Greep op het integriteitsbeleid
8 februari 2013 om 18:48 0 reacties
Integriteit loopt door alle processen van de bedrijfsvoering heen. Bij alles wat er in een organisatie gebeurt kunnen integriteitsaspecten een rol spelen. Een effectief integriteitsbeleid dat op al die aspecten inspeelt, is gebaseerd op een analyse van de specifieke integriteitsrisico's bij de bedrijfsprocessen. Het is belangrijk het integriteitsbeleid vorm te geven als een regulier onderdeel van de bedrijfsvoering, niet als iets extra's. Hierbij kan de controller van de organisatie een belangrijke rol spelen.
Integriteit loopt door alle processen van de bedrijfsvoering heen. Bij alles wat er in een organisatie gebeurt kunnen integriteitsaspecten een rol spelen. Een effectief integriteitsbeleid dat op al die aspecten inspeelt, is gebaseerd op een analyse van de specifieke integriteitsrisico's bij de bedrijfsprocessen. Het is belangrijk het integriteitsbeleid vorm te geven als een regulier onderdeel van de bedrijfsvoering, niet als iets extra's. Hierbij kan de controller van de organisatie een belangrijke rol spelen.
Niet in alle organisaties spelen dezelfde integriteitsaspecten. In gevangenissen gaan de bewaarders om met gedetineerden waarbij zij het risico lopen omgekocht te worden in ruil voor gunsten. Bij de Belastingdienst bestaat er kennis van vertrouwelijke gegevens van belastingplichtigen die niet voor andere doeleinden mag worden gebruikt.
Daarnaast zijn er integriteitsaspecten die in feite bij iedere organisatie spelen, zoals misbruik van bedrijfsmiddelen: vaak te laat komen, veelvuldig privé-gebruik van internet, enzovoort.
Wat is integriteitsbeleid?
Het integriteitsbeleid van een organisatie zou moeten bestaan uit een samenstel van beheersingsmaatregelen die voorkomen dat integriteitsinbreuken plaatsvinden. Deze beheersingsmaatregelen kunnen in verschillende organisatorische gebieden worden geplaatst:
- organisatie/cultuur;
- administratieve organisatie/interne controle;
- personeelsbeleid;
- beveiligingsbeleid.
Voor elk van deze gebieden kan een organisatieonderdeel worden aangewezen dat primair verantwoordelijk is voor beleidsontwikkeling en -uitvoering.
De controller is primair verantwoordelijk voor de maatregelen in de categorie administratieve organisatie/interne controle. Veelal worden allerlei afzonderlijke maatregelen zonder samenhang op verschillende momenten door meerdere disciplines genomen. Het gevolg kan zijn dat er in de hele organisatie op verschillende gebieden van alles gebeurt, maar dat het integriteitsbeleid als geheel versnipperd is. Daarom is het belangrijk dat het lijnmanagement de verschillende maatregelen in samenhang beziet zodat deze wel een evenwichtig en gestructureerd integriteitsbeleid vormen. De controller kan vervolgens de implementatie en de werking van de genomen maatregelen bewaken via het management-controlsysteem.
Niet alleen regels en procedures, maar ook cultuur en communicatie
Vaak bestaat het integriteitsbeleid uit regels en procedures. Bij integriteit gaat het echter in veel gevallen om dilemma's, gevallen waarin meerdere waarden met elkaar in conflict komen en om voorrang strijden. Hoe je moet omgaan met zulke dilemma's is niet te vangen in regels alleen. Naast regels zijn duidelijkheid over de kernwaarden van de organisatie en een goede communicatie evenzeer van belang: integriteit moet tussen de oren zitten. De cultuur van een organisatie is hiervoor bepalend.
Controller verantwoordelijk voor administratieve organisatie
De controller van een organisatie is allereerst verantwoordelijk voor een goede inrichting van de financiële infrastructuur. Dit betekent dat de controller moet zorgen voor een administratieve organisatie en een interne controle die integriteitsinbreuken zoveel mogelijk voorkomen. Mogelijke maatregelen in dit verband zijn het vastleggen van verantwoordelijkheden, bevoegdheden en procedures, zodat alleen bevoegde functionarissen bepaalde handelingen kunnen verrichten, en een goede functiescheiding. Dezelfde medewerker moet niet verantwoordelijk zijn voor de bestelling, de ontvangst en de betaling van goederen, omdat daardoor een groot frauderisico ontstaat.
Integriteit ingebed in het management-controlsysteem
De controller is daarnaast in algemene zin verantwoordelijk voor de monitoring van de beheersingsmaatregelen via het management-controlsysteem. Integriteitsbeleid moet onderdeel uitmaken van de normale bedrijfsvoering en dus zijn ingebed in de reguliere processen van bedrijfsvoering en monitoring. In de overheidspraktijk wordt hierbij vaak aangesloten op bijvoorbeeld het COSO-model of de theorie van Simons.
Het is belangrijk om de basiswaarden van de organisatie expliciet te maken en bijvoorbeeld vast te leggen in een gedragscode. De basiswaarden vormen het uitgangspunt voor de doelstellingen van het integriteitsbeleid. Via het management-controlsysteem kan vervolgens het bereiken van de doelstellingen worden gevolgd.
Gestructureerde risicoanalyse
Onderdeel van het management-controlsysteem is een gestructureerde risicoanalyse. Deze risicoanalyse vormt de basis voor het te voeren integriteitsbeleid. Het beheersen van risico's vindt plaats door het terugdringen van de kans dat het risico zich voordoet en/of het verminderen van de negatieve gevolgen van de risico's. Ook kunnen risico's worden overgedragen (verzekeren tegen risico's) of bewust worden geaccepteerd (risico's horen bij het leven).
Een hulpmiddel bij de risicoanalyse voor het integriteitsbeleid is het benoemen van kwetsbare werkgebieden en situaties.
Kwetsbare werkgebieden zijn die gebieden waar werknemers door hun werk toegang hebben tot iets dat van waarde is voor een ander. Kwetsbare situaties zijn situaties waarin de kans op integriteitsinbreuken groter is dan normaal. Wanneer een proces een kwetsbaar werkgebied is of zich in dat proces kwetsbare situaties voordoen, is er sprake van potentiële risico's en moet nadere analyse plaatsvinden.
Aandachtspunten bij deze analyse zijn de concrete mogelijkheden dat zich een integriteitsinbreuk voordoet, de gevolgen als het gebeurt, de maatregelen die al getroffen zijn en de weerbaarheid (cultuur) van de organisatie. Op basis van deze analyse kunnen de restrisico's - risico's die niet zijn afgedekt met maatregelen - worden bepaald, waarna wordt beslist of die aanvaardbaar zijn dan wel aanvullende maatregelen vereisen. Bij deze afweging spelen uiteraard ook de kosten een rol. Alleen op basis van een goede risicoanalyse kan de juiste mix van maatregelen worden vastgesteld.
Beheersingsmaatregelen
Maatregelen in het kader van integriteit hebben altijd tot doel bepaalde integriteitsrisico's te verminderen. Die maatregelen zijn een middel, geen doel. Hieronder wordt nader ingegaan op mogelijke maatregelen per risicocategorie. Het is geen uitputtende opsomming, maar een indicatie van mogelijke maatregelen in de desbetreffende situatie.
Contacten met derden
De maatregelenbij contacten met derden zullen vooral betrekking hebben op specifieke situaties waarin het risico dat omgang met derden altijd in zich heeft, uitgroeit tot een daadwerkelijk groot risico. Maatregelen in dit verband zijn onder meer gericht op:
- het geven van richtlijnen voor de omgang met derden;
- het voorkomen van solistische functies;
- het aan banden leggen van het aannemen van geschenken;
- het weerbaar maken van medewerkers tegen druk van buitenaf door trainingen;
- het lastiger maken van uitlokking van derden, enzovoort.
Belangenverstrengeling
Bij het risico van belangenverstrengeling zullen de maatregelen vooral betrekking hebben op de bevordering van openheid en communicatie. Het moet binnen de organisatie duidelijk zijn in welke gevallen een relatie minder gewenst is of in ieder geval risico's met zich meebrengt. De medewerker dient bekend te maken wanneer hij op enigerlei wijze persoonlijk gelieerd is met een derde, bijvoorbeeld door een nevenfunctie of aandelenbezit. Het kan zinvol zijn een vertrouwenspersoon in te stellen om medewerkers de mogelijkheid te bieden 'grijze gebieden' te bespreken. Bij selectie van nieuw personeel kan worden gelet op mogelijke relaties vanuit het (arbeids)verleden.
Toegang tot informatie en geldstromen
Ten aanzien van functies die toegang geven tot (financiële) informatie en geldstromen zullen de maatregelen veelal betrekking hebben op waarborgen in de procedures (administratieve organisatie en interne controle), zoals functiescheiding, dubbele controles en parafen. Daarnaast kunnen bij de werving van personeel de integriteitsrisico's meegenomen worden, bijvoorbeeld door in het sollicitatiegesprek aandacht te schenken aan integriteit of door een antecedentenonderzoek uit te voeren. In ieder geval moet voor de betrokken medewerkers duidelijk zijn welke informatie als vertrouwelijk wordt beschouwd en dus intern moet blijven. Tot slot verdient een goede informatiebeveiliging, inclusief clean desk policy, veel aandacht.
Gebruik van middelen van de organisatie
De maatregelen om privé-gebruik van middelen van de organisatie tegen te gaan zullen zijn gericht op alle medewerkers. In eerste instantie is het belangrijk om open te zijn over het gewenste gedrag van medewerkers. Een gedragscode, voorlichting, bespreking van veel voorkomende situaties en bevordering van discussies over wat bij het gebruik van middelen wel of niet integer is, spelen hierbij een rol. Essentieel is het goede voorbeeld dat het management geeft. Procedurele maatregelen (administratieve organisatie/interne controle) zijn onder meer zinvol bij declaraties. Door een adequate toegangsbeveiliging en een goed materieelbeheer kan ervoor worden gezorgd dat waardevolle goederen minder makkelijk mee naar huis kunnen worden genomen.
Ongewenste omgangsvormen
Maatregelen om ongewenste omgangsvormen tegen te gaan zullen zich vooral richten op het bespreekbaar maken van het onderwerp. Ook op dit gebied kunnen een gedragscode, voorlichting, bespreking van veel voorkomende situaties en discussies over wat wel of niet als integer wordt beschouwd, een belangrijke rol spelen. Daarnaast dient een vertrouwenspersoon te worden aangesteld bij wie medewerkers concrete gevallen kunnen melden.
Afhandeling en sancties
Veel aandacht dient ten slotte uit te gaan naar de afhandeling van integriteitsinbreuken. Duidelijke sancties, waarover helder wordt gecommuniceerd en die bij overtreding ook daadwerkelijk worden toegepast, hebben een preventieve werking.
Toetsen of het integriteitsbeleid werkt
De controller kan het management adviseren het integriteitsbeleid van de organisatie te toetsen. Er zijn daarvoor verschillende instrumenten beschikbaar, elk met een eigen doel:
- Zelfevaluatie
Door middel van zelfevaluatie licht het management de eigen organisatie en de genomen maatregelen door om te bekijken of deze voldoende aansluiten bij de risico's. - Integriteitsaudit
Een integriteitsaudit is een onafhankelijk onderzoek naar de opzet en de werking van het integriteitsbeleid binnen de eigen organisatie. Een integriteitsaudit geeft het management een bepaalde zekerheid dat het integriteitsbeleid adequaat is of wellicht aanpassing behoeft.
| Kwetsbare werkgebieden → | Innen | Uitbesteden | Uitkeren | Verlenen | Handhaven |
| Kwetsbare situaties ↓ | |||||
| Contacten met derden | Het maken van (ongeoorloofde) afspraken over de inning van belastinggelden met woonwagen- bewoners. |
Het gunnen van opdrachten aan bepaalde bouwbedrijven in ruil voor wederdiensten. | Het verlenen van bijstands- uitkeringen onder bedreiging. |
Het verlenen van visa (reis- |
Het niet doen van (quota) inspecties bij visserij- schepen vanwege bedreigende sfeer. |
| Belangen- verstrengeling | Het maken van een voordelige inningsregeling voor een milieuboete voor een schoonmaak- bedrijf, waarvan men zelf commissaris is. |
Het geven van een lucratieve opdracht voor het inrichten van het kantoor aan een bevriende binnenhuis- architect. |
Het verlenen van een subsidie aan een theatergroep waarvan men zelf lid is van het curatorium. | Het verlenen van een bouw- vergunning voor de kantine van de sportvereniging waarvan men zelf de voorzitter is. |
Het als politieagent niet optreden tegen je zoon die drugs gebruikt. |
| Toegang tot waardevolle informatie en geldstromen | Het waarschuwen van een bekende relatie wanneer een actie om boetes te innen zal plaatsvinden. | Het geven van de onderbouw van de begroting van een grote aanbesteding aan een bouwbedrijf. | Het toespelen van de interne toewijzings- criteria voor het verlenen voor een experimenteer- subsidie. |
Het vooraf aangeven wanneer nieuwe parkeer- vergunningen worden verleend (wie het eerst komen, wie het eerst maalt). |
Het doorgeven wanneer en waar een verkeersontrole (alcoholcontrole) plaatsvindt. |
| Gebruik middelen organisatie | Het in de eigen zak steken van parkeergelden. | Het laten uitbetalen van kwantum- voordeel bij grote aanschaffingen op de eigen rekening. |
Te hoge of dubbele declaratie indienen. | Het verlenen van een bouw- vergunning voor een uitbouw van het eigen huis in afwijking van de procedure. |
In beslag genomen goederen mee naar huis nemen. |
| (Ongewenste) omgangs- vormen |
Misbruik maken van je positie als belasting- inspecteur richting belasting- plichtige. |
Het uitlokken van leveranciers om weder- diensten te verlenen. |
Het onbehoorlijk behandelen van subsidie- aanvragers. |
Uitsluitend verlenen van promotie aan ja-knikkers. | In gevangenissen privileges toestaan in ruil voor seksuele gunsten. |
Samenhang kwetsbare situaties en kwetsbare werkgebieden
Vier vuistregels voor de controller
1. Ga niet op de stoel van het management zitten
Het lijnmanagement is verantwoordelijk voor het integriteitsbeleid, de risicoanalyse en de keuze van beheersingsmaatregelen. Draagvlak voor de analyse van de integriteitsrisico's bij het topmanagement is dan ook cruciaal. Het mag niet zo zijn dat de controller een lijstje met risico's opstelt, dit vervolgens voor een paraaf bij het lijnmanagement neerlegt en de te nemen beheersingsmaatregelen bedenkt. Uiteraard is het wel van belang dat de stafdiensten vanuit een klantgerichte houding zorgdragen voor kwalitatief hoogwaardige ondersteuning.
2. Waak voor te veel regels
Een teveel aan regels en procedures leidt tot een bureaucratie die meer nadelen dan voordelen oplevert. Als er te veel regels zijn, worden deze vaak niet meer serieus genomen en dus niet meer nageleefd.
Regels moeten zinvol zijn en vooral de essentie bevatten van wat noodzakelijk is. Stafdiensten kunnen daarbij een belangrijke rol spelen door in de voorbereiding van regels en procedures minimalisme als uitgangspunt te hanteren: met zo min mogelijk regels het doel bereiken.
3. Voorkom dat risicomanagement een instrumenteel karakter krijgt
De analyse van integriteitsrisico's is geen eenmalige exercitie. Voorkomen moet worden dat risicomanagement een sterk instrumenteel karakter krijgt en een trucje wordt dat volgens een vast stappenplan wordt uitgevoerd. Beheersingsmaatregelen en risicoanalyses zijn geen doel op zich en mogen niet leiden tot onnodige bureaucratie. Risicomanagement is een doorlopend beleidsmatig proces waarover vooral veel moet worden nagedacht en gecommuniceerd.
4. Zie integriteitsrisico's niet alleen als bedreiging
Het begrip 'risico' is geen synoniem van het begrip 'bedreiging'. Het gaat bij risico's vaak om onzekerheden. De positie in de organisatie bepaalt mede hoe tegen een bepaald risico wordt aangekeken. Een accountant ziet andere risico's dan een lijnmanager of een controller. Het referentiekader (zoals de aanwezige kennis van de omgeving, eerdere ervaringen) speelt een belangrijke rol bij de inschatting van risico's. Het is daarom van belang de verschillende disciplines en invalshoeken te betrekken bij de risicoanalyse, om zodoende tot een goede totaalanalyse te komen.
Slotsom
De controller van een organisatie kan kiezen voor een beperkte invulling van zijn integriteitstaak en verantwoordelijkheid nemen voor de financiële processen. Door een goede inrichting van de administratieve organisatie en interne controle zullen vooral financieel gerelateerde integriteitsinbreuken kunnen worden voorkomen. De controller heeft echter nog een andere, misschien wel veel belangrijker taak. Wanneer hij het integriteitsbeleid inbedt in de reguliere bedrijfsvoering van een organisatie met aandacht voor de verschillende organisatorische gebieden zal het integriteitsbeleid beter gestructureerd, meer samenhangend en daardoor effectiever zijn. Verder kan de controller het management ondersteunen bij het analyseren van de integriteitsrisico's die de organisatie loopt en bij de monitoring van genomen beheersingsmaatregelen via de reguliere planning- en controlcyclus.
Drs. H.J. Beentjes en mr. R. Vos zijn beiden werkzaam bij de Directie Coördinatie Auditbeleid Departementen van het ministerie van Financiën.