Hebben wij de basis eigenlijk wel op orde?

Zes interventies op basis van goede praktijken (en minder goede)

Er gaan wel eens dingen mis bij publieke organisaties. Soms roept dat de vraag op: is de basis hier wel op orde? Maar wat betekent dat eigenlijk? Hoe zie je of een organisatie de basis op orde heeft of juist niet? Wat doen goed presterende organisaties? En wat kun je doen om echte missers te voorkomen? Dit artikel is het eerste uit een tiendelige serie op basis van de criteria van de Verkiezing Overheidsorganisatie van het Jaar.

Wat kan er zoal misgaan? Enkele voorbeelden vanuit de media en andere bronnen. De dienst belastingen van een gemeente keert miljoenen te veel uit aan de minima, door een verouderd ict-systeem. Een medewerker van de crediteurenadministratie maakt een bedrag met zes nullen over op zijn privérekening. Een medewerker van een natuurorganisatie doet hetzelfde, maar dan vijf jaar lang met kleinere bedragen. Hij komt tot drie ton. Een overheidsorganisatie investeert – jaren na de Leemhuisaffaire- in risicovolle beleggingen. Diverse publieke organisaties blijken te worstelen met de bewaar- en vernietigingsplicht van informatie. Een organisatie laat een belangrijke taak uitvoeren door een bedrijf en merkt dat zij informatie opslaan in Rusland. Inkopers bij de politie laten zich te veel in de watten leggen door een auto-importeur, het wordt een zaak met tientallen verdachten. Ook leidt het samenvoegen van 26 regionale ict-systemen tot problemen. In een ziekenhuis bekijken tientallen mensen het dossier van een realityster, veel meer dan strikt medisch noodzakelijk. Een kazerne komt in het nieuws met een cultuur van vernedering en mishandeling. En bij diverse bedrijven en overheden zou sprake zijn van een ‘angstcultuur’.
Bij een aantal van deze gevallen zal je wellicht meteen een conclusie trekken: de basis is niet op orde. Bij andere stel je mogelijk de vraag: is dit nu een incident of gaat het om ‘de basis’? Je zou kunnen zeggen dat het om ‘de basis’ gaat, indien het incident niet op zichzelf staat.

Definitie
Ieder blijkt zijn eigen definitie te hanteren. De een vindt dat de basis op orde is, wanneer de organisatie effectief is. Een accountant gaat uit van een situatie waarin de financieel administratieve processen en interne controle op orde zijn. Een controller denkt weer meer aan de bestuurlijke informatieverzorging. Wij gaan in dit artikel uit van een goede bedrijfsvoering in de meest brede zin van het woord. Dat zegt dus nog niets over de andere criteria, bijvoorbeeld of een organisatie eigenlijk wel effectief of wendbaar is.
Wij sluiten daarmee aan bij de definitie van De Verkiezing Overheidsorganisatie van het Jaar: De organisatie is kostenbewust, betrouwbaar, open en zorgt goed voor haar medewerkers. Belangrijke elementen daarin zijn: een strakke en transparante bedrijfsvoering, lage overhead, werkend volgens de regels van publieke integriteit, het kennismanagement is op orde, de organisatie werkt aan deskundigheidsbevordering, zij is transparant over de inrichting en resultaten en medewerkers ervaren het werkklimaat als prettig.

Basis?
Hieronder het (sterk ingekorte) antwoord van drie finalisten bij de Verkiezing Overheidsorganisatie van het Jaar, op de vraag of bij hen de basis op orde is.

  • Waterschap Brabantse Delta
    Het gaat om het steeds weloverwogen maken van keuzes om de processen goed en duurzaam te verrichten, tegen zo laag mogelijke maatschappelijke kosten. Het waterschap monitort via deelname aan benchmarks zoals Vensters voor Bedrijfsvoering, Internetspiegel Waterschapspeil hoe een en ander zicht ontwikkelt, maar ook verhoudt tot vergelijkbare organisaties. Leren en verbeteren is daarbij de drijfveer. Ook meet het waterschap de klant- en medewerkerstevredenheid (respectievelijk een 7,5 en een 7,4).. … Op het gebied van de financiële huishouding en de verantwoording daarover zijn zaken als een goedkeurende accountantsverklaring, tijdige betaling van facturen, een rechtmatige en doelmatige inkoop- en aanbestedingspraktijk steeds onderwerpen van gesprek… Integriteit, rechtmatigheid, doelmatigheid en veiligheid in de brede zin van het woord staan hoog in het vaandel. Periodiek worden deze onderwerpen transparant besproken in alle teams om ze actueel en levend te houden.’
  • Staatsbosbeheer
    ‘Staatsbosbeheer heeft een publieke taak die voor ongeveer de helft wordt gefinancierd uit reguliere overheidsmiddelen. De andere helft betreft eigen inkomsten, uit de verkoop van hout, biomassa en andere producten. …In een door RWS uitgevoerde reputatiemonitor is Staatsbosbeheer als meest betrouwbare overheidsorganisatie naar voren gekomen. …Het aantal formele klachten dat Staatsbosbeheer ten deel viel is het afgelopen jaar afgenomen .…De organisatie is gemakkelijk toegankelijk voor cliënten, stakeholders en het grote publiek. Via de website kan eenieder signalen kwijt… Vía medewerkertevredenheids-onderzoeken en HPO-onderzoeken stopt Staatsbosbeheer eens per twee jaar de thermometer in de organisatie.’
  • Provincie Noord-Holland
    ‘Wij hebben een flexibel werkplekconcept, waardoor medewerkers tijd- en plaatsonafhankelijk kunnen werken en waarmee wij aanzienlijk op de huisvestingskosten per medewerker besparen. ….Wij geven actief een inkijkje in onze portemonnee, maken de declaraties van GS en onze beantwoording van WOB-verzoeken openbaar.’

Goed presterende organisaties
Wat zijn de kenmerken van organisaties die goed presteren? Duidelijk is dat ‘de basis’ veel taken omvat: alle onderdelen van de overhead en bedrijfsvoering, zoals ICT, personeel, facilitaire zaken, financiën, inkoop en communicatie. Gezien het grote aantal taken dat hieronder valt, is het niet verwonderlijk dat de goed presterende organisaties een aantal brede meetinstrumenten inzetten. Uit een analyse van de beste tien inzendingen, blijkt dat ze vier dingen doen:

  • De organisaties bieden medewerkers heldere kaders en regels
    Het is helder hoe de organisatie werkt: afspraken over interne en externe dienstverlening, Planning & Control-producten die aansluiten op de bedoeling, managementinformatie die afgestemd is op de behoefte van managers, heldere verantwoordelijkheden van directie en bestuur, een goede overlegstructuur, personeelsregelingen, het omgaan met informatie en ict-middelen, het gebruik van de werkplek, communicatie, inkoop, een sociale code, etc… Niet een dik pak beleid, maar een heldere basis. Periodiek vindt een update plaats, bijvoorbeeld bij nieuw beleid, zoals nu de Algemene Verordening Gegevensbescherming. Of wanneer incidenten of metingen daartoe aanleiding geven.
  • De organisatie probeert deze kaders ‘levend’ te houden
    Men realiseert zich dat kaders alleen zin hebben, wanneer je ze levend houdt. De Provincie Noord-Holland omschrijft dit als: ‘Wij hebben een actief integriteitsbeleid, dat zich niet beperkt tot het vaststellen en bekendmaken van regelingen, gedragscodes en processen. Er wordt ook gewerkt aan bewustwording door workshops en bijeenkomsten met leidinggevenden en medewerkers.’ Een andere organisatie stimuleert de bewustwording voor informatieveiligheid via een grapje: zodra iemand van zijn werkplek wegloopt, zorgen collega’s voor een schrik-effect door namaak-ransomware te installeren. Hoewel niet genoemd in inzendingen, zijn ook andere instrumenten van belang: risicomanagement (welke risico’s zijn er en wat doen we eraan?), interne en externe audits, verbijzonderde interne controles. De nadruk hierin ligt vaak op goede processen. Het is de vraag of dat genoeg is en of niet meer feitelijk gemeten kan worden: hoe vaak hebben de risico’s zich voorgedaan? Bijvoorbeeld het passeren van de firewall.
  • Medewerkers krijgen veel ruimte, dat geeft energie, maar daarmee ook de ruimte om fouten te maken
    Het past bij het nieuwe organiseren om medewerkers steeds meer ruimte te geven. Zoals Brabantse Delta aangeeft: ‘De werkfilosofie kenmerkt zich door het laag leggen van verantwoordelijkheden, het ruimte geven aan medewerkers in ruil voor persoonlijk leiderschap en verantwoordelijkheid.’ Bevlogenheid is een sleutelwoord bij veel organisaties. Dat geeft energie. Autonomie vermindert de gevoelde werkdruk zo blijkt ook het model van Karasek. Een manager van een genomineerde organisatie stelt: ‘We streven naar een bepaald basisvertrouwen’.
  • De organisaties meten periodiek de beleving van klanten en medewerkers en benchmarken objectieve indicatoren met andere organisaties; gericht op een optimale benutting van hun ‘productiecapaciteit’
    Veel goed presterende organisaties blijken dit soort metingen te doen. Ze hebben vaak een duidelijke plaats in de leercyclus, worden gebruikt om acties te formuleren en later te evalueren. De resultaten worden in afdelingsoverleg besproken. Ook het aantal klachten wordt als belangrijke indicator beschouwd. Maatstaven als het overheadpercentage, het ziekteverzuim en de bevlogenheid van medewerkers zijn populair. Tezamen bepalen deze drie maatstaven ‘de productiecapaciteit’, het aantal bevlogen medewerkers in het primair proces. Dat kan nogal verschil maken. Neem een organisatie van 500 fte, die een hoge overhead (35%) en verzuim (7%) heeft versus eentje met scherpe cijfers (respectievelijk 22% en 3%). In het eerste geval houden 302 fte zich bezig met primaire taken, in het tweede geval 378: ruim een kwart meer primaire capaciteit. We diepen dit in een volgend artikel verder uit.

Welke indicatoren duiden op het op orde hebben van de basis?
Goed presterende organisaties monitoren een set van indicatoren en vergelijken zich daarop. Vensters voor Bedrijfsvoering -een benchmark waar jaarlijks 130 overheidsorganisaties aan deelnemen- en Internetspiegel zijn daarbij belangrijke bronnen. De intentie daarbij is leren, niet verantwoorden. Het gaat dan bijvoorbeeld om:

  • Scores op medewerkerstevredenheidsonderzoek, de externe klanttevredenheid en de tevredenheid over de bedrijfsvoeringafdelingen.
  • Personeel: de uitgaven voor persoonlijke ontwikkeling, de leeftijdsopbouw en de in- en uitstroom: men streeft hier enige dynamiek in na, maar niet te veel. Bij een uitstroom van meer dan 10% zoals in de zorg voorkomt, wordt de kwaliteit lastig te borgen. En daarnaast het ziekteverzuim en de meldingsfrequentie, die men bij voorkeur onder de 4% en onder de 1,0 houdt.
  • Financiën: een goedkeurende accountantsverklaringen, de betaaltermijn, de opmerkingen in de managementletter en de bekende financiële ratio’s (liquiditeit, solvabiliteit, …)
  • Het Overheadpercentage en de ict-kosten. Deze kunnen per sector nogal variëren. Door digitalisering zullen de ICT-kosten toenemen en kan het overheadpercentage -indien daarop wordt gestuurd- op termijn afnemen.
  • De formatie, het bezettingspercentage en de inhuur. Belangrijke vraag hier of voor de opgaven een structurele danwel incidentele capaciteit wenselijk is.

 

Is dit genoeg?
Tot zover de vier interventies van goed presterende organisaties. Belangrijke zaken, maar voorkom je daarmee nu ook de missers die we aan het begin van dit artikel noemden? In onze optiek zijn daarvoor nog minstens twee acties nodig:

  • De organisaties bewaken zowel de harde als zachte kant van de Interne Beheersing
    Een goedkeurende accountantsverklaring is een voorwaarde om de basis op orde te hebben. Maar het is niet genoeg. Het voorkomt niet dat iemand vijf jaar lang een bedrag of zijn eigen rekening stort. Accountancy is voor een groot deel statistiek. Wanneer een accountant geen rode knikkers vindt in de steekproef, wil dat nog niet zeggen dat die er niet zijn. De cijfers in de jaarrekening kunnen dan ook afwijken van de werkelijkheid, als het maar binnen bepaalde marges is. Dat iemand niet betrapt is door de politie wil nog niet zeggen dan zijn rijstijl goed is. De organisatie moet zelf ook scherp blijven.
    Hoe kan iemand jarenlang een bedrag op zijn eigen rekening zetten? Dan was het proces niet goed, of het werd niet goed uitgevoerd. Mogelijk was geen sprake van functiescheiding of deze werd in de praktijk niet nageleefd, bijvoorbeeld doordat medewerkers elkaars taken overnamen tijdens ziekte of vakantie. Misschien hebben ze inlogcodes uitgewisseld.
    Met ‘De basis op orde’ doelt de accountant op de financieel administratieve processen: de getallen kloppen, de Administratieve Organisatie en Interne Beheersing (AO/IB, voorheen AO/IC) is op orde. Dit moet goed geregeld worden, maar dat kan botsen met de cultuur van vertrouwen. ‘Jij denkt blauw, wij hebben goede mensen, wij vertrouwen ze’ kreeg een accountant van een publieke organisatie te verstaan.  Om missers te voorkomen is doorzettingskracht nodig om AO-processen echt strak te regelen. Gevoelige processen zijn bijvoorbeeld:
  • Het aanmaken van nieuwe crediteuren in het Stam-bestand.
  • Het inboeken van facturen.
  • Het doorvoeren van salariswijzigingen/vergoedingen
  • De uitkeringenadministratie
  • Het verstrekken van subsidies
  • Kas/bank-betalingen
  • Toegangsbeveiliging
    Je wilt niet dat iemand zichzelf of een bekende als crediteur toevoegt, of een subsidie of uitkering verstrekt. Uitgangspunt is dat één iemand niet in staat mag zijn geld uit de organisatie te halen. ‘Samenspanning” voorkom je hier niet mee. Daarnaast moeten controles worden ingericht. Een goede budgethouderstructuur (welk bedrag mag de manager besteden conform de begroting?) en procuratieregeling (voor welk bedrag per keer mag de manager bestellen?) kan ook helpen.
    Hoe dit soort processen verlopen, verschilt nogal tussen organisaties. Er zijn nog organisaties waar een stempel voor velen toegankelijk in een la ligt. Er zijn ook organisaties die werken met een workflowsysteem, waarmee de processtappen worden afgedwongen, bijvoorbeeld in een subsidieproces. Uiteraard biedt dat meer waarborgen.  Wanneer mensen ‘blind goedkeuren’ of ‘buiten het systeem om werken’ helpt dat nog steeds weinig, dus gedrag blijft belangrijk. Bij compliance managers en accountants groeit de interesse dan ook in de ‘soft controls’. Kaptein (2016) onderscheidt er acht: helderheid, voorbeeldgedrag, betrokkenheid, uitvoerbaarheid, transparantie, bespreekbaarheid, aanspreekbaarheid en handhaving.
  • Leren van successen en fouten op het gebied informatie en ICT
    Bekijken we de missers aan het begin van dit artikel, dan valt op dat hierin een belangrijke rol is weggelegd voor informatie en ICT. Bedrijfsvoering wordt steeds meer ict. We zien organisaties daarbij laveren tussen twee valkuilen: zelf het wiel uitvinden. Of juist één systeem kiezen voor de hele sector, zoals bij de politie. Dat laatst mislukt vaak, vooral vanwege de complexiteit. Soms moet je erkennen dat iets eigenlijk te complex is. Een tussenstap is dan nodig. Bijvoorbeeld door meer kennis en ervaringen uit te wisselen over systemen met sectorgenoten: welk systeem hebben ze? Hoe werkt het in de praktijk? De digitalisering in de rechtspraak is mislukt en heeft 220 miljoen gekost. Tegelijkertijd is de digitalisering van de Spaanse rechtspraak genomineerd voor een Europose Innovatieprijs (de Epsa-award). Is men daar gaan kijken? Digitalisering is een belangrijk en omvangrijk onderwerp, waar we een afzonderlijk artikel aan zullen wijden.

Cultuur en gedrag
Wat mensen onder ‘de basis’ verstaan, verschilt nogal. Kort gezegd gaan wij uit van een goede bedrijfsvoering in de meest brede zin van het woord. In deze betekenis is ‘de basis op orde’ een fictieve beheertoestand, die je nooit echt bereikt. Het wordt ook als onterecht excuus gebruikt, om nodige vernieuwingen uit te stellen.
De basis omvat een veelheid aan bedrijfsvoeringstaken. Om deze te kunnen monitoren, kiezen goed presterende organisaties voor brede meetinstrumenten. Ze meten en benchmarken periodiek de medewerkerstevredenheid, klanttevredenheid en een set van bedrijfsvoeringindicatoren. Zo werken ze aan een gerichte en optimale inzet van hun ‘productiecapaciteit’. Daarnaast formuleren ze heldere kaders en regels en proberen ze deze ‘levend’ te houden.
Het dilemma is dat organisaties streven naar een werkklimaat van onderling vertrouwen en dat men anderzijds toch de missers zou willen voorkomen. Dat vereist op een aantal terreinen echter wel degelijk strakke sturing, namelijk om ‘de basis’ in de definitie van de accountant: de financieel administratieve processen. Deze kunnen en moeten op orde zijn. In de praktijk blijkt de cultuur van vertrouwen zich echter deels ook uit te strekken tot deze processen.
De financieel administratieve basis vereist strakke sturing, met functiescheiding (liefst met tegengestelde belangen), vierogen-controles, workflowsystemen en heldere afspraken om ervoor te zorgen dat dit ook in de praktijk zo wordt uitgevoerd. Het afdwingen hiervan blijkt wel eens frictie op te leveren met de accountant: ‘Jij denkt blauw’.  Blauw denken is niet populair momenteel. Toch zijn er een aantal processen, waarbij dit nog steeds als deugd kan worden gezien. Recent onderschepte een organisatie zo een spookfactuur, die vreemd genoeg precies aansloot op een lopende opdracht, maar met een ander bankrekeningnummer. Het geldt moest nu naar Zwitserland.
Incidenten zullen zich blijven voordoen. Belangrijk is het om te kijken of het incident op zich staat, of het topje vormt van een ijsberg. Zonder maatregelen, gaan we meer incidenten krijgen op het terrein van ict en informatie. Hier wordt het belangrijk dat publieke organisaties beter de complexiteit van een ict-vernieuwing vooraf inschatten. En meer informatie uitwisselen over ervaringen met systemen en het gebruik daarvan.
Vanwege de grote vrijheid die medewerkers tegenwoordig gelukkig genieten in veel organisaties, zal ook aandacht nodig blijven voor cultuur en gedrag. Bijvoorbeeld via de acht genoemde ‘soft controls’.

Vond je dit artikel interessant? Lees alle artikelen van Mark Huijben en Johan Strieker
Deel dit artikel

Er zijn nog geen reacties op dit artikel

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*