Integriteitsrisicoanalyse

Integriteitsevent 10 april 2014

Leuven

Stevige basis voor een goed functionerende en integere organisatie

Dieter VanheeBeleidsmedewerker organisatieontwikkeling

Afdeling HR- en OrganisatiebeleidDepartement Bestuurszaken

Inhoud

1. Belang2. Stappenplan 3. Succesfactoren4. Meer informatie

1. Belang

Organisatiebeheersing VO• Leidraad interne controle/organisatiebeheersing• Handreiking integriteit

Zicht op risico’s en maatregelen

Fundament voor het integriteitsbeleidsplan

2. StappenplanStap 1: Samenstellen van een werkgroep

Projectleider

Multidisciplinaire werkgroep met kennis rond functies en processen binnen de organisatie, organisatiebeheersing, communicatie en integriteit

Stap 2: Integriteitsscan: verzamelen van relevante informatie en gegevens

Lijst van functies

Lijst van kwetsbare functies

Lijst van processen

Eventueel eerdere (integriteits)risicoanalyses

Samenbrengen relevante bestaande info en checken correctheid

2. Stappenplan

Stap 2: Integriteitsscan: verzamelen van relevante informatie en gegevens

Integriteitsrisicoanalyse kan starten obv functies of processen in de organisatie evenwaardig!

2. Stappenplan

IRA obv functies IRA obv processen

Gemakkelijker om voor bepaalde functiegroepen concrete maatregelen / afspraken te maken

Geeft een beter beeld over het verloop en de verschillende onderdelen van de processen

Eenvoudig om extra aandacht te geven aan kwetsbare functies

Geeft een beter beeld over welke processen kwetsbaar zijnGeeft een beter beeld over welke processen bij risico’s een grotere impact kunnen hebben

Stap 2: Integriteitsscan: verzamelen van relevante informatie en gegevens

Keuze voor functies of processen hangt af van:– Wat er al beschikbaar is in de organisatie

– Context van de organisatie. Bvb. organisatie in verandering baseert zich best op wat meest stabiel blijft.

Is informatie niet beschikbaar, dan zelf info verzamelen, bijvoorbeeld door interviews van mensen in organisatie, brainstorm, workshop, zelfevaluatie, checklists, …

2. Stappenplan

Stap 3: Risico’s binnen kwetsbaarheidsmatrix

Opmaak potentiële risico’s. Voorbeeld:

Kwetsbare werkgebieden / processen

Kwetsbare handelingen/ situaties

Verlenen Uitkeren Uitbesteden Innen Handhaven Beoordelen Inspecteren …

Contact met derden

Belangenvermenging

Contact met belangrijke/ gevoelige / persoonsgebonden informatie of geld

Gebruik van middelen

Ongewenste omgangsvormen

Machts- of gezagsposities

Monopolieposities

2. Stappenplan

Stap 4: Maatregelen oplijsten en kritisch bekijken

In kwetsbaarheidsmatrix per risico maatregelen aanvullen

Drie types maatregelen:

Preventief Detectief Reactief

2. Stappenplan

Stap 4: Maatregelen oplijsten en kritisch bekijken

• Preventieve maatregelen (niet-exhaustief):• Regelgeving• Charters en codes• Arbeidsreglement• Eedaflegging• HR-beleid• Voorbeeldig leiderschap• Informatiebeheer• Specifieke maatregelen per type proces bvb. vier-ogenprincipe, dubbele

handtekening, functiescheiding

2. Stappenplan

Stap 4: Maatregelen oplijsten en kritisch bekijken

• Detectieve maatregelen (niet-exhaustief):• Meldkanalen binnen entiteiten: leiddinggevende,

personeelsvertegenwoordiger, vertrouwenspersoon, klachtenmanager• Meldkanalen op VO-niveau: Audit Vlaanderen, Spreekbuis, Vlaamse

Ombudsdienst• Externe meldingskanalen: politie, procureur• Audit en controle: onderzoek door Audit Vlaanderen, Rekenhof, externe

auditfirma’s• Opvangen signalen via personeelspeiling• Processpecifieke detectieve maatregelen

2. Stappenplan

Stap 4: Maatregelen oplijsten en kritisch bekijken

• Reactieve maatregelen (niet-exhaustief):• Opstart integriteitsbeleid indien dit ontbreekt: preventief, detectief en

reactief• Remediëringsbeleid: training, begeleiding• Intern sanctiebeleid: waarschuwing, berisping, overplaatsing, schorsing,

ontslag• Extern sanctiebeleid: vervolging

2. Stappenplan

Stap 4: Maatregelen oplijsten en kritisch bekijken

Maatregelen kritisch bekijken

Kwaliteitscheck: Duidelijk? Transparant? Open? Volledig? Tegenstrijdig? Actueel? Duurzaam? Efficiënt?

Toepassingscheck: Gekend? Toepasbaar? Aanvaardbaar? Toegepast?

2. Stappenplan

Stap 5: Prioriteiten bepalen

Kans op risico’s. Voorbeeld:

Klasse Kans Waarschijnlijkheidsgraad

1 0% Totaal onwaarschijnlijk

2 0 tot 5% Onwaarschijnlijk

3 5 tot 25% Mogelijk

4 25 tot 50% Waarschijnlijk

5 50 tot 100% Vrijwel zeker

2. Stappenplan

Stap 5: Prioriteiten bepalen

Impact bij voordoen risico. Voorbeeld:

Voorbeeld:

2. Stappenplan

Klasse Impact

1 Klein

2 Beperkt

3 Behoorlijk

4 Ernstig

5 Ramp

Stap 5: Prioriteiten bepalen

Weging van scores: Kans x impact = risicoscore Voorbeeld:

2. Stappenplan

Risicoscore

Aanvaardbaar (1-5) (=laag inherent risico)

De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is zeer beperkt tot nagenoeg onbestaande.

Ongewenst/schadelijk (6-12) (=matig inherent risico)

De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is beperkt tot groot.

Kritiek (13-25)(=hoog inherent risico)

De waarschijnlijkheid dat het risico leidt tot een aanzienlijke tot hoge impact is zeer groot.

Stap 5: Prioriteiten bepalen

Risicoafdekking door bestaande beheersmaatregelen. Voorbeeld:

2. Stappenplan

Risico afdekking

Voldoende (=laag residueel risico)

Het risico wordt door de bestaande beheersmaatregelen beperkt tot een aanvaardbaar niveau.

Gedeeltelijk (= matig residueel risico)

Het risico wordt door de bestaande beheersmaatregelen gedeeltelijk afgedekt. Aanvullende beheersmaatregelen zijn wenselijk, zij kunnen leiden tot een betere beheersing van het risico.

Onvoldoende (= hoog residueel risico)

Het risico wordt door de bestaande beheersmaatregelen onvoldoende afgedekt of er zijn geen beheersmaatregelen aanwezig. Aanvullende beheersmaatregelen zijn noodzakelijk om het risico tot een aanvaardbaar niveau te herleiden.

Stap 6: Actieplan

Klemtoon op matige/hoge risicoscores met gedeeltelijke/onvoldoende risicoafdekking

Principes van projectmanagement

Acties op korte, middellange en lange termijn

Periodieke controle en bijsturing

Integriteitsrisicoanalyse regelmatig herhalen

2. Stappenplan

2. Stappenplan

Voorbeelden: http://www.bestuurszaken.be/integriteitsrisicoanalyse/voorbeeldeningedeeld volgens:• De omvang van de entiteit (0-100, 101-200, 201-500, 501-

1000, +1000) • Departement/agentschap• Toegepaste methodiek risicoanalyse integriteit

• Zijn beschikbaar: Audit Vlaanderen, dept. EWI, dept. OV, Dept. WVG, ALV, VAPH, De Scheepvaart, W&Z, Dept. MOW, VLM.

• Draagvlak en steun binnen ganse organisatie;• Positief voorbeeldgedrag van het management;• Communicatie over het doel van de integriteitsrisicoanalyse;• Multidisciplinaire werkgroep;• Kwetsbaarheidsmatrix;• Het oplijsten en kritisch bekijken van maatregelen;• Zorgvuldig wegen van de risico’s en de impact van mogelijke risico’s;• Objectieve risicoafdekkingsgraad maatregelen;• Maken en uitvoeren van een actieplan;• Tijd, mensen en middelen;• Regelmatig de cyclus van integriteitsrisicoanalyse herhalen.

3. Succesfactoren

• Websites en contact?http://www.bestuurszaken.be/integriteit http://www.bestuurszaken.be/integriteitsrisicoanalyse http://www.bestuurszaken.be/organisatiebeheersingdieter.vanhee@bz.vlaanderen.be kristien.verbraeken@bz.vlaanderen.be

• Ondersteuning?Het agentschap voor overheidspersoneel (AgO) biedt u begeleiding bij uw risicoanalyse:agoadviseert@vlaanderen.be

4. Meer informatie