Tag: compliance

  • SOC 2, ISO 27001 of ISAE 3402: wat vraagt je klant nu eigenlijk van je?

    SOC 2, ISO 27001 of ISAE 3402: wat vraagt je klant nu eigenlijk van je?

    Een klant stelt een ogenschijnlijk eenvoudige vraag:

    “Hebben jullie ISO 27001?”
    of
    “Kunnen jullie een SOC 2 rapport delen?”

    Op het eerste gezicht lijkt het duidelijk wat er gevraagd wordt. Toch is dat in de praktijk zelden het geval.

    De vraag gaat namelijk meestal niet over een specifiek certificaat of rapport, maar over vertrouwen. Alleen wordt dat vertrouwen vaak vertaald naar termen die niet precies aansluiten bij wat de klant daadwerkelijk probeert te toetsen. En juist daar ontstaan keuzes die achteraf niet goed blijken te passen.

    De vraag achter de vraag

    Wanneer een klant vraagt om ISO 27001, SOC 2 of ISAE 3402, probeert hij in de meeste gevallen één van drie dingen duidelijk te krijgen: of je zorgvuldig met informatie omgaat, of je interne beheersmaatregelen daadwerkelijk werken, of dat hij jouw processen veilig kan opnemen in zijn eigen keten.

    Dat zijn wezenlijk verschillende vragen. Toch zie je in de praktijk dat organisaties ze vaak op dezelfde manier beantwoorden, namelijk door te kijken welk certificaat of rapport ze nodig hebben. Daarmee verschuift de focus van de onderliggende behoefte naar de vorm waarin die behoefte wordt uitgedrukt.

    Het gevolg is dat trajecten worden gestart die óf zwaarder zijn dan nodig, óf onvoldoende aansluiten op wat de klant eigenlijk wil weten.

    Wat deze vormen van assurance écht betekenen

    Hoewel de termen vaak door elkaar worden gebruikt, verschillen ze inhoudelijk behoorlijk van elkaar.

    ISO 27001 is een certificering van een managementsysteem voor informatiebeveiliging. Het laat zien dat je structureel risico’s identificeert, passende maatregelen neemt en blijft verbeteren. Daarmee zegt het vooral iets over hoe je organisatie als geheel is ingericht en hoe je omgaat met informatiebeveiliging.

    SOC 2 heeft een andere insteek. Dit is geen certificaat, maar een assurance-rapport waarin een auditor beoordeelt hoe interne beheersmaatregelen zijn ingericht en functioneren. Daarbij is het onderscheid tussen Type I en Type II relevant. Een Type I-rapport kijkt naar de opzet van maatregelen op een bepaald moment, terwijl een Type II-rapport ook beoordeelt of die maatregelen over een langere periode aantoonbaar hebben gewerkt. De nadruk ligt daarmee meer op werking dan alleen op inrichting.

    ISAE 3402 richt zich weer op een ander vraagstuk. Deze rapportage is bedoeld voor situaties waarin een organisatie processen uitvoert die onderdeel zijn van de interne beheersing van haar klant. Denk aan uitbestede processen die invloed hebben op bijvoorbeeld financiële verslaggeving of operationele controles. In zo’n geval wil de klant zekerheid over hoe die processen zijn ingericht en functioneren, omdat hij daar zelf op moet kunnen steunen.

    Waarom deze begrippen door elkaar lopen

    In de praktijk zie je dat organisaties een klantvraag vaak direct vertalen naar een oplossing. Er wordt gevraagd om zekerheid, dus er wordt gedacht aan een certificaat of assurance-rapport.

    Die stap is begrijpelijk, maar vaak te snel.

    Een klant die om ISO 27001 vraagt, wil in veel gevallen simpelweg zeker weten dat informatiebeveiliging serieus en structureel wordt aangepakt. Een vraag naar SOC 2 kan voortkomen uit de behoefte om te zien dat maatregelen niet alleen bestaan, maar ook daadwerkelijk werken. En soms ligt de vraag nog een laag dieper, bijvoorbeeld wanneer een klant wil begrijpen wat er precies gebeurt in een proces dat hij aan jou uitbesteedt.

    Als je die onderliggende bedoeling niet scherp hebt, is de kans groot dat je optimaliseert voor de verkeerde uitkomst.

    De stap die vaak wordt overgeslagen

    Wat in dit soort situaties vaak ontbreekt, is een eenvoudige maar cruciale stap: doorvragen naar de bedoeling achter de vraag.

    Niet welk rapport of certificaat gewenst is, maar welk risico de klant probeert af te dekken en waar hij zekerheid over wil krijgen. In veel gevallen blijkt dat de oorspronkelijke vraag slechts een afgeleide is van een bredere zorg.

    Door dat gesprek te voeren, ontstaat vaak meer ruimte. Soms blijkt een lichtere vorm van bewijs voldoende. In andere gevallen wordt juist duidelijk dat een zwaardere vorm van assurance wél nodig is, maar dan met een heldere reden.

    Wanneer kies je wat?

    De keuze voor ISO 27001, SOC 2 of ISAE 3402 ontstaat idealiter pas nadat duidelijk is wat er precies wordt gevraagd.

    ISO 27001 past wanneer je wilt laten zien dat informatiebeveiliging structureel is ingericht en geborgd in je organisatie.

    SOC 2 is logischer wanneer je moet aantonen dat interne beheersmaatregelen niet alleen bestaan, maar ook aantoonbaar werken over een bepaalde periode.

    ISAE 3402 komt in beeld wanneer jouw processen onderdeel zijn van de controleomgeving van je klant en hij daar expliciet zekerheid over nodig heeft.

    De keuze zelf is dus minder ingewikkeld dan hij vaak lijkt. De complexiteit zit vooral in het goed begrijpen van de vraag die eraan voorafgaat.

    De valkuil van “meer is beter”

    Een veelgemaakte aanname is dat meer bewijs automatisch leidt tot meer vertrouwen. In dat denken voelt een combinatie van certificaten en rapportages al snel als de veilige keuze.

    In de praktijk werkt dat vaak anders.

    Zwaardere trajecten brengen meer auditdruk met zich mee, vragen meer onderhoud en maken processen complexer. Als die extra inspanning niet direct aansluit op wat de klant wil weten, levert het weinig op en kan het zelfs averechts werken.

    Vertrouwen ontstaat niet door de hoeveelheid bewijs, maar door de aansluiting ervan op de vraag.

    Structuur vóór certificering

    Veel organisaties beginnen bij de vorm: welk certificaat of welk rapport is nodig?

    Een sterkere aanpak begint eerder, namelijk bij de onderliggende structuur.

    Welke risico’s spelen er? Welke maatregelen zijn getroffen? Wie is waarvoor verantwoordelijk? En hoe wordt zichtbaar dat maatregelen daadwerkelijk werken?

    Wanneer die basis helder is, volgt de keuze voor een passende vorm van assurance bijna vanzelf. Zonder die basis wordt elk traject zwaarder, omdat het moet compenseren voor onduidelijkheid die eerder al aanwezig was.

    Wat klanten uiteindelijk willen zien

    Uiteindelijk zoeken klanten geen norm op zichzelf. Ze zoeken voorspelbaarheid.

    Ze willen begrijpen wat er gebeurt, waar risico’s zitten en hoe daarmee wordt omgegaan. Een certificaat of rapport is een manier om dat inzicht te geven, maar blijft altijd een middel.

    Niet het doel.

    Tot slot

    De vraag is dus niet zozeer of je ISO 27001 nodig hebt of een SOC 2 rapport moet laten opstellen.

    De relevantere vraag is wat je klant eigenlijk probeert zeker te weten.

    Wie dat scherp krijgt, voorkomt dat compliance een doel op zich wordt en maakt keuzes die passen bij de werkelijkheid in plaats van alleen bij de formulering van de vraag.

    Verder lezen

    Wil je dit onderwerp verder verdiepen?

  • Waarom je Statement of Applicability meer is dan een ISO 27001 control-lijst

    Waarom je Statement of Applicability meer is dan een ISO 27001 control-lijst

    Tijdens een audit komt de vraag vroeg of laat op tafel.

    Waarom is deze maatregel wel of niet van toepassing?

    Op dat moment wordt duidelijk hoe stevig de basis is. Niet in het document zelf, maar in het verhaal erachter.

    Veel organisaties hebben een Statement of Applicability die op papier klopt. Alle maatregelen staan erin, alles is ingevuld. Maar zodra er wordt doorgevraagd, blijkt dat keuzes lastig te herleiden zijn. Onderbouwing zit verspreid, of alleen nog in hoofden.

    En precies daar zit het verschil tussen voldoen aan ISO 27001 en begrijpen wat je doet.

    Wat een Statement of Applicability eigenlijk is

    De Statement of Applicability, of SoA, wordt vaak gezien als een overzicht van beheersmaatregelen uit Annex A. Dat klopt, maar het is slechts de vorm.

    In de kern is het document een overzicht van keuzes.

    Per maatregel leg je vast of deze van toepassing is, wat de motivatie is, hoe de implementatie eruitziet en waar dat aantoonbaar is. Maar belangrijker dan die velden is wat ze samen laten zien. Ze maken zichtbaar hoe een organisatie naar risico’s kijkt en welke afwegingen daarbij zijn gemaakt.

    De SoA is daarmee geen lijst van controls, maar een samenvatting van hoe beslissingen tot stand komen.

    Waarom auditors hier zwaar op leunen

    In de praktijk gebruiken auditors de SoA als startpunt om te begrijpen hoe een organisatie werkt.

    Niet omdat het document volledig moet zijn, maar omdat het laat zien of keuzes logisch en consistent zijn. Sluiten maatregelen aan op de risicoanalyse? Zijn uitsluitingen onderbouwd? Komt wat op papier staat overeen met hoe er daadwerkelijk gewerkt wordt?

    Daarmee wordt de SoA een toets op samenhang. Niet alleen binnen het document zelf, maar tussen risico’s, maatregelen en uitvoering.

    In veel situaties geeft dit document richting aan de audit. Als de onderbouwing klopt, verlopen gesprekken inhoudelijk. Als die ontbreekt, verschuift de audit naar zoeken en verklaren achteraf.

    Wat er misgaat als de SoA een control-lijst wordt

    De verleiding is groot om de SoA zo veilig mogelijk in te vullen. Alles op “van toepassing”, een bekende template gebruiken en minimale toelichting geven.

    Dat voorkomt discussie op papier, maar zorgt in de praktijk juist voor extra werk.

    Tijdens audits ontstaan meer vragen. Bewijs moet alsnog worden verzameld. Keuzes moeten achteraf worden uitgelegd. Ook richting klanten of partners kan onduidelijkheid ontstaan over waarom bepaalde maatregelen wel of niet zijn ingericht.

    Het probleem is zelden dat informatie ontbreekt. Het probleem is dat de afweging erachter niet zichtbaar is.

    En juist die afweging is waar auditors op toetsen.

    De relatie tussen risicoanalyse, Annex A en de SoA

    De SoA staat niet op zichzelf. Het document is onderdeel van een keten.

    De risicoanalyse bepaalt welke onderwerpen aandacht vragen. Annex A fungeert daarbij als referentiekader om te controleren of alle relevante beheersmaatregelen zijn overwogen. De SoA maakt vervolgens zichtbaar welke keuzes daaruit volgen.

    Zonder risicoanalyse wordt de SoA willekeurig. Dan is niet duidelijk waarom een maatregel wel of niet relevant is.

    Zonder SoA blijft de risicoanalyse abstract. Dan is niet zichtbaar wat er met die inzichten is gedaan.

    In de praktijk is dit ook het punt waar inhoud en besluitvorming samenkomen. Elke maatregel vraagt tijd, aandacht of investering. De SoA laat zien waarom die inzet logisch is, of waarom bewust voor een andere oplossing wordt gekozen.

    Voor een bredere uitleg van hoe risicoanalyse hierin werkt, zie ook De risicoanalyse: een onmisbaar instrument voor elke ondernemer.

    Wanneer je maatregelen bewust kunt uitsluiten

    Een veelvoorkomende misvatting is dat alle maatregelen uit Annex A moeten worden geïmplementeerd.

    Dat is niet hoe ISO 27001 bedoeld is.

    Wat wel verwacht wordt, is dat je kunt uitleggen waarom een maatregel niet van toepassing is. Bijvoorbeeld omdat deze niet relevant is voor de dienstverlening, omdat het risico aantoonbaar laag is, of omdat de maatregel op een andere manier wordt ingevuld.

    De kwaliteit zit niet in het vermijden van uitsluitingen, maar in de onderbouwing ervan.

    Een goed beargumenteerde keuze om iets niet te doen, is vaak sterker dan een maatregel die alleen op papier bestaat. In de praktijk gaat dit ook regelmatig mis, zoals beschreven in ISO 27001 Veelgemaakte fouten: 5 valkuilen en hoe je ze voorkomt.

    Wat een goede SoA zegt over je organisatie

    Een sterke SoA laat zien dat keuzes expliciet zijn gemaakt en dat risico’s serieus zijn afgewogen.

    Niet doordat alles is ingevuld, maar doordat de logica klopt. Maatregelen zijn herleidbaar. Uitsluitingen zijn begrijpelijk. De samenhang is zichtbaar.

    Voor auditors en klanten is dat vaak het eerste signaal van vertrouwen. Nog voordat ze de details bekijken, geeft dit document richting aan hoe de organisatie wordt beoordeeld.

    Wie dit goed op orde heeft, merkt dat audits minder defensief worden en meer gaan over inhoud. Dat sluit aan bij wat auditors feitelijk testen, zoals ook terugkomt in Wat auditors feitelijk testen, ook als ze het niet zo noemen.

    Hoe je de SoA werkbaar houdt

    De neiging is om dit zwaar te maken, met uitgebreide beschrijvingen en veel detail. Dat is meestal niet nodig.

    Wat wel nodig is, is duidelijkheid.

    Per maatregel moet helder zijn waarom deze relevant is en hoe die keuze tot stand is gekomen. Die motivatie hoeft niet lang te zijn, maar wel begrijpelijk. Daarnaast helpt het om steeds hetzelfde denkkader te gebruiken, zodat keuzes consistent blijven.

    De SoA werkt het best als hij aansluit op bestaande risico’s en acties. Niet als los document, maar als onderdeel van hoe je werkt.

    Wanneer die samenhang ontbreekt, ontstaat hetzelfde probleem dat je ook ziet bij andere compliance-documentatie. Op papier klopt het, maar de uitleg kost steeds opnieuw moeite. Dat effect wordt ook beschreven in ISO 27001 is geen eindpunt: Zo blijf je compliant zonder gedoe.

    Tot slot

    De Statement of Applicability is geen verplicht document voor de audit.

    Het is de plek waar zichtbaar wordt hoe serieus je keuzes neemt.

    Niet hoeveel maatregelen je hebt vastgelegd, maar of je kunt uitleggen waarom ze er zijn en hoe ze samenhangen.

    Daar zit het verschil tussen een document dat wordt bijgehouden en een document dat daadwerkelijk richting geeft.

    Verder lezen

    Maak keuzes zichtbaar zonder extra administratie

    Merk je dat je Statement of Applicability vooral een lijst is geworden?

    Of dat je per maatregel wel iets hebt ingevuld, maar niet altijd kunt herleiden waar de keuze vandaan komt?

    In de praktijk zit de uitdaging zelden in het document zelf, maar in de samenhang erachter. Hoe zorg je dat risico’s, maatregelen en bewijs logisch op elkaar aansluiten, zonder dat het extra werk oplevert?

    Dat begint niet met meer vastleggen, maar met beter vasthouden wat je al besluit. Zodra keuzes op één plek samenkomen en herleidbaar blijven, ontstaat overzicht vanzelf. En daarmee ook rust richting audits, klanten en interne besluitvorming.

  • Waarom meer documentatie zelden meer grip geeft

    Waarom meer documentatie zelden meer grip geeft

    Het begint vaak met een goed voornemen.

    Na een audit, een klantvraag of een intern overleg ontstaat het gevoel dat dingen beter vastgelegd moeten worden. Er komt een map, documenten worden toegevoegd, werkinstructies uitgewerkt en overzichten bijgehouden. Wat eerst impliciet was, krijgt een plek op papier.

    En voor even voelt dat als vooruitgang.

    Totdat iemand een eenvoudige vraag stelt. Hoe werkt dit precies? Waarom hebben we dit zo ingericht? Wie heeft dit ooit besloten?

    Het antwoord is er wel. Maar verspreid. Over documenten, notities en herinneringen. En nergens compleet.

    Waar het probleem ontstaat

    Documentatie wordt vaak gezien als middel om grip te krijgen. Als iets belangrijk is, moet het worden vastgelegd. En als het nog niet duidelijk genoeg is, moet er meer worden vastgelegd.

    Maar grip ontstaat niet door het aantal documenten. Het ontstaat door samenhang.

    In de praktijk groeit documentatie zelden vanuit één logisch geheel. Ze ontstaat in stappen. Een procedure na een audit. Een werkinstructie voor een nieuwe collega. Een overzicht voor rapportage. Elk document heeft een eigen aanleiding en een eigen doel.

    Op zichzelf klopt het. Samen vormt het geen geheel.

    Wat ontstaat, is geen structuur maar een verzameling.

    En een verzameling vraagt uitleg.

    Waarom meer documentatie het probleem vergroot

    Zodra documentatie begint te schuren, is de reflex bijna altijd hetzelfde. Er wordt uitgebreid. Meer toelichting, meer detail, meer documenten.

    Dat lijkt zorgvuldig, maar heeft een bijeffect.

    Elk nieuw document voegt een extra perspectief toe. Een extra plek waar iets “klopt”. Een extra versie van hoe iets bedoeld is. Zonder duidelijk kader ontstaat overlap.

    De formele werkwijze staat in het ene document. De praktische uitleg in een ander. De reden achter de keuze zit nog steeds in het hoofd van degene die erbij was.

    Op papier is alles aanwezig. In de praktijk moet iemand alsnog reconstrueren wat bedoeld werd.

    Daarmee verschuift het probleem. Niet een gebrek aan documentatie, maar een gebrek aan betekenis.

    Dit sluit aan bij Wanneer documentatie logisch klinkt, maar niets oplevert. Een document kan volledig en logisch zijn, en toch weinig helpen op het moment dat iemand moet begrijpen wat er echt speelt.

    Groei maakt dit zichtbaar

    Zolang dezelfde mensen betrokken blijven, werkt impliciete afstemming verrassend goed. Besluiten worden genomen in overleg en blijven hangen in het collectieve geheugen.

    Dat verandert zodra de organisatie groeit.

    Nieuwe mensen missen de voorgeschiedenis. Rollen verschuiven. Verantwoordelijkheden worden gedeeld. Vragen komen vaker van buitenaf en minder vanuit gedeelde context.

    Dan blijkt dat documentatie vooral laat zien wat er is vastgelegd, maar niet waarom.

    Waarom is dit acceptabel?
    Waarom is deze keuze gemaakt?
    Waarom is hier afgeweken?

    Zonder die context blijft uitleg afhankelijk van degene die het zich nog herinnert.

    Waarom gangbare oplossingen tekortschieten

    Wanneer documentatie onvoldoende houvast biedt, volgen meestal twee routes.

    De eerste is aanscherpen. Strakkere formats, meer verplichte velden en duidelijkere afspraken. Dat helpt tijdelijk, maar blijft afhankelijk van discipline.

    De tweede is uitbreiden. Meer detail, meer toelichting, meer documentatie. Dat maakt het geheel zwaarder zonder dat het begrijpelijker wordt.

    In beide gevallen blijft de kern hetzelfde. Er wordt gewerkt aan hoeveelheid, niet aan samenhang.

    Een nuttiger perspectief staat in Waarom vastleggen geen administratie is, maar geheugen. Vastleggen helpt pas als het ervoor zorgt dat je later nog begrijpt waarom iets zo is gedaan.

    Structuur en uitlegbaarheid

    Grip ontstaat wanneer keuzes herkenbaar blijven.

    Niet alles hoeft vastgelegd te worden. Juist de momenten waarop iets wordt besloten, afgewogen of bewust anders wordt gedaan, maken het verschil.

    Wanneer die momenten expliciet zijn, ontstaat een gedeeld referentiekader. Documentatie wordt dan geen verzameling losse stukken, maar een manier om betekenis vast te houden.

    Daarvoor is eenduidigheid nodig. Als dezelfde begrippen verschillend worden geïnterpreteerd, blijft uitleg nodig. In Waarom compliance software pas werkt als iedereen hetzelfde bedoelt wordt dat scherp zichtbaar gemaakt.

    Zonder gedeelde betekenis ontstaat geen grip, maar interpretatie.

    Tooling als gevolg

    Wanneer samenhang ontbreekt, ligt de stap naar tooling voor de hand. Een systeem waarin alles wordt vastgelegd en bijgehouden.

    Maar zonder duidelijk denkkader verandert een systeem vooral in een archief.

    Pas wanneer helder is welke keuzes zichtbaar moeten blijven en hoe ze samenhangen, kan ondersteuning helpen om consistentie vast te houden. Dan volgt tooling als logisch gevolg van structuur.

    Niet om meer vast te leggen, maar om te voorkomen dat betekenis verloren gaat.

    Tot slot

    Meer documentatie voelt als controle. Als iets niet duidelijk is, schrijven we het op. Als het daarna nog steeds schuurt, schrijven we meer op.

    Maar de vraag is niet hoeveel er is vastgelegd.

    De vraag is of iemand die er niet bij was, kan begrijpen waarom dingen zijn zoals ze zijn.

    Als uitleg afhankelijk blijft van losse documenten, herinneringen en interpretaties, ontbreekt er geen documentatie. Dan ontbreekt er samenhang.

    En precies daar ontstaat het verschil tussen vastleggen en begrijpen.

  • Wanneer documentatie wel bestaat, maar niets uitlegt

    Wanneer documentatie wel bestaat, maar niets uitlegt

    Tijdens een interne audit ontstaat een herkenbaar moment.

    De auditor vraagt hoe risico’s worden opgevolgd. Iemand opent een map met documenten. Er is een risico-overzicht, een actielijst, een procedure, een paar notulen en nog een aanvullende toelichting uit een eerder overleg. Alles is aanwezig. Er is zichtbaar werk van gemaakt.

    Toch wordt het gesprek niet eenvoudiger.

    Wat is nu leidend? Waarom is dit risico zo beoordeeld? Wanneer is deze maatregel echt afgerond? En waarom is een vergelijkbare situatie eerder anders behandeld?

    De documenten geven antwoorden, maar geen richting.

    Waarom dit probleem ontstaat

    Dit soort situaties ontstaat zelden doordat er te weinig wordt vastgelegd. Meestal gebeurt het tegenovergestelde. Documentatie groeit mee met de behoefte aan overzicht en controle.

    Na een audit komt er een actieoverzicht bij. Na een incident een aanvullende toelichting. Na een discussie een aangescherpte werkwijze. Elk document heeft een logische aanleiding en wordt met zorg opgesteld.

    Het probleem zit niet in die documenten afzonderlijk, maar in wat er samen ontstaat.

    Een verzameling.

    In de ankerblog Wanneer documentatie logisch klinkt, maar niets oplevert wordt dat zichtbaar. Documentatie kan op zichzelf kloppen, maar toch tekortschieten zodra iemand moet begrijpen hoe keuzes tot stand zijn gekomen.

    Waarom meer documentatie zelden meer grip geeft

    Wanneer uitleg lastig wordt, is de eerste reflex vaak om meer vast te leggen. Meer detail in procedures, meer toelichting in overzichten, meer afspraken in notulen.

    Dat voelt zorgvuldig, maar het effect is beperkt.

    Het probleem is meestal niet de hoeveelheid informatie, maar het ontbreken van samenhang. De afspraak staat in het ene document, de status in een ander overzicht en de reden achter een keuze zit in een gesprek dat niemand meer precies kan reconstrueren.

    Dan ontstaat een situatie waarin alles ergens vastligt, maar niets direct te volgen is.

    Een procedure beschrijft wat er zou moeten gebeuren, maar niet wanneer iemand daarvan afwijkt. Een risico-overzicht laat prioriteiten zien, maar niet hoe die zijn bepaald. Een actielijst toont voortgang, maar niet wat daarmee inhoudelijk is opgelost.

    Documentatie wordt dan opslag in plaats van houvast.

    Vastleggen versus verzamelen

    Het verschil tussen vastleggen en verzamelen zit niet in hoeveelheid, maar in bedoeling.

    Verzamelen betekent dat informatie wordt bewaard. Vastleggen betekent dat betekenis behouden blijft.

    Bij verzamelen ontstaat een archief. Informatie is aanwezig, maar de lezer moet zelf reconstrueren wat relevant is en waarom.

    Bij vastleggen ontstaat een geheugen. Je kunt volgen hoe een risico leidt tot een maatregel, hoe een beslissing tot stand kwam en wat dat betekent voor de praktijk.

    Dat vraagt andere keuzes.

    Niet: wat moeten we opschrijven?
    Maar: wat moet later nog te begrijpen zijn?

    Structuur en uitlegbaarheid

    Structuur wordt vaak gezien als iets dat het werk zwaarder maakt. In de praktijk doet goede structuur het tegenovergestelde. Het voorkomt dat uitleg telkens opnieuw moet worden bedacht.

    Structuur betekent dat duidelijk is welke informatie bij elkaar hoort en waarom.

    Waarom is iets als risico gezien?
    Wie heeft bepaald dat een maatregel voldoende was?
    Wat betekent “afgerond” in deze context?

    Dat zijn de momenten waarop uitlegbaarheid ontstaat. Niet achteraf, maar op het moment dat keuzes worden gemaakt.

    Diezelfde gedachte komt terug in Waarom vastleggen geen administratie is, maar geheugen. Vastleggen heeft pas waarde wanneer iemand later kan begrijpen waarom iets zo is ingericht, zonder afhankelijk te zijn van degene die erbij was.

    Wat audits zichtbaar maken

    Audits maken dit verschil snel duidelijk. Niet omdat een auditor elk document afzonderlijk beoordeelt, maar omdat hij probeert te begrijpen hoe de organisatie werkt.

    Een auditvraag gaat zelden alleen over het bestaan van een document. De onderliggende vraag is of de organisatie kan uitleggen hoe een keuze tot stand kwam.

    Daar raakt dit onderwerp aan Wat auditors feitelijk testen, ook als ze het niet zo noemen. In de praktijk draait het vaak om consistentie, herleidbaarheid en eigenaarschap, niet om de hoeveelheid documentatie.

    Wanneer de uitleg verspreid is over documenten, mailboxen en herinneringen, wordt een eenvoudige vraag al snel een reconstructie. Wanneer keuzes samenhangend zijn vastgelegd, blijft het gesprek overzichtelijk.

    Van informatie naar gedeeld begrip

    Een bijkomend risico van losse documentatie is dat dezelfde termen verschillend worden gebruikt. Wat de één een risico noemt, ziet de ander als aandachtspunt. Wat voor de één afgerond is, voelt voor een ander nog open.

    Daarom sluit dit onderwerp aan op Waarom compliance software pas werkt als iedereen hetzelfde bedoelt. Niet vanwege de software zelf, maar vanwege het onderliggende punt: grip ontstaat pas wanneer betekenis gedeeld wordt.

    Zonder gedeeld begrip blijft documentatie afhankelijk van interpretatie. Dan lijkt alles vastgelegd, maar moet betekenis telkens opnieuw worden ingevuld.

    Reflectie

    Veel organisaties hebben meer documentatie dan ze denken. Het probleem is zelden dat er niets is opgeschreven.

    De relevantere vraag is of de documentatie helpt wanneer iemand doorvraagt.

    Kun je uitleggen waarom een keuze is gemaakt?
    Kun je laten zien hoe een risico leidde tot een maatregel?
    Kun je terugvinden waarom iets is geaccepteerd, uitgesteld of afgerond?

    Als dat niet lukt, ontbreekt meestal geen document.

    Dan ontbreekt structuur.

    En precies daar ligt het verschil tussen verzamelen en vastleggen. Een verzameling bewaart informatie. Goede vastlegging bewaart betekenis.

  • SOC 2, ISO 27001 of ISAE 3402: wat vraagt je klant nu eigenlijk van je?

    SOC 2, ISO 27001 of ISAE 3402: wat vraagt je klant nu eigenlijk van je?

    Steeds vaker krijgen organisaties vragen van klanten over security, audits of compliance. Soms heel concreet, bijvoorbeeld:

    “Hebben jullie ISO 27001?”
    “Kunnen jullie een SOC 2 rapport delen?”
    “Hebben jullie een ISAE 3402 verklaring?”

    Voor veel organisaties voelt zo’n vraag als het begin van een zwaar traject. Certificering, audits, rapportages. Maar voordat je zo’n traject start, is het verstandig om eerst een andere vraag te stellen:

    Wat probeert de klant eigenlijk zeker te weten?

    Want in de praktijk blijkt vaak dat de vraag en de bedoeling niet hetzelfde zijn.

    Waarom klanten steeds vaker om assurance vragen

    Organisaties worden steeds afhankelijker van software, platforms en externe dienstverleners. Data wordt gedeeld, systemen worden gekoppeld en processen worden soms zelfs volledig uitbesteed.

    Wanneer een organisatie een deel van haar bedrijfsvoering afhankelijk maakt van een leverancier, ontstaat er een logisch risico. Als die leverancier fouten maakt, onvoldoende beveiligd is of processen niet goed beheerst, kan dat direct gevolgen hebben voor de klant.

    Daarom vragen steeds meer organisaties om bewijs dat processen en beveiliging onder controle zijn.

    Die vragen gaan meestal over drie onderwerpen: informatiebeveiliging, betrouwbaarheid van processen en continuïteit van dienstverlening.

    Opvallend genoeg gaat de vraag van een klant zelden echt over een specifieke norm. In de kern gaat het meestal om iets anders:

    Kunnen we erop vertrouwen dat jullie je zaken aantoonbaar op orde hebben?

    Verschillende vormen van certificering en assurance proberen dat vertrouwen op verschillende manieren zichtbaar te maken.

    ISO 27001: certificering van een managementsysteem

    ISO 27001 is een internationaal erkende norm voor informatiebeveiliging. De norm beschrijft hoe organisaties hun beveiliging structureel organiseren via een Information Security Management System (ISMS).

    Zo’n managementsysteem omvat onder andere een risicoanalyse, gekozen beveiligingsmaatregelen, beleid en procedures, monitoring en continue verbetering.

    Tijdens een certificeringstraject toetsen auditors of deze structuur daadwerkelijk functioneert. Zij kijken bijvoorbeeld naar de manier waarop risico’s worden geïdentificeerd, hoe maatregelen worden gekozen en beheerd, hoe incidenten worden opgevolgd en hoe verbeteringen worden doorgevoerd.

    Een risicoanalyse vormt daarbij een belangrijke basis voor het bepalen van passende beveiligingsmaatregelen.

    Het resultaat van een ISO 27001 traject is een certificaat, met jaarlijkse audits om te controleren of het managementsysteem blijft functioneren.

    ISO 27001 laat daarmee zien dat een organisatie informatiebeveiliging niet incidenteel regelt, maar structureel organiseert.

    Wie meer wil weten over hoe zo’n managementsysteem werkt, kan ook lezen: Wat is een ISMS en waarom is het belangrijk voor jouw bedrijf.

    SOC 2: assurance over interne controles

    SOC 2 is een assurance-raamwerk dat veel wordt gebruikt door technologiebedrijven en dienstverleners, vooral wanneer zij internationale klanten bedienen.

    In tegenstelling tot ISO 27001 is SOC 2 geen certificering, maar een auditrapport dat wordt opgesteld door een onafhankelijke auditor.

    De beoordeling is gebaseerd op de Trust Services Criteria, waaronder security, beschikbaarheid, vertrouwelijkheid, privacy en processing integrity.

    Tijdens een SOC 2 onderzoek beoordeelt een auditor of de interne controles van een organisatie passend zijn ingericht en of zij daadwerkelijk functioneren.

    Er bestaan twee varianten.

    SOC 2 Type I

    Beoordeelt of de controles op een bepaald moment goed zijn ingericht.

    SOC 2 Type II

    Beoordeelt ook of deze controles daadwerkelijk hebben gewerkt over een langere periode, meestal zes tot twaalf maanden.

    Het resultaat is een assurance-rapport dat organisaties kunnen delen met klanten en partners.

    Waar ISO 27001 een managementsysteem certificeert, rapporteert SOC 2 vooral over de opzet en werking van interne controles binnen de gekozen scope.

    ISAE 3402: assurance over uitbestede processen

    ISAE 3402 komt vooral voor bij organisaties die processen uitvoeren namens hun klanten.

    Denk bijvoorbeeld aan payroll-providers, administratieve dienstverleners of platforms die financiële processen ondersteunen.

    Het doel van een ISAE 3402 rapport is om aan te tonen dat de interne controles rond deze dienstverlening betrouwbaar functioneren.

    Dit is vooral relevant wanneer de dienstverlening invloed heeft op de financiële controleomgeving of financiële verslaggeving van de klant.

    Net als bij SOC 2 bestaan er twee varianten.

    Type I

    Een beoordeling van de opzet van het controlesysteem op een bepaald moment.

    Type II

    Een beoordeling van de werking van die controles over een langere periode.

    ISAE 3402 richt zich daarmee minder op informatiebeveiliging als geheel en meer op de betrouwbaarheid van processen die organisaties namens hun klanten uitvoeren.

    Waarom deze vragen vaak door elkaar lopen

    In de praktijk worden deze begrippen regelmatig door elkaar gebruikt.

    Een klant vraagt bijvoorbeeld om SOC 2 terwijl hij eigenlijk zekerheid wil over informatiebeveiliging. Een contract noemt ISAE 3402 terwijl het vooral over IT-security gaat. En soms vraagt een organisatie om ISO 27001 omdat dat de bekendste norm is.

    Dat gebeurt om verschillende redenen. Compliance-eisen worden vaak overgenomen uit bestaande contracten. In andere gevallen worden voorwaarden gekopieerd uit sectoren waar andere assurance-vormen gebruikelijk zijn. En soms weten klanten zelf niet precies welk type bewijs ze eigenlijk nodig hebben.

    Het gevolg is dat organisaties soms een zwaar traject starten voor een vraag die eigenlijk anders bedoeld was.

    Hoe bepaal je wat werkelijk nodig is

    De keuze tussen ISO 27001, SOC 2 of ISA 3402 hangt sterk af van de context waarin een organisatie opereert.

    ISO 27001 past goed wanneer je informatiebeveiliging structureel wilt organiseren en meerdere klanten zekerheid verwachten over security.

    SOC 2 komt vaker voor wanneer je internationale klanten bedient en klanten expliciet vragen om assurance-rapporten over interne controles.

    ISAE 3402 wordt vooral relevant wanneer je processen uitvoert die invloed hebben op de financiële controle van je klanten.

    Het doel is niet om zoveel mogelijk certificeringen of audits te verzamelen.

    Het doel is om het juiste bewijs te leveren voor de vraag die werkelijk wordt gesteld.

    Wat veel organisaties te laat ontdekken

    Veel organisaties starten een traject omdat één klant ernaar vraagt, een tender het noemt of omdat een certificering professioneel klinkt.

    Pas later blijkt dat de vraag eigenlijk anders bedoeld was, dat een lichter traject voldoende was geweest of dat de interne structuur nog niet klaar was voor zo’n audit.

    Daarom is de belangrijkste vraag vooraf niet:

    “Welke norm moeten we halen?”

    Maar:

    “Welk vertrouwen probeert de klant eigenlijk te krijgen?”

    Wanneer je dat helder hebt, kun je gerichter bepalen welke vorm van certificering of assurance daarbij past.

    Structuur vóór certificering

    Organisaties die starten met ISO-, SOC- of assurance-trajecten ontdekken vaak dat dezelfde basis nodig is.

    Risico’s moeten worden geïdentificeerd.
    Beheersmaatregelen moeten worden vastgelegd.
    Audits moeten worden uitgevoerd.
    Verbeteringen moeten worden opgevolgd.

    Wanneer die structuur ontbreekt, verandert compliance al snel in administratief werk.

    In CompliTrack komen risico’s, maatregelen, audits en verbeteracties samen in één overzichtelijke structuur. Daardoor ontstaat het inzicht dat nodig is voor certificeringen en assurance-trajecten, zonder dat organisaties hun processen onnodig hoeven te verzwaren.

    Verder lezen

    Wil je dieper ingaan op onderwerpen uit deze blog, dan zijn deze artikelen ook relevant:

  • Wanneer een auditor vertrouwen krijgt zonder checklist

    Wanneer een auditor vertrouwen krijgt zonder checklist

    Tijdens een audit komt vaak een vraag die op het eerste gezicht eenvoudig lijkt.

    “Hoe bepalen jullie eigenlijk welke risico’s prioriteit krijgen?”

    Er volgt een korte stilte. Niet omdat niemand het antwoord weet, maar omdat het lastig is om precies uit te leggen. Iedereen heeft er wel een beeld bij. De risicoanalyse wordt regelmatig besproken. Acties worden opgepakt. In de praktijk voelt het alsof er grip is.

    Maar zodra het gesprek concreet wordt, blijkt hoe veel van dat proces impliciet is.

    De ene collega kijkt vooral naar impact. Een ander let op waarschijnlijkheid. Soms speelt ervaring mee: “dit ging eerder bijna mis”. In andere gevallen weegt de druk van een klant of audit zwaarder. Het zijn allemaal begrijpelijke afwegingen, alleen staan ze nergens echt vast.

    Voor een auditor is dat een interessant moment.

    Niet omdat er per se iets fout gaat, maar omdat hier zichtbaar wordt hoe beslissingen werkelijk tot stand komen.

    Waarom dit probleem ontstaat

    In veel organisaties groeit risicobeheer geleidelijk. Er komt een overzicht van risico’s, een lijst met maatregelen en een paar afspraken over evaluatiemomenten. Dat werkt vaak prima zolang dezelfde mensen betrokken blijven.

    De context zit in gesprekken en ervaring. Iedereen weet ongeveer waarom iets als belangrijk wordt gezien. Daardoor voelt het systeem logisch, ook al is het niet volledig expliciet.

    Het probleem ontstaat pas wanneer iemand van buitenaf probeert te begrijpen hoe het werkt.

    Dan blijken keuzes moeilijk te reconstrueren. Niet omdat ze willekeurig zijn gemaakt, maar omdat het denkproces erachter nooit echt zichtbaar is geworden.

    In de blog Wat auditors feitelijk testen, ook als ze het niet zo noemen beschrijven we hoe auditors vaak minder kijken naar documenten en meer naar de vraag of een organisatie haar keuzes kan uitleggen en consistent kan onderbouwen.

    Waarom meer documentatie het probleem niet oplost

    Wanneer dit zichtbaar wordt, ontstaat vaak dezelfde reflex: meer vastleggen.

    Meer toelichting bij risico’s. Extra velden in het overzicht. Misschien een uitgebreidere risicomatrix. Dat geeft tijdelijk rust, maar verandert weinig aan het onderliggende probleem.

    Meer informatie betekent namelijk niet automatisch meer begrijpelijkheid.

    Wanneer het onderliggende besluitproces onduidelijk blijft, ontstaat er vooral meer documentatie rondom dezelfde vragen. Waarom staat dit risico hier? Waarom kreeg dit prioriteit? Waarom werd deze maatregel voldoende geacht?

    Daar komt nog iets bij. Mensen kunnen verschillende betekenissen geven aan dezelfde termen. Wat voor de één een risico is, ziet een ander pas als probleem wanneer de impact concreet wordt. In Waarom compliance software pas werkt als iedereen hetzelfde bedoelt wordt beschreven hoe zulke interpretatieverschillen ontstaan en waarom ze vaak pas zichtbaar worden wanneer iemand van buitenaf meekijkt.

    Wat auditors eigenlijk proberen te begrijpen

    Auditors kijken zelden alleen naar het bestaan van documenten of procedures. Ze proberen vooral te begrijpen hoe keuzes tot stand komen.

    Komen vergelijkbare situaties tot vergelijkbare beslissingen?
    Begrijpen mensen waarom een maatregel is gekozen?|
    Is duidelijk wie verantwoordelijk is wanneer omstandigheden veranderen?

    Wanneer die samenhang zichtbaar is, ontstaat vertrouwen. Zelfs wanneer niet elk detail perfect is vastgelegd.

    Het omgekeerde gebeurt ook. Een organisatie kan een uitgebreid risico-overzicht hebben, maar toch onzeker overkomen wanneer niemand precies kan uitleggen hoe prioriteiten ontstaan.

    Structuur als hulpmiddel voor uitlegbaarheid

    Daarom draait risicobeheer uiteindelijk minder om het aantal risico’s in een overzicht en meer om het moment waarop keuzes worden gemaakt.

    Wanneer wordt iets echt een risico?
    Wie bepaalt dat?
    Welke informatie speelt daarbij een rol?

    Zodra die momenten herkenbaar zijn, verandert de dynamiek. Beslissingen worden niet alleen genomen, maar ook herleidbaar. Niet omdat alles uitgebreid wordt gedocumenteerd, maar omdat de logica zichtbaar blijft.

    Dat raakt aan een breder vraagstuk: hoe beslissingen inzichtelijk blijven. In Waarom procesanalyse cruciaal is als je beslissingen wilt kunnen uitleggen wordt beschreven waarom juist die besluitmomenten belangrijk zijn voor governance en compliance.

    Structuur helpt hier als geheugen. Niet om elk detail vast te leggen, maar om betekenis vast te houden. Wanneer duidelijk is waarom een risico prioriteit krijgt en wie daarover beslist, verdwijnen veel interpretatieverschillen vanzelf.

    Discussies worden concreter. Evaluaties minder defensief.

    Wanneer vertrouwen ontstaat zonder checklist

    Opvallend genoeg reageren auditors vaak positief op zo’n situatie.

    Niet omdat ze een perfecte methode zien, maar omdat ze een organisatie zien die begrijpt hoe haar eigen keuzes tot stand komen. Waar beslissingen niet toevallig lijken, maar voortkomen uit een herkenbare manier van werken.

    Op dat moment wordt de checklist minder bepalend.

    De auditor hoeft minder te zoeken naar losse aanwijzingen dat het systeem werkt. De consistentie in het verhaal geeft al veel informatie.

    Reflectie

    Veel organisaties proberen vertrouwen te creëren door meer vast te leggen. Meer documenten, meer detail, meer bewijs.

    In werkelijkheid ontstaat vertrouwen vaak ergens anders.

    Bij het moment waarop iemand eenvoudig kan uitleggen waarom een risico belangrijk werd, waarom een maatregel gekozen is en wie daarvoor verantwoordelijkheid draagt.

    Niet omdat alles perfect is georganiseerd, maar omdat de logica achter beslissingen herkenbaar blijft.

    En juist daar begint de rust die auditors vaak zoeken. Niet in de checklist, maar in het verhaal dat erachter klopt.

    Verder lezen

  • Waarom uitleg vaak belangrijker is dan volledigheid

    Waarom uitleg vaak belangrijker is dan volledigheid

    Tijdens een auditgesprek gebeurt vaak iets opmerkelijks.

    De auditor stelt een eenvoudige vraag. Waarom is een bepaald risico als acceptabel beoordeeld? Waarom is een maatregel op deze manier ingericht? Waarom kreeg een incident geen vervolg?

    De organisatie heeft documentatie genoeg. Overzichten, registraties en notities uit eerdere evaluaties. Alles lijkt aanwezig.

    En toch valt er een stilte.

    Niet omdat er per se iets mis is gegaan, maar omdat niemand precies kan uitleggen hoe die keuze destijds tot stand kwam. Dat moment voelt ongemakkelijk. Niet doordat informatie ontbreekt, maar doordat de logica achter de keuze niet meer direct zichtbaar is.

    Waar het in de praktijk misgaat

    Veel organisaties gaan ervan uit dat een audit vooral draait om volledigheid. Zolang risico’s, maatregelen en acties ergens zijn vastgelegd, voelt het alsof de basis op orde is. Registratie is zichtbaar en controleerbaar. Het geeft het gevoel dat niets wordt vergeten.

    Tijdens een audit blijkt al snel dat registratie en uitlegbaarheid twee verschillende dingen zijn.

    Een overzicht laat zien wat er is vastgelegd.
    Een auditor wil vooral begrijpen waarom dat zo is gebeurd.

    Waarom is dit risico als laag ingeschat?
    Waarom is deze maatregel voldoende geacht?
    Waarom is een afwijking geaccepteerd?

    Wanneer die uitleg ontbreekt, helpt meer documentatie nauwelijks.

    Waarom dit probleem ontstaat

    De oorzaak ligt zelden in onzorgvuldigheid. In veel organisaties worden beslissingen juist zorgvuldig genomen, maar vaak in gesprekken, overlegmomenten of op basis van ervaring.

    Op dat moment is de context duidelijk. Iedereen begrijpt waarom een keuze logisch is.

    Later blijft vooral de uitkomst zichtbaar, terwijl de afweging zelf uit beeld raakt. Voor de mensen die erbij waren voelt de keuze nog steeds logisch. Voor iemand die later meekijkt is die logica niet vanzelfsprekend meer.

    Een simpele vraag kan daardoor onverwacht lastig worden om te beantwoorden.

    De reflex naar meer documentatie

    Wanneer organisaties dit herkennen, ontstaat vaak een voorspelbare reactie: er moet meer worden vastgelegd.

    Meer toelichting bij risico’s.
    Meer detail bij maatregelen.
    Meer documenten om keuzes te onderbouwen.

    Dat lijkt logisch, maar lost het kernprobleem zelden op.

    Meer documentatie zorgt namelijk niet automatisch voor meer duidelijkheid. Hoe meer losse registraties ontstaan, hoe moeilijker het wordt om het geheel te overzien. De organisatie weet steeds beter wat er staat, maar niet altijd meer hoe alles met elkaar samenhangt.

    Het resultaat is paradoxaal: meer documentatie, maar minder inzicht.

    Wat auditors eigenlijk proberen te begrijpen

    Auditors kijken zelden alleen naar documenten. Wat zij proberen te beoordelen, is of een organisatie begrijpt wat zij doet.

    Niet of elk detail is vastgelegd, maar of keuzes herkenbaar zijn.

    Daarom komt een auditvraag vaak neer op iets eenvoudigs: kun je uitleggen hoe je tot deze keuze bent gekomen?

    Wanneer iemand dat rustig kan toelichten, ontstaat vertrouwen. Niet omdat het systeem perfect is, maar omdat zichtbaar wordt dat beslissingen bewust zijn genomen.

    Als die uitleg ontbreekt, ontstaat het tegenovergestelde. Registraties lijken dan los te staan van de afwegingen die eraan voorafgingen.

    In de praktijk zie je dat auditors vaak letten op drie signalen. Worden vergelijkbare situaties consistent behandeld? Zijn beslissingen later nog te reconstrueren? En is duidelijk wie verantwoordelijk was voor de keuze?

    Wanneer die samenhang zichtbaar is, wordt een organisatie voorspelbaar en begrijpelijk. En juist dat weegt in audits vaak zwaarder dan de hoeveelheid documentatie.

    Meer hierover lees je ook in de blog Wat auditors feitelijk testen, ook als ze het niet zo noemen.

    Structuur als drager van uitleg

    De oplossing ligt daarom niet in meer vastleggen, maar in betere samenhang.

    Structuur helpt wanneer zij keuzes herkenbaar maakt. Wanneer duidelijk is wie een beslissing heeft genomen, op basis van welke informatie en waarom deze keuze toen logisch was.

    Dat hoeft geen uitgebreid dossier te zijn. Vaak is een korte toelichting al voldoende. Het verschil zit niet in de hoeveelheid informatie, maar in het vasthouden van betekenis.

    Wanneer die structuur aanwezig is, verandert ook het auditgesprek. Vragen worden makkelijker te beantwoorden, omdat de redenering achter keuzes nog zichtbaar is.

    Dezelfde gedachte komt terug in Consistentie als stille auditindicator en in Waarom procesanalyse cruciaal is als je beslissingen wilt kunnen uitleggen. In beide gevallen draait het minder om registraties en meer om de samenhang tussen keuzes.

    Wanneer uitleg vertrouwen creëert

    Tijdens audits zie je regelmatig dat organisaties met minder documentatie soms overtuigender overkomen dan organisaties met uitgebreide dossiers.

    Niet omdat ze minder doen, maar omdat ze beter kunnen uitleggen wat ze doen.

    Hun keuzes zijn herkenbaar.
    Hun afwegingen zijn consistent.
    Hun uitleg sluit aan op wat er daadwerkelijk gebeurt.

    Dat maakt het voor een auditor makkelijker om vertrouwen te hebben in het geheel.

    Reflectie

    Veel organisaties denken dat een audit vraagt om volledigheid. In werkelijkheid vraagt een audit vooral om begrijpelijkheid.

    Niet alles hoeft perfect vastgelegd te zijn. Maar wat is vastgelegd, moet wel te volgen zijn.

    Wie later nog kan uitleggen waarom een keuze logisch was, laat zien dat er grip is. Niet alleen op de registratie, maar op het denken erachter.

    En juist dat is vaak wat auditors werkelijk proberen te beoordelen.

    Verder lezen

  • Consistentie als stille auditindicator

    Consistentie als stille auditindicator

    Tijdens een auditgesprek komt vaak een ogenschijnlijk eenvoudige vraag op tafel.

    Een auditor wijst naar een risico in een overzicht en vraagt:
    “Waarom hebben jullie dit risico als acceptabel beoordeeld?”

    Het is geen strikvraag. Toch ontstaat er vaak een korte stilte. Niet omdat de beslissing verkeerd was, maar omdat niemand precies meer kan reconstrueren hoe die keuze destijds tot stand kwam.

    Iemand weet nog dat het in een overleg is besproken.
    Een ander herinnert zich dat er al een maatregel bestond.
    Misschien is er ergens een notitie of mail die de afweging bevat.

    De beslissing zelf was logisch. Maar het verhaal erachter blijkt lastiger terug te vinden.

    Waarom dit zo vaak gebeurt

    In veel organisaties worden beslissingen pragmatisch genomen. Er is context, ervaring en onderling begrip. Daardoor voelt het zelden nodig om uitgebreid vast te leggen waarom een keuze precies zo is gemaakt.

    Dat werkt zolang dezelfde mensen betrokken blijven en dezelfde context delen.

    De uitdaging ontstaat wanneer iemand van buiten meekijkt. Een auditor bijvoorbeeld, of een nieuwe collega. Dan blijkt dat veel beslissingen logisch waren op het moment zelf, maar moeilijker uit te leggen zijn zodra de oorspronkelijke context ontbreekt.

    Dat betekent niet dat de beslissing verkeerd was. Het betekent dat het denkproces erachter niet is vastgehouden.

    Wat auditors feitelijk proberen te begrijpen

    Auditors zoeken meestal niet naar perfecte documentatie of volledig uitgewerkte dossiers. In de praktijk proberen ze iets anders vast te stellen: of een organisatie consistent handelt.

    In gesprekken letten auditors bijvoorbeeld op vragen als:

    • worden vergelijkbare risico’s op een vergelijkbare manier beoordeeld
    • sluiten maatregelen logisch aan op de manier waarop risico’s worden beschreven
    • kunnen medewerkers uitleggen waarom een keuze is gemaakt

    Het gaat dus minder om losse antwoorden en meer om samenhang. Wanneer keuzes herkenbaar zijn en elkaar logisch opvolgen, ontstaat vertrouwen. Wanneer elke beslissing op zichzelf staat, wordt dat lastiger.

    Consistentie fungeert daardoor als een stille auditindicator. Niet omdat het expliciet wordt getest, maar omdat het zichtbaar wordt in vrijwel elk gesprek.

    Waarom gangbare oplossingen vaak tekortschieten

    Wanneer organisaties merken dat uitleg moeilijk wordt, ontstaat vaak een reflex om méér vast te leggen.

    Meer toelichting bij risico’s.
    Meer detail in registraties.
    Meer documenten om beslissingen te onderbouwen.

    Dat lijkt logisch, maar helpt vaak minder dan verwacht.

    Meer informatie maakt een besluit niet automatisch begrijpelijker. Zonder duidelijke structuur ontstaat juist meer ruimte voor interpretatie. Verschillende mensen leggen dezelfde situatie anders vast, waardoor het beeld minder consistent wordt.

    Het probleem is zelden een gebrek aan informatie. Het zit in het ontbreken van een herkenbaar kader waarbinnen beslissingen worden genomen.

    Structuur als drager van consistentie

    Consistentie ontstaat niet doordat organisaties altijd hetzelfde doen. Situaties verschillen en keuzes veranderen.

    Wat wel helpt, is structuur in de manier waarop keuzes worden vastgelegd en besproken.

    Wanneer duidelijk is hoe risico’s worden beoordeeld, wie verantwoordelijk is voor de afweging en hoe maatregelen worden gekoppeld aan die afweging, ontstaat vanzelf meer samenhang. Niet omdat alles strak wordt voorgeschreven, maar omdat het denkproces herkenbaar blijft.

    Die herkenbaarheid maakt het later eenvoudiger om keuzes toe te lichten. Niet alleen voor auditors, maar ook intern. Discussies worden concreter en beslissingen beter te herleiden.

    In eerdere blogs kwam dit mechanisme al terug. Zo beschrijven we in “Waarom procesanalyse cruciaal is als je beslissingen wilt kunnen uitleggen” hoe besluitvorming zichtbaar maken een voorwaarde is voor uitlegbaarheid. Ook “Waarom compliance software pas werkt als iedereen hetzelfde bedoelt” laat zien dat consistentie vooral ontstaat wanneer organisaties gedeelde betekenis vastleggen.

    Consistentie als signaal van volwassenheid

    In audits valt vaak op dat vertrouwen niet ontstaat door één perfect document of één goed antwoord. Het ontstaat doordat verschillende onderdelen van een organisatie hetzelfde verhaal vertellen.

    Een risico-overzicht dat aansluit op maatregelen.
    Beslissingen die passen bij eerdere keuzes.
    Medewerkers die vergelijkbare situaties op een vergelijkbare manier uitleggen.

    Wanneer die samenhang zichtbaar is, hoeft een auditor zelden lang door te vragen. Niet omdat alles foutloos is, maar omdat duidelijk wordt hoe de organisatie denkt en handelt.

    Dat maakt consistentie tot een stille indicator van volwassenheid.

    Reflectie

    Veel organisaties gaan ervan uit dat audits vooral draaien om controle van documenten of naleving van regels. In werkelijkheid proberen auditors vooral te begrijpen hoe een organisatie keuzes maakt.

    Consistentie speelt daarin een grotere rol dan vaak wordt gedacht.

    Niet omdat elke beslissing identiek moet zijn, maar omdat vergelijkbare situaties een herkenbare aanpak hebben. Wanneer die lijn zichtbaar blijft, wordt uitleg nauwelijks nog een probleem.

    Wie dit mechanisme beter wil begrijpen, kan ook kijken naar “Wat auditors feitelijk testen, ook als ze het niet zo noemen”, waarin uitgebreider wordt uitgelegd hoe auditors in de praktijk naar organisaties kijken.

    Verder lezen

  • Wat auditors feitelijk testen, ook als ze het niet zo noemen

    Wat auditors feitelijk testen, ook als ze het niet zo noemen

    Een audit begint zelden met spanning.

    Meestal begint het vrij praktisch.

    Een auditor stelt een paar vragen.
    Hoe registreren jullie incidenten?
    Wie beslist wanneer een risico acceptabel is?
    Hoe worden verbeterpunten opgevolgd?

    De eerste antwoorden zijn vaak duidelijk. Er is een document, een overzicht of een procedure. Alles lijkt logisch.

    Maar dan komt vaak een tweede vraag.

    “Kun je laten zien hoe dat in de praktijk werkt?”

    Op dat moment verandert het gesprek. Niet omdat er iets mis is, maar omdat zichtbaar wordt hoe het dagelijks werk zich verhoudt tot wat er is vastgelegd. Wat eerst vanzelfsprekend leek, moet ineens worden uitgelegd.

    Daar begint de echte audit.

    De herkenbare spanning rond audits

    Voor veel organisaties voelt een audit als controle. Alsof iemand komt toetsen of alles klopt. Daardoor verschuift de aandacht snel naar bewijs: documenten, registraties en rapportages.

    Dat is begrijpelijk. Wanneer een auditor vraagt naar risico’s of incidenten, wil je laten zien dat het onderwerp serieus wordt genomen.

    Toch blijkt in de praktijk dat auditors zelden alleen geïnteresseerd zijn in documenten. Ze proberen iets anders te begrijpen: hoe beslissingen tot stand komen.

    Niet of er een lijst met risico’s bestaat, maar hoe die lijst wordt gebruikt.
    Niet of incidenten worden geregistreerd, maar wat er daarna gebeurt.

    In veel organisaties zit precies daar de spanning.

    Waarom dit probleem ontstaat

    In veel organisaties zijn processen grotendeels impliciet georganiseerd. Mensen weten hoe het werk loopt. Rollen zijn duidelijk omdat teams klein zijn en iedereen elkaar kent. Beslissingen ontstaan in gesprekken en worden snel opgepakt.

    Dat werkt vaak prima.

    Totdat iemand van buiten meekijkt.

    Een auditor kijkt namelijk zonder de context van het dagelijks werk. Wat voor het team logisch voelt, moet ineens worden toegelicht. Waarom een risico prioriteit kreeg. Waarom een maatregel voldoende werd gevonden. Waarom een incident geen vervolg kreeg.

    Op dat moment wordt zichtbaar hoeveel kennis nooit expliciet hoefde te worden gemaakt.

    Niet omdat het werk onzorgvuldig is gedaan, maar omdat de logica altijd vanzelfsprekend was.

    De reflex van meer documentatie

    Wanneer organisaties zich voorbereiden op audits, ontstaat vaak dezelfde reflex: meer vastleggen.

    Er worden extra procedures geschreven. Overzichten uitgebreid. Registraties gedetailleerder gemaakt. Het idee is eenvoudig: als auditors bewijs vragen, moet dat bewijs ergens staan.

    Maar meer documentatie betekent niet automatisch meer duidelijkheid.

    Wanneer documenten losstaan van de praktijk waarin beslissingen worden genomen, blijven ze vooral bestaan voor het moment waarop iemand ernaar vraagt. In het dagelijks werk spelen ze een veel kleinere rol.

    Auditors merken dat snel. Ze stellen dan vragen die niet over het document zelf gaan, maar over wat erachter zit.

    Wie beslist wanneer een risico wordt geaccepteerd?
    Wie bepaalt of een incident wordt opgevolgd?
    Wanneer is een maatregel werkelijk afgerond?

    Het zijn vragen over keuzes, niet over documenten.

    Wat auditors proberen te begrijpen

    In de praktijk proberen auditors vooral te beoordelen of een organisatie haar eigen werkwijze begrijpt.

    Dat wordt zichtbaar in drie signalen.

    Consistentie.
    Vergelijkbare situaties worden op vergelijkbare manier behandeld.

    Herleidbaarheid.
    Beslissingen zijn later nog te reconstrueren.

    Eigenaarschap.
    Het is duidelijk wie verantwoordelijk is voor opvolging.

    Wanneer deze drie elementen aanwezig zijn, ontstaat vertrouwen. Zelfs wanneer processen nog niet perfect zijn uitgewerkt.

    Het verschil tussen vastleggen en begrijpen

    Veel organisaties proberen audits te doorstaan door zo volledig mogelijk te zijn. Alles moet ergens staan.

    Maar volledigheid is zelden het probleem.

    Het echte probleem ontstaat wanneer iets wel geregistreerd is, maar niet meer te begrijpen.

    Een risico staat in een overzicht, maar niemand weet waarom het zo is beoordeeld.
    Een maatregel staat als afgerond, maar het effect is nooit besproken.
    Een incident is geregistreerd, maar de afweging erachter ontbreekt.

    Voor een auditor voelt dat instabiel. Niet omdat het per se fout is, maar omdat de logica achter de keuzes niet meer zichtbaar is.

    Daarom weegt uitleg vaak zwaarder dan volledigheid.

    Structuur als hulpmiddel

    Structuur betekent hier niet meer regels of extra administratie. Het betekent dat beslissingen herkenbaar blijven.

    Waarom is een risico zo beoordeeld?
    Wie besloot dat een maatregel voldoende was?
    Wanneer is bewust gekozen om iets niet te doen?

    Wanneer die vragen later nog beantwoord kunnen worden, ontstaat rust. Niet alleen voor auditors, maar ook binnen de organisatie zelf.

    Discussies worden korter. Overdrachten eenvoudiger. Prioriteiten duidelijker.

    De audit verandert daarmee van een zoektocht naar bewijs in een gesprek over hoe het werk georganiseerd is.

    Reflectie

    Een audit gaat zelden over het vinden van fouten. Het gaat over begrijpen hoe een organisatie werkt.

    Wanneer keuzes zichtbaar blijven, ontstaat vertrouwen. Niet omdat alles perfect is vastgelegd, maar omdat de logica achter beslissingen herkenbaar blijft.

    Daarmee verandert ook de rol van een audit. Het wordt een moment waarop duidelijk wordt of structuur en praktijk nog met elkaar verbonden zijn.

    En precies daar wordt zichtbaar wat auditors feitelijk testen, ook als ze het niet zo noemen.

    Verder lezen

  • Minimum Viable Compliance: wat moet je echt vastleggen (en wat niet)

    Minimum Viable Compliance: wat moet je echt vastleggen (en wat niet)

    Compliance groeit bijna vanzelf.

    Na een incident komt er een registratie bij. Na een auditbevinding ontstaat een actie. Nieuwe eisen leiden tot extra documentatie, controles of rapportages. Wat zelden gebeurt, is het omgekeerde. Er wordt weinig weggehaald.

    Na verloop van tijd ontstaat daardoor een herkenbaar patroon. De hoeveelheid vastlegging neemt toe, maar het overzicht niet altijd. Documentatie groeit, registraties stapelen zich op en controles worden uitgebreid, terwijl het steeds lastiger wordt om snel uit te legen waar de belangrijkste risico’s zitten en welke keuzes zijn gemaakt.

    Precies daar begint een vraag die verrassend weinig wordt gesteld: wat is eigenlijk het minimale dat nodig is om aantoonbaar in control te zijn?

    Dat is de kern van Minimum Viable Compliance. Niet minder serieus omgaan met risico’s, maar scherper worden op wat werkelijk nodig is om risico’s te beheersen en keuzes te kunnen verantwoorden.

    Wat “viable” in compliance betekent

    Het woord minimaal roept al snel de associatie op met oppervlakkig of uitgekleed. In compliance werkt dat misleidend.

    Viable betekent niet dat je zo weinig mogelijk doet. Het betekent dat je precies genoeg organiseert om beslissingen te kunnen onderbouwen en later te kunnen uitleggen.

    In de praktijk komt dat neer op vier vragen:

    • Welke risico’s lopen we?
    • Welke maatregelen hebben we gekozen?
    • Wie is daarvoor verantwoordelijk?
    • Hoe weten we dat die maatregelen werken?

    Wanneer een organisatie deze vragen overtuigend kan beantwoorden, staat de basis van compliance.

    Alles wat daar niet direct aan bijdraagt, verdient kritische heroverweging.

    De minimale bouwstenen van compliance

    Wanneer je compliance terugbrengt tot de kern, blijven een aantal eenvoudige bouwstenen over. Niet als model of methodiek, maar als ondergrens voor bestuurbaarheid.

    Heldere definities

    Veel complianceproblemen beginnen bij interpretatieverschillen. Mensen gebruiken dezelfde woorden, maar bedoelen iets anders.

    Wanneer is iets een risico?
    Wanneer noem je iets een incident?
    Wanneer is een maatregel afgerond?
    Wat betekent afgehandeld?

    Zonder gedeelde definities verliest vastlegging betekenis. Registraties worden inconsistent en discussies blijven terugkomen.

    Juist daarom helpt het om een paar kernbegrippen expliciet vast te leggen. Niet uitgebreid, maar wel eenduidig. Dat voorkomt dat compliance verandert in implementatie.

    Dit raakt direct aan het onderwerp van de blog Waarom compliance software pas werkt als iedereen hetzelfde bedoelt.

    Eén plek waar risico’s en besluiten samenkomen

    Een lijst met risico’s is op zichzelf nog geen beslissing. Pas wanneer zichtbaar is wat ermee is gedaan, ontstaat sturing.

    Bij elk risico hoort daarom een besluit. Wordt het risico gemitigeerd of vermeden? Waarom is dat besluit genomen? En door wie?

    Wanneer risico’s, acties en besluiten verspreid raken over verschillende documenten, verdwijnt de samenhang. Dan wordt het lastig om het verhaal achter een keuze terug te vinden.

    Een risico zonder een besluit is uiteindelijk alleen een inventarisatie.

    Wie meer wil lezen over de basis van risicobeheer, kan ook kijken naar De risicoanalyse: een onmisbaar instrument voor elke ondernemer.

    Expliciet eigenaarschap

    Veel compliancevraagstukken zijn uiteindelijk geen inhoudelijk probleem, maar een verantwoordelijkheidsprobleem.

    Acties blijven liggen omdat niemand expliciet eigenaar is. Niet omdat ze onbelangrijk zijn, maar omdat opvolging impliciet blijft.

    Daarom is een eenvoudige regel vaak voldoende:

    • Elk risico heeft één eigenaar
    • Elke maatregel heeft een verantwoordelijke
    • Elke actie heeft een termijn.

    Zodra eigenaarschap helder is, ontstaat voortgang vanzelf sneller.

    Basisbewijs dat maatregelen werken

    Compliance vraagt aantoonbaarheid. Dat betekent niet dat alles uitgebreid moet worden gearchiveerd, maar wel dat de maatregelen zichtbaar functioneren.

    Dat bewijs kan bestaan uit besluitnotities, voortgangsoverzichten, reviewmomenten of een logische audittrail vanuit het proces zelf.

    Belangrijk is dat bewijs voortkomt uit het werk zelf. Wanneer bewijs alleen achteraf wordt verzameld, ontstaat juist twijfel over de betrouwbaarheid.

    De manier waarop organisaties omgaan met opvolging en verbeteringen zegt daarom vaak meer over hun compliancevolwassenheid dan de hoeveelheid documentatie. Dat onderwerp komt uitgebreider terug in Wat de opvolging van verbeterpunten zegt over hoe serieus je compliance neemt.

    Periodieke herijking

    Risico’s veranderen. Organisaties veranderen. Prioriteiten verschuiven.

    Toch wordt compliance nog vaak behandeld als een eenmalige analyse die daarna vooral wordt onderhouden. Zonder een vast moment van herijking veroudert zo’n analyse vanzelf.

    Een eenvoudig ritme helpt om dat te voorkomen. Een kwartaalreview, een jaarlijkse herbeoordeling of een evaluatie bij een belangrijke wijziging kan al voldoende zijn. Zolang het maar een terugkerend moment is waarop risico’s en uitzonderingen opnieuw worden bekeken.

    Wat vaak wél gebeurt, maar weinig toevoegt.

    Compliance wordt regelmatig zwaarder gemaakt door activiteiten die weinig bijdragen aan besluitvorming of beheersing.

    Voorbeelden zijn dubbele registraties, detailniveau dat niemand gebruikt, documenten die nooit worden geraadpleegd of dashboards die geen actie opleveren.

    Het probleem zit niet in dat ze bestaan. Het probleem is dat ze vaak blijven bestaan zonder dat iemand nog toetst of ze werkelijk iets toevoegen.

    Zodra vastlegging niet helpt om risico’s beter te begrijpen, keuzes explicieter te maken of maatregelen te toetsen, verandert ze in overhead.

    En overhead maakt compliance wel drukker, maar zelden beter.

    Eenvoud versus zekerheid

    Veel organisaties ervaren spanning tussen eenvoud en zekerheid. Certificering vraagt aantoonbaarheid. Wetgeving vraagt zorgvuldigheid. Klanten willen bewijs zien.

    Dat leidt gemakkelijk tot de reflex om meer vast te leggen.

    Toch blijkt in de praktijk dat een slanke inrichting vaak betrouwbaarder werkt. Wanneer rollen helder zijn, besluiten expliciet zijn vastgelegd en er een ritme van evaluatie bestaat, blijft compliance beter bestuurbaar.

    Eenvoud werkt alleen wanneer keuzes bewust zijn gemaakt. Minimum Viable Compliance betekent daarom niet minder discipline, maar gerichte discipline.

    Hoe toets je of jouw compliance “minimum viable” is

    Een eenvoudige zelftoets is vaak al voldoende.

    Kun je in tien minuten uitleggen:

    • Wat de belangrijkste risico’s zijn
    • Wie daarvoor verantwoordelijk is
    • Welke maatregelen momenteel lopen
    • Welke uitzonderingen bewust zijn geaccepteerd

    Wanneer dat overzicht ontbreekt, ligt het probleem meestal niet in een tekort aan documentatie. Vaker ontbreekt de structuur waarin risico’s, besluiten en opvolging logisch samenkomen.

    Minder is alleen beter als het bewust is

    Minimum Viable Compliance betekent niet dat je minder serieus met risico’s omgaat.

    Het betekent dat je alleen vastlegt wat nodig is om keuzes te dragen, risico’s te beheersen en verantwoording af te leggen.

    Compliance moet geen archief worden waarin alles ooit is opgeslagen. Het moet een geheugen zijn waarin zichtbaar blijft welke keuzes zijn gemaakt, waarom ze zijn gemaakt en wie daarvoor verantwoordelijkheid draagt.

    Zolang dat geheugen helder blijft, blijft ook de organisatie bestuurbaar.

    Verder lezen

    Deze artikelen sluiten inhoudelijk goed aan: