Integriteitrisico's in materiële kernprocessen
13 januari 2016 om 13:09 0 reacties
De integriteit van het bestuur moet buiten alle discussie staan als de overheid goed wil kunnen functioneren. De overheid neemt belangrijke besluiten over hoe de samenleving wordt ingericht en hoe hiervoor het publieke geld op recht- en doelmatige wijze wordt uitgegeven. Juist het feit dat de overheid hier alleen over beslist, vereist een grote mate van kwaliteit van het openbaar bestuur. Integriteit maakt daar integraal en altijd onderdeel van uit. Immers wanneer de integriteit van publieke bestuurders ter discussie staat, tast dit in de basis het vertrouwen in de overheid aan. “Gevolg is dat de overheid haar noodzakelijke legitimiteit verliest.”1
De integriteit van het bestuur moet buiten alle discussie staan als de overheid goed wil kunnen functioneren. De overheid neemt belangrijke besluiten over hoe de samenleving wordt ingericht en hoe hiervoor het publieke geld op recht- en doelmatige wijze wordt uitgegeven. Juist het feit dat de overheid hier alleen over beslist, vereist een grote mate van kwaliteit van het openbaar bestuur. Integriteit maakt daar integraal en altijd onderdeel van uit. Immers wanneer de integriteit van publieke bestuurders ter discussie staat, tast dit in de basis het vertrouwen in de overheid aan. “Gevolg is dat de overheid haar noodzakelijke legitimiteit verliest.”1
Aandacht voor integriteit in materiële kernprocessen
Bij integriteit wordt al snel gedacht aan bonnetjes declareren. Ook het misbruik maken van de dienstauto en dienstreizen of het meenemen van bestek voor eigen gebruik op de camping zijn voorbeelden waaraan snel wordt gedacht wanneer gesproken wordt over integriteit. Deze voorbeelden bereiken stelselmatig de media. Dit gaat vaak niet over grote bedragen, maar de reputatieschade kan enorm zijn.
Integriteit omvat echter meer. Het heeft betrekking op het gehele functioneren van overheidsorganisaties en daarbinnen het functioneren van haar bestuurders, management en medewerkers. De primaire en secundaire processen kennen dus ook integriteitrisico’s. Deze worden in belangrijke mate bepaald door de organisatiecultuur en individueel gedrag op de werkvloer. Recente mediaberichten over integriteitschendingen maken melding van schendingen die zich hebben voorgedaan in primaire en/of secundaire werkprocessen. Denk bijvoorbeeld aan het laten afleveren van gemeentelijk kaphout op het huisadres2 (bestelproces), het niet integer omgaan met leveranciers bij inkoop- en aanbestedingen (casus Ordina) en het bevoordelen van vrienden en partijgenoten (cases subsidies deelgemeente Feyenoord en Van Rey). Maar hoe zit het nu eigenlijk met de kans op optreden van integriteitrisico’s in de uitvoering van het reguliere werk?
Elke gemeente kent een aantal kernprocessen, waarbinnen een groot deel van de gemeentelijke bestedingen wordt gerealiseerd. Dit betreft onder meer het inkoop en aanbestedingsproces, ICT en het subsidieproces. Juist doordat deze kernprocessen vaak een aanzienlijk deel van de gemeentelijke uitgaven betreffen, zijn ze relatief gezien meer risicogevoelig voor integriteitschendingen.3 De Rekenkamer Rotterdam heeft een onderzoek uitgevoerd naar de integriteitrisico’s in het subsidieproces.4 In dit onderzoek is de rekenkamer nagegaan welke integriteitsrisico’s zich voordoen binnen het subsidieproces en welke maatregelen de gemeente heeft genomen om deze risico’s te verkleinen. Daarbij maakt de rekenkamer onderscheid tussen de beheersmaatregelen die de gemeente in opzet heeft genomen en de wijze waarop die in de praktijk worden uitgevoerd. Om de integriteitrisico’s vast te stellen en de werking van de beheersmaatregelen te onderzoeken heeft de rekenkamer met veel mensen (>50) gesproken, groepsinterviews gehouden en een enquête uitgezet over maatregelen, de naleving daarvan en de beleving van de vigerende organisatiecultuur. De uitkomsten van dit onderzoek komen later in dit artikel aan de orde. Momenteel voert de rekenkamer een soortgelijk onderzoek uit naar integriteitrisico’s in het proces van inkoop en aanbestedingen.5 Uit literatuurstudie en uit gesprekken met deskundigen blijkt dat er binnen de Nederlandse overheid niet tot nauwelijks integriteitgerichte risicoanalyses plaatsvinden op het niveau van materiële kernprocessen.6
Voor wat betreft het subsidieproces heeft de Rekenkamer Rotterdam geen analyse van integriteitrisico’s door deskundigen of door gemeenten kunnen achterhalen. Het enige dat de gemeente Rotterdam hier zelf over zegt is dat het subsidieproces mild fraudegevoelig is. Hierdoor ontbreekt ook het inzicht in de kans van optreden van deze integriteitrisico’s in het subsidieproces. De Rekenkamer Rotterdam heeft daarom zelf op basis van een educated guess een integriteitrisicoanalyse voor het subsidieproces opgesteld. Tevens heeft zij beoordeeld in welke mate deze risico’s door de gemeente worden beheerst. Daarbij heeft de Rekenkamer Rotterdam het normenkader gebruikt zoals gepresenteerd in de figuur.
Figuur. Normenkader integriteitsrisico's subsidies
(bron: Rekenkamer Rotterdam, Handelen in vertrouwen, 2015)
Opstellen integriteitrisicoanalyse
Het opstellen van een integriteitrisicoanalyse vindt plaats in vier stappen, namelijk:
- Het identificeren van het type integriteitschendingen dat zich kan voordoen;
- Het identificeren van inherente risico’s en de kans op optreden van een integriteitschending;
- Het identificeren van beheersmaatregelen en de impact daarvan in opzet op de kans op optreden;
- Het beoordelen van de werking van de beheersmaatregelen in de praktijk en de gevolgen daarvan voor de kans dat een integriteitschending zich voordoet.
Identificeren type integriteitschendingen
Per kernproces moet worden nagegaan welk type integriteitschending kan plaatsvinden. In het algemeen worden de volgende typen integriteitschendingen onderkend:
- corruptie: omkoping,
- corruptie: financiële, materiële of immateriële bevoordeling van zichzelf, vrienden, familie, partij,
- fraude en diefstal,
- dubieuze giften en beloften,
- onverenigbare nevenfuncties, activiteiten en/of contacten,
- misbruik van bevoegdheden,
- misbruik en manipulatie van (de toegang tot) informatie,
- discriminatie, (seksuele) intimidatie en onfatsoenlijke omgangsvormen,
- verspilling en wanprestatie,
- wangedrag in de vrije tijd.
Bij materiële kernprocessen staat de taakuitvoering door de gemeente voorop. Het betreft processen waarbij meerdere mensen betrokken zijn en met name financiële transacties plaatsvinden. Voor de materiële kernprocessen zullen daarom met name risico’s op corruptie (zelfverrijking), fraude, misbruik van bevoegdheden, misbruik en manipulatie van (de toegang tot) informatie en onverenigbare nevenfuncties, activiteiten en/of contacten relevant zijn.
In haar analyse van mogelijke integriteitschendingen binnen het subsidieproces heeft de Rekenkamer Rotterdam de potentiële belangen van de verschillende betrokkenen geanalyseerd. Op basis daarvan kunnen mogelijke integriteitschendingen worden onderkend. ‘Bij het verstrekken van subsidies spelen namelijk meerdere belangen een rol. Voorbeelden van deze belangen zijn: het belang van de bestuurder om zijn doel te realiseren of het belang van de ambtenaar of bestuurder om een subsidie- ontvangende partij te vriend te houden en het belang om als subsidieontvanger het geld te krijgen. Alhoewel vaak het belang van beleidsrealisatie prevaleert, kan er ook sprake zijn van minder integere belangenafwegingen. Bevoordeling van bevriende relaties door alleen aan hen (en niet aan anderen) de subsidie te willen toekennen (het gaat hier om willekeur bij de beoordeling of selectie), het verstrekken van subsidies om de gunsten van stemmers te winnen, en – worst case – via de subsidierelatie direct of indirect persoonlijk voordeel na te streven. Ook kan er sprake zijn van misbruik van bevoegdheden als een bestuurder gebruik maakt van zijn positie om een bepaald besluit te forceren. Het risico ontstaat daarbij dat een vorm van beïnvloeding aan het adres van het ambtelijk apparaat wordt toegepast om zaken tegen regels en afspraken in toch voor elkaar te krijgen. Daarnaast speelt er mogelijk een integriteitissue rondom het verspillen van overheidsgeld. Teveel aangevraagde en verstrekte subsidiegelden worden niet besteed aan het doel waarvoor ze bestemd waren, maar vloeien ook niet terug naar de subsidieverstrekker. Hier hoeft geen sprake te zijn van een integriteitrisico, maar het kan onder bepaalde omstandigheden wel het geval zijn (bron: Rekenkamer Rotterdam, Handelen in vertrouwen, 2015). |
Inherente risico’s
Om de kans op het optreden van integriteitsrisico’s goed in te schatten moet als eerste een analyse van mogelijke integriteitrisicofactoren in het kernproces worden gemaakt. Dit kan het beste door met verschillende betrokkenen/deskundigen om tafel te gaan zitten. Gezamenlijk moeten zij de inherente risico’s identificeren. De integriteitrisico’s moeten worden gekwantificeerd door de kans van optreden en de impact ervan te bepalen. Inherente risico’s zijn risico’s die zich binnen het proces van subsidieverlening voordoen als er geen enkele waarborg/maatregel in het proces is getroffen (dus bijvoorbeeld geen functiescheiding, toepassing vierogenprincipe of het gebruik van specifieke software waarin specifieke IT-controls zijn ingebouwd). Deze inherente risico’s zijn eigen aan het proces en niet contextgebonden. Daardoor zullen de inherente risico’s voor elke stad/situatie gelijk zijn. Doordat er bij inherente risico’s nog geen rekening wordt gehouden met risicobeperkende maatregelen, zal de kans op optreden van een inherent risico meestal hoog tot zeer hoog zijn. In feite ga je dus kijken naar wat de integriteitrisico’s zijn dat subsidies bewust foutief worden verstrekt of vastgesteld indien er niets in het proces is geregeld om schendingen te voorkomen.
De Rekenkamer Rotterdam heeft een inschatting van inherente risico’s voor het subsidieproces gemaakt. Daarbij heeft zij onderscheid gemaakt tussen bestuurlijke en ambtelijke factoren die bijdragen aan het ontstaan van de integriteitrisico’s. Dit in aansluiting op de verschillende belangen, taken en verantwoordelijkheden die bestuurders en ambtenaren hebben.
Belangrijke bestuurlijke factoren die een risico in het subsidieproces kunnen opleveren zijn onder meer: het bevoordelen van doelgroepen bij beleid en het doen van subsidietoezeggingen, waarna de subsidieregels en het beleid hiervoor moeten worden aangepast. Ook druk vanuit de subsidiënten draagt bij aan integriteitrisico’s, net als het niet transparant beslissen binnen een vastgesteld subsidieplafond en het niet goed organiseren van het vaststellingsbeleid. Al deze factoren kunnen ruimte bieden aan willekeur en bevoordeling.
Ook ambtelijk onderkent de Rekenkamer Rotterdam meerdere kwetsbaarheden in het subsidieproces. In deze gevallen kan de ambtenaar zijn positie misbruiken. Niet alleen voorafgaand aan de subsidieaanvraag door beleid of de subsidieregeling te weinig SMART te formuleren, maar ook in de beoordeling van een subsidieaanvraag zijn verschillende kwetsbaarheden te onderkennen. Voorbeelden hiervan zijn het niet aan de subsidieregels of aan alle relevante informatie toetsen (bijvoorbeeld indien de subsidieaanvraag door één persoon wordt getoetst) of gebrek aan tijd voor de beoordeling. Ook het niet goed onderbouwen van het besluit om een subsidieaanvraag toe te kennen of af te wijzen is een risicoversterkende factor. Al deze factoren leveren een risico op willekeur en bevoordeling op. Kwetsbaarheden in de vaststelling van een subsidie (beoordeling en terugvordering) kunnen naast bevoordeling ook een risico van ondoelmatigheid met zich meebrengen. Er zijn tevens kwetsbaarheden die betrekking hebben op het gehele subsidieproces, namelijk: het niet volgen van alle stappen in het subsidieproces, het ontbreken van een adequate review (tweede paar ogen) bij de beoordeling, het onderhouden van nauwe relaties met de aanvragers en de reorganisatie van de gemeentelijke organisatie.
Identificeren beheersmaatregelen
Na het bepalen van de inherente risico’s zal in de risicoanalyse moeten worden nagegaan welke beheersmaatregelen in opzet door de gemeente zijn ingezet.7 Daarbij moet ook worden vastgesteld welke kans van optreden het risico na het inzetten van betreffende beheersmaatregelen nog heeft. De inherente risico’s kunnen worden geminimaliseerd door het inzetten van verschillende beheersmaatregelen. Deze maatregelen kunnen voortkomen uit:
- algemeen organisatiebeleid. Voorbeelden zijn het beleid om de rechtmatigheid van de uitgaven te waarborgen en het beleid waarop het kernproces betrekking heeft (zoals het cultuurbeleid waarin subsidievoorwaarden zijn gespecificeerd, en het stedelijk beleid waarin bijvoorbeeld staat aangegeven welk materiaal door de gemeente wordt gebruikt en mag worden ingekocht);
- de ambtenarenwet en gemeentewet; en
- het beleid waarop het kernproces is gebaseerd dan wel de inrichting van het proces (bijvoorbeeld de uitwerking van het subsidiebeleid/ proces in procedures, protocollen en instructies, waarin de verschillende fases van het proces en de verantwoordelijke personen zijn vastgelegd).
De belangrijkste maatregelen die de geconstateerde inherente risico’s binnen de kernprocessen kunnen beperken zijn gewaarborgd in enerzijds het integriteitbeleid en anderzijds de nadere uitwerking van het kernproces in procedures, instructies en protocollen, de AO/IC.
Op basis van de Ambtenarenwet dienen gemeenten te beschikken over een integriteitbeleid, waarin verschillende maatregelen zijn gewaarborgd. Voorbeeld hiervan zijn het afnemen van de ambtseed en het hebben van een gedragscode. Verschillende instrumenten uit het integriteitbeleid kunnen in opzet de inherente risico’s in het subsidieproces, en die van andere kernprocessen, verkleinen. Zo maakt het verplicht afnemen van een ambtseed de medewerkers aan de poort bewust van het belang van een integere organisatie. En het hebben van een geschenkenregeling maakt voor iedereen duidelijk wat wel en niet aanvaardbaar is om aan te nemen.
Uiteraard beschikken gemeentelijke organisaties naast het integriteitbeleid idealiter ook over procesbeschrijvingen van hun kernprocessen, zoals het subsidiebeleid. Op dit vlak zijn er veel verschillen tussen gemeenten. In Rotterdam bleek uit het onderzoek van de rekenkamer dat de gemeente Rotterdam door het inrichten van meerdere beheersmaatregelen veel waarborgen voor de rechtmatigheid van het subsidieproces had ingebouwd. Voorbeelden hiervan zijn: functiescheiding, het vier-ogenprincipe, en het gebruik van één ICT-systeem waarin niemand alleen alle handelingen kan verrichten en alles moet worden vastgelegd. Deze maatregelen in opzet verkleinen de onderkende integriteitrisico’s. De Rekenkamer Rotterdam stelde in haar risicoanalyse dan ook vast dat de kans op integriteitrisico’s door de aanwezigheid van deze maatregelen en de maatregelen uit het integriteitbeleid in opzet significant kleiner werd gemaakt.
Vaststellen werking beheersmaatregelen in de praktijk
Aan de hand van het vaststellen van de werking van de risicomaatregelen kan de uiteindelijke kans van optreden van integriteitrisico’s worden vastgesteld (het restrisico). Hoe vaak komt het niet voor dat er allerlei goede beheersmaatregelen worden opgesteld, maar dat in de praktijk deze niet of niet voldoende worden uitgevoerd of blijken te werken. Dit bleek ook uit het onderzoek naar de subsidieverstrekking in Rotterdam. Veel van de getroffen beheersmaatregelen werden in de praktijk (nog) niet goed uitgevoerd. Zo werd bijvoorbeeld vaak het voorgeschreven registreren van zaken in het ERP-systeem Oracle omzeild. Door zaken buiten het systeem om te regelen werd de functiescheiding en het vier-ogenprincipe niet altijd goed toegepast. Ook ontbrak vaak een adequate vastlegging van de besluiten die werden genomen in het proces. Hierdoor was het niet altijd navolgbaar waarop het besluit van een subsidietoekenning was gebaseerd. Consequentie hiervan is dat de kans op het zich voordoen van een integriteitschending toeneemt. De risicobeperkende werking van deze (in opzet goede) maatregelen neemt hierbij af.
Organisatieculturele aspecten zijn essentieel voor het waarborgen van integriteit en de juiste naleving daarvan. Zolang integriteit en het belang daarvan op papier staat maar voornamelijk met de mond wordt beleden, blijft het een papieren tijger. Pas als het in houding en gedrag tot uiting komt, draagt het daadwerkelijk bij aan het waarborgen van integriteit. De cultuur binnen een organisatie is echter lastig te benoemen en kan vanuit heel veel invalshoeken worden geduid. Normen en waarden, tone-at-the-top, voorbeeldgedrag, dialoog en tegenspraak zijn belangrijke aspecten die van grote invloed zijn op het daadwerkelijk integer handelen van de overheid. En daarmee dus ook op het daadwerkelijk integer uitvoeren van een kernproces.
Om zowel de naleving van de beheersmaatregelen als de organisatiecultuur te kunnen vaststellen heeft de Rekenkamer Rotterdam in haar onderzoek gebruik gemaakt van meerdere onderzoeksmethoden. Interviews en groepsinterviews gaven inzicht in de verschillen tussen afdelingen en personen. Leuke, verhelderende, maar soms ook confronterende discussies zijn gevoerd. De discussies gingen over welke integriteitrisico’s er zijn, over het afwijken van beheersmaatregelen en over hoe het voorbeeldgedrag van een leidinggevende op de werkvloer wordt ervaren. Een enquête onder alle betrokkenen bij het subsidieproces gaf duidelijk inzicht in de verschillende belangen en afwegingen. Ook werd, vanwege de anonimiteit, eerlijk geantwoord over (de naleving van) de normen en waarden binnen de organisatie, werken conform de procedure, de mate waarin tegenspraak wordt gewaardeerd en getolereerd en het daadwerkelijk voorkomen van vermeende integriteitschendingen. Aan de hand van concrete dossiers is met betrokkenen gesproken over de procesgang, wat veel inzicht geeft in de naleving van de beheersmaatregelen en de cultuur.
Voor het subsidieproces leverde dit de rekenkamer het volgende beeld op: bestuurders en ambtenaren geven aan integriteit hoog in het vaandel te hebben. Ze denken bij integriteit niet zozeer aan belangenverstrengeling, bevoordeling en manipulatie of misbruik van informatie. Het risico op deze schendingen wordt laag ingeschat. Tegelijkertijd geeft een redelijk deel van de respondenten aan dat er in hun directe praktijk wel sprake is (geweest) van een integriteitsschending en/of een vorm van oneigenlijke drukuitoefening. Daarnaast is er sprake van een verschil in perceptie tussen ambtenaren en bestuurders. Ambtelijk topmanagement en bestuurders hebben de perceptie dat er binnen de organisatie voldoende aandacht aan integriteit wordt besteed. De beleving onder ambtenaren is juist dat er meer aandacht mag of zelfs moet komen voor integriteit op de werkvloer. De beleving over de mate van werking van een aantal concrete maatregelen, bijvoorbeeld het bespreken van integriteit in de jaarlijkse beoordelingscyclus, verschilt dus tussen bestuurders en leidinggevenden enerzijds en ambtenaren anderzijds. Hier is volgens de rekenkamer nog veel te winnen. Wil een organisatie goed de integriteitsrisico’s beperken, dan moet de mindset van de medewerkers én bestuurders gericht zijn op het bevorderen van integer gedrag en dit ook zelf actief uitdragen. De mindset en daarmee samenhangend de organisatiecultuur blijken cruciale factoren in het borgen van een integer uitgevoerd werkproces.
Wie moet de integriteitsrisico nu uitvoeren?
In eerste instantie moeten organisaties zelf een integriteitrisicoanalyse uitvoeren om de juiste maatregelen te kunnen nemen. Ook moeten zij een inschatting maken van de mate waarin beheersmaatregelen in voldoende mate aanwezig zijn en worden opgevolgd. Alleen als het bestuur van een organisatie zelf kennis heeft van de risico’s en de mate waarin die door beheersmaatregelen worden afgedekt, kan het bestuur de organisatie bijsturen in de uitvoering. Dit kan enerzijds door het tonen van voorbeeldgedrag naar de organisatie toe, en anderzijds het aanspreken op het niet naleven van de ingezette beheersmaatregelen. Zowel preventief als repressief dus.
De door de organisatie zelf opgestelde integriteitrisicoanalyse kan door een extern toezichthouder (zoals een inspectie of een rekenkamer) goed worden getoetst. Voorwaarde is wel dat deze toezichthouder onafhankelijk over de onderzochte organisatie kan rapporteren en onbeperkt toegang heeft tot alle relevante informatie en inzichten van medewerkers.8 De externe toezichthouder kan ook zelf een integriteitrisicoanalyse op (laten) stellen als de organisatie hier niet zelf over beschikt. Het toetsen van naleving van beheersmaatregelen en het goed beoordelen van de cultuur binnen een organisatie door een onafhankelijke toezichthouder heeft zelfs een toegevoegde waarde. De toezichthouder kan onafhankelijk en met een bredere blik dan de eigen organisatie de werking van de maatregelen in de praktijk toetsen. Daarbij kan de toezichthouder aandacht besteden aan risico beperkende, en -vergrotende factoren, waaronder de kwaliteit van de procesinrichting en de vigerende cultuur binnen de organisatie.
Voor de organisatie is het lastig om de eigen cultuur te beoordelen en na te gaan in hoeverre die cultuur bijdraagt aan het naleven van de beheersmaatregelen. Immers, wie wil nu zijn baas vertellen dat hij zich niet aan de regeltjes houdt omdat het niet naleven van de regels mogelijk makkelijker, sneller of gewoon prettiger werkt. “We doen het al jaren zo, en het gaat al jaren goed”, is een opmerking die met enige frequentie naar voren komt. En op welke wijze kan de doorwerking van voorbeeldgedrag op de werkvloer worden vastgesteld of kan een verschil in perceptie worden aangetoond? Daarnaast is het de vraag in hoeverre leidinggevenden en bestuurders tijd hebben om in de dagelijkse gang van zaken ook nog uitvoerig te toetsen op integriteitrisico’s en de uitvoering van de beheersmaatregelen in de praktijk. Uiteraard moeten zij hier wel een inschatting van kunnen maken en oog voor hebben, maar de diepgang kan worden geborgd door een onderzoek hiernaar van een onafhankelijke toezichthouder. En daar kunnen de bestuurders van de organisatie vervolgens weer hun voordeel mee doen om gewenste of noodzakelijke verbeteringen bij het bewaken van de integriteit in het kernproces te realiseren.
Drs. Esther Doodkorte is als senior onderzoeker werkzaam bij de Rekenkamer Rotterdam. Drs. Filip den Eerzamen RO is zelfstandig audit & control professional en als interim projectleider betrokken bij diverse onderzoeken van de Rekenkamer Rotterdam.
Noten
1 www.integriteitoverheid.nl/kenniscentrum/kenniscentrum-vervolg/details/politieke-integriteit.html
2 Algemeen Dagblad, 25 juni 2015
3 BIOS, handreiking Kwetsbare functies, van kwetsbaar naar weerbaar, 2010
4 Rekenkamer Rotterdam, Handelen in Vertrouwen, 2015
5 Rekenkamer Rotterdam, onderzoeksvoorstel integriteitrisico’s inkoop en aanbestedingen, 2015
6 De Rekenkamer Rotterdam stelde in haar onderzoek vast dat er wel algemene risicoanalyses plaatsvinden van materiele kernprocessen. Meestal worden in dit type analyses rechtmatigheid en doelmatigheidsrisico’s benoemd. Integriteit blijft grotendeels onderbelicht.
7 Een organisatie kan ervoor kiezen om niet alle risico’s af te dekken. Soms kunnen de kosten en inspanningen voor het afdekken van een risico zodanig groot zijn, dat het niet opportuun is. De keuze om risico’s al dan niet af te dekken moet echter bewust en transparant worden gemaakt.
8 Dit kan bijvoorbeeld door middel van het voeren van (vertrouwelijke) gesprekken al dan niet in groepsverband, observaties en enquêtes. Om de vertrouwelijkheid te kunnen borgen dient de toezichthouder niet verantwoording af hoeven te leggen of te rapporteren aan het onderzochte bestuur.