Tag: Compliancecultuur

  • Eigenaarschap in compliance: zo zorg je dat regels ook echt van iemand zijn

    Eigenaarschap in compliance: zo zorg je dat regels ook echt van iemand zijn

    Veel organisaties geloven dat hun compliance goed geregeld is. Er ligt beleid, processen zijn beschreven en medewerkers weten waar de documentatie staat. Op papier klopt het allemaal.

    Tot er iets gebeurt.

    Een incident blijft liggen. Een auditvraag leidt tot stress omdat informatie niet direct voorhanden is. Of een klant stelt een kritische vraag en niemand weet zeker wie erover gaat. Dan blijkt dat de regels wel bestaan, maar dat het eigenaarschap niet stevig genoeg is.

    Compliance werkt alleen wanneer iemand zich verantwoordelijk voelt. Niet omdat het ergens staat, maar omdat die persoon het oppakt precies op het moment dat dit nodig is.

    In deze blog gaat het over dat gevoel van verantwoordelijkheid. Waarom het vaak wegvalt, en hoe je eigenaarschap kunt organiseren zonder extra lagen, complexe structuren of een grote compliance-afdeling.

    Waarom eigenaarschap doorslaggevend is

    Wanneer naleving hapert, zie je dat het zelden ligt aan kennis of intentie. De oorzaak is bijna altijd dat niemand zich verantwoordelijk voelt. Niet omdat mensen onwillig zijn, maar omdat verantwoordelijkheden diffuse grenzen hebben.

    Veelvoorkomende problemen:

    • Een incident wordt besproken maar niet opgevolgd.
    • Een risicoanalyse wordt gemaakt en daarna niet meer bijgewerkt.
    • Een auditvoorbereiding wordt een race tegen de klok omdat taken nergens zijn toegewezen.
    • Verbeteracties verdwijnen omdat niemand ze langer bewaakt.

    Het gaat niet mis op papier; het gaat mis tussen mensen. Eigenaarschap is dat ene element dat de stap van papieren compliance naar echte naleving maakt.

    De twee lagen onder compliance; hard controls en soft controls

    Elke organisatie werkt, bewust of onbewust, met twee lagen:

    1. Hard controls
      De formele kant: beleid, procedures, maatregelen, regisraties, audits, versiebeheer.
    2. Soft controls
      De gedragskant: houding, voorbeeldgedrag, onderlinge verwachtingen, verantwoordelijkheidsgevoel.

    Soft controls zijn een onderdeel van ISO-normen, maar bepalen wel of die normen in de praktijk werken. Als iemand niet durft te melden, of denkt dat een collega iets wel oppakt, functioneren hard controls slechts gedeeltelijk.

    Zonder soft controls blijft compliance een papieren activiteit. Met soft controls wordt compliance onderdeel van dagelijkse keuzes.

    Waarom eigenaarschap zo makkelijk vervaagt

    Eigenaarschap raakt vaak op de achtergrond door een optelsom van kleine patronen:

    Het is niet helder wie ergens van is

    Wanneer verantwoordelijkheid te breed is (“HR doet privacy”,  “IT doet security”) voelt niemand zich echt verantwoordelijk. Hoe vager de rol, hoe kleiner de kans dat iemand het vanzelf oppakt.

    Er is geen plek waar taken zichtbaar worden

    Zonder gestructureerde registratie raken acties versnipperd. Mails verdwijnen. Excel raakt verouderd, en taken worden ad hoc opgepakt.

    Incidenten voelen als kritiek in plaats van signaal

    Wanneer een incident wordt gezien als fout in plaats van kans, melden mensen minder. Hoe minder informatie, hoe minder eigenaarschap.

    Prioriteit wint altijd van structuur

    Compliance is vaak een rol naast andere werkzaamheden. Zonder ondersteuning wint het urgente altijd van het belangrijke.

    Processen veranderen sneller dan rollen worden bijgewerkt

    Als het werk verandert maar de verantwoordelijkheden niet mee evolueren, ontstaat er snel een mismatch tussen verwachting en werkelijkheid.

    Eigenaarschap vervaagt zelden in één keer. Het verdwijnt langzaam door dagelijkse keuzes, kleine misverstanden en gebrek aan ritme.

    Hoe je eigenaarschap concreet en werkbaar maakt

    Hieronder staan vijf bouwstenen die eigenaarschap versterken zonder complexe reorganisaties of grote systemen.

    1. Houd verantwoordelijkheden klein en duidelijk

    Eigenaarschap ontstaat wanneer iemand precies weet wat er onder zijn of haar verantwoordelijkheid valt. Dit werkt alleen als:

    • één persoon eigenaar is van één onderwerp
    • de verantwoordelijkheid concreet is
    • het verband met risico’s en maatregelen duidelijk is

    Voorbeelden:

    • Niet: “HR is verantwoordelijk voor privacy.”
      Wel: “Eén persoon bewaakt inzageverzoeken en wettelijke termijnen.”
    • Niet: “IT beheert incidenten.”
      Wel: “Eén verantwoordelijke beoordeelt, registreert en sluit beveiligingsincidenten af.”

    Wanneer verantwoordelijkheid persoonlijk is, wordt opvolging vanzelf sterker.

    2. Zorg dat verantwoordelijkheden terugkomen in het dagelijks werk

    Eigenaarschap moet zichtbaar zijn in taken, niet alleen in documentatie.

    Dat betekent:

    • Terugkerende taken plannen
    • Opvolging registreren
    • Acties zichtbaar houden
    • Koppeling maken tussen risico’s en maatregelen
    • Inzicht creëren in wat openstaat en wat afgerond is

    Wanneer verantwoordelijkheden niet in het werkritme zitten, verdwijnen ze. Wanneer ze onderdeel worden van het werk, blijven ze leven.

    3. Gebruik incidenten om processen sterker te maken

    Incidenten laten zien hoe processen écht werken. Je hebt twee manieren om ze te benaderen:

    Als fout:
    De aandacht gaat naar een persoon die iets niet goed deed.

    Als signaal:
    Het incident laat zien waar het proces kwetsbaar is.

    In organisaties waar incidenten worden gezien als feedback op het proces, durven mensen eerder te melden en kunnen eigenaren sneller verbeteren. De kracht zit in de toon van het gesprek: niet “waarom deed jij dit” maar “wat zegt dit over hoe we werken”.

    4. Maak eigenaarschap haalbaar

    Eigenaarschap wordt pas duurzaam wanneer iemand de middelen heeft om het goed uit te voeren. Dat vraagt om:

    • Inzicht in alle relevante informatie
    • Duidelijke verwachtingen
    • Automatisering voor terugkerende taken
    • Actuele documentatie
    • Reminders die het geheugen ontlasten
    • Een werkproces dat niet afhankelijk is van losse lijstjes

    Overzicht is essentieel. Zeker wanneer mensen meerdere rollen tegelijk vervullen. Een lichtgewicht GRC-tool kan hier helpen, niet als extra laag, maar als rustpunt. Niet om nieuwe verplichtingen te introduceren, maar om grip te creëren.

    5. Maak gedrag onderdeel van het gesprek

    Compliance zit in dagelijkse keuzes, niet in documenten. Daarom helpt het om gedrag bespreekbaar te maken in korte, regelmatige momenten:

    • Wat viel je op in incidenten of risico’s?
    • Waar heb je getwijfeld over verantwoordelijkheden?
    • Welke signalen zag je, maar heb je niet opgepakt?
    • Wat heb je nodig om eigenaarschap beter te vervullen?

    Dit zijn geen evaluaties, maar microgesprekken die bewustzijn vergroten. Wanneer gedrag bespreekbaar is, ontwikkelen soft controls zich vanzelf.

    Hoe CompliTrack eigenaarschap ondersteunt

    Een tool creëert geen eigenaarschap, maar het maakt het wél zichtbaar en uitvoerbaar.

    • Risico’s, incidenten en acties krijgen één eigenaar
    • Opvolging wordt automatisch bewaakt
    • Iedereen werkt vanuit dezelfde informatie
    • Auditbewijslast ontstaat tijdens het werk
    • Structuur voorkomt dat verantwoordelijkheden verdwijnen

    Hierdoor wordt eigenaarschap minder afhankelijk van discipline of geheugen en meer van een voorspelbaar proces.

    Conclusie

    Compliance wordt niet sterk door meer beleid of uitgebreidere documentatie. Het wordt sterk wanneer verantwoordelijkheden duidelijk zijn, werkbaar zijn en gedragen worden.

    Eigenaarschap draait uiteindelijk om drie vragen:

    1. Wie is verantwoordelijk
    2. Wat betekent dat in de praktijk
    3. Hoe zorgen we dat deze persoon dat kan waarmaken

    Wanneer je die drie vragen scherp hebt, ontstaat een vorm van compliance die niet alleen op papier werkt, maar in de dagelijkse praktijk voelbaar is.

    Dat is de basis voor rust, transparantie en aantoonbare beheersing.

    Verder lezen

  • Iedereen kende de regel. Maar niemand voelde zich verantwoordelijk

    Iedereen kende de regel. Maar niemand voelde zich verantwoordelijk

    Het gebeurde tijdens een audit die tot dan toe normaal verliep. De auditor keek op, wees naar een maatregel in het dossier en vroeg wie verantwoordelijk was voor de maandelijkse controle van de toegangsrechten. De vraag was eenvoudig. Het antwoord bleef uit.

    Iemand keek naar IT. IT keek naar HR, HR keek naar de proceseigenaar. Het was geen onwil. Geen onkunde. Het was het soort stilte dat ontstaat wanneer iedereen denkt dat iemand anders het wel zal doen.

    De procedure bestond al jaren. Er was beleid. Er was een beschrijving. Er was zelfs ooit een Exceloverzicht met taken geweest. Toch wist niemand wie het eigenaarschap droeg. De controle werd soms uitgevoerd, soms niet. Soms door één persoon, soms door iemand anders. Tot er druk op kwam te staan. Tot er auditvragen kwamen. Tot de kwetsbaarheid zichtbaar werd.

    Het proces klopte op papier. De praktijk klopte niet.

    Regels verdwijnen wanneer niemand ze voelt

    Veel organisaties besteden tijd aan beleid, formats en procedures. Die zijn nodig, want zonder structuur wordt compliance willekeurig. Maar regels zorgen niet voor naleving. Het is gedrag dat bepaalt of een maatregel leeft of wegzakt.

    In eerdere blogs over incidentbeer en interne audits beschreef ik al hoe processen kunnen bestaan zonder dat ze iets betekenen voor het werk. Een procedure kan perfect geschreven zijn en toch compleet ineffectief zijn als niemand zich eigenaar voelt van wat erin staat. Dan ontstaat de situatie waarin iedereen de regel kent, maar niemand hem uitvoert.

    Deze audit liet dat pijnlijk duidelijk zien.

    De laag onder de procedures: soft controls

    Compliance kent twee lagen. De zichtbare laag van beleid, processen en taken. En de onzichtbare laag van houding, overtuigingen en gewoontegedrag. Juist die onderste laag bepaalt of de bovenste werkt.

    Wanneer die laag niet sterk is, zie je dezelfde symptomen telkens terugkomen. Incidenten die niet worden gemeld. Acties die blijven liggen tot vlak voor een audit. Taken waarvan iedereen denkt dat ze wel ergens opgepakt worden. In mijn eerdere blog over privacy werd dat treffend zichtbaar toen een inzageverzoek ineens blootlegde hoe versnipperd verantwoordelijkheden kunnen zijn.

    Soft controls zijn geen theorie. Ze zijn voelbaar in hoe mensen met elkaar werken. Vertrouwen. Voorbeeldgedrag. Aanspreekcultuur. Snappen waarom iets belangrijk is. Het zijn precies die elementen die bepalen of een organisatie grip heeft of alleen hoopt dat alles goed gaat.

    Het gesprek dat alles veranderde

    Na de audit ging het team om tafel. De vraag was niet welke procedure aangepast moest worden, maar waarom niemand zich verantwoordelijk voelde. Toen die vraag eenmaal gesteld was, werd zichtbaar hoe vaak verantwoordelijkheden in de praktijk impliciet blijven.

    Taken belanden bij mensen die toevallig tijd hebben. Documenten worden bijgewerkt door degene die een wijziging ziet. Controles gebeuren wanneer iemand eraan denkt. Het werkt zolang alles goed gaat. Tot er bewijs nodig is. Tot er iets misgaat. Tot een auditor iets vraagt dat niemand kan laten zien.

    In eerdere blogs over de samenhang van risico’s, incidenten en audits heb ik vaker laten zien hoe losse processen zorgen voor losse verantwoordelijkheden. Zonder structuur ontstaan er gaten. Die gaten vullen zich vanzelf, maar zelden door duurzame eigenaarschap.

    Dat gebeurde hier ook. De taak werd gedeeld door drie mensen. En dat voelde hetzelfde als geen een eigenaar hebben.

    Waarom regels niet worden gevolgd, zelfs als ze logisch zijn

    Er zijn drie redenen waarom regels verdwijnen, zelfs als ze nergens discussie oproepen.

    De eerste is onduidelijkheid. Een taak kan bestaan, maar nergens zichtbaar zijn. Niet in iemands werkvoorraad. Niet in de agenda. Niet in een gesprek. Taken die nergens landen, krijgen geen eigenaar. Dat liet de situatie rond leveranciersbeoordelingen in een eerdere blog ook zien: iedereen vulde iets in, maar niemand voelde zich verantwoordelijk voor de uitkomst.

    De tweede is een gebrek aan context. Als iemand niet begrijpt waarom iets belangrijk is, wordt het een verplicht nummer. En verplichte nummers verliezen altijd van urgente werkzaamheden. Zeker als de gevolgen niet direct voelbaar zijn.

    De derde is cultuur. In een omgeving waar fouten snel worden gezien als tekortkomingen, wordt melden onveilig. Dan verschuift gedrag van verantwoordelijkheid nemen naar problemen vermijden. Dat zorgt ervoor dat uitzonderingen nooit besproken worden, terwijl precies daar de risico’s zitten.

    Eigenaarschap ontstaat niet door het toe te wijzen

    Je kunt in een procedure vastleggen wie verantwoordelijk is. Je kunt het zelfs communiceren in een teamoverleg. Maar dat maakt iemand nog geen eigenaar.

    Eigenaarschap ontstaat wanneer iemand weet wat er verwacht wordt, begrijpt waarom dat belangrijk is en wordt ondersteund door een werkwijze die dat gedrag mogelijk maakt. Het begint bij duidelijkheid. Een taak die zichtbaar is. Een moment waarop die taak besproken wordt. Een ritme waarin die verantwoordelijkheid logisch voelt.

    Daarna komt betekenis. Niet omdat een norm het vraagt, maar omdat het risico anders reëel wordt. Pas wanneer mensen zien wat er misgaat zonder de maatregel, krijgt die maatregel gewicht.

    De laatste stap is ondersteuning. Het moet praktisch mogelijk zijn om verantwoordelijk te zijn. Niet door processen ingewikkeld te maken, maar door informatie logisch bij elkaar te brengen. Een overzicht van taken. Een vast ritme van opvolging. Een manier om te zien wat er openstaat en wat er afgerond is. In eerdere blogs over incidentbeheer heb ik laten zien hoe kleine veranderingen daarin grote verschillen kunnen maken.

    De combinatie van duidelijkheid, betekenis en ondersteuning maakt eigenaarschap vanzelfsprekend. Dan is de regel niet iets dat in een document staat, maar iets dat onderdeel is van het werk.

    Gedrag wordt zichtbaar in kleine patronen

    Je hoeft gedrag niet te meten met vragenlijsten. Je ziet het in het ritme van het werk. Worden incidenten gemeld. Worden acties opgevolgd. Worden bevindingen gebruikt om processen aan te passen. Komt dezelfde fout terug. Wordt een signaal opgepakt of genegeerd.

    Het zijn kleine dingen, maar ze laten haarscherp zien hoe sterk de soft controls zijn. Teams met duidelijke eigenaarschap laten een stabiel patroon zien. Teams zonder eigenaarschap werken reactief en worden vaker verrast door risico’s die allang zichtbaar waren.

    Gedrag hoeft niet ingewikkeld te zijn om invloed te hebben. Het zit in dagelijkse keuzes. En die keuzes bepalen uiteindelijk of je echt controle hebt of alleen een map vol procedures.

    Een kleine verandering met grote gevolgen

    In de situatie uit het begin is de controle vandaag nog steeds dezelfde taak. Alleen de manier waarop hij ingebed is anders.

    De taak is zichtbaar. De verantwoordelijke weet wanneer die eraan komt. De leiding ziet wanneer iets uitblijft. De auditor ziet dat het ritme klopt. Niet om te controleren, maar om te begrijpen hoe de organisatie werkt.

    De regel veranderde niet.

    De cultuur wel.

    Iedereen kende de regel nog steeds. Maar nu  voelde iemand zich verantwoordelijk.

    Dat is het verschil tussen compliance op papier en compliance die leeft.

    Verder lezen