Integriteit en cultuur

Integriteit wordt binnen de rijksoverheid steeds meer als kwaliteitsaspect van de bedrijfsvoering gezien. Waarmee integriteit onder de verantwoordelijkheid valt van het management, ondersteund door de controller. Maar integriteit is meer dan regels alleen. Voor de uitvoering en het slagen van een goed integriteitsbeleid speelt ook het informele beheersingsproces een rol.

Integriteit als kwaliteitsaspect van de bedrijfsvoering

Integriteit is een kwaliteitsaspect van de bedrijfsvoering en dus een verantwoordelijkheid van de manager vanuit zijn integrale managementverantwoordelijkheid. Aan ieder beleids- of bedrijfsvoeringsproces zijn wel integriteitsaspecten te onderkennen. Bij een beleidsproces kan dat het lekken van informatie zijn; bij een inkoopproces het toespelen van de order aan een bevriende partij in ruil voor een wederdienst. Een manager is over het algemeen pas geïnteresseerd als er een duidelijke verbinding is tussen enerzijds de beleidsdoelstellingen van zijn organisatie en anderzijds de concrete integriteitsrisico’s die op de werkvloer spelen. Het leggen van deze verbinding is de crux van een succesvol integriteitsbeleid.
Afhankelijk van de kenmerken van het bedrijfsproces kan een organisatieonderdeel in meer of mindere mate bepaalde integriteitsrisico’s lopen. Specifieke maatregelen zouden moeten aansluiten bij deze risico’s. Daarbij hoeft niet ieder risico persé afgedekt te worden. Acceptatie van risico’s tot een bepaald niveau is uiteraard ook mogelijk.

Voorbeelden van specifieke risico’s die inherent zijn aan de organisatie:

• Rijkswaterstaat met veel bouwopdrachten loopt een risico in de contacten met de bouwwereld;
• Bij justitiële instellingen spelen de contacten tussen gevangenisbewaarders en gedetineerden een rol;
• Bij de Belastingdienst gaat het om de omgang van de belastingdienstmedewerkers met vertrouwelijke belastinggegevens.

Het is moeilijk aan te geven wat integer handelen precies inhoudt. Dit komt allereerst omdat integriteit een breed begrip is: niet alleen fraude, maar ook ongewenste omgangsvormen vallen onder niet-integer handelen. Het onlangs gereedgekomen rijksbrede registratiesysteem integriteitsinbreuken heeft een indeling1 die een goede indruk geeft van de breedte van het begrip integriteitsinbreuken:

• Belangenverstrengeling;
• Fraude/diefstal;
• Lekken van informatie/schending geheimhoudingsplicht;
• Misbruik van bevoegdheden;
• Oneigenlijk gebruik van dienstmiddelen;
• Ongewenste omgangsvormen;
• (Vermoedens van) misstanden.

Een tweede reden die het moeilijk maakt om aan te geven wat integer handelen precies inhoudt is dat de beoordeling van het integer handelen vaak samenhangt met de omstandigheden:

• Een uitnodiging van een zakenrelatie voor het bijwonen van een Europacupwedstrijd van Ajax in de Skybox van de Arena met alles erop en eraan, kan niet. Maar geldt dit ook voor een uitnodiging van de Chinese Ambassade voor een Chinese Staatsvoorstelling?
• Een ambtenaar ontslaan die in het weekend een jointje rookt, zal niet gauw gebeuren. Maar hoe is de beoordeling als die ambtenaar die politieagent is?

Deze voorbeelden geven aan dat integriteit niet te vangen is met alleen maar regels. Dan zou integriteit simpel een zaak zijn van regels die je moet naleven. Het is ook een onderwerp dat de normen en waarden van een organisatie raakt. Dat is iets dat je met elkaar binnen de organisatie moet bespreken. Dat biedt ook de mogelijkheid integriteit vanuit een positieve insteek (professionele taakuitoefening) te benaderen.

Negatief en positief integriteitsconcept

Deze twee kanten van integriteit komen terug in het onderscheid tussen het negatieve en het positieve integriteitsconcept:

1. In het negatieve integriteitsconcept, ook wel zwart-wit benadering genoemd, wordt integriteit aangeduid als het afwezig zijn van corruptie, fraude, diefstal of andere vormen van criminaliteit. Integriteitsinbreuken zijn bijna per definitie strafbare feiten. Bij een dergelijke benadering wordt achteraf ingegrepen door aangifte te doen en sancties op te leggen. Een integriteitsinbreuk is in deze benadering eigenlijk altijd een incident waarop achteraf een reactie plaatsvindt.
2. Het positieve integriteitsconcept gaat uit van professionaliteit en vertrouwen op basis van normen en waarden. Uiteraard zal er altijd wel een bepaalde mate van niet volledig integer handelen aanwezig kunnen zijn binnen een organisatie. Het gaat er om dat deze op zich kleine integriteitsinbreuken zich niet ontwikkelen tot een zorgwekkend niveau. Daarom is het van belang om preventieve maatregelen te nemen, gericht op het bevorderen van het integriteitsbewustzijn.

Hoewel deze tweedeling een duidelijk onderscheid geeft, zal de praktijk toch zo zijn dat niet de ene dan wel de andere benadering wordt gehanteerd. Het zal met name gaan om een goed evenwicht tussen beide benaderingen. De controller kan daarbij een belangrijke rol spelen.

Tabel 1. Negatief en positief integriteitsconcept

Het rationele en het informele beheersingsproces

In een stabiele, eenvoudige omgeving zal veelal sprake zijn van concrete regels, taakgericht werken en toepassen; een dynamische complexe omgeving zal gekenmerkt worden door abstracte regels, doelgericht werken en leren.

Een stabiele, eenvoudige omgeving vergt een andere beheersing dan een veranderende, complexe omgeving. In een statische, taakgerichte organisatie zal er veelal in sterke mate sprake zijn van een rationeel beheersingsproces. In een veranderende, complexe omgeving zal het informele beheersingsproces een belangrijke rol spelen. Het rationele beheersingsproces wordt dan in belang teruggedrongen. In het informele beheersingsproces wordt er bij alle werknemers geappelleerd aan inzet, autonomie en initiatief (lerende organisatie).

Het rationele beheersingsproces sluit meer aan bij een rule-based benadering (negatief integriteitsconcept) en het informeel beheersingsproces meer bij een principle-based benadering (positief integriteitsconcept).

Figuur 1. De relatie tussen wijze van aansturen en omgevingsdynamiek (Otten)

Net zoals bij het negatieve en het positieve integriteitsconcept sluit de ene benadering de andere niet uit, maar zou er meer sprake moeten zijn van en-en. Het rationele beheersingsproces en het informele beheersingsproces zijn complementair en lopen in de praktijk vaak door elkaar heen. In een financiële omgeving zijn over het algemeen de regels (AO/IC) en dus ook het rationele beheersingsproces het primaire uitgangspunt. Zonder een zeker tegenwicht vanuit het informele beheersingsproces zal het middel (de regel) doel op zich worden en zal de aansluiting met het management (de beleidsdoelstellingen) verloren gaan. Het integriteitsrisico zal hier zijn: prachtige regels, maar hoe zit het met de naleving.

Andersom zijn in een beleidsomgeving de principles (beleidsdoelstellingen) het uitgangspunt en zal in een steeds veranderde, complexe omgeving het informele beheersingsproces voorop staan. Maar ook dan is een zeker tegenwicht nodig vanuit het rationele beheersingsproces. Het gevolg kan anders zijn dat de initiatieven alle kanten op schieten, er een zwalkend beleid ontstaat met een gebrek aan (financiële) beheersing. Het integriteitsrisico is dan willekeur en (mogelijkheden tot) fraude. De controller zal de spin in het web zijn om te zorgen voor een evenwicht tussen het rationele beheersingsproces en het informele beheersingsproces binnen het management controlsysteem van de organisatie.

Tabel 2. Rationeel en informeel beheersingsproces

Integraal (integriteits)onderzoek

De vraag is nu: hoe kan de manager zekerheid krijgen over het gevoerde integriteitsbeleid van zijn organisatie. Een integriteitsonderzoek is een tool of management om assurance te verkrijgen over het gevoerde integriteitsbeleid. Voor deze assurance is het voor de manager, maar ook voor de controller belangrijk inzicht te krijgen in de opzet en het bestaan van de regelgeving op het gebied van integriteit, oftewel het integriteitsbeleid op papier. Maar veeleer is het van belang inzicht te krijgen in de werking van dat integriteitsbeleid, oftewel het tussen de oren zitten van het integriteitsbeleid. Een integriteitsonderzoek dat aan beide aspecten aandacht besteedt kan gekenschetst worden als een integraal integriteitsonderzoek.

Een integraal integriteitsonderzoek is een samenhangend onderzoek naar:

• Financial auditelementen: de regels
• Operational auditelementen: de bedrijfsvoeringsprocessen
• Soft control elementen: de cultuur

Een integraal integriteitsonderzoek is primair een bedrijfsvoeringsonderzoek: een onderzoek naar integriteit als kwaliteitsaspect van de bedrijfsvoering. Het ligt dan ook in de rede dat een operational auditor/bedrijfsvoeringsonderzoeker eindverantwoordelijk is voor dit integraal integriteitsonderzoek, maar dat doet door leiding te geven aan een multidisciplinair team dat expertise bezit op het gebied van zowel bedrijfskunde als administratieve organisatie/interne controle en sociologie.

Een integraal integriteitsonderzoek naar alle bedrijfsvoeringsprocessen en daarbij dan ook nog eens naar alle mogelijke integriteitsinbreuken is gedoemd ten onder te gaan aan de eigen ambities: te omvangrijk, dus niet te behappen en niet aansluitend op de beleving van de organisatie. Derhalve zal bij een dergelijk integriteitsonderzoek focus aangebracht moeten worden door het te richten op de grootste integriteitsrisico’s bij het te onderzoeken bedrijfsvoeringsproces/organisatieonderdeel. Deze risico-inschatting is de basis voor de formulering van de onderzoeksopdracht (object en aspecten).
Als de te onderzoeken objecten (proces/ organisatieonderdeel) en de te onderzoeken aspecten (risicofactoren) zijn bepaald, is het mogelijk de verdere opzet van het integriteitsonderzoek daarop in te richten.

Figuur 2. Integraal integriteitsonderzoek

Door het SG-overleg is besloten dat alle departementen een integriteitsonderzoek naar het inkoopproces zullen laten uitvoeren. Deze audits zullen in de loop van 2007 plaatsvinden. Bij inkoop kunnen alle drie de onderzoekselementen van een integraal onderzoek nadrukkelijk aan de orde zijn.

• Financial auditelementen: de AO/IC van het inkoopproces (o.a. functiescheiding, mandatering, betaalbaarstelling facturen)
• Operational auditelementen: bedrijfsvoeringsproces bij een inkoop (o.a. specificeren, selecteren, contracteren, bestellen, bewaken, nazorg)
• Soft control-elementen: de wijze van omgaan met elkaar en de omgeving (o.a. aannemen geschenken/uitnodigingen, bespreekbaar zijn van dilemma’s in de verhouding koper/verkoper).

Voor de opzet van een integraal integriteitsonderzoek kan op de ene as onderscheid gemaakt worden tussen regels enerzijds en cultuur anderzijds en op de andere as tussen opzet/bestaan enerzijds en werking anderzijds. Dit leidt tot de onderstaande matrix voor een integraal integriteitsonderzoek.

Figuur 3. Matrix integraal integriteitsonderzoek

Een voorbeeld van een belevingsonderzoek (vierde kwadrant) is de alignment audit. Een alignment audit is een systematisch onderzoek naar de afwegingen die individuele medewerkers maken in conflicterende werksituaties, teneinde te beoordelen of het feitelijk handelen in lijn is met doelen zoals die door het management zijn gesteld. In deze systematiek wordt onderzocht wat er werkelijk plaatsvindt op de werkvloer en wordt dit vergeleken met het door het management gewenste gedrag. Daarbij zijn de volgende onderzoeksvragen aan de orde:

• Zijn de medewerkers op de hoogte van de doelen van de organisatie, de prioriteiten die daarbij zijn vastgesteld en de daaruit volgende regels?
• Hebben medewerkers begrip voor nut en noodzaak van de regels die uit de doelen zijn afgeleid?
• Vindt er sturing plaats op verantwoordelijkheden? Dat wil zeggen dat zowel leidinggevenden als collega’s anderen in de organisatie aanspreken op hun gedrag, zodat duidelijk is wat de breedte is van de span of responsibility voor iedereen binnen de organisatie.

Aan de hand van zo realistisch mogelijke beschrijvingen van situaties die zich in het werk voordoen, wordt nagegaan hoe medewerkers omgaan met deze regels, met de consequenties van een keuze en met hun verantwoordelijkheden.

Conclusie

Een integrale aanpak voor een bedrijfsvoeringsonderzoek is in dit artikel beschreven vanuit een onderzoek op het gebied van integriteit. Maar deze integrale aanpak is ook goed toepasbaar voor andere bedrijfsprocessen waar regels en de beheersing daarvan een belangrijke rol spelen. Ook dan is het zinvol niet alleen de opzet van de regelgeving en de naleving van de regels in het onderzoek te betrekken, maar ook de beleving: hoe men op de werkvloer tegen de regels aankijkt. Als ondersteuner en adviseur van het management kan de controller daarbij een belangrijke rol spelen.

Mr. R.O. Vos en drs. ing. R.J. Witte zijn het afgelopen jaar als projectmanager en senior projectadviseur werkzaam geweest bij het projectbureau Forensische Accountancy Rijksoverheid van het ministerie van Financiën. In dat kader hebben zij onderzoek gedaan naar de wijze waarop departementen omgaan met signalen over integriteitsinbreuken. Daarnaast zijn zij de organisatoren van het congres ‘Integriteit en het beoordelen van soft controls; Een kwestie van cultuur en management’ en auteurs van het boek ‘Integriteit en cultuur; uitdaging voor manager en auditor’. Robert Vos werkt nu als adviseur bij Auditing & Consulting Services (ACS) en René Witte bij de directie Coördinatie Auditbeleid Departementen van het ministerie van Financiën.

Noot
2 Indeling is ontleend aan de schermafdrukken behorend bij de beslisnota ‘Systeem/applicatie voor het registreren van (vermoedens van) integriteitsinbreuken (Systeem RI)’ (agendapunt 4) van het ICPR van 12 maart 2006.

Bronnen
• Otten, Jan, 2001. De Alignment Audit. Operational Auditor 2001.
• Vos, Robert en Hillie Beentjes, 2004. Integriteitsbeleid bij het Rijk; een wegwijzer voor de moderne overheidsmanager. Den Haag: Sdu Uitgevers bv.
• Vos, Robert en René Witte. Integriteit en cultuur; uitdaging voor manager en auditor. Den Haag: Ministerie van Financiën.