Het gebeurde tijdens een audit die tot dan toe normaal verliep. De auditor keek op, wees naar een maatregel in het dossier en vroeg wie verantwoordelijk was voor de maandelijkse controle van de toegangsrechten. De vraag was eenvoudig. Het antwoord bleef uit.
Iemand keek naar IT. IT keek naar HR, HR keek naar de proceseigenaar. Het was geen onwil. Geen onkunde. Het was het soort stilte dat ontstaat wanneer iedereen denkt dat iemand anders het wel zal doen.
De procedure bestond al jaren. Er was beleid. Er was een beschrijving. Er was zelfs ooit een Exceloverzicht met taken geweest. Toch wist niemand wie het eigenaarschap droeg. De controle werd soms uitgevoerd, soms niet. Soms door één persoon, soms door iemand anders. Tot er druk op kwam te staan. Tot er auditvragen kwamen. Tot de kwetsbaarheid zichtbaar werd.
Het proces klopte op papier. De praktijk klopte niet.
Regels verdwijnen wanneer niemand ze voelt
Veel organisaties besteden tijd aan beleid, formats en procedures. Die zijn nodig, want zonder structuur wordt compliance willekeurig. Maar regels zorgen niet voor naleving. Het is gedrag dat bepaalt of een maatregel leeft of wegzakt.
In eerdere blogs over incidentbeer en interne audits beschreef ik al hoe processen kunnen bestaan zonder dat ze iets betekenen voor het werk. Een procedure kan perfect geschreven zijn en toch compleet ineffectief zijn als niemand zich eigenaar voelt van wat erin staat. Dan ontstaat de situatie waarin iedereen de regel kent, maar niemand hem uitvoert.
Deze audit liet dat pijnlijk duidelijk zien.
De laag onder de procedures: soft controls
Compliance kent twee lagen. De zichtbare laag van beleid, processen en taken. En de onzichtbare laag van houding, overtuigingen en gewoontegedrag. Juist die onderste laag bepaalt of de bovenste werkt.
Wanneer die laag niet sterk is, zie je dezelfde symptomen telkens terugkomen. Incidenten die niet worden gemeld. Acties die blijven liggen tot vlak voor een audit. Taken waarvan iedereen denkt dat ze wel ergens opgepakt worden. In mijn eerdere blog over privacy werd dat treffend zichtbaar toen een inzageverzoek ineens blootlegde hoe versnipperd verantwoordelijkheden kunnen zijn.
Soft controls zijn geen theorie. Ze zijn voelbaar in hoe mensen met elkaar werken. Vertrouwen. Voorbeeldgedrag. Aanspreekcultuur. Snappen waarom iets belangrijk is. Het zijn precies die elementen die bepalen of een organisatie grip heeft of alleen hoopt dat alles goed gaat.
Het gesprek dat alles veranderde
Na de audit ging het team om tafel. De vraag was niet welke procedure aangepast moest worden, maar waarom niemand zich verantwoordelijk voelde. Toen die vraag eenmaal gesteld was, werd zichtbaar hoe vaak verantwoordelijkheden in de praktijk impliciet blijven.
Taken belanden bij mensen die toevallig tijd hebben. Documenten worden bijgewerkt door degene die een wijziging ziet. Controles gebeuren wanneer iemand eraan denkt. Het werkt zolang alles goed gaat. Tot er bewijs nodig is. Tot er iets misgaat. Tot een auditor iets vraagt dat niemand kan laten zien.
In eerdere blogs over de samenhang van risico’s, incidenten en audits heb ik vaker laten zien hoe losse processen zorgen voor losse verantwoordelijkheden. Zonder structuur ontstaan er gaten. Die gaten vullen zich vanzelf, maar zelden door duurzame eigenaarschap.
Dat gebeurde hier ook. De taak werd gedeeld door drie mensen. En dat voelde hetzelfde als geen een eigenaar hebben.
Waarom regels niet worden gevolgd, zelfs als ze logisch zijn
Er zijn drie redenen waarom regels verdwijnen, zelfs als ze nergens discussie oproepen.
De eerste is onduidelijkheid. Een taak kan bestaan, maar nergens zichtbaar zijn. Niet in iemands werkvoorraad. Niet in de agenda. Niet in een gesprek. Taken die nergens landen, krijgen geen eigenaar. Dat liet de situatie rond leveranciersbeoordelingen in een eerdere blog ook zien: iedereen vulde iets in, maar niemand voelde zich verantwoordelijk voor de uitkomst.
De tweede is een gebrek aan context. Als iemand niet begrijpt waarom iets belangrijk is, wordt het een verplicht nummer. En verplichte nummers verliezen altijd van urgente werkzaamheden. Zeker als de gevolgen niet direct voelbaar zijn.
De derde is cultuur. In een omgeving waar fouten snel worden gezien als tekortkomingen, wordt melden onveilig. Dan verschuift gedrag van verantwoordelijkheid nemen naar problemen vermijden. Dat zorgt ervoor dat uitzonderingen nooit besproken worden, terwijl precies daar de risico’s zitten.
Eigenaarschap ontstaat niet door het toe te wijzen
Je kunt in een procedure vastleggen wie verantwoordelijk is. Je kunt het zelfs communiceren in een teamoverleg. Maar dat maakt iemand nog geen eigenaar.
Eigenaarschap ontstaat wanneer iemand weet wat er verwacht wordt, begrijpt waarom dat belangrijk is en wordt ondersteund door een werkwijze die dat gedrag mogelijk maakt. Het begint bij duidelijkheid. Een taak die zichtbaar is. Een moment waarop die taak besproken wordt. Een ritme waarin die verantwoordelijkheid logisch voelt.
Daarna komt betekenis. Niet omdat een norm het vraagt, maar omdat het risico anders reëel wordt. Pas wanneer mensen zien wat er misgaat zonder de maatregel, krijgt die maatregel gewicht.
De laatste stap is ondersteuning. Het moet praktisch mogelijk zijn om verantwoordelijk te zijn. Niet door processen ingewikkeld te maken, maar door informatie logisch bij elkaar te brengen. Een overzicht van taken. Een vast ritme van opvolging. Een manier om te zien wat er openstaat en wat er afgerond is. In eerdere blogs over incidentbeheer heb ik laten zien hoe kleine veranderingen daarin grote verschillen kunnen maken.
De combinatie van duidelijkheid, betekenis en ondersteuning maakt eigenaarschap vanzelfsprekend. Dan is de regel niet iets dat in een document staat, maar iets dat onderdeel is van het werk.
Gedrag wordt zichtbaar in kleine patronen
Je hoeft gedrag niet te meten met vragenlijsten. Je ziet het in het ritme van het werk. Worden incidenten gemeld. Worden acties opgevolgd. Worden bevindingen gebruikt om processen aan te passen. Komt dezelfde fout terug. Wordt een signaal opgepakt of genegeerd.
Het zijn kleine dingen, maar ze laten haarscherp zien hoe sterk de soft controls zijn. Teams met duidelijke eigenaarschap laten een stabiel patroon zien. Teams zonder eigenaarschap werken reactief en worden vaker verrast door risico’s die allang zichtbaar waren.
Gedrag hoeft niet ingewikkeld te zijn om invloed te hebben. Het zit in dagelijkse keuzes. En die keuzes bepalen uiteindelijk of je echt controle hebt of alleen een map vol procedures.
Een kleine verandering met grote gevolgen
In de situatie uit het begin is de controle vandaag nog steeds dezelfde taak. Alleen de manier waarop hij ingebed is anders.
De taak is zichtbaar. De verantwoordelijke weet wanneer die eraan komt. De leiding ziet wanneer iets uitblijft. De auditor ziet dat het ritme klopt. Niet om te controleren, maar om te begrijpen hoe de organisatie werkt.
De regel veranderde niet.
De cultuur wel.
Iedereen kende de regel nog steeds. Maar nu voelde iemand zich verantwoordelijk.
Dat is het verschil tussen compliance op papier en compliance die leeft.
Verder lezen
- Wanneer incidenten niet worden opgevolgd
Over hoe gemiste opvolging leidt tot terugkerende fouten. - Waarom audits misgaan wanneer gedrag niet meewerkt
Een verhaal over bewijs, stress en echte controle. - Wat een inzageverzoek laat zien over eigenaarschap
Een praktijkvoorbeeld dat duidelijk maakt hoe versnipperde verantwoordelijkheid risico’s creëert. - Hoe je risico’s, incidenten en audits verbindt tot één logisch werkproces
Over de waarde van samenhang in plaats van losse lijsten. - Waarom leveranciersrisico’s ontsporen wanneer niemand het voelt
Wat er misgaat wanneer processen geen eigenaar hebben.
Geef een reactie