Inleiding

De integriteit van het Openbaar Bestuur blijft op de agenda staan. Op de opiniepagina van het NRC Handelsblad van 4 juli jl. betoogden de hoogleraren Van den Heuvel en Huberts dat dit thema niet zou misstaan in de portefeuille van beoogd premier Balkenende. Zij deden de suggestie om de nieuwe regeerploeg bij haar aantreden aan een integriteitsscan te onderwerpen. Ook stelden de hoogleraren voor om de ministers bij de jaarlijks afrekening, op de derde woensdag in mei, verantwoording te laten afleggen over hun declaratiegedrag. Voorts zou het nieuwe Kabinet een eigen gedragscode moeten opstellen om het goede voorbeeld te geven aan de volkvertegenwoordigers in parlement, provinciale staten, en gemeenteraden. Voor de bestuursniveaus, Colleges van Gedeputeerde Staten en van Burgemeester en Wethouders, zou een strakker toezicht moeten komen op mogelijke belangenverstrengeling, nepotisme en machtsmisbruik. Ook zelfstandige bestuursorganen moeten aan een strenger integriteitsregime worden onderworpen.

Lees ook:

Hoe je businessmodel toekomstbestendig maken?

De suggesties van Van den Heuvel en Huberts zijn buitengewoon interessant. Ze houden echter een beperking in, in die zin dat ze zich richten op de persoonlijke integriteit van de politieke en ambtelijke top. Dat is overigens wel verklaarbaar, want bij de grote en kleine affaires van de laatste tijd (Peper, Jorritsma, Gemeente Leeuwarden, Provincie Gelderland, bouwfraude) kwam juist de vraag naar de integriteit van de top zelf en het kunnen vertrouwen van bestuurders aan de orde. Tegelijkertijd moeten we ons realiseren dat de top ook maar ‘het topje van de ijsberg’ is. In het Openbaar Bestuur gaat het om de integriteit van alle ambtenaren die daarin werkzaam zijn. We zijn dus niet klaar als de top persoonlijk verantwoording heeft afgelegd. Zeker zo relevant is de kwestie of de leiding van een overheidorganisatie in de praktijk in staat is om integriteit van de organisatie te managen.

Het managen van integriteit is het onderwerp van deze serie waarbij is gekozen voor een instrumentele benadering. De integriteitsaudit, die in deze derde en laatste bijdrage wordt besproken, is een instrument dat het management van een overheidsorganisatie stuurinformatie met betrekking tot integriteit kan leveren. Hierbij bouwen we voort op de vorige (tweede) bijdrage waarin het begrip integriteit werd geoperationaliseerd in vier meetvelden.

De integriteitsaudit

Het managen van integriteit veronderstelt de beschikbaarheid van sturingsinformatie. Daarvoor zijn specifieke instrumenten nodig. Immers, het gewone instrumentarium is hier niet op ingericht, en levert deze informatie dus niet of maar beperkt (bijvoorbeeld bij doorlichting van de administratieve organisatie of bij de uitvoering van kwaliteitsaudits). Als men geen geschikt instrumentarium heeft, blijft het terugvallen op het negatief integriteitsconcept, ofwel: actie nemen op basis van incidenten. Holland Consulting Group heeft een model ontwikkeld waarin de integriteit gemeten, getoetst, en bijgestuurd kan worden. Deze integriteitsaudit is in eerste instantie ontwikkeld voor de gemeentelijke overheid. Het principe laat zich ook elders toepassen.

De audit richt zich op ‘het voorkomen van schade aan de fundamentele belangen van de overheidsorganisatie, waarbij sprake kan zijn van morele nalatigheid of verwijtbaarheid’. Dit gebeurt door het beïnvloeden van het gedrag van de medewerkers op grond van de auditresultaten en het auditproces. De audit veronderstelt dat binnen de gemeentelijke organisatie één of meer integriteitsauditors aanwezig zijn, danwel dat een externe auditor wordt aangetrokken.

Wat is het principe achter de integriteitsaudit?

De integriteitsaudit berust op het volgende werkzame mechanisme:

  1. Selectie van in het onderzoek te betrekken gedragingen (hulpmiddel: risicokaart); 
  2. Beoordelen van de kans op en ernst van die gedragingen (hulpmiddel: kanskaart). De ingevulde kanskaart laat een risicoprofiel zien; 
  3. Bepalen welke type maatregelen genomen zouden moeten worden op grond van het vastgestelde profiel (hulpmiddel: regelkaart); 
  4. Bepalen of de genomen maatregelen met de noodzakelijke maatregelen corresponderen (beoordelen of de regelkaart ook wordt toegepast).

Bij de audit spelen instrumenten als de risicokaart, kanskaart en regelkaart een belangrijke rol. Eerst zullen we deze kaarten kort bespreken en dan de samenhang uitleggen aan de hand van een voorbeeld.

De risicokaart heeft de volgende vorm.

De bedoeling is dat de auditors vooraf de mogelijke integriteitschendingen inventariseren. De indeling van de kaart helpt om mogelijke schendingen te onderkennen. Immers, de kaart dwingt hen onderscheid te maken tussen in- en externe prioriteitsschendingen, na te gaan wie hiervan de benadeelde is en onder te brengen in deze kaart. De relevantie van deze indelingen is ook in de vorige bijdragen aan de orde geweest. De volgende stap is het beoordelen van de geïnventariseerde schendingen in termen van risico. Hierbij helpt de kanskaart. Met behulp hiervan krijgt de beoordeling vorm omdat deze kaart de risico’s categoriseert naar ernst en frequentie.

De kanskaart heeft de volgende vorm.

Via de kanskaart is het mogelijk om risico’s die waarvan men zich kan voorstellen dat zij zich voordoen (bijvoorbeeld op grond van ervaring, of simpelweg omdat er regelgeving over bestaat) op realiteitsgehalte in te schatten. Dit is belangrijk omdat het aantal mogelijke integriteitsschendingen in principe oneindig is. Met dit gegeven valt niet te managen. Het is immers niet duidelijk welk type reactie op een denkbeeldig risico past. Pas nadat in een risicoanalyse een uitspraak is gedaan (in termen van ernst en frequentie) wordt duidelijk voor welke opgave het management staat. Bij elk van de vier vakken van de kanskaart past een bepaald type reactie van het management. Daarom kan vanuit de kanskaart naar de regelkaart worden ‘gesprongen’ om te zien welk type maatregelen geëigend zijn voor de geïnventariseerde risico’s.

De regelkaart heeft dezelfde vorm als de kanskaart en is gevuld met het type maatregelen dat per vakje past.

Meer hierover vindt u bij de bespreking van stap 1 van het stappenplan hierna.

Toelichting op de werking van de kaarten

Hier ziet u de verschillende kaarten die worden gebruikt om tijdens de audit bevindingen te kunnen noteren en analyseren. Stel dat bij de gemeentelijke brandweer organisatie een integriteitsaudit moet worden uitgevoerd. Op de risicokaart worden zoals opgemerkt de te onderzoeken gedragingen genoteerd en gecategoriseerd. Het is de taak van de auditors om in het begin van hun onderzoek de reële risico’s die een dienst of afdeling loopt te traceren. In het geval van de gemeentelijke brandweer zijn volgende vijf risico’s onderkend als van mogelijke toepassing getraceerd. 

  1. Gebruik brandweermateriaal voor terroristische acties; 
  2. Diefstal eigendommen van burgers bij acties; 
  3. Onverantwoord rijden met dienstmaterieel; 
  4. Privé gebruik dienstvoertuigen; 
  5. Ontoelaatbaar gedrag jegens collega’s tijdens wachtdiensten.

Bij een middelgroot stadsdeel zou de inventarisatie een heel ander beeld geven, bijvoorbeeld:

  1. Geld, transacties; 
  2. Verduisteringen; 
  3. Vergunning verlening; 
  4. Aangaan overeenkomsten; 
  5. Doen van aanbestedingen.

De audit baseert zich nu op het omgaan met deze risico’s door de dienst of afdeling. De eerste vraag is nu om de getraceerde risico’s te beoordelen naar aard en frequentie. Het resultaat wordt weergegeven op de kanskaart. De risico’s bij de brandweer blijken zich te bevinden in twee kwadranten. De risico’s van het stadsdeel laten weer een ander beeld zien. Bij het maken van deze analyse kunnen de ambtenaren ook worden betrokken, maar de auditors houden een eigen verantwoordelijkheid. Dat maakt de resultaten van de audit herkenbaar en bevordert ook het bewustzijn dat er integer moet worden gehandeld. Als de risicokaart is opgemaakt, is de eigenlijke risicoanalyse ten einde. Deze moet overgaan in een beoordeling van het risicomanagement. De gedachte is nu dat elk kwadrant zijn eigen maatregelen oproept.

Ernst

Kans

Aard te treffen maatregelen

Code

Hoog

Hoog

Correctief afhandelingsprotocol

D

Hoog

Laag

Structuur; Vangnetconstructie

C

Laag

Hoog

Administratieve organisatie; Instructies, procedures

B

Laag

Laag

Code; Statuut

A

Het ligt voor de hand om dan tijdens de audit te beoordelen of de te treffen maatregelen ook daadwerkelijk zijn getroffen en of dat effectief is.

De integriteitsaudit bestaat uit vijf stappen

Met de drie kaarten kan derhalve het werkzaam mechanisme achter de audit worden duidelijk gemaakt. De hulpmiddelen zijn daarom zo nuttig, omdat zij ervoor zorgen dat een audit tot ‘werkbaar werk’ wordt. Het verloop van de audit kan worden aangegeven met een stappenplan waarbij de risicokaart, kanskaart en regelkaart achtereenvolgens worden ingezet en dat ook het vervolgtraject in beeld brengt.

Stappenplan integriteitsaudit

  • Stap 1: Inventarisatie van de integriteitsrisico’s
  • Stap 2: Inventarisatie van de getroffen organisatorische maatregelen
  • Stap 3: Beoordeling van de effectiviteit van de maaregelen (diepteonderzoek)
  • Stap 4: Opstellen overall-beeld van de integriteit van de organisatie
  • Stap 5: Conclusies en aanbevelingen

Stap 1: Inventarisatie van de integriteitsrisico’s

Er wordt geïnventariseerd aan welke mogelijke interne als externe aantastingen van integriteit bloot staat. Hierbij wordt gebruik gemaakt van drie bronnen: 

  1. Geldende wet- en regelgeving; 
  2. Gesignaleerde in- en accidenten; 
  3. Denkbare integriteitsschendingen die in het onderdeel zelf worden gesignaleerd.

De auditors toetsen de compleetheid van deze inventarisatie; voegen eventueel nog risico’s toe. Vervolgens worden de mogelijke aantastingen beoordeeld naar de ernst ervan en de kans van optreden. Van de auditors wordt gevraagd deze beoordeling om te zetten in een risicoprofiel voor het betreffende organisatieonderdeel. Zij doen dit door zowel ‘ernst’ als ‘kans’ te sorteren naar ‘hoog’ en ‘laag’. Op deze wijze wordt voor elk risico een uitspraak gedaan; deze uitspraak krijgt vorm door middel van een risicocode.

Ernst

Kans

Aard te treffen maatregelen

Code

Hoog

Hoog

Correctief afhandelingsprotocol

D

Hoog

Laag

Structuur; Vangnetconstructie

C

Laag

Hoog

Administratieve organisatie; Instructies, procedures

B

Laag

Laag

Code; Statuut

A

De waarde van de risicocode zit hierin. Van te voren staat bij een bepaalde combinatie van ‘ernst’ en ‘kans’ vast waaruit de aard van de te treffen maatregelen moet bestaan. Voor de combinatie ‘laag’ ‘laag’ (code A) bijvoorbeeld volstaat het integriteitsstatuut. Voor code B komt daarbij dat schriftelijke aanwijzingen vereist zijn. De eisen zijn dus cumulatief. Voor code D wordt bijvoorbeeld verwacht dat ook vaststaat hoe te handelen als het risico zich geopenbaard heeft.

Stap 2: Inventarisatie van de getroffen organisatorische maatregelen

Tijdens deze stap wordt geinventariseerd welke maatregelen het onderdeel zelf heeft getroffen in verband met de gesignaleerde risico’s. Deze beoordeling vindt per geïnventariseerd risico afzonderlijk plaats. De gekozen maatregelen worden ingedeeld naar categorie en dienovereenkomstig voorzien van code A,B,C of D. De resultaten worden geprojecteerd in een overzicht waarin naast elkaar de noodzakelijke en de werkelijke lettercode verschijnen. Voor alle relevante interne en de externe schendingen kan dan worden bepaald hoe goed de theoretische dekking is van de risico’s. Bovendien geeft het een overall beeld van de wijze waarop de organisatie zich zelf tegen integriteitschendingen denkt te hebben beveiligd. Of deze beveiligingen ook effectief zijn, moet nog worden getoetst.

Stap 3: Beoordeling van de effectiviteit van de maatregelen (diepteonderzoek)

De auditors onderzoeken door middel van interviews en observaties de kwaliteit van de toegepaste dekking onderzocht. Stel bijvoorbeeld, dat het risico op fraude is gesignaleerd tijdens stap 1. Vastgesteld is dat de kwalificatie van de werkelijke dekking code B is en dat de benodigde dekking D is. Tijdens stap 2 wordt de conclusie getrokken dat het onderdeel op dit punt te kort schiet. In stap 3 wordt de effectiviteit beoordeeld van de procedure voorschriften die er zijn om fraude te voorkomen. Het onderzoek kan opleveren dat deze procedure effectief is.

In dat geval moeten ‘slechts’ aanvullende voorschriften worden gemaakt waarin wordt aangegeven hoe te handelen wanneer zich fraude heeft voorgedaan. Als de procedure niet effectief is, moet het onderdeel ook maatregelen nemen om de preventieve voorschriften op orde te brengen.

Stap 4: Opstellen overall-beeld van de integriteit van de organisatie

Wanneer stap 3 achter de rug is voor alle getraceerde risico’s, kan een overall-beeld voor het onderdeel worden opgesteld. Het behoort tot de taak van de auditors om de integriteitsaudit zo uit te voeren dat hij resulteert in een drietal gemotiveerde kwalitatieve beoordelingen: het risicoprofiel (te coderen A, B, C of D), de kwaliteit van de theoretische dekking, en de kwaliteit van de feitelijke dekking.

Het overall-beeld biedt de leiding een prima middel om de auditresultaten te communiceren naar de medewerkers. De resultaten van de afzonderlijke stappen worden gevisualiseerd; de door auditors te gebruiken werkbladen zijn hierop ingericht. Interessant is dat de methode kan worden uitgebreid met een kwantitatieve beoordeling, zowel van de theoretische als de feitelijke risicodekking. Tevoren wordt daartoe een puntensysteem en schaal afgesproken. Hierbij krijgt het onderdeel ook punten voor die zaken die goed geregeld zijn. Het voordeel hiervan is een gebalanceerde score: als een onderdeel verbeteringen heeft aangebracht leidt dat tot een hogere score. Of een kwantitatieve beoordeling wenselijk is, roept nog al eens vragen op. Het op deze wijze transparant maken van integriteit, en de mogelijkheid om binnen een organisatie vergelijkingen te kunnen trekken, spreekt niet iedereen meteen aan. Toch is dat juist de toegevoegde waarde van het instrument integriteitsaudit.

Stap 5: Conclusies en aanbevelingen

In de voorgaande stappen was het onderzoek inventariserend en analyserend. De beoordelingsmatrices geven een beeld van risicoprofiel, de mate van adequate dekking en desgewenst een kwantitatieve score gedifferentieerd naar externe en interne schendingen.

Wij vinden niet dat de auditors moeten volstaan met de enkele rapportering ervan. Vanuit kwaliteits- en veiligheidsaudits is bijvoorbeeld bekend dat de effectiviteit van het onderzoek wordt vergroot als de auditors in persoon over de resultaten rapporteren. Hierbij dienen zij meer te doen dan zich op hun referentienorm te beroepen; zij moeten ook objectief laten zien dat het organisatie-onderdeel niet goed presteert of risico’s neemt. In dat kader kunnen zij suggesties doen om maatregelen met betrekking tot specifieke punten te nemen.

Na de audit

De audit is ‘slechts’ een instrument. Het gaat er natuurlijk om dat de organisatie een betere dekking tegen in- en externe integriteitsrisico’s opbouwt. De bespreking van de auditresultaten binnen de organisatie is dan ook noodzakelijk. In onze eerste bijdrage gaven we al aan dat het positief integriteitsconcept veronderstelt dat de leiding integriteit bespreekbaar maakt. De audit vergemakkelijkt dat proces omdat een beredeneerde analyse van de integriteitssituatie wordt aangeboden. Met betrekking tot externe integriteit merken wij tenslotte nog op dat de leiding een speciale verantwoordelijkheid heeft. Het bespreekbaar maken van de situatie mag er niet toe leiden dat de leiding instemt met feitelijke integriteitsschendingen.

In het kort

  • Om integriteit te kunnen managen is specifieke informatie nodig. 
  • De integriteitsaudit levert informatie of het juiste type maatregelen is genomen en of die maatregelen in de praktijk goed zijn geïmplementeerd. 
  • De audit zelf bestaat uit vijf stappen; in stappen 1 en 2 worden risico’s en genomen maatregelen geïnventariseerd. Hierbij kan gebruik worden gemaakt van risicokaart, kanskaart en regelkaart. In stap 3 wordt de effectiviteit van de genomen maatregelen beoordeeld. In stap 4 wordt een overall-beeld opgebouwd dat met de organisatie besproken kan worden. Conclusies en aanbevelingen worden gedaan in stap 5. 
  • De audit heeft follow up nodig. Het bespreken van de auditresultaten biedt daarvoor een goede opstap. Dit mag er echter niet toe leiden dat de leiding integriteitsschendingen door de vingers ziet.

Meer informatie

De rubriek Overheidsmanagement bevat regelmatig bijdragen die gericht zijn op de interventies nodig voor integriteit, toetsing en controle. Lees bijvoorbeeld:

Integer handelen bij de overheid
Van een individuele naar een organisatiegerichte benadering
Peter Nientied
Integriteitsbeleid bij de overheid lijkt een wassen neus zolang van individuele ambtenaren gevraagd wordt wat de organisatie zelf niet waar maakt.

Toetsbare doelen voor betere parlementaire controle
Leo Kerklaan

Mogelijkheden en onmogelijkheden bij het formuleren van toetsbare doelen in publiek ondernemerschap.

Roerige of juist móóie tijden voor managers in de civiele bouw?
Gerard Barends

De bouwfraude is meer dan een incident. De auteur beschrijft hoe de spelers met elkaar een corrumperende dynamiek in stand houden. De bouwfraude blijkt een voorspelbare crisis van een overbelast systeem. De overheid is zelf de belangrijkste veroorzaker van de ellende. Lees waarom de bouwfraude wellicht nog een ‘blessing in disguise’ zal blijken te zijn.

Leo Kerklaan is partner van Holland Consulting Group. In zijn advieswerk richt hij zich op prestatiemanagement. Hij heeft de integriteitsaudit ontwikkeld. Auditing en het ontwerpen van diagnoses op maat hebben zijn speciale belangstelling. Hierover zijn diverse publicaties van zijn hand verschenen, w.o. in de Kluwer kwaliteitsserie het boek Effectief Diagnose stellen in Organisaties. Hij is te bereiken via [email protected].

De rubriek Overheidsmanagement bevat regelmatig bijdragen die gericht zijn op de interventies nodig voor integriteit, toetsing en controle. Lees bijvoorbeeld:

  • Integer handelen bij de overheid
    Van een individuele naar een organisatiegerichte benadering
    Door Peter Nientied
    Integriteitsbeleid bij de overheid lijkt een wassen neus zolang van individuele ambtenaren gevraagd wordt wat de organisatie zelf niet waar maakt.
  • Toetsbare doelen voor betere parlementaire controle
    Door Leo Kerklaan

    Mogelijkheden en onmogelijkheden bij het formuleren van toetsbare doelen in publiek ondernemerschap.
  • Roerige of juist móóie tijden voor managers in de civiele bouw?
    Door Gerard Barends

    De bouwfraude is meer dan een incident. De auteur beschrijft hoe de spelers met elkaar een corrumperende dynamiek in stand houden. De bouwfraude blijkt een voorspelbare crisis van een overbelast systeem. De overheid is zelf de belangrijkste veroorzaker van de ellende. Lees waarom de bouwfraude wellicht nog een ‘blessing in disguise’ zal blijken te zijn.
 

Reageer

Na het plaatsen kunt u uw reactie nog 30 minuten aanpassen.

Reacties

Werken aan integriteit is werken aan gedrag(-sverandering). De beschreven vijf stappen lijken vooralsnog een bureaucratische exercitie. Wat zijn aansluitend passende interventies om te komen tot gewenste gedragsverandering? Resultaten bespreken lijkt mij te mager. Is er een soort implementatiescenario te bedenken? een zesde stap om de eerste vijf te effectueren. Misschien een typologie van soorten gewenste gedragsverandering en bijbehorende interventiescenario’s?

x
x