Ga naar website navigation Ga naar artikel navigatie Ga naar inhoud

Risicobeheersing

De pagina ververst bij het selecteren van een onderwerp.

Sla artikel navigatie over.

UWV heeft te maken met een omvangrijke veranderagenda bovenop een complexe bestaande dienstverlening en bedrijfsvoering. Dit vraagt om een intensieve beheersing van risico’s in alle lagen van onze organisatie.

Programma versterking risicomanagement

In oktober 2019 is Janet Helder voor een termijn van twee jaar gestart als lid van de raad van bestuur met de specifieke taak het risicomanagement bij UWV te versterken. In lijn met deze opdracht zijn twintig verbeteractiviteiten voor het risicomanagement van UWV geformuleerd. Daarbij is continu gekoerst op realisatie van deze activiteiten per uiterlijk het einde van haar termijn.

Op de geformuleerde verbeteractiviteiten zijn inmiddels veel resultaten geboekt. Zo vinden in onze organisatie op verschillende niveaus gesprekken plaats over risico’s, kwaliteit, dienstverlening en efficiency. Recent is een wegingskader in gebruik genomen dat de proces- en inhoudslijnen beschrijft voor het ophalen, escaleren en duiden van risico’s. Dit wegingskader brengt ook meer verbinding en richting aan tussen de verschillende plekken binnen UWV waar de risico’s worden opgehaald. We leggen binnengekomen risicosignalen gestructureerd vast in een uniform risicoregister voor de vier risicogebieden rechtmatige uitvoering, handhaving & fraude, kwaliteit & uitvoeringsrisico’s en (externe) compliance. Verder beschikken we inmiddels over een geüniformeerde en herijkte kwaliteitsvisie 2021–‍2025.

Enkele verbeteractiviteiten zijn nog niet volledig afgerond. Meestal komt dat doordat er sprake was van onvoorziene complexiteit. Hieronder gaan we in op de status van deze verbeteractiviteiten.

  • We ontwikkelen een UWV‑brede training over risicoleiderschap. Deze zal naar verwachting in januari 2022 starten.

  • We verbeteren de horizontale sturing bij UWV, zodat we meer kunnen leren van goede initiatieven, zicht krijgen op de kwaliteit van de operationele samenwerking en beter kunnen sturen op het gewenste niveau van horizontale samenwerking. We verwachten dat we dit najaar een vooronderzoek opleveren dat onder andere invulling geeft aan de UWV‑visie op horizontale samenwerking en concrete verbetervoorstellen doet. Deze verbetervoorstellen zullen daarna eind 2021 in de praktijk worden getoetst en bij gebleken succes in 2022 worden verbreed en opgeschaald.

  • We verbeteren de oordeelsvorming bij beleidsvoorbereiding, beleidsvoorstellen en uitvoeringstoetsen van nieuwe wet- en regelgeving. Hiermee borgen we dat we zo veel mogelijk risico’s voor de continuïteit van onze organisatie voorkomen. We verwachten deze verbeteractiviteit dit najaar af te ronden.

  • We versterken de politiek‑bestuurlijke sensitiviteit van medewerkers door hen workshops te laten volgen. We verwachten dat de eerste training medio 2022 wordt gegeven.

  • We versterken onze controleactiviteiten door te werken met risicoscans. We zijn ons ervan bewust dat het werken met risicoscans maatschappelijk gezien niet onbetwist is. We houden daarom in onze aanpak rekening met de manier waarop organisaties zoals de Algemene Rekenkamer en de Nationale Ombudsman aankijken tegen de inzet van risicoscans en we communiceren intern en extern proactief over de inzet van risicoscans.

  • We verbeteren ons bedrijfscontinuïteitsmanagement. We gaan nu aan de slag met het verhelderen van de bijbehorende governance.

We versterken ons risicomanagement niet alleen door de twintig verbeteractiviteiten te realiseren. Wij zijn ervan overtuigd dat daarnaast vooral verhoging van het risicobewustzijn van onze medewerkers en daar vervolgens naar handelen bijdragen aan effectieve versterking van risicomanagement. Dit noemen wij risicoleiderschap. Al met al staat er nu een goed fundament dat we de komende periode verder gaan verfijnen en uitbouwen.

Planning-en-controlcyclus

Risicomanagement heeft een prominente plek in onze planning‑en‑controlcyclus. Op vaste momenten in deze cyclus halen we de risico’s op uit de organisatie om deze vervolgens te wegen, waar mogelijk te beheersen en vervolgens het ministerie van Sociale Zaken en Werkgelegenheid (SZW) daarover te informeren. Dat doen we achtereenvolgens in het vier- en achtmaandenverslag en na twaalf maanden via het jaarverslag. Uiteraard benoemen we hierbij ook de risico’s en kansen.

Restrisico’s

In dit achtmaandenverslag hebben wij zo goed mogelijk aangegeven welke risico’s we zien voor onze afgesproken doelen en welke maatregelen in onze dienstverlening wij zelf hebben genomen. Het transparant en tijdig melden van deze risico’s en het waar mogelijk bijsturen ervan is een belangrijke beheersmaatregel. Vanuit de risicoschouw die we eind september hebben georganiseerd, constateren we dat de bestuurlijke risico’s die we in ons viermaandenverslag hebben benoemd nog steeds relevant zijn en om continue aandacht vragen. Deze kunnen een zeker restrisico opleveren dat het ministerie van SZW en UWV samen zullen moeten accepteren.

Het gaat om de volgende restrisico’s:

  • Het risico dat de implementatie van de veranderagenda vertraging oploopt wordt groter door een opeenstapeling van veranderingen, zoals het vervangen van verouderde ICT‑systemen, het uitvoeren van ICT‑projecten om de dienstverlening te verbeteren en de implementatie van nieuwe wet- en regelgeving.

  • Het risico op informatiebeveiliging en privacy (IB&P-)incidenten is een serieus restrisico omdat wij zeker tot het einde van 2022 nodig hebben om alle benodigde beheersmaatregelen te implementeren.

  • Het risico op minder maatschappelijk draagvlak voor het socialezekerheidsstelsel en minder vertrouwen in de overheid bij een te strikte koers op het tegengaan van fraude, misbruik en oneigenlijk gebruik van uitkeringen.

  • Het risico op financiële en reputatieschade door onvoldoende zicht op de risico’s voortkomend uit compliance.

  • Het risico op discontinuïteit in de dienstverlening door cyberaanvallen.

  • Het risico op vertraging of terugval in de kwaliteitsontwikkeling die UWV moet doormaken.

  • Het risico op het niet waarmaken van de maatschappelijke verwachtingen.

Hieronder staan we stil bij de eerste drie risico’s. Voor een beschrijving van de overige restrisico’s verwijzen wij naar het hoofdstuk Risicobeheersing in ons viermaandenverslag 2021.

  • Het risico dat de implementatie van de veranderagenda vertraging oploopt wordt groter door een opeenstapeling van veranderingen, zoals het vervangen van verouderde ICT‑systemen, het uitvoeren van ICT‑projecten om de dienstverlening te verbeteren en de implementatie van nieuwe wet- en regelgeving.
    De veranderopgave drukt nog meer op de organisatie dan we in de eerste vier maanden hebben ervaren. We hebben te maken met een verouderd ICT‑landschap. De komende jaren zetten we in op grootschalige vernieuwing bij onze bedrijfsonderdelen Werkbedrijf, Uitkeren en Sociaal Medische Zaken (SMZ) en bij de afdeling Datawarehouse. Daar komt bij dat we ons midden in een grote migratie van onze datacenterdienstverlening naar een nieuwe datacenterleverancier bevinden. Verder staan we voor de opgave om de informatiehuishouding op orde brengen, wat niet alleen de nodige ICT‑veranderingen maar ook organisatorische veranderingen vereist. We hebben daarnaast de ambitie om onze dienstverlening te verbeteren met de extra middelen die het kabinet heeft gereserveerd in het kader van de Parlementaire ondervragingscommissie Kinderopvangtoeslag. Ons bedrijfsonderdeel Sociaal Medische Zaken staat voor een ingrijpende omslag naar een nieuwe manier van werken die meer evenwicht moet brengen tussen de beschikbare en de benodigde beoordelingscapaciteit. Ook staat er nog een aantal aanpassingen in wet- en regelgeving op het programma, zoals de uitvoering van de Subsidieregeling STAP‑budget. De verwachting is dat een nieuw kabinet daarnaast aanpassingen in nieuwe wet- en regelgeving op ons werkveld wil doorvoeren die een verdere wissel kunnen trekken op onze verandercapaciteit. Deze verandercapaciteit staat al onder druk door de bestaande onderbezetting op cruciale kennisfuncties. We moeten duidelijke prioriteiten gaan stellen om te voorkomen dat de belangrijkste veranderingen vertraging oplopen of dat we beloftes en verwachtingen niet kunnen waarmaken.

  • Het risico op informatiebeveiliging- en privacyincidenten is een serieus restrisico omdat wij zeker tot het einde van 2022 nodig hebben om alle benodigde maatregelen te implementeren.
    We voeren momenteel een gapanalyse uit op de Baseline Informatiebeveiliging Overheid (BIO). Hiermee krijgen we een breed overzicht van waar UWV wel en niet voldoet aan de BIO, de voorgenomen maatregelen om de knelpunten op te lossen en de belangrijkste restrisico’s op het gebied van informatiebeveiliging en privacy (IB&P). Uitgangspunt bij de implementatie van de BIO is dat er cyclisch en methodisch vanuit een Plan‑Do‑Check‑Act (PDCA)‑cyclus wordt omgegaan met informatiebeveiliging. Verder bereiden we de bedrijfsbrede implementatie voor van een Information Security Management System (ISMS). Hierin kan IB&P‑informatie worden vastgelegd met betrekking tot risico-, beveiliging- en privacybescherming, waardoor een betere basis ontstaat voor rapportage en sturing. Daarnaast werken we aan de informatiebeveiliging van het systeem Sonar. Daarmee zullen we naar verwachting tot ver in 2022 bezig zijn. Voor de volledige strategische IB&P‑veranderagenda en de geplande tijdslijnen verwijzen we naar het UWV Informatieplan 2022–2026. Het gegeven dat de implementatie van al deze beoogde maatregelen nog een aantal jaar in beslag zal nemen, impliceert dat er een restrisico zal blijven op IB&P‑incidenten.

  • Het risico op minder maatschappelijk draagvlak voor het socialezekerheidsstelsel en minder vertrouwen in de overheid bij een te strikte koers op het tegengaan van fraude, misbruik en oneigenlijk gebruik van uitkeringen.
    De publieke opinie over burgers die in de knel komen door een falende overheid is veranderd, de kinderopvangtoeslagaffaire heeft hierin als een katalysator gewerkt. Als publieke dienstverlener balanceren we continu in een driehoek tussen dienstverlening, efficiency en handhaven. We bieden een goede dienstverlening aan burgers en werkgevers, waarbij we voldoende aandacht hebben voor de menselijke maat en we ons werk zo efficiënt mogelijk inrichten. We baseren onze dienstverlening op vertrouwen in de mensen die ervan gebruikmaken. Als mensen door ons handelen in de knel komen, proberen we een zo goed mogelijke oplossing te bieden. Zo zien we af van terugvordering van door onze nalatigheid te veel uitbetaalde uitkeringsgelden aan uitkeringsgerechtigden die zowel een WW‑uitkering als een Ziektewet- of Wazo‑uitkering ontvangen en zijn we gestopt met het terugvorderen van voorschotten die zijn betaald aan mensen die te lang op een WIA‑claimbeoordeling hebben moeten wachten. Dat betekent niet dat we in alle situaties te veel betaalde uitkeringen niet meer zullen terugvorderen. Uitkeringen worden betaald uit publieke middelen en daar moeten we zeer zorgvuldig mee omgaan. Het echte misbruik en oneigenlijk gebruik van uitkeringen blijven we bestrijden. De veranderde publieke opinie maakt dat de maatschappelijke acceptatie van onze handhavingsactiviteiten kleiner is geworden. Dit vraagt allereerst om meer uitleg over waarom en hoe we handhaven en daarnaast om een nog selectievere handhavingsaanpak, waarbij we mensen die te goeder trouw handelen zo min mogelijk belasten. Daarvoor maken we gebruik van nieuwe technologieën, waarvan de implementatie nog tijd vraagt. Het risico bestaat dat in de publieke opinie het beeld ontstaat dat dit niet snel genoeg gaat of tot onvoldoende selectie leidt.

Lees aanvullende informatie in de publieke bijlagen

Ga direct naar

Toevoegen aan verslag