De mate waarin een organisatie risico’s accepteert, bepaalt mede hoe zij strategische keuzes maakt en verantwoordelijkheid neemt. Voor publieke organisaties is dat extra relevant: zij opereren in een context van publieke waarden, maatschappelijke verwachtingen en politieke controle. Dit artikel gaat in op het belang van een duidelijke risk appetite in die publieke context.
Beeld: Pixabay
Risk appetite is een veel gebezigde term. Zeker binnen de financiële wereld en disciplines als bedrijfskunde, accountancy, financieel management en corporate governance. Risk appetite geeft aan hoeveel risico een organisatie bereid is te accepteren om haar doelstellingen te bereiken. De risicobereidheid verschilt per organisatie en is afhankelijk van het type dienstverlening. Zo heeft een ziekenhuis een lagere risicobereidheid dan een commercieel – op hoge winst – gericht bedrijf. Gezien het belang van de continuïteit, betrouwbaarheid en kwaliteit van de publieke dienstverlening wordt van overheidsorganisaties eveneens een lage risicobereidheid verwacht. Dat geldt zeker ten aanzien van integriteitsrisico’s.
Waarom noodzakelijk?
Integriteitsschendingen, misstanden en ongewenst gedrag: alle organisaties zijn er vatbaar voor. Waar wordt gewerkt, worden fouten gemaakt en soms ook bewust scheve schaatsen gereden. Vanwege de impact die integriteitsschendingen op organisaties, medewerkers, burgers, bedrijven en mogelijk op de samenleving als geheel kunnen hebben, wordt van overheden verwacht dat zij adequaat integriteitsbeleid voeren.
Het in kaart brengen van integriteitsrisico’s maakt daar onderdeel van uit. Risicoanalyses bieden inzicht in kwetsbare processen en zorgen ervoor dat integriteitsbeleid optimaal aansluit bij de organisatiebehoeften. Ook is het een kwestie van goed werkgeverschap om risico’s af te dekken, zodat medewerkers niet ongewild en onvoorbereid aan allerlei gevaren en verleidingen worden blootgesteld.
Hoe staat het ervoor?
Uit onderzoeken blijkt echter dat het in kaart brengen van integriteitrisico’s laag op het prioriteitenlijstje van overheidsorganisaties staat. Ook de Algemene Rekenkamer constateerde in het vorig jaar verschenen rapport Integriteit als basis dat risicoanalyses beperkt, of niet worden uitgevoerd. Dat is trouwens best opmerkelijk, aangezien overheidsorganisaties op grond van de Modelaanpak basisnormen integriteit daar al sinds 2006 verplicht toe zijn.
Uit onderzoeken blijkt dat het in kaart brengen van integriteitrisico’s laag op het prioriteitenlijstje van overheidsorganisaties staat
Het rapport van de rekenkamer sterkte de minister van Binnenlandse Zaken en Koninkrijksrelaties in haar voornemens om een risicoanalyse instrument te ontwikkelen voor overheidsorganisaties. Dat is een goede ontwikkeling.
Waarop gericht?
Sommige processen zijn kwetsbaar vanwege de waarde die zij hebben voor medewerkers, ondernemers, burgers, of criminelen. Voorbeelden hiervan zijn processen die betrekking hebben op het verlenen van vergunningen, het verstrekken van legitimatiebewijzen, het toekennen van overheidsopdrachten, het uitkeren van subsidies of het uitoefenen van inspectie-/handhavingstaken. Het spreekt voor zichzelf dat het verstandig is om risico’s die zich in dergelijke processen voordoen, zorgvuldig in kaart te brengen.
Daarnaast dienen we alert te zijn op omstandigheden of signalen die kunnen duiden op of leiden tot integriteitsrisico’s. Denk bijvoorbeeld aan: hoog ziekteverzuim, veelvuldige personele wisselingen, hoge werkdruk, solistisch handelen, ingrijpende reorganisaties, veel (of juist geen) interne meldingen en lage werktevredenheid. Kortom, een risicoanalyse moet gericht zijn op specifieke procesrisico’s en op (procesoverstijgende) organisatierisico’s.
Waarom met lange tanden?
De lage risicobereidheid (risk appetite) die van overheidsorganisaties wordt verwacht, verhoudt zich slecht tot de lage risk analysis appetite. Om hier verandering in te kunnen brengen, helpt het om zicht te krijgen op mogelijke oorzaken van die ‘lange tanden’ en terughoudendheid. Ik geef er een paar. Zo is het te betwijfelen of overheidsorganisaties beschikken over de juiste kennis en vaardigheden om zelf een risicoanalyse te kunnen ontwikkelen. Bovendien worden risico’s nogal eens onderschat, is het uitvoeren van een risicoanalyse een tamelijk arbeidsintensief traject en bestaat de neiging om pas in actie te komen als zich een incident voordoet (in plaats van risico’s preventief in kaart te brengen). Het blootleggen van kwetsbaarheden of tekortkomingen in processen en beleid roept ook ongemak op. De uitkomsten van een risicoanalyse zijn immers niet vrijblijvend, maar vergen follow-up en leiden tot extra werk en investeringen.
Daarnaast lijkt de externe druk op overheidsorganisaties (bijvoorbeeld door de wetgever, of toezichthouders) om werk te maken van risicoanalyses relatief gering te zijn.
Hoe nu verder?
Het rapport van de Algemene Rekenkamer en het voornemen van de minister om een praktisch risicoanalyse instrument te ontwikkelen voor overheidsorganisaties zijn een positieve impuls. Hoewel het uitvoeren van een risicoanalyse inspanning blijft vergen, werkt de beschikbaarheid van een op de overheid toegespitst instrument drempelverlagend. Hopelijk wordt de inzet van risicoanalyses hierdoor een steeds normaler onderdeel van het integriteitsbeleid. Niet alleen omdat overheden daartoe verplicht zijn, maar vooral omdat het medewerkers beschermt tegen uitglijders en bijdraagt aan een beter integriteitsbeleid, waardoor het risico op integriteitsschendingen afneemt.
En ik ben natuurlijk altijd weer benieuwd: heeft u voorbeelden van integriteitsrisico’s die nieuw zijn, of tegenwoordig vaker voorkomen dan vroeger? Hoe verklaart u de gebrekkige toepassing van integriteit risicoanalyses binnen de overheid? En belangrijker nog, wat zou kunnen helpen om daar verbetering in te brengen?
Geef een reactie