Geplaatst op Door Jack P. Kruf

Rapport onderzoek ‘Risicomanagement UWV’

Uitgebracht aan: Raad van Bestuur UWV

Accountantsdienst UWV | 16 april 2020

1. Inleiding

De afgelopen jaren hebben zich enkele incidenten voorgedaan in de uitvoeringsprocessen van UWV, zoals de WW-fraude door arbeidsmigranten en de uitkeringsverstrekking aan gedetineerden. In de ‘Brieven uitvoering sociale zekerheid’ van 28 juni 2019 aan de Tweede Kamer is de minister van SZW onder andere ingegaan op de maatregelen die zijn getroffen naar aanleiding van deze incidenten. Eén van de maatregelen betreft het versterken van het risicobeleid van UWV.

In het Jaarplan UWV 2020 is hierover de volgende passage opgenomen: ‘Ondanks deze structurele borging van risicomanagement in de P&C-cyclus van UWV hebben een aantal incidenten afgelopen jaar ruime aandacht van de media gekregen. Het heeft ons geleerd dat risicomanagement op onderdelen versterkt moet worden en signalen over risico’s breder in de organisatie moeten worden gedeeld.’

UWV is ingericht op de verticale sturing van de divisies en directies waarbij de (wets)processen horizontaal door divisies en directies heen lopen. Uitgangspunt in de besturingsfilosofie van UWV is het principe van integraal management; de divisiedirectie is integraal verantwoordelijk voor de sturing van de eigen divisie én voor de sturing op de divisie-overstijgende onderwerpen.

FEZ is eigenaar van het proces van risicobeheersing en heeft in haar 10 basics de volgende definitie van risicomanagement opgenomen: ‘Risicomanagement heeft tot doel om op een niet instrumentele wijze de onzekerheden waaraan de organisatie wordt blootgesteld bij het creëren van waarde te inventariseren, te evalueren op kans en impact en vervolgens zodanig te managen, dat de onzekerheden worden gemitigeerd tot een aanvaardbaar niveau.’ Volgens de 10 basics is het eigenaarschap van risicomanagement primair belegd bij het lijnmanagement, de first line of defense.

In opdracht van de Raad van Bestuur hebben wij een inventarisatie uitgevoerd naar risicomanagement binnen UWV. In het kader van dit onderzoek verstaan wij onder een risico ‘alles wat de organisatie kan belemmeren om haar doelen te bereiken’.

2. Doelstelling en onderzoeksobject

Het doel van het onderzoek was om te inventariseren op welke wijze risicomanagement binnen UWV is vormgegeven.

Object van onderzoek waren de mechanismen die moeten borgen dat sprake is van een systematische aanpak van risicomanagement.

De belangrijkste aandachtspunten van ons onderzoek waren:

    1. De verdeling van taken, verantwoordelijkheden en bevoegdheden.
    2. De wijze waarop het risicobewustzijn van management en medewerkers wordt onderhouden en eventueel wordt versterkt.
    3. De wijze waarop divisie-overstijgende en/ of UWV-brede risico’s worden onderkend en geadresseerd.
    4. De wijze waarop afwegingen worden gemaakt en besluiten worden genomen.

Wij voerden geen inhoudelijke beoordeling uit van de kwaliteit van de uitgevoerde risico-inventarisaties en van de bij de risico’s getroffen maatregelen. Tevens maakte de wijze waarop frauderisico’s worden gemeld en afgehandeld geen specifiek onderdeel uit van ons onderzoek. Wij hebben naar de afhandeling van de fraudesignalen in mei 2019 een rapport uitgebracht aan de Raad van Bestuur.

3. Werkwijze
Ons onderzoek was gericht op de divisies WERKbedrijf, Uitkeren en SMZ en de ondersteuning door de stafdirecties FEZ en SBK. Wij hebben kennis genomen van relevante documentatie (waaronder uitkomsten van recent uitgevoerde onderzoeken) om inzicht te krijgen in de wijze waarop het risicomanagement binnen UWV is vormgegeven. Daarnaast hebben wij interviews gehouden met:

    • De voorzitter van de Raad van Bestuur.
    • De portefeuillehouder WERKbedrijf, Uitkeren en SMZ in de Raad van Bestuur.
    • de portefeuillehouder FEZ in de Raad van Bestuur;
    • De directeur FEZ en het hoofd Planning Control & Analyse.
    • de directeur SBK.
    • De directeuren, directeuren Uitvoering en IV-directeuren van de divisies WERKbedrijf, Uitkeren en SMZ.
    • de hoofden BC&K van de divisies WERKbedrijf, Uitkeren en SMZ.
    • Een districtsmanager van de divisies WERKbedrijf, Uitkeren en SMZ.

Het is binnen UWV een bewuste keuze geweest om risicomanagement niet binnen een afzonderlijk kolom te plaatsen. Risicomanagement maakt bij UWV onderdeel uit van de interne sturing en beheersing en is verankerd in de P&C cyclus. Hiermee maakt risicomanagement onderdeel uit van de integrale verantwoordelijkheid van het eerstelijnsmanagement. Hierbij ondersteunt de tweede lijn vanuit de P&C cyclus en vanuit kwaliteitscontroles/risicoanalyses de eerste lijn. Deze inrichting is uitgangspunt geweest bij het opstellen van het referentiekader waarlangs wij de inventarisatie hebben uitgevoerd (zie bijlage). Daarnaast hebben wij bij het opstellen van het referentiekader gebruik gemaakt van de 10 basics van FEZ, de principes en richtlijnen voor risicomanagement (NEN-ISO 31000) en het referentiekader risicomanagement van de Nederlandsche Bank.

Het plan van aanpak, inclusief referentiekader, hebben wij besproken met de directeur FEZ en hebben we vervolgens afgestemd met de portefeuillehouder risicomanagement in de Raad van Bestuur.

4. Context

In de zomer van 2019 is besloten om risicomanagement binnen UWV te versterken. In oktober 2019 is de Raad van Bestuur uitgebreid met een extra lid, die als specifieke opdracht heeft om het risicobeleid van UWV en de aandacht binnen de organisatie voor gevoelige uitvoeringsproblematiek te gaan versterken. Ook is de opdracht de interactie hierover met het ministerie verder te gaan verbeteren.

De Raad van Bestuur heeft ons eind 2019 verzocht om als ‘nulmeting’ te inventariseren op welke wijze risicomanagement binnen UWV is vormgegeven. Gelijktijdig is een werkgroep (onder leiding van de portefeuillehouder Risicomanagement in de Raad van Bestuur) opdracht gegeven een nota ‘Versterking risicomanagement bij UWV’ op te stellen. Deze nota beschrijft de knelpunten in de huidige situatie en de verbeteractiviteiten die UWV momenteel uitvoert of in de komende periode gaat uitvoeren om het risicomanagement verder te versterken. De Raad van Bestuur heeft op 25 februari 2020 kennis genomen van de nota en is akkoord gegaan met de werkwijze voor het uitvoeren van de in de nota opgenomen verbeteractiviteiten.

Ons onderzoek heeft plaatsgevonden in de periode december 2019-januari 2020. In deze periode zijn door de werkgroep al verbetermaatregelen geïnitieerd om het risicomanagement binnen UWV te versterken. De werkzaamheden en uitkomsten van de werkgroep maakten geen onderdeel uit van onze opdracht. Bij een globale beoordeling van de verbeteractiviteiten in bovengenoemde nota stellen wij vast dat een belangrijk deel van onze bevindingen in opzet wordt ondervangen.

5. Managementsamenvatting en advies

Risicomanagement maakt onderdeel uit van de integrale verantwoordelijkheid van het lijnmanagement (Raad van Bestuur en de directeuren). Wat op grond van deze integrale verantwoordelijkheid van het lijnmanagement mag worden verwacht is beperkt beschreven. Hierdoor bestaat het risico dat er geen eenduidig beeld is van de taken, verantwoordelijkheden en bevoegdheden met betrekking tot risicomanagement. Op basis van eigen opvattingen en inzichten worden (impliciete) afwegingen gemaakt over het al dan niet adresseren van onderkende risico’s naar een hoger managementniveau of SZW. Deze eigen opvattingen en inzichten worden niet (altijd) met elkaar gedeeld.

Risicomanagement is vormgegeven vanuit de P&C cyclus en richt zich hoofdzakelijk op de risico’s voor de bedrijfsvoering (KPI’en en afspraken met SZW). Daarnaast worden ook risico’s vanuit kwaliteitsonderzoeken en door medewerkers gesignaleerd. Ons valt op dat het bewustzijn voor de politieke en/of bestuurlijke consequenties van deze risico’s beperkt is. Management en medewerkers zijn hierin nog onvoldoende gefaciliteerd. Daarnaast moet de (aantoonbare) opvolging en bewaking van de effectiviteit van maatregelen naar aanleiding van de gesignaleerde risico’s worden verbeterd.

Doordat risicomanagement is vormgegeven langs de P&C cyclus worden vooral risico’s van de betreffende divisies gesignaleerd. De risico’s op de divisies-overstijgende klantprocessen krijgen weinig aandacht. Daarnaast ontbreekt een UWV-brede analyse op consequenties van de optelsom van de risico’s binnen bijvoorbeeld een klantproces of bij een proces zoals de U-toets. Het blijkt dat een deel van de risico’s die in het U-toetsproces naar voren komen in het verdere beleidsvormingsproces bij zowel UWV als SZW uit beeld raken.

In de diverse verantwoordingsrapportages ligt de focus op de risico’s in de bedrijfsvoering van de afzonderlijke divisies waarbij nauwelijks wordt gerapporteerd over de genomen maatregelen en de effectiviteit daarvan. Risico’s die politiek of bestuurlijk relevant zijn, maar geen bedrijfsvoeringsrisico vormen en risico’s die voortkomen uit de kwaliteitsonderzoeken hebben geen plek in de rapportages.

Gelet op de bevindingen in voorgaande paragrafen zijn de belangrijkste kwetsbaarheden op het gebied van risicomanagement:

    • Het bewustzijn en adressering van risico’s en het wegen van de politieke en/of bestuurlijke consequenties van deze risico’s.
    • Risico’s in divisie-overstijgende klantprocessen.
    • Het benoemen van maatregelen en het bewaken van de effectiviteit van deze maatregelen.

Gezien bovenstaande kwetsbaarheden adviseren wij om na te gaan of de taken, verantwoordelijkheden en bevoegdheden (het eigenaarschap) aanscherping behoeven.

Daarnaast adviseren wij u de werkgroep ‘Risicomanagement’ na te laten gaan of de bevindingen uit deze rapportage in voldoende mate worden ondervangen door de voorgenomen activiteiten zoals opgenomen in hoofdstuk 6 ‘Activiteitenplan’ van de nota ‘Versterking risicomanagement UWV’.

6. Verdeling van taken, verantwoordelijkheden en bevoegdheden: Risicomanagement als onderdeel van het integrale uitvoeringsbeleid

In het verleden zijn binnen UWV diverse documenten opgesteld waarin de verantwoordelijkheid voor risicomanagement als onderdeel van de integrale verantwoordelijkheid van de divisiedirecteuren is beschreven. Voorbeelden hiervan zijn:

    • Het Besturingsmodel UWV (v0.6 opgesteld door HRM in 2011).
    • UWV Risico Update 2011.1 (d.d. 1 juli 2011).
    • Het memo ‘Sturing en verantwoording bij UWV’ (in 2014 opgesteld t.b.v. de stuurgroep Parlementaire Enquête ICT).
    • De 10 Basics opgesteld door FEZ in 2017.

Hoofdlijn in deze documenten is:

    • Lijnmanagement is verantwoordelijk voor de inrichting en uitvoering van risicomanagement.
    • BC&K zorgt er voor dat risicomanagement een integraal onderdeel uitmaakt van de P&C cyclus.
    • FEZ heeft op centraal niveau een systeemverantwoordelijkheid als het gaat om de werking van het UWV-brede kwaliteitssysteem, met risicomanagement als onderdeel en de verantwoording naar de Raad van Bestuur.
    • SBK verzorgt de inventarisatie van strategische/beleidsrisico’s.

De meeste documenten zijn niet formeel vastgesteld als voor UWV geldend beleid en deze documenten zijn niet actueel. Tevens zijn deze documenten voor wat betreft risicomanagement niet volledig. In het besturingsmodel UWV ontbreekt bijvoorbeeld een beschrijving van taken, verantwoordelijkheden en
bevoegdheden op het gebied van risicomanagement en een afwegingskader voor risico’s.

Daar waar in de bovengenoemde documenten afspraken zijn gemaakt op het gebied van risicomanagement (bijv. de 10 Basics) wordt er onvoldoende gehandeld naar deze afspraken.

6. Verdeling van taken, verantwoordelijkheden en bevoegdheden: Rol Raad van Bestuur

Binnen de Raad van Bestuur-vergaderingen gaat het regelmatig over risico’s maar zelden over risicomanagement. Hiermee laat de Raad van Bestuur kansen liggen om het belang van risicomanagement te benadrukken.

Uit de verslagen van de tertaalgesprekken blijkt dat sinds oktober 2019 de inrichting van risicomanagement binnen de divisies onderwerp van gesprek is. In de periode daarvoor hebben wij dit onderwerp niet expliciet in de verslagen aangetroffen. Ook uit de door ons gevoerde gesprekken blijkt dat de geïnterviewden niet de indruk hebben dat de Raad van Bestuur in het verleden veel belang hechtte aan het functioneren van risicomanagement. N.b.: Begin december 2019 heeft de portefeuillehouder risicomanagement in de Raad van Bestuur aan de directeuren opdracht gegeven om concrete doelstellingen over risicomanagement en horizontale sturing aan het managementcontract toe te voegen. Niet alle divisies zijn er in geslaagd om doelstellingen te formuleren die concreet zijn, wat de monitoring van de realisatie van deze doelstellingen bemoeilijkt.

6.1 Verdeling van taken, verantwoordelijkheden en bevoegdheden:
Rol FEZ en rol SBK

Rol FEZ

    • De rol van FEZ op het gebied van risicomanagement is vooral vormgegeven langs de P&C cyclus.
    • FEZ voert geen periodieke evaluatie uit op de werking van risicomanagement.

Rol SBK

Zoals eerder vermeld is in documentatie opgenomen dat SBK de inventarisatie van strategische/beleidsrisico’s verzorgt. SBK geeft aan dat haar rol beperkt is tot:

    • Het tijdig communiceren van risico’s met een politieke en/of bestuurlijke impact richting SZW.
    • Het signaleren van risico’s voor UWV die voortkomen uit de beleidsvorming van SZW.
    • Het opnemen van de risico’s die UWV signaleert bij toekomstige wetgeving in de U-toets. Uit de door ons gevoerde gesprekken blijkt dat een deel van de risico’s die in het U-toetsproces naar voren komen in het verdere beleidsvormingsproces bij zowel UWV als SZW uit beeld raken.

6.1 Verdeling van taken, verantwoordelijkheden en bevoegdheden:
Rol divisiedirecteuren

Taak van de divisiedirecteuren is om vanuit hun integrale verantwoordelijkheid risico’s op te halen, hierop actie te ondernemen en waar noodzakelijk te escaleren.

Management en medewerkers worden niet gefaciliteerd met uitgangspunten en/of richtlijnen over de wijze waarop risico’s moeten worden geïdentificeerd en hoe de politieke en/of bestuurlijke consequenties moeten worden gewogen.

Bedrijfsvoeringsrisico’s worden met name opgehaald vanuit de P&C-cyclus en de kwaliteitsonderzoeken. Daarnaast vinden op verschillende niveaus risico-inventarisaties plaats waaronder:

    • Risicosessies met de Groepsraad in het kader van het UWV jaarplan.
    • ‘Waar lig je wakker van?’ sessies op directeursniveau.
    • 2x per jaar risicosessies binnen de divisies.
    • Risicosessies binnen de districten.
    • Bij Uitvoeringstoetsen.

De (aantoonbare) opvolging en bewaking van (beheers)maatregelen en de effecten van deze maatregelen is een belangrijk verbeterpunt.

6.2 Versterken risicobewustzijn

Lijnmanagement heeft onvoldoende aandacht voor de politieke en/of bestuurlijke consequenties van de risico’s die worden gesignaleerd vanuit de bedrijfsvoering, kwaliteitsonderzoeken en door medewerkers. De focus ligt vooral op het realiseren van de productie en de bijhorende externe KPI’s.

    • Dit beeld wordt bevestigd door recente onderzoeken die de Accountantsdienst heeft uitgevoerd.
    • Ook uit het cultuuronderzoek van 11 juni 2019 bleek dat in de perceptie van de medewerkers de focus te veel ligt op productienormen en er binnen het primair proces te weinig aandacht is voor fraudebestrijding en fraudedetectie.
    • De politieke en bestuurlijke consequenties van signalen over de fraude WW, uitkeringsverstrekking aan gedetineerden en de daaropvolgende onderzoeken zijn onderschat.

Het bewustzijn van risico’s met mogelijk politieke en bestuurlijke impact moet worden vergroot onder management en medewerkers. Expliciete maatregelen om dit bewustzijn te vergroten zijn vooralsnog niet genomen.

Wel is de aandacht voor risico’s en ook risicomanagement toegenomen na de incidenten van de afgelopen periode en de komst van een vierde lid in de Raad van Bestuur met risicomanagement in de portefeuille. Gezien de toegenomen aandacht mag worden verwacht dat dit een positief effect heeft op het bewustzijn van risico’s met politieke en/of bestuurlijke impact.

6.3 Onderkennen van divisie-overstijgende/UWV-brede risico’s

In 2011 zijn naar aanleiding van de bespreking in de Groepsraad van de notitie ‘Hoe gaan wij de gemeenschappelijke opdracht 2012 realiseren?’ coalities in de first line ingericht om invulling te geven aan horizontale sturing. Vervolgens zijn het Sturen en Beheersen Overleg (SBO) voor de directeuren Uitvoering SMZ, WERKbedrijf en Uitkeren en het Drie Directeuren Overleg (3DO) voor de algemeen directeuren SMZ, WERKbedrijf en Uitkeren, ingericht. Uit de door ons gevoerde gesprekken en eerder door ons uitgevoerde onderzoeken blijkt dat de horizontale sturing op de processen en de aandacht voor de divisie-overstijgende risico’s nog verder moet worden versterkt.

Coalitie control (in 2011 ingericht) had als doel om de divisie-overstijgende risico’s op klantprocessen in beeld te brengen. Op dit moment is de rol van Coalitie control beperkt tot het samenvoegen van de coalitie districtsrapportages.

De second line (hoofden BC&K en FEZ) wordt vanuit de first line op dit moment onvoldoende betrokken om te ondersteunen bij het in kaart brengen van divisie-overstijgende risico’s en de sturing hierop.

Op het gebied van divisie-overstijgende risico’s lopen er vanuit FEZ geen acties om na te gaan of de samenhang van de onderkende risico’s en de effecten van de getroffen maatregelen worden bewaakt.

Een UWV-brede analyse op consequenties van de optelsom van de risico’s binnen bijvoorbeeld een klantproces of een proces zoals de U-toets ontbreekt.

6.4 Afwegingen van en besluiten over risico’s

Op basis van eigen opvattingen en inzichten worden (impliciete) afwegingen gemaakt over het al dan niet adresseren van onderkende risico’s naar een hoger managementniveau. Daarmee is het niet transparant hoe binnen UWV met onderkende risico’s wordt omgegaan.

De Raad van Bestuur maakt een afweging over welke risico’s vervolgens gemeld aan en besproken met SZW moeten worden. Deze afweging wordt niet expliciet zichtbaar gemaakt in bijvoorbeeld de verslagen van de Raad van Bestuur.

6.5 Verantwoording

Divisierapportages betreffen vooral verantwoording over productie en realisatie van KPI’s. De focus ligt op de bedrijfsvoeringsrisico’s.

    • Bedrijfsvoeringsrisico’s worden vaak gerapporteerd zonder concrete beheersmaatregelen te benoemen.
    • Risico’s die voortkomen uit de kwaliteitsonderzoeken komen niet naar voren in de divisierapportages.
    • Risico’s die politiek of bestuurlijk relevant zijn, maar geen bedrijfsvoeringsrisico vormen komen ook niet naar voren in de divisierapportages.
    • Er vindt geen rapportage plaats over risico’s in divisie-overstijgende processen.

FEZ baseert zich bij het opstellen van UWV-brede rapportage in belangrijke mate op de inhoud van de divisierapportages en rapporteert in de ‘één oogopslag’ de bedrijfsvoeringsrisico’s die mogelijk politieke of bestuurlijke consequenties hebben. Naast de ‘één oogopslag’ is er geen structureel proces ingericht om risico’s met politieke of bestuurlijke impact te identificeren en hierover te rapporteren. N.b.: In de tweede helft van 2019 is binnen UWV een risico-inventarisatie uitgevoerd. Naar aanleiding van deze risico-inventarisatie is afgesproken om vanaf januari 2020 in de maandrapportages te rapporteren over de status van de in de lijst opgenomen risico’s en deze lijst te actualiseren.

Bibliografie

Accountantsdienst UWV (2020, 16 april). Rapport onderzoek ‘Risicomanagement UWV’. Uitvoeringsinstituut Werknemersverzekeringen (UWV). Geraadpleegd op 1 december 2024, van https://www.uwv.nl/overuwv/Images/rapport-risicomanagement-uwv.pdf

Download Rapportage.