Betrouwbaarheid niet-financiële informatie

Het SUWI-normenkader niet-financiële informatie schrijft voor dat de niet-financiële informatie in de verantwoording naar het ministerie van SZW op ordelijke, deugdelijke en controleerbare wijze tot stand komt. Dit normenkader dient als maatstaf bij het jaarlijkse onderzoek naar de betrouwbare totstandkoming van de niet-financiële informatie. Het geldt voor de prestatie-indicatoren uit dit jaarverslag en voor de zogenoemde VB-(verantwoord begroten)informatie die wij aan het ministerie leveren voor de verantwoording in het eigen jaarverslag van het ministerie over 2021. Op basis van onderzoek concluderen wij dat de totstandkoming van de prestatie-indicatoren en de VB-informatie voor 2021 voldoet aan de eisen die het SUWI-normenkader stelt. Uitzondering vormt de VB-informatie over de Wajong. Als gevolg van de inwerkingtreding van de Wet Vereenvoudiging Wajong per 1 januari 2021 moest de documentatie over de

UWV jaarverslag 2021 77 informatie over de Wajong worden aangepast. Dit is in 2021 nog niet gebeurd en wordt in 2022 alsnog opgepakt. We zullen in 2022 over de voortgang van de aanpassing van deze documentatie rapporteren.

6.5. Risicobeheersing

De complexe dienstverlening en bedrijfsvoering van UWV naast een omvangrijke veranderagenda vragen onveranderd om een intensieve beheersing van risico’s in alle onderdelen en lagen van onze organisatie.

Programma Versterking risicomanagement

Begin oktober 2019 is UWV gestart met het programma Versterking risicomanagement, na de benoeming van Janet Helder als bestuurslid voor een periode van twee jaar. Na deze termijn is de sturing op risicomanagement weer belegd in de lijnorganisatie. De meeste van de twintig in dit programma geformuleerde verbeteractiviteiten zijn grotendeels afgerond. In de zomer van 2021 is een UWV-breed wegingskader in gebruik genomen dat de proces- en inhoudslijnen beschrijft voor het ophalen, escaleren en duiden van risico’s. Binnengekomen risicosignalen worden gestructureerd vastgelegd in een uniform risicoregister voor de vier onderscheiden risicogebieden rechtmatige uitvoering, handhaving en fraude, kwaliteits- en uitvoeringsrisico’s en (externe) compliance. Voor UWV-medewerkers is een toolkit

risicomanagement ontwikkeld waarin deze instrumenten beschikbaar worden gesteld. We hebben veel energie gestoken in het actief ophalen van risicosignalen via risicosessies. Deze signalen worden vastgelegd in risicoregisters. De

bedrijfsonderdelen rapporteren hierover elk kwartaal in hun maandrapportage.

In het najaar van 2021 is integraal vastgelegd hoe UWV zijn risicomanagement verder wil versterken. Hierbij is de relatie gelegd met andere ontwikkelingen binnen UWV zoals de nieuwe strategie, de herijkte kwaliteitsvisie 2021–2025 en het dienstverleningsconcept. Voor de aanpak van risicomanagement zijn de volgende uitgangspunten bepaald en beschreven:

 Eigenaarschap voor risicomanagement in de lijn.

 Investeren in kwaliteit en vakmanschap.

 Three lines of accountability-model en managementcontrolsysteem.

 Vooruitkijken en communiceren en informeren over risico’s.

 Kritische houding op uitvoerbaarheid, handhaafbaarheid en risico’s bij nieuwe wet- en regelgeving.

 Proactieve en objectieve communicatie richting de buitenwereld.

Voor 2022 ligt de nadruk op het versterken van risicoleiderschap binnen heel UWV. Doel hiervan is dat risico’s tijdig worden onderkend en op de juiste niveaus van beheersmaatregelen en/of acties worden voorzien.

Risicobereidheid

De afgelopen jaren hebben we geïnvesteerd in het versterken van ons risicomanagement. Risicobereidheid, de

hoeveelheid risico die we bereid zijn te nemen of te lopen, is daarbij altijd impliciet aanwezig geweest. We zetten nu de eerste stappen om de risicobereidheid expliciet in kaart te brengen; dit zullen we in 2022 verder vormgeven.

Tabel Risicobereidheid

Risicocategorie Risicobereidheid Toelichting Maatschappelijke

impact Zeer laag Als uitvoeringsorganisatie bepalen we mede het gezicht van de overheid voor veel burgers en werkgevers. We voelen ons verantwoordelijk voor kwalitatief hoogwaardige dienstverlening aan cliënten, werkgevers en zakelijke relaties. Eventuele fouten vanuit ons handelen die hen raken, proberen we zo goed mogelijk te herstellen.

Strategisch en

operationeel Laag-gemiddeld We zorgen voor een continu beschikbare en een kwalitatief hoogwaardige dienstverlening. Om onze dienstverlening te verbeteren, zetten we in op het verbeteren van het vakmanschap van onze medewerkers, zorgen we voor ruimte voor maatwerk en voor toegankelijke en goed werkende ICT-systemen die up-to-date en stabiel zijn.

Financieel Laag We streven naar een solide financiële positie, waarbij we zorgen voor ruimte om projecten uit te voeren die onze dienstverlening verbeteren.

Hierbij zijn we ons continu bewust dat we omgaan met publieke middelen en verantwoorden we ons transparant tegenover de maatschappij over de ingezette middelen.

Compliance en fraude Zeer laag We spannen ons in om te voldoen aan de geldende wet- en regelgeving.

Onze risicobereidheid op het gebied van compliance en fraude is daarom dan ook zeer laag.

Planning-en-controlcyclus

UWV jaarverslag 2021 78 Op vaste momenten in de planning-en-controlcyclus halen we risico’s op uit de organisatie om deze vervolgens te wegen, waar mogelijk te beheersen en vervolgens het ministerie van SZW daarover te informeren. Dat doen we achtereenvolgens in het jaarplan, het vier- en achtmaandenverslag en het jaarverslag. Daarnaast hebben we in december een vergelijkende risicoanalyse met de SVB en het ministerie van SZW opgesteld en deze besproken met de gezamenlijke bestuursraad, de Audit Advies Commissie van UWV en het Audit Committee van het ministerie. De bestuurlijke risico’s die we voor het bereiken van onze afgesproken doelen in deze analyse (en het

achtmaandenverslag) hebben benoemd, kunnen een zeker restrisico opleveren dat het ministerie van SZW en UWV samen zullen moeten accepteren.

Restrisico’s

We voorzien de volgende restrisico’s.

Vertraagde uitvoering (ICT-)veranderopgave

Door de begrensde capaciteit is er het risico dat de implementatie van de veranderagenda vertraging oploopt, waardoor we bijvoorbeeld de ambitie om de digitale dienstverlening voor burgers en werkgevers en de digitale ondersteuning van UWV-medewerkers te vernieuwen, niet kunnen waarmaken. We staan voor grote noodzakelijke infrastructurele trajecten zoals het vervangen van ICT-systemen en het uitvoeren van ICT-projecten om onze dienstverlening te verbeteren, en de implementatie van nieuwe wet- en regelgeving. Deze veranderopgave drukt in 2022 nog meer op onze organisatie dan in 2021. We hebben bij het ministerie van SZW aangegeven dat we de komende jaren geen ruimte te hebben voor nieuwe grootschalige ICT-projecten in verband met nieuwe wet- en regelgeving. De minister heeft de Tweede Kamer in juli 2021 hierover geïnformeerd via de brief Stand van de uitvoering sociale zekerheid.

Daarbij waren brieven gevoegd van UWV en SVB over knelpunten in de uitvoering van wet- en regelgeving. We werken aan de prioritering van de portfolio om de beschikbare capaciteit optimaal in te zetten. Ons

ICT-capaciteitsmanagement versterken we door specifieke skills die we tekortkomen in kaart te brengen en met gerichte werving.

Informatiebeveiliging- en privacyincidenten

Er is een serieus risico op incidenten op het gebied van informatiebeveiliging en privacy (IB&P) doordat wij zeker tot 2025 nodig hebben om alle benodigde maatregelen te implementeren. Verdergaande digitalisering en veranderende wet- en regelgeving, ook in EU-verband, stellen steeds hogere eisen aan informatiebeveiliging en privacy. UWV heeft continu aandacht voor de zorgvuldige omgang met persoonsgegevens (zie deel 2 van dit jaarverslag, paragraaf 5.3). Zo sluiten we onze webportalen aan op de standaarden van DigiD en eHerkenning. Ook is er veel aandacht voor de bewustwording van medewerkers in het veilig omgaan met gegevens van burgers en bedrijven. We brengen de IB&P-kwetsbaarheden in onze organisatie in kaart. Zo zijn er op basis van een in 2021 uitgevoerde gapanalyse tussen de kritische bedrijfsprocessen en de BIO verbeterplannen opgesteld. De komende periode zetten we in op uitvoering van deze verbeterplannen en verdere aansluiting op rijksbrede IB&P-standaarden.

Cybercrime

Het is vrijwel onmogelijk om onze systemen sluitend te wapenen tegen cybercrime. Er is er sprake van een voortdurend risico als gevolg van digitale aanvallen die discontinuïteit in onze dienstverlening kunnen veroorzaken. We treffen zo veel mogelijk actuele maatregelen om inbreuk te voorkomen en zo adequaat mogelijk te kunnen reageren. UWV neemt deel aan het Nationaal Detectie Netwerk en treft daarnaast preventieve (‘in control’), detectieve (‘zo spoedig mogelijk zien’) en correctieve (‘zo spoedig mogelijk brand meester’) maatregelen. We blijven de zogeheten red-teamacties uitvoeren, waarbij cybersecurityaanvallen worden gesimuleerd. De bevindingen uit deze acties worden opgepakt en zorgen voor een betere verdediging.

Discontinuïteit sociaal-medische beoordelingen

Doordat de vraag naar sociaal-medische beoordelingen de beschikbare capaciteit overstijgt, kunnen we deze beoordelingen niet altijd tijdig verrichten, waardoor er het risico is dat mensen een langere periode in onzekerheid verkeren (zie deel 1 van dit jaarverslag, paragraaf 4.2). We zijn gestart met de implementatie van een aantal belangrijke maatregelen om deze mismatch te verkleinen, maar deze zijn niet afdoende om het risico volledig te beheersen. We blijven daarom in gesprek met het ministerie van SZW over aanvullende wijzigingen in werkwijzen en in wet- en regelgeving om te komen tot minder sociaal-medische beoordelingen.

Maatschappelijke verwachtingen niet waar kunnen maken

Er is een reëel risico dat we maatschappelijke verwachtingen niet kunnen waarmaken, met als gevolg dat het vertrouwen in UWV en de overheid daalt. Dat heeft te maken met twee factoren:

 De publieke opinie is veranderd, er is minder maatschappelijk draagvlak voor een te strikte koers bij het tegengaan van fraude, misbruik en oneigenlijk gebruik van uitkeringen.

 Vanwege de complexe wet- en regelgeving en gebrekkige systeemondersteuning kunnen we de kans op incidenten niet uitsluiten.

Om het vertrouwen in ons socialeverzekeringsstelsel te blijven borgen, hebben we ook een handhavingsrol. Het echte misbruik en oneigenlijk gebruik van uitkeringen blijven we bestrijden (zie deel 1 van dit jaarverslag, paragraaf 4.3). Als mensen door ons handelen in de knel komen, proberen we een zo goed mogelijke oplossing te bieden. Dat doen we op individueel niveau en ook bij incidenten die grotere groepen mensen treffen, zoals bij de complexe situatie waarin

UWV jaarverslag 2021 79 mensen ten onrechte zowel een WW- als Ziektewet-uitkering kregen. Deze onterechte betalingen hebben we vervolgens niet teruggevorderd (zie deel 1 van dit jaarverslag, paragraaf 4.1, onder het kopje Onterechte betalingen niet

teruggevorderd).