5

    Kans

    1

    1

    2

    3

    4

    5

    2

    2

    4

    6

    8

    10

    3

    3

    6

    9

    12

    15

    4

    4

    8

    12

    16

    20

    5

    5

    10

    15

    20

    25

    Risico Score
    Aanvaardbaar (1-5)
    (=laag inherent risico)
    De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is zeer beperkt tot nagenoeg onbestaande.
    Ongewenst/Schadelijk (6-12)
    (=matig inherent risico)
    De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is beperkt tot groot.
    Kritiek (13-25)
    (=hoog inherent risico)
    De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is zeer groot.
    Risico afdekking
    Voldoende
    (=laag residueel risico)
    Het risico wordt door de bestaande beheersmaatregelen beperkt tot een aanvaardbaar niveau.
    Gedeeltelijk
    (=matig residueel risico)
    Het risico wordt door de bestaande beheersmaatregelen gedeeltelijk afgedekt. Aanvullende beheersmaatregelen zijn wenselijk, zij kunnen leiden tot een betere beheersing van het risico.
    Onvoldoende
    (=hoog residueel risico)
    Het risico wordt door de bestaande beheersmaatregelen onvoldoende afgedekt of er zijn geen beheersmaatregelen aanwezig. Aanvullende beheersmaatregelen zijn noodzakelijk om het risico tot en aanvaardbaar niveau te herleiden.
  • Stap 6

    Meerjarenplanning opstellen

    Voor de uitvoering van de maatregelen om de in kaart gebrachte integriteitsrisico’s zoveel mogelijk te vermijden, stelt u een actieplan op. In dit actieplan bepaalt u:

    • wat u eerst zal aanpakken
    • welke acties de volgende jaren aan bod komen.

    Bij het opstellen van een meerjarenplanning voor het uitwerken van uw maatregelen voor integriteitsrisicomanagement kunt u doen volgens de principes van projectmanagement.

    Daarbij geeft u aan:

    • hoe u de maatregelen gaat realiseren
    • wie de maatregelen gaat realiseren
    • welke middelen daarvoor nodig zijn (personeels- en financiële middelen)
    • hoe u de kwaliteit van de maatregelen bewaakt
    • hoe u de betrokkenen op de hoogte houdt van de voortgang
    • tegen wanneer u de maatregel zal realiseren (timing)

    Acties op korte termijn

    De weging van de risico’s zegt u welke acties het dringendst zijn. Het is logisch dat u eerst werk maakt van de acties met de hoogste prioriteitsscores.
    Daarnaast is het aan te raden om ook acties die met kleine inspanningen gerealiseerd kunnen worden, als quickwins worden opgenomen in het actieplan voor het eerste werkjaar.

    Acties op middellange termijn

    De overige acties neemt u op in een actieplan op middellange termijn. Beperk het aantal werkjaren om alle acties te realiseren. Uw organisatie evolueert en u moet zorgen dat de maatregelen beantwoorden aan de actuele behoeften van uw organisatie.

    Link met interne controle en organisatiebeheersing
    Het invoeren van de maatregelen neemt u ook best op in de organisatiebeheerings- en interne controleprocessen van uw organisatie. Daarbij is het van belang dat duidelijk is wie verantwoordelijk is voor de uitvoering, opvolging van de maatregelen en dat de realisatie en doeltreffendheid meetbaar is.


    Controle en bijsturing
    Bij een planning die loopt over meerdere jaren, kijkt u na een tijdje naar de ingevoerde maatregelen om te checken of ze inderdaad het gewenste resultaat opleveren. U kunt ze dan eventueel bijsturen mochten ze nog niet het beoogde resultaat leveren.

    Vervolg
    Na het afwerken van de volledige meerjarenplanning, start een nieuwe cyclus van analyse met nieuwe maatregelen. Integriteitsrisicoanalyse is een oefening die een organisatie regelmatig moet herhalen zodat de maatregelen blijven beantwoorden aan de evoluties van de organisatie en maatschappij.

Hier worden de voorbeelden ingedeeld volgens:

  • De omvang van de entiteit (5 categorieën)
  • Departement/agentschap
  • Toegepaste methodiek risicoanalyse integriteit

Klik op de entiteit voor de resultaatsfiche, bijlagen en sjablonen van de entiteit.

Entiteit

Omvang entiteit (personeelsaantal)

Departement /

agentschap

Toegepaste methodiek

Audit Vlaanderenvoorstelling methodiek risicoanalyse integriteit
bijlage 1: integriteitsbeleid IAVA

0-100

Agentschap

Handreiking ‘integriteitsbeleid’(PDF bestand opent in nieuw venster)

Departement EWIvoorstelling methodiek risicoanalyse integriteit

101-200

Departement

Handleiding ‘Identificeren van kwetsbare functies’

Departement OVvoorstelling methodiek risicoanalyse integriteit

201-500

Departement

Handreiking ‘integriteitsbeleid’(PDF bestand opent in nieuw venster)

Departement Welzijn,
Volksgezondheid en Gezinvoorstelling methodiek risicoanalyse integriteitbijlage 1: identificeren kwetsbare functies
201-500

Departement

Handleiding 'Identificeren van kwetsbare functies'

Agentschap Landbouw en Visserijvoorstelling methodiek in kaart brengen van kwetsbare functiesbijlage 1: sjabloon kwetsbare functies(Excel bestand opent in nieuw venster)voorstelling methodiek integriteitsevaluatiebijlage 1: sjabloon integriteitsevaluatie themadoelstellingen 201-500

Agentschap

Handleiding 'Identificeren van kwetsbare functies'

Vlaams Agentschap voor
Personen met een Handicapwerkwijze oplijsting kwetsbare functiesbijlage 1: sjabloon oplijsting kwetsbare functies
201-500

Agentschap

Handleiding 'Identificeren van kwetsbare functies'

De Scheepvaartvoorstelling methodiek risicoanalyse integriteit

501-1000

Agentschap

BIOS-methode (enkel voor personeelsleden van de Vlaamse overheid)

BLOSOVoorstelling methodiek risicoanalyse integriteit
Bijlage 1: Oplijsting kwetsbare functies (Excel bestand opent in nieuw venster)
Bijlage 2: procesfiche en risicomatrix
501-1000AgentschapHandreiking ‘integriteitsbeleid’(PDF bestand opent in nieuw venster)
Waterwegen en ZeekanaalVoorstelling methodiek risicoanalyse integriteit (Word bestand opent in nieuw venster)
Bijlage 1: Plan van aanpak risicoanalyse integriteit 2012
Bijlage 2: Sjabloon kwetsbaarheidmatrix
Bijlage 3: Sjabloon risico kwantificering
Bijlage 4: Sjabloon risicofoto
501-1000AgentschapHandleiding ‘Identificeren van kwetsbare functies’
Departement Mobiliteit
en Openbare WerkenVoorstelling methodiek risicoanalyse integriteit (Word bestand opent in nieuw venster)
Bijlage 1: Schema methodiek integriteitsonderzoek
Bijlage 2: Enquête kwetsbare handelingen
Bijlage 3: Kwetsbare handelingen per functie
Bijlage 4: Ontvangstprocessen
Bijlage 5: Uitgavenprocessen
Bijlage 6: Processen bij begroting
Bijlage 7: Applicatiebeheer
Bijlage 8: Aanbevelingen en actieplan integriteit
501-1000DepartementBIOS-methode (enkel voor personeelsleden van de Vlaamse overheid)
Vlaamse LandmaatschappijVoorstelling methodiek in kaart brengen kwetsbare functies en handelingen
Bijlage 1: omschrijving kwetsbare handelingen

501-1000

Agentschap

Handleiding 'Identificeren van kwetsbare functies'
BIOS-methode (enkel voor personeelsleden van de Vlaamse overheid)

/

+ 1000

Instrumenten

Sjabloon voorstelling methodiek risicoanalyse integriteit

Deel zelf je ervaringen met collega’s

Heb je binnen je entiteit een risicoanalyse integriteit gedaan? Dan kun je andere collega's helpen door je ervaringen te delen.

Als u andere documenten, sjablonen,… heeft die gepubliceerd mogen worden, stuur ze gerust mee. Bedankt!