Risicomanagement en risicobeheersing zijn binnen UWV belangrijke thema’s. Risicomanagement zien wij als een continue ontwikkeling waarbij voortdurende alertheid nodig is om te anticiperen op nieuwe risico’s die zich kunnen voordoen. Hieronder beschrijven we onze activiteiten om risico’s te onderkennen, de ontwikkelingen met betrekking tot de bestuurlijke risico’s en welke maatregelen en acties wij treffen om deze risico’s zo klein mogelijk te maken.
Risicomanagement
Voor het bereiken van onze strategische doelstellingen en het functioneren van het risicomanagementsysteem heeft UWV een organisatiecultuur nodig waarin medewerkers alert zijn op signalen dat wet- en regelgeving niet aansluit bij de bedoeling van de wet, dat systemen of werkprocessen niet werken of dat fouten worden gemaakt in de organisatie. Hierop actie ondernemen vraagt om risicoleiderschap van medewerkers en leidinggevenden.
Voor het jaar 2022 ligt de nadruk op het versterken van risicoleiderschap binnen geheel UWV. Het gaat er daarbij om dat risico’s worden onderkend en op het juiste niveau van beheersmaatregelen en/of acties worden voorzien. Hiervoor worden onder andere tweemaal per jaar op divisieniveau gesprekken gevoerd met medewerkers over de risico’s die zij signaleren. Daarnaast hebben we een leermodule risicoleiderschap opgezet waarvoor alle leidinggevenden, controllers en kwaliteitsadviseurs zijn uitgenodigd. In de periode april tot en met juni 2022 zullen ruim achthonderd medewerkers uit de doelgroep deze opleiding volgen.
Restrisico’s
Uit de risicoschouw in het voorjaar van 2022 is gebleken dat de strategisch‑bestuurlijke risico’s voor het bereiken van onze afgesproken doelen zoals we die in ons jaarverslag over 2021 hebben benoemd onveranderd actueel zijn. Deze strategische risico’s kunnen een zeker restrisico opleveren dat het ministerie van Sociale Zaken en Werkgelegenheid (SZW) en UWV samen zullen moeten accepteren. Van een aantal restrisico’s hebben we al melding gemaakt in ons jaarverslag 2021. Over de beheersmaatregelen die we hierop de afgelopen periode hebben genomen, rapporteren we hieronder. Verder gaan we in op het restrisico dat er een terugval in de kwaliteitsontwikkeling kan ontstaan. Dit restrisico is in de afgelopen periode in diverse overleggen tussen het ministerie van SZW en UWV besproken.
Vertraagde uitvoering (ICT-)veranderopgave
Door de begrensde capaciteit is er het risico dat de implementatie van de veranderagenda vertraging oploopt, waardoor we bepaalde ambities zoals het vernieuwen van de digitale dienstverlening voor burgers en werkgevers en de digitale ondersteuning van UWV‑medewerkers niet kunnen waarmaken. We werken aan de prioritering van onze ICT‑portfolio om de beschikbare capaciteit optimaal in te zetten. Ons ICT‑capaciteitsmanagement versterken we door specifieke skills die we tekortkomen in kaart te brengen en met gerichte werving. Dit voorjaar is een programma gestart dat als doel heeft om de maakbaarheid van onze ICT te vergroten. Het programma beoogt een verbeterde voortgang, samenhang en coördinatie in de uitvoering. Thema’s hierin zijn prioritering, optimaliseren van capaciteit, snellere besluitvorming en automatisering van de ICT‑ontwikkelingsprocessen. Zie ook deel 1 van dit viermaandenverslag, paragraaf ICT en informatiebeveiliging en privacy.
Informatiebeveiliging- en privacyincidenten
Verdergaande digitalisering en veranderende wet- en regelgeving, ook in EU‑verband, stellen steeds hogere eisen aan informatiebeveiliging en privacy (IB&P). Zolang we nog niet voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) bestaat het risico dat zich IB&P‑incidenten voordoen. Begin 2022 is een in‑controlverklaring over 2021 opgeleverd voor een deel van de kritische bedrijfsprocessen. Aan de hand van de hierbij in kaart gebrachte kwetsbaarheden zijn verbeterplannen opgesteld die in 2022 worden uitgevoerd. In 2022 zetten we ook stappen in de verdere aansluiting op rijksbrede IB&P‑standaarden voor de andere bedrijfsprocessen en systemen.
Cybercrime
Het is vrijwel onmogelijk om onze systemen sluitend te wapenen tegen cybercrime. Als gevolg van digitale aanvallen die discontinuïteit in onze dienstverlening kunnen veroorzaken, is er sprake van een voortdurend risico. Recent is een aanscherping van de cybersecurityroadmap opgeleverd, die de basis vormt voor plannen voor uitvoering van maatregelen om cybercrime te voorkomen.
Discontinuïteit sociaal-medische beoordelingen
Doordat de vraag naar sociaal‑medische beoordelingen de beschikbare capaciteit overstijgt, kunnen we deze beoordelingen niet altijd tijdig verrichten, waardoor er het risico is dat mensen een langere periode in onzekerheid verkeren. We zijn gestart met de implementatie van een aantal belangrijke beheersmaatregelen om deze mismatch te verkleinen, maar de voortgang is langzamer dan beoogd vanwege gebrek aan verandercapaciteit in de uitvoering, de grote achterstanden en de constante druk daarop. We blijven daarom in gesprek met het ministerie van SZW over aanvullende wijzigingen in werkwijzen en/of ingrijpende maatregelen in wet- en regelgeving om de hoeveelheid werk in lijn te brengen met de beschikbare capaciteit. Zie ook paragraaf Sociaal‑medische dienstverlening in deel 1 en de gelijknamige paragraaf in deel 2 van dit viermaandenverslag.
Maatschappelijke verwachtingen niet waar kunnen maken
Er is een reëel risico dat we maatschappelijke verwachtingen niet kunnen waarmaken, met als gevolg dat het vertrouwen in UWV en de overheid daalt. We willen dat mensen UWV ervaren als één organisatie met oog voor de menselijke maat. Om het vertrouwen in UWV te herstellen, gaan we onze dienstverlening de komende jaren stap voor stap verbeteren. Leidende principes in ons nieuwe dienstverleningsconcept zijn eenvoud en gemak in communicatie, alert zijn op preventie, rekening houden met de persoonlijke situatie van mensen, zorgvuldig en ethisch omgaan met gegevens, samenwerken met andere partijen en rekening houden met wat voor mensen doenlijk is. We hebben hiervoor een UWV‑breed programma ingericht waarbij wij onder andere de extra middelen benutten die het kabinet beschikbaar heeft gesteld om onze dienstverlening te verbeteren naar aanleiding van de conclusies en aanbevelingen van de Parlementaire ondervragingscommissie Kinderopvangtoeslag (POK). Om gebeurtenissen en ontwikkelingen die mogelijk nadelige gevolgen voor onze cliënten hebben vroegtijdig te herkennen, gaan we binnen de bedrijfsonderdelen risicomeldpunten inrichten die signalen registreren en zorgpunten bewaken.
Naast deze restrisico’s die we al in het jaarverslag benoemden, voorzien we nog een aanvullend restrisico waarop we hieronder ingaan.
Terugval in kwaliteitsontwikkeling
Vertraging of terugval in de kwaliteitsontwikkeling van UWV kan ontstaan door de stapeling van veranderingen waarmee UWV te maken heeft, zoals de ICT‑veranderingen, de verbeteringen in onze dienstverlening via het programma Dienstverlening en de veranderingen die nodig zijn om te voldoen aan de BIO. Daarnaast heeft ook UWV moeite om vacatures te vervullen door de krappe arbeidsmarkt en een grotere uitstroom van medewerkers, en zijn we voor bepaalde specialistische functies afhankelijk van externen. Dit heeft zijn weerslag in de organisatie en hierdoor verliezen we de nodige focus op kwaliteitsontwikkeling. Het goed uitvoeren van regelingen is er in de loop van de jaren niet gemakkelijker op geworden. De regelgeving wijzigt vaker dan voorheen en is complexer dan ooit. Bezuinigingen in het verleden en de daarmee gepaard gaande focus op efficiency hebben hun sporen achtergelaten in de dienstverlening. Ook is de politiek‑maatschappelijke context veranderd: een fout bij een individuele cliënt kan onderwerp van een parlementair debat worden. Om deze ontwikkelingen het hoofd te bieden hebben wij ingezet op de verbetering van het vakmanschap van onze medewerkers, met nadrukkelijk oog voor de menselijke maat. Dit doen we via de UWV‑academies, door medewerkers tijd te geven om te leren en door hen beter te ondersteunen met adequate ICT‑systemen. Verder doen we er alles aan om nieuwe medewerkers te werven en vast te houden en zetten we in op talentontwikkeling.