Een week voor de audit had iedereen z’n actiepunt. De risicoanalyse was afgerond, het beleid geüpdatet, de taken stonden in Excel. Maar in de dagen voor het auditgesprek bleek dat niemand opvolgde. Sommige controles waren niet uitgevoerd. Andere taken stonden nog open. En een van de belangrijkste actiepunten? Verdwenen in een mailbox.
Niet omdat mensen het niet wilden. Maar omdat niemand het écht als zijn of haar taak zag.
Dat is precies het verschil tussen een systeem op papier – en gedrag in de praktijk.
Gedrag als bepalende factor in compliance
In veel organisaties wordt compliance nog vooral gezien als iets dat je organiseert: je maakt beleid, schrijft processen uit, wijst taken toe en verzamelt bewijs. Maar of mensen zich aan afspraken houden, wordt niet bepaald door wat er op papier staat, maar door hoe ze zich gedragen.
Steeds vaker wordt in richtlijnen benadrukt dat gedrag en cultuur minstens zo belangrijk zijn als processen. Een goed voorbeeld is ISO 37301, een internationale norm die organisaties helpt om compliance structureel in te richten. Deze norm benoemt expliciet dat leiderschap, voorbeeldgedrag en betrokkenheid bepalend zijn voor effectiviteit. Het gaat dus niet alleen om wát je organiseert, maar ook om hoe mensen zich daartoe verhouden.
Dat brengt ons bij een belangrijk onderscheid dat in de praktijk vaak vergeten wordt: dat tussen harde en zachte beheersmaatregelen.
Hard controls vs. soft controls
- Hard controls zijn formeel: processen, verantwoordelijkheden, autorisaties. Ze zijn zichtbaar, meetbaar en goed vast te leggen
- Soft controls zijn gedragsmatig: aanspreekcultuur, betrokkenheid, voorbeeldgedrag. Ze zijn lastiger te meten, maar minstens zo bepalend voor naleving.
Hard en soft controls kunnen niet zonder elkaar. Hard controls bieden de structuur en het kader waarbinnen gedrag kan plaatsvinden: zonder processen, rollen en procedures ontbreekt overzicht, sturing en basisverantwoordelijkheid.
Maar andersom geldt net zo goed: zonder soft controls – zoals aanspreekgedrag, voorbeeldgedrag en betrokkenheid – blijven hard controls vaak dode letters. Het systeem bestaat, maar niemand leeft het na.
In deze blog richten we ons op die zachte kant van compliance. Juist omdat die vaak onderbelicht blijft, en omdat daar het verschil wordt gemaakt tussen naleven uit gewoonte of naleven vanuit overtuiging. Of zoals een auditor ooit zei: “Jullie systeem klopt perfect – op papier.”
Drie situaties waarin soft controls falen
1. Het scherm dat openbleef
Volgens het informatiebeveiligingsbeleid moet iedereen z’n werkstation vergrendelen. Maar dagelijks blijven schermen open staan. Waarom? Omdat niemand er iets van zegt. Geen aanspreekcultuur, geen sociale norm.
2. De risicoanalyse die niemand kende
Een externe adviseur levert een uitgebreide risicoanalyse. Maar het team herkent zich er niet in. De inhoud wordt niet besproken, en na publicatie verdwijnt het document in een mapje. Tot de auditor ernaar vraagt.
3. De auditactie die nergens terugkomt
Een bevinding wordt genoteerd, en wordt een actie uitgezet. Alleen: niemand krijgt een herinnering. Er is geen opvolging. Bij de hercontrole blijkt het punt nog open te staan. Iemand dacht dat iemand anders het had opgepakt.
In alle drie de gevallen is het systeem formeel in orde. Maar het gedrag faalt. En daarmee faalt ook de compliance.
Van structuur naar volwassenheid
Veel organisaties bewegen zich door herkenbare fasen van compliance-volwassenheid:
- Ad hoc – alles zit in hoofden of mailboxen
- Gestructureerd – beleid en processen zijn beschreven
- Herhaalbaar – controles worden periodiek uitgevoerd
- Meetbaar – afwijkingen worden vastgelegd en geanalyseerd
- Verankerd – gedrag ondersteunt het systeem
De eerste vier stappen kun je grotendeels organiseren met processen, documenten en planning. Maar het laatste niveau – verankering – vraagt iets anders: gedragen verantwoordelijkheid. En dat bereik je alleen met soft controls.
Gedrag is de enige manier waarop compliance vanzelfsprekend wordt. Niet omdat het moet, maar omdat het zo werkt.
Hoe tooling soft controls ondersteunt
Gedrag kun je niet automatiseren. Maar je kunt het wel zichtbaar maken, ondersteunen en faciliteren.
CompliTrack is gebouwd om precies dat te doen:
- Taken zijn persoonlijk en zichtbaar: iedereen weet wie waarvoor verantwoordelijk is
- Opvolging is gestructureerd: auditacties, herhaaltaken en risico’s worden automatisch gemonitord
- Inzicht is direct: het dashboard toont in één oogopslag wat er speelt
- Gedrag wordt bespreekbaar: eigenaarschap is transparant, en dus ook aanspreekbaar
Tooling vervangt gedrag niet. Maar als gedrag bepalend is voor naleving, wil je een systeem dat dat gedrag ondersteunt – niet ondermijnt.
Conclusie: Gedrag maakt het verschil
Een checklist zonder opvolging is niets waard. Een beleid zonder eigenaarschap blijft papier. Compliance werkt pas als het gedrag meewerkt.
Dat gedrag kun je ondersteunen. Door het zichtbaar te maken en door het te structureren. Door mensen verantwoordelijk te maken, zonder dat ze alles zelf moeten onthouden.
Wil je dat compliance geen auditstress blijft, maar een werkritme wordt? Dan begint het bij gedrag. En bij tooling dat dat gedrag faciliteert.
Wil je zien hoe CompliTrack soft controls zichtbaar maakt in jouw organisatie? Plan een demo en ontdek hoe gedrag en structuur samenkomen in één werkbaar systeem.
Gerelateerde blogs
- Hoe 52 cadeaubonnen onze compliance onderuit haalden – Een fictief verhaal over een security-incident als gevolg van CEO-fraude
- Waarom je GRC-tool niks oplevert als niemand ermee werkt – Over de noodzaak van draagkracht bij de implementatie van een GRC-tool
- De auditor zei niets. Tot hij deze vraag stelde. – Een verhaal over het gevaar van een papier werkelijkheid
Geef een reactie