Ze hadden er maanden aan gewerkt.
Een informatiebeveiligingsbeleid. Een risicoregister. Procedures voor onboarding, back-ups, toegangsbeheer. Alles keurig uitgewerkt, besproken met het team en opgeslagen in een strak georganiseerde map op SharePoint.
Toen de SOC 2-audit dichterbij kwam, dachten ze: we zijn er klaar voor. En eerlijk gezegd leek het ook zo.
Tot de auditor niet vroeg wát ze hadden, maar hoe ze konden aantonen dat het ook wérkte.
De eerste vragen waren nog overzichtelijk:
“Wanneer is dit beleid voor het laatst geëvalueerd?”
“Wie is verantwoordelijk voor deze beheersmaatregel?”
“Hoe volgen jullie actiepunten op?”
“Welke risico’s zijn herzien na de wijziging van april?”
Het team wist het ongeveer. Maar ze konden het niet laten zíen. Er was geen log. Geen taakgeschiedenis. Geen centraal overzicht. Wat ze wél hadden: Word-bestanden, Excel-sheets en e-mails.
Versiebeheer gebeurde op gevoel.
Acties zaten in hoofden.
En processen waren onzichtbaar – behalve op papier.
Het moment waarop controle verandert in twijfel
De documenten waren inhoudelijk prima. Daar lag het niet aan. Maar er ontbrak iets: structuur. Traceerbaarheid. Bewijs.
Toen de auditor vroeg waar hij kon zien dat taken ook echt waren uitgevoerd, werd het ongemakkelijk.
De verantwoordelijke medewerker was ziek.
Verzonden e-mails? Misschien nog ergens.
Evaluatie van het beleid? Besproken in het teamoverleg, maar nergens vastgelegd.
Wat eerst voelde als controle, veranderde in twijfel. En die twijfel werd zichtbaar.
In onze eerdere blog over risicoanalyse schreven we:
“De risicoanalyse hoeft niet perfect te zijn. Maar hij moet leven in je organisatie” –> De risicoanalyse: een onmisbaar instrument voor elke ondernemer
In een SOC 2-traject wordt dat pijnlijk duidelijk. Je krijgt niet de vraag: “Heb je het geregeld”, je krijgt de vraag: “Kun je aantonen dat het werkt?”.
De fout die veel bedrijven maken
Ze beginnen met beleid. Logisch – dat is tastbaar. Iets dat je kunt schrijven, opslaan, afvinken.
Maar beleid zonder opvolging is façade, en SOC 2 kijkt dwars door façades heen.
Je moet kunnen aantonen:
- Wat de status is van je beheersmaatregelen
- Welke taken zijn uitgevoerd, door wie, en wanneer
- Hoe incidenten worden geregistreerd en opgevolgd
- Wanneer je risico’s hebt herzien – en waarom
Als dat overzicht ontbreekt, ontstaat auditstress. En soms: auditfalen.
Wat CompliTrack anders doet
CompliTrack is ontworpen voor dit soort situaties.
Voor bedrijven die wél serieus werk willen maken van compliance, maar geen zwaar en log GRC-systeem nodig hebben.
Met CompliTrack:
- Koppel je beleid aan risico’s, processen en acties
- Volg taken automatisch op – met eigenaarschap en herinneringen
- Bewijs wie wat heeft gedaan – en wanneer
- Houd je auditacties overzichtelijk en aantoonbaar
- Voorkom dat auditvoorbereiding voelt als damage control
Zo wordt compliance niet iets dat je bijhoudt, maar iets dat je organiseert.
Zoals we eerder schreven
“Je hoeft geen zware tool te kiezen. Maar je hebt wél een systeem nodig dat niet uit elkaar valt zodra iemand dóórvraagt.” –> Wat een lichtgewicht GRC-systeem wél moet kunnen doen voor het MKB
Later deze week publiceren we een praktische blog:
Wat is SOC 2 – en waarom je ‘m niet haalt met een mapje Word-bestanden.
Sta je aan het begin van een SOC 2- of ISA3402-traject?
Of wil je zeker weten dat je niet alleen op papier compliant bent?
Met CompliTrack maak je beleid, risico’s en opvolging aantoonbaar. Zonder paniek. Zonder zoekwerk. Zonder twijfel.
Geef een reactie