Er zijn het hele jaar door ontwikkelingen waarop wij reageren, zodat we risico’s kunnen beheersen en waardoor de afgesproken dienstverlening op niveau blijft. Na enige incidenten die zich hebben voorgedaan, versterken we sinds 2019 onze risicobeheersing.
Voortgang versterking risicomanagement
Het gaat erom dat UWV risico’s intern beter onderkent en bespreekbaar maakt, en snel en accuraat acteert op risico’s. We zijn ervan overtuigd dat vooral verhoging van het risicobewustzijn van onze medewerkers en daar vervolgens adequaat op handelen bijdragen aan effectieve versterking van risicomanagement.
In de eerste vier maanden van 2021 is voortgang geboekt op de vijf verbeterpunten van het plan van aanpak:
-
Investeren in sturing, kennis van inhoud en organisatiesensitiviteit binnen alle lagen van UWV
Als de kwaliteit van onze dienstverlening goed is, we minder fouten maken en minder risico’s lopen, worden de mensen die een beroep op ons doen beter bediend. Alle divisies hebben momenteel een academie (in oprichting). Hier worden medewerkers opgeleid en bijgeschoold in zowel UWV‑brede thema’s als in specifieke vakkennis waaronder wetskennis in de sociale zekerheid en de bedoeling van de wet- en regelgeving. Een volgende stap is dat er een UWV‑brede cursus rond risicomanagement beschikbaar komt. Daarnaast is van belang dat alle UWV‑medewerkers risicoleiderschap tonen. Dat betekent dat ze kansen, risico’s en signalen die ons belemmeren bij het behalen van onze doelstellingen signaleren en daarop adequaat handelen. We werken aan een cultuur van openheid en transparantie over kansen, risico’s en signalen. In juni 2021 wordt een communicatiecampagne Zeg wat je ziet gestart om risicoleiderschap in de organisatie te versterken. Ook moet duidelijk worden gemaakt waar medewerkers met signalen terechtkunnen. Daarnaast werken we aan een cultuur van nog meer openheid en transparantie over kansen en risico’s en zetten we klantsignaalmanagement op om consistenter te presteren.
Het gezamenlijk bespreken van risico’s is een thema dat op dit moment breed in de belangstelling staat in de relatie tussen uitvoering, departement en politiek. UWV en het ministerie van Sociale Zaken en Werkgelegenheid (SZW) zijn op zoek naar nieuwe manieren van samenwerken, waarbij we erop kunnen vertrouwen dat iedere partij adequaat de juiste rol vervult bij het signaleren en verkleinen van risico’s. De intensieve afstemming en samenwerking tussen UWV en het ministerie bij de totstandkoming van de NOW in 2020 heeft een positieve impuls gegeven aan het gezamenlijke risicomanagementproces. -
Versterken three-lines-of-defensesysteem op monitoring en evaluatie van beheersmaatregelen
UWV heeft een uitgebreid managementcontrolsysteem dat veel informatie genereert over hoe UWV presteert. Belangrijk is dat we op basis van risico’s die vanuit dit controlsysteem naar voren komen UWV‑breed acteren en dat we vanuit de juiste risicoperceptie de juiste vervolgactie bepalen en deze vervolgens goed monitoren. Om dit te bewerkstelligen hebben we risicosessies met management en medewerkers in de districten tot een structureel onderdeel van het controlsysteem gemaakt. Aanvullend is er een werkwijze ontwikkeld waarmee we opgehaalde signalen en risico’s ook systematisch kunnen loggen en opvolgen. Een van de acties uit het plan van aanpak was de herijking van de kwaliteitsvisie: deze is vastgesteld voor de periode 2021–2025. Verder werken we aan de toepassing van nieuwe technologieën, zoals process mining, om betere data te verzamelen. Daarnaast ontwikkelen we een UWV‑breed dynamisch wegingskader om bij risico’s tot een juiste beheersmaatregel te komen en te bepalen of een signaal gedeeld moet worden met hoger management, het ministerie van SZW en/of relevante stakeholders. -
Horizontale verbinding tussen processen en organisatieonderdelen versterken
De klant ervaart UWV soms niet als één organisatie wanneer meerdere divisies bij zijn of haar zaak betrokken zijn. Een belangrijk verbeterpunt is de versterking van de horizontale verbinding tussen processen en organisatieonderdelen, waardoor minder risico’s ontstaan en bestaande risico’s eerder gesignaleerd en beheersbaar worden. Om de horizontale verbinding te versterken hebben we besloten om ons besturingsmodel aan te passen, meer te sturen op de reis die een klant maakt door onze organisatie en meer themagericht te werken. -
Kritische houding op uitvoerbaarheid, handhaafbaarheid en risico’s bij nieuwe wet- en regelgeving
Bij de totstandkoming van de NOW heeft UWV voor het eerst een zeer uitgebreide risicoparagraaf opgesteld die vervolgens naar het ministerie van SZW is gestuurd. Dit heeft ertoe geleid dat er meer inzicht was in risico’s rond de uitvoering van de NOW en dat UWV en het ministerie veel beter het gesprek hebben gevoerd over de risico’s met betrekking tot de regeling en hoe deze risico’s gematigd c.q. geaccepteerd zijn. In het vervolg willen we bij alle grote regelingen of wijzigingen een dergelijke risicoparagraaf opnemen. Daarnaast zijn we bezig om het proces van de uitvoeringstoets aan te passen. De toets wordt uitgebreid met onder andere een toets op complexiteit, uitlegbaarheid en het doenvermogen van de klant. We werken aan objectieve criteria om tot een beter onderbouwd oordeel op uitvoerbaarheid te komen. Ook komt er een invoeringstoets, waarmee we na een jaar zullen vaststellen of de nieuwe wet of regel in de praktijk werkt zoals bedoeld. -
Proactieve en objectieve communicatie richting de buitenwereld
Dankzij ons handelen tijdens de coronacrisis zijn de scores op klanttevredenheid en de reputatie van UWV gestegen. Van belang is dat we de hoge scores vasthouden. Fouten zullen altijd worden gemaakt en incidenten kunnen niet altijd worden voorkomen. Als een bepaald issue speelt, is het belangrijk om een objectief en zo genuanceerd mogelijk beeld te kunnen schetsen over het presteren van UWV, zowel richting de buitenwereld als richting onze medewerkers. Daarvoor hebben we in 2020 issuemanagement ingesteld, wat inmiddels goed functioneert. Zo brachten we in maart zelf naar buiten dat door een fout in de interne bedrijfsvoering documenten zijn vernietigd vóór het verstrijken van de wettelijke bewaartermijn. We werken aan verbeteringen in het werkproces om dit soort pijnlijke fouten in onze dienstverlening in de toekomst te voorkomen.
Terugblik op onze informatievoorziening
Risicomanagement heeft een prominente plek in onze planning‑en‑controlcyclus. Op vaste momenten in deze cyclus halen we de risico’s op uit de organisatie om deze vervolgens te wegen, waar mogelijk te beheersen en vervolgens het ministerie van SZW daarover te informeren.
De externe planning‑en‑controlcyclus met het ministerie van SZW start met het jaarplan, waarna we rapporteren over de stand van het uitvoeringsjaar via achtereenvolgens het vier- en het achtmaandenverslag en na twaalf maanden via het jaarverslag. Op deze externe cyclus hebben we onze interne planning‑en‑controlcyclus mede afgestemd. Na twee maanden stellen de eenheden hun voorjaarsnota op. In de voorjaarsnota staan ze stil bij het huidige jaar en in hoeverre de voorgenomen doelstellingen gerealiseerd kunnen worden. Uiteraard worden hierbij ook de risico’s en kansen benoemd.
Restrisico’s
In dit viermaandenverslag hebben wij zo goed mogelijk aangegeven welke risico’s we zien voor onze afgesproken doelen en welke maatregelen wij zelf hebben genomen. Het transparant en tijdig melden van deze risico’s en ingrepen is een belangrijke beheersmaatregel. Op deze plek beperken we ons tot de grootste bestuurlijke risico’s vanuit de risicoschouw die we hebben georganiseerd eind mei. Deze kunnen een zeker restrisico opleveren dat het ministerie van SZW en UWV samen zullen moeten accepteren.
-
Het risico op vertraging van implementatie van de veranderagenda door een opeenstapeling van veranderingen
De veranderopgave waarvoor we in 2021 staan is zeer omvangrijk. In het hoofdstuk Risicobeheersing in het jaarverslag 2020 hebben we al stilgestaan bij het risico van het grote aantal ICT‑verandertrajecten waaraan meerdere of alle bedrijfsonderdelen van UWV een bijdrage moeten leveren. Dit geldt bijvoorbeeld voor de vernieuwing van het applicatielandschap bij de divisie Sociaal Medische Zaken (SIO). Bij de divisie Werkbedrijf geldt dit voor het vernieuwingsprogramma WORKit. Andere voorbeelden zijn de transitie van de datacenterdienstverlening (VeDaT), de ontwikkeling van het data‑integratie- en analysedomein (DIAscoop) en het herontwerp van de WW‑dienstverlening (HOWW). De veranderingen zijn echter breder dan ICT. We hebben ook te maken met een ambitieuze veranderagenda met wet- en regelgevingaanpassingen. Daarbovenop komen nog alle veranderingen in verband met de coronacrisis, zoals de verschillende NOW‑regelingen, de inrichting en werkzaamheden van de regionale mobiliteitsteams, de bij UWV belegde kassiersfunctie voor het ontschotte budget bij de aanvullende crisisdienstverlening, de aanpassingen bij de divisie Sociaal Medische Zaken die meer evenwicht moeten brengen tussen beschikbare en benodigde beoordelingscapaciteit en de ambities om onze dienstverlening te verbeteren, onder andere vanuit de extra middelen die het kabinet heeft gereserveerd in het kader van de Parlementaire ondervragingscommissie Kinderopvangtoeslag. We stellen duidelijke prioriteiten om te voorkomen dat de belangrijkste veranderingen vertraging oplopen. -
Het risico op IB&P-incidenten is een serieus restrisico omdat wij niet in staat zijn alle benodigde beheersmaatregelen op tijd te nemen
De ontwikkelingen op het gebied van informatiebeveiliging en privacy (IB&P) volgen elkaar in rap tempo op. Het vergt een enorme inspanning en investering om die externe ontwikkelingen bij te benen. Dat komt mede doordat wij werken met systemen uit een tijd dat privacy by design en security by design nauwelijks aan de orde waren en eerder het gemakkelijk delen van informatie belangrijk werd gevonden. Dit risico kent twee kanten: de toegankelijkheid van medewerkers tot persoonsgegevens en de systeemtechnische kant. We regelen zo veel mogelijk dat medewerkers alleen toegang hebben tot persoonsgegevens die ze voor hun werk nodig hebben. Ook besteden we veel aandacht aan het bewustzijn rond IB&P en trainen we medewerkers in wat zij in hun dagelijkse werk kunnen doen om deze risico’s te verminderen. Wat de systeemtechnische kant betreft voeren we per bedrijfsonderdeel een IB&P‑jaarplan met verbetermaatregelen uit. Onze middelen zijn echter ontoereikend om alle gesignaleerde kwetsbaarheden op korte termijn op te lossen. In de ICT‑investeringsportfolio maken wij keuzes tussen IB&P‑aanpassingen, de stabiliteit en continuïteit, modernisering en de gebruikerswensen van medewerkers en verbeteringen voor de klant. We investeren in maatregelen om misbruik van gegevens tegen te gaan of datalekken te voorkomen. Wanneer onverhoopt toch een datalek of misbruik van gegevens optreedt, zorgen we ervoor dat de impact voor de belanghebbende zo klein mogelijk is. Wij proberen de risico’s die wij kennen zo transparant mogelijk te melden aan het ministerie. Een voorbeeld dat het lang duurt om deze risico’s te verkleinen betreft onze melding van de IB&P‑risico’s in ons klantvolgsysteem Sonar (zie ook paragraaf Informatiebeveiliging en privacy, onder het kopje Verminderen risico’s Sonar). Met een aantal quick fixes zetten we alles op alles om Sonar veiliger te maken. Dit IB&P‑risico is echter pas echt op orde als Sonar is vervangen. -
Het risico op financiële en reputatieschade door onvoldoende zicht op de risico’s voortkomend uit compliance
Net als elke andere organisatie hoort UWV zich aan de heersende wet- en regelgeving te houden. Als overheidsorganisatie voelen we hierin extra verantwoordelijkheid: UWV heeft een voorbeeldfunctie richting de maatschappij. Door de omvang en complexiteit van onze organisatie hebben we niet altijd een totaalbeeld in hoeverre we de regels wel of niet naleven. Wanneer regels niet (geheel) worden nageleefd zal dat niet komen door bewuste opzet van onze medewerkers, maar veeleer door hun onbekendheid met de betreffende regels. Bij de versterking van ons risicomanagement zijn we ons meer bewust geworden van deze blinde vlek. We gaan aan de slag om per aandachtsgebied inzicht op te bouwen en eventuele potentiële risico’s te verminderen. Een voorbeeld zijn de fiscale dossiers met alle regels rondom loonheffing waar we momenteel stevig in investeren met het fiscale expertisecentrum. Andere voorbeelden van niet algemeen bekende wet- en regelgeving zijn de Archiefwet, de Baseline Informatiebeveiliging Overheid (BIO) en de Europese aanbestedingsregels. Het opzetten van een risicosystematiek voor deze thema’s vraagt de komende jaren tijd en aandacht. In de tussenliggende periode bestaat het risico dat er compliance‑issues aan het licht komen. Deze kunnen grote financiële gevolgen hebben, denk aan fiscale naheffingen en boetes. Dit kan ook gevolgen hebben voor onze reputatie. Uiteraard zullen we over deze issues open en transparant communiceren met het ministerie. -
Het risico op discontinuïteit in de dienstverlening door cyberaanvallen
De dreiging van cybercrime voor de overheid en bedrijven blijft zich verder ontwikkelen. Voor de overheid, en dus ook voor UWV als grote uitvoeringsorganisatie, verzwaart dit de last van het systeembeheer. Overheid en bedrijfsleven nemen maatregelen om zich te verdedigen. Het blijft een kat‑en‑muisspel met cybercriminelen; we streven ernaar zo veel mogelijk up‑to‑datemaatregelen te treffen zodat we inbreuk voorkomen dan wel bij inbreuk zo adequaat mogelijk kunnen reageren. UWV neemt deel aan het Nationaal Detectie Netwerk en treft daarnaast preventieve (‘in control’), detectieve (‘zo spoedig mogelijk zien’) en correctieve (‘zo spoedig mogelijk brandmeester’) maatregelen. We blijven de zogeheten red‑teamacties uitvoeren, waarbij cybersecurityaanvallen worden gesimuleerd. De bevindingen uit deze acties worden opgepakt en zorgen voor een betere verdediging tegen cybercrime. -
Het risico op vertraging of terugval in de kwaliteitsontwikkeling die UWV moet doormaken
Het goed uitvoeren van regelingen is er in de loop van de jaren niet gemakkelijker op geworden. De regelgeving wijzigt vaker dan voorheen en is complexer dan ooit. Bezuinigingen op de uitvoering en de focus op efficiency hebben diepe sporen achtergelaten in de dienstverlening. Ook de politiek‑maatschappelijke context is veranderd; een fout bij een individuele klant kan onderwerp van parlementair debat worden. Om deze ontwikkelingen het hoofd te bieden, hebben wij met een nieuwe strategie ingezet op verbetering van het vakmanschap in de uitvoering. Doel is om de kwaliteit van het werk op een hoger plan te brengen en onze dienstverlening aan te bieden met ruimte voor de menselijke maat. Dat doen we door te investeren in het vakmanschap van onze medewerkers met behulp van de academies en door hen tijd te geven om te leren. Maar er is meer nodig. We moeten medewerkers beter ondersteunen met adequate ICT‑systemen. Managers zullen meer aandacht moeten besteden aan het sturen op kwaliteit. De coronacrisis heeft de implementatie enigszins vertraagd, maar inmiddels hebben we deze initiatieven op het vlak van kwaliteitsverbetering weer opgepakt. Door het al eerdergenoemde grote aantal veranderingen waarmee UWV te maken heeft, blijft echter het risico aanwezig dat we de focus op de kwaliteitsontwikkeling verliezen. -
Het risico op uitval van medewerkers kan leiden tot druk op onze dienstverlening
De coronacrisis heeft veel van onze medewerkers gevraagd: extra werkdruk vanwege het vorig jaar aanvankelijk snel stijgende aantal WW‑aanvragen, de implementatie en uitvoering van de NOW‑regelingen, het inwerken van nieuwe collega’s, langdurig thuiswerken in combinatie met thuisonderwijs plus alle reguliere werkzaamheden en geplande veranderingen. Hier hebben we ons goed doorheen geslagen. We zien nog steeds historisch lage verzuimcijfers. Bij een aantal bedrijfsonderdelen begint het verzuim echter weer langzaam te stijgen. De druk is al lange tijd hoog en de rek is er bij sommige medewerkers nu uit. We krijgen signalen dat de vitaliteit vermindert en dat de werkdruk als onverminderd hoog wordt ervaren. Gelet op alle verandertrajecten die ons te wachten staan zal de druk op UWV, en daarmee op onze medewerkers, de komende tijd niet afnemen. Als dit verzuim veroorzaakt, bestaat het risico dat we te maken krijgen met een domino‑effect waardoor uiteindelijk de dienstverlening onder druk komt te staan en/of veranderingen vertraging oplopen. Uiteraard proberen we alle medewerkers zo goed mogelijk mentaal en fysiek te ondersteunen. Hiervoor zijn diverse faciliteiten beschikbaar. Daarnaast houden managers intensief contact met hun medewerkers. -
Het risico op het uit het oog verliezen van kwetsbare klanten en het niet waarmaken van de maatschappelijke verwachtingen
De publieke opinie over burgers die in de knel komen door een falende overheid is veranderd. De kinderopvangtoeslagaffaire heeft hierin als een katalysator gewerkt. We zijn ons bewust van de kwetsbare positie van een groot deel van de mensen die van ons afhankelijk zijn. We proberen onze diensten zo goed mogelijk te verlenen, maar soms komen mensen toch in schrijnende situaties terecht doordat we om redenen van efficiency bepaalde keuzes in onze werkwijzen hebben gemaakt, doordat we ons te strikt aan de letter van de wet houden of doordat wet- en regelgeving anders uitpakt dan bedoeld. Recente voorbeelden zijn de mensen met een beperking die naast hun uitkering werken en door onze manier van inkomstenverrekening in financiële problemen raken, de gedupeerden van de herbeoordelingsoperatie door het Ondersteuningsteam Noord, de Wajongers die er door de Wet vereenvoudiging Wajong onbedoeld qua inkomsten op achteruit zijn gegaan en burgers die, omdat we geen fysieke sociaal‑medische beoordeling konden uitvoeren, ten onrechte een voorschot hebben gekregen dat ze nu moeten terugbetalen. We vinden het belangrijk dat onze medewerkers de ruimte pakken om binnen de kaders van de wet naar oplossingen te zoeken die voldoen aan de bedoeling van diezelfde wet. Dat doen we in de zogeheten maatwerkplaatsen en ook door het delen van casuïstiek en dilemma’s. Toch kunnen we niet voorkomen dat zich ook in de toekomst schrijnende situaties zullen voordoen, omdat we problemen niet tijdig of niet naar volle tevredenheid hebben kunnen oplossen. -
Het risico op niet-klantgericht handelen door verkeerde inschatting van de vitaliteit van de klant wanneer we deze niet in levenden lijve zien
Onze dienstverlening is mensenwerk. Onze medewerkers proberen iedereen binnen de gegeven kaders zo goed mogelijk te helpen. Dat doen ze ook onder de gewijzigde omstandigheden tijdens de huidige coronacrisis. Werkgevers en werknemers waarderen dat, zo blijkt uit het klanttevredenheidsonderzoek. Door de beperkende maatregelen zien we onze klanten echter alleen in levenden lijve als dat echt noodzakelijk is. In alle andere gevallen hebben we telefonisch of online contact met hen. Dit is een andere vorm van contact dan we in veel gevallen gewend zijn. Het is lastiger om op afstand de vitaliteit van iemand te beoordelen en andere signalen op te pikken. Hierdoor is er bijvoorbeeld het risico dat we niet de optimale interventie bieden die past bij de specifieke situatie van een klant. Het kan er zelfs toe leiden dat schrijnende klantsituaties niet tijdig worden herkend en dat deze pas ontdekt worden als mensen een klacht of zelfs een bezwaar indienen. Dit risico wordt kleiner omdat de beperkende maatregelen langzamerhand worden afgebouwd.