Tag: conformiteit

  • Wanneer een auditor vertrouwen krijgt zonder checklist

    Wanneer een auditor vertrouwen krijgt zonder checklist

    Tijdens een audit komt vaak een vraag die op het eerste gezicht eenvoudig lijkt.

    “Hoe bepalen jullie eigenlijk welke risico’s prioriteit krijgen?”

    Er volgt een korte stilte. Niet omdat niemand het antwoord weet, maar omdat het lastig is om precies uit te leggen. Iedereen heeft er wel een beeld bij. De risicoanalyse wordt regelmatig besproken. Acties worden opgepakt. In de praktijk voelt het alsof er grip is.

    Maar zodra het gesprek concreet wordt, blijkt hoe veel van dat proces impliciet is.

    De ene collega kijkt vooral naar impact. Een ander let op waarschijnlijkheid. Soms speelt ervaring mee: “dit ging eerder bijna mis”. In andere gevallen weegt de druk van een klant of audit zwaarder. Het zijn allemaal begrijpelijke afwegingen, alleen staan ze nergens echt vast.

    Voor een auditor is dat een interessant moment.

    Niet omdat er per se iets fout gaat, maar omdat hier zichtbaar wordt hoe beslissingen werkelijk tot stand komen.

    Waarom dit probleem ontstaat

    In veel organisaties groeit risicobeheer geleidelijk. Er komt een overzicht van risico’s, een lijst met maatregelen en een paar afspraken over evaluatiemomenten. Dat werkt vaak prima zolang dezelfde mensen betrokken blijven.

    De context zit in gesprekken en ervaring. Iedereen weet ongeveer waarom iets als belangrijk wordt gezien. Daardoor voelt het systeem logisch, ook al is het niet volledig expliciet.

    Het probleem ontstaat pas wanneer iemand van buitenaf probeert te begrijpen hoe het werkt.

    Dan blijken keuzes moeilijk te reconstrueren. Niet omdat ze willekeurig zijn gemaakt, maar omdat het denkproces erachter nooit echt zichtbaar is geworden.

    In de blog Wat auditors feitelijk testen, ook als ze het niet zo noemen beschrijven we hoe auditors vaak minder kijken naar documenten en meer naar de vraag of een organisatie haar keuzes kan uitleggen en consistent kan onderbouwen.

    Waarom meer documentatie het probleem niet oplost

    Wanneer dit zichtbaar wordt, ontstaat vaak dezelfde reflex: meer vastleggen.

    Meer toelichting bij risico’s. Extra velden in het overzicht. Misschien een uitgebreidere risicomatrix. Dat geeft tijdelijk rust, maar verandert weinig aan het onderliggende probleem.

    Meer informatie betekent namelijk niet automatisch meer begrijpelijkheid.

    Wanneer het onderliggende besluitproces onduidelijk blijft, ontstaat er vooral meer documentatie rondom dezelfde vragen. Waarom staat dit risico hier? Waarom kreeg dit prioriteit? Waarom werd deze maatregel voldoende geacht?

    Daar komt nog iets bij. Mensen kunnen verschillende betekenissen geven aan dezelfde termen. Wat voor de één een risico is, ziet een ander pas als probleem wanneer de impact concreet wordt. In Waarom compliance software pas werkt als iedereen hetzelfde bedoelt wordt beschreven hoe zulke interpretatieverschillen ontstaan en waarom ze vaak pas zichtbaar worden wanneer iemand van buitenaf meekijkt.

    Wat auditors eigenlijk proberen te begrijpen

    Auditors kijken zelden alleen naar het bestaan van documenten of procedures. Ze proberen vooral te begrijpen hoe keuzes tot stand komen.

    Komen vergelijkbare situaties tot vergelijkbare beslissingen?
    Begrijpen mensen waarom een maatregel is gekozen?|
    Is duidelijk wie verantwoordelijk is wanneer omstandigheden veranderen?

    Wanneer die samenhang zichtbaar is, ontstaat vertrouwen. Zelfs wanneer niet elk detail perfect is vastgelegd.

    Het omgekeerde gebeurt ook. Een organisatie kan een uitgebreid risico-overzicht hebben, maar toch onzeker overkomen wanneer niemand precies kan uitleggen hoe prioriteiten ontstaan.

    Structuur als hulpmiddel voor uitlegbaarheid

    Daarom draait risicobeheer uiteindelijk minder om het aantal risico’s in een overzicht en meer om het moment waarop keuzes worden gemaakt.

    Wanneer wordt iets echt een risico?
    Wie bepaalt dat?
    Welke informatie speelt daarbij een rol?

    Zodra die momenten herkenbaar zijn, verandert de dynamiek. Beslissingen worden niet alleen genomen, maar ook herleidbaar. Niet omdat alles uitgebreid wordt gedocumenteerd, maar omdat de logica zichtbaar blijft.

    Dat raakt aan een breder vraagstuk: hoe beslissingen inzichtelijk blijven. In Waarom procesanalyse cruciaal is als je beslissingen wilt kunnen uitleggen wordt beschreven waarom juist die besluitmomenten belangrijk zijn voor governance en compliance.

    Structuur helpt hier als geheugen. Niet om elk detail vast te leggen, maar om betekenis vast te houden. Wanneer duidelijk is waarom een risico prioriteit krijgt en wie daarover beslist, verdwijnen veel interpretatieverschillen vanzelf.

    Discussies worden concreter. Evaluaties minder defensief.

    Wanneer vertrouwen ontstaat zonder checklist

    Opvallend genoeg reageren auditors vaak positief op zo’n situatie.

    Niet omdat ze een perfecte methode zien, maar omdat ze een organisatie zien die begrijpt hoe haar eigen keuzes tot stand komen. Waar beslissingen niet toevallig lijken, maar voortkomen uit een herkenbare manier van werken.

    Op dat moment wordt de checklist minder bepalend.

    De auditor hoeft minder te zoeken naar losse aanwijzingen dat het systeem werkt. De consistentie in het verhaal geeft al veel informatie.

    Reflectie

    Veel organisaties proberen vertrouwen te creëren door meer vast te leggen. Meer documenten, meer detail, meer bewijs.

    In werkelijkheid ontstaat vertrouwen vaak ergens anders.

    Bij het moment waarop iemand eenvoudig kan uitleggen waarom een risico belangrijk werd, waarom een maatregel gekozen is en wie daarvoor verantwoordelijkheid draagt.

    Niet omdat alles perfect is georganiseerd, maar omdat de logica achter beslissingen herkenbaar blijft.

    En juist daar begint de rust die auditors vaak zoeken. Niet in de checklist, maar in het verhaal dat erachter klopt.

    Verder lezen

  • Waarom uitleg vaak belangrijker is dan volledigheid

    Waarom uitleg vaak belangrijker is dan volledigheid

    Tijdens een auditgesprek gebeurt vaak iets opmerkelijks.

    De auditor stelt een eenvoudige vraag. Waarom is een bepaald risico als acceptabel beoordeeld? Waarom is een maatregel op deze manier ingericht? Waarom kreeg een incident geen vervolg?

    De organisatie heeft documentatie genoeg. Overzichten, registraties en notities uit eerdere evaluaties. Alles lijkt aanwezig.

    En toch valt er een stilte.

    Niet omdat er per se iets mis is gegaan, maar omdat niemand precies kan uitleggen hoe die keuze destijds tot stand kwam. Dat moment voelt ongemakkelijk. Niet doordat informatie ontbreekt, maar doordat de logica achter de keuze niet meer direct zichtbaar is.

    Waar het in de praktijk misgaat

    Veel organisaties gaan ervan uit dat een audit vooral draait om volledigheid. Zolang risico’s, maatregelen en acties ergens zijn vastgelegd, voelt het alsof de basis op orde is. Registratie is zichtbaar en controleerbaar. Het geeft het gevoel dat niets wordt vergeten.

    Tijdens een audit blijkt al snel dat registratie en uitlegbaarheid twee verschillende dingen zijn.

    Een overzicht laat zien wat er is vastgelegd.
    Een auditor wil vooral begrijpen waarom dat zo is gebeurd.

    Waarom is dit risico als laag ingeschat?
    Waarom is deze maatregel voldoende geacht?
    Waarom is een afwijking geaccepteerd?

    Wanneer die uitleg ontbreekt, helpt meer documentatie nauwelijks.

    Waarom dit probleem ontstaat

    De oorzaak ligt zelden in onzorgvuldigheid. In veel organisaties worden beslissingen juist zorgvuldig genomen, maar vaak in gesprekken, overlegmomenten of op basis van ervaring.

    Op dat moment is de context duidelijk. Iedereen begrijpt waarom een keuze logisch is.

    Later blijft vooral de uitkomst zichtbaar, terwijl de afweging zelf uit beeld raakt. Voor de mensen die erbij waren voelt de keuze nog steeds logisch. Voor iemand die later meekijkt is die logica niet vanzelfsprekend meer.

    Een simpele vraag kan daardoor onverwacht lastig worden om te beantwoorden.

    De reflex naar meer documentatie

    Wanneer organisaties dit herkennen, ontstaat vaak een voorspelbare reactie: er moet meer worden vastgelegd.

    Meer toelichting bij risico’s.
    Meer detail bij maatregelen.
    Meer documenten om keuzes te onderbouwen.

    Dat lijkt logisch, maar lost het kernprobleem zelden op.

    Meer documentatie zorgt namelijk niet automatisch voor meer duidelijkheid. Hoe meer losse registraties ontstaan, hoe moeilijker het wordt om het geheel te overzien. De organisatie weet steeds beter wat er staat, maar niet altijd meer hoe alles met elkaar samenhangt.

    Het resultaat is paradoxaal: meer documentatie, maar minder inzicht.

    Wat auditors eigenlijk proberen te begrijpen

    Auditors kijken zelden alleen naar documenten. Wat zij proberen te beoordelen, is of een organisatie begrijpt wat zij doet.

    Niet of elk detail is vastgelegd, maar of keuzes herkenbaar zijn.

    Daarom komt een auditvraag vaak neer op iets eenvoudigs: kun je uitleggen hoe je tot deze keuze bent gekomen?

    Wanneer iemand dat rustig kan toelichten, ontstaat vertrouwen. Niet omdat het systeem perfect is, maar omdat zichtbaar wordt dat beslissingen bewust zijn genomen.

    Als die uitleg ontbreekt, ontstaat het tegenovergestelde. Registraties lijken dan los te staan van de afwegingen die eraan voorafgingen.

    In de praktijk zie je dat auditors vaak letten op drie signalen. Worden vergelijkbare situaties consistent behandeld? Zijn beslissingen later nog te reconstrueren? En is duidelijk wie verantwoordelijk was voor de keuze?

    Wanneer die samenhang zichtbaar is, wordt een organisatie voorspelbaar en begrijpelijk. En juist dat weegt in audits vaak zwaarder dan de hoeveelheid documentatie.

    Meer hierover lees je ook in de blog Wat auditors feitelijk testen, ook als ze het niet zo noemen.

    Structuur als drager van uitleg

    De oplossing ligt daarom niet in meer vastleggen, maar in betere samenhang.

    Structuur helpt wanneer zij keuzes herkenbaar maakt. Wanneer duidelijk is wie een beslissing heeft genomen, op basis van welke informatie en waarom deze keuze toen logisch was.

    Dat hoeft geen uitgebreid dossier te zijn. Vaak is een korte toelichting al voldoende. Het verschil zit niet in de hoeveelheid informatie, maar in het vasthouden van betekenis.

    Wanneer die structuur aanwezig is, verandert ook het auditgesprek. Vragen worden makkelijker te beantwoorden, omdat de redenering achter keuzes nog zichtbaar is.

    Dezelfde gedachte komt terug in Consistentie als stille auditindicator en in Waarom procesanalyse cruciaal is als je beslissingen wilt kunnen uitleggen. In beide gevallen draait het minder om registraties en meer om de samenhang tussen keuzes.

    Wanneer uitleg vertrouwen creëert

    Tijdens audits zie je regelmatig dat organisaties met minder documentatie soms overtuigender overkomen dan organisaties met uitgebreide dossiers.

    Niet omdat ze minder doen, maar omdat ze beter kunnen uitleggen wat ze doen.

    Hun keuzes zijn herkenbaar.
    Hun afwegingen zijn consistent.
    Hun uitleg sluit aan op wat er daadwerkelijk gebeurt.

    Dat maakt het voor een auditor makkelijker om vertrouwen te hebben in het geheel.

    Reflectie

    Veel organisaties denken dat een audit vraagt om volledigheid. In werkelijkheid vraagt een audit vooral om begrijpelijkheid.

    Niet alles hoeft perfect vastgelegd te zijn. Maar wat is vastgelegd, moet wel te volgen zijn.

    Wie later nog kan uitleggen waarom een keuze logisch was, laat zien dat er grip is. Niet alleen op de registratie, maar op het denken erachter.

    En juist dat is vaak wat auditors werkelijk proberen te beoordelen.

    Verder lezen

  • Wat auditors feitelijk testen, ook als ze het niet zo noemen

    Wat auditors feitelijk testen, ook als ze het niet zo noemen

    Een audit begint zelden met spanning.

    Meestal begint het vrij praktisch.

    Een auditor stelt een paar vragen.
    Hoe registreren jullie incidenten?
    Wie beslist wanneer een risico acceptabel is?
    Hoe worden verbeterpunten opgevolgd?

    De eerste antwoorden zijn vaak duidelijk. Er is een document, een overzicht of een procedure. Alles lijkt logisch.

    Maar dan komt vaak een tweede vraag.

    “Kun je laten zien hoe dat in de praktijk werkt?”

    Op dat moment verandert het gesprek. Niet omdat er iets mis is, maar omdat zichtbaar wordt hoe het dagelijks werk zich verhoudt tot wat er is vastgelegd. Wat eerst vanzelfsprekend leek, moet ineens worden uitgelegd.

    Daar begint de echte audit.

    De herkenbare spanning rond audits

    Voor veel organisaties voelt een audit als controle. Alsof iemand komt toetsen of alles klopt. Daardoor verschuift de aandacht snel naar bewijs: documenten, registraties en rapportages.

    Dat is begrijpelijk. Wanneer een auditor vraagt naar risico’s of incidenten, wil je laten zien dat het onderwerp serieus wordt genomen.

    Toch blijkt in de praktijk dat auditors zelden alleen geïnteresseerd zijn in documenten. Ze proberen iets anders te begrijpen: hoe beslissingen tot stand komen.

    Niet of er een lijst met risico’s bestaat, maar hoe die lijst wordt gebruikt.
    Niet of incidenten worden geregistreerd, maar wat er daarna gebeurt.

    In veel organisaties zit precies daar de spanning.

    Waarom dit probleem ontstaat

    In veel organisaties zijn processen grotendeels impliciet georganiseerd. Mensen weten hoe het werk loopt. Rollen zijn duidelijk omdat teams klein zijn en iedereen elkaar kent. Beslissingen ontstaan in gesprekken en worden snel opgepakt.

    Dat werkt vaak prima.

    Totdat iemand van buiten meekijkt.

    Een auditor kijkt namelijk zonder de context van het dagelijks werk. Wat voor het team logisch voelt, moet ineens worden toegelicht. Waarom een risico prioriteit kreeg. Waarom een maatregel voldoende werd gevonden. Waarom een incident geen vervolg kreeg.

    Op dat moment wordt zichtbaar hoeveel kennis nooit expliciet hoefde te worden gemaakt.

    Niet omdat het werk onzorgvuldig is gedaan, maar omdat de logica altijd vanzelfsprekend was.

    De reflex van meer documentatie

    Wanneer organisaties zich voorbereiden op audits, ontstaat vaak dezelfde reflex: meer vastleggen.

    Er worden extra procedures geschreven. Overzichten uitgebreid. Registraties gedetailleerder gemaakt. Het idee is eenvoudig: als auditors bewijs vragen, moet dat bewijs ergens staan.

    Maar meer documentatie betekent niet automatisch meer duidelijkheid.

    Wanneer documenten losstaan van de praktijk waarin beslissingen worden genomen, blijven ze vooral bestaan voor het moment waarop iemand ernaar vraagt. In het dagelijks werk spelen ze een veel kleinere rol.

    Auditors merken dat snel. Ze stellen dan vragen die niet over het document zelf gaan, maar over wat erachter zit.

    Wie beslist wanneer een risico wordt geaccepteerd?
    Wie bepaalt of een incident wordt opgevolgd?
    Wanneer is een maatregel werkelijk afgerond?

    Het zijn vragen over keuzes, niet over documenten.

    Wat auditors proberen te begrijpen

    In de praktijk proberen auditors vooral te beoordelen of een organisatie haar eigen werkwijze begrijpt.

    Dat wordt zichtbaar in drie signalen.

    Consistentie.
    Vergelijkbare situaties worden op vergelijkbare manier behandeld.

    Herleidbaarheid.
    Beslissingen zijn later nog te reconstrueren.

    Eigenaarschap.
    Het is duidelijk wie verantwoordelijk is voor opvolging.

    Wanneer deze drie elementen aanwezig zijn, ontstaat vertrouwen. Zelfs wanneer processen nog niet perfect zijn uitgewerkt.

    Het verschil tussen vastleggen en begrijpen

    Veel organisaties proberen audits te doorstaan door zo volledig mogelijk te zijn. Alles moet ergens staan.

    Maar volledigheid is zelden het probleem.

    Het echte probleem ontstaat wanneer iets wel geregistreerd is, maar niet meer te begrijpen.

    Een risico staat in een overzicht, maar niemand weet waarom het zo is beoordeeld.
    Een maatregel staat als afgerond, maar het effect is nooit besproken.
    Een incident is geregistreerd, maar de afweging erachter ontbreekt.

    Voor een auditor voelt dat instabiel. Niet omdat het per se fout is, maar omdat de logica achter de keuzes niet meer zichtbaar is.

    Daarom weegt uitleg vaak zwaarder dan volledigheid.

    Structuur als hulpmiddel

    Structuur betekent hier niet meer regels of extra administratie. Het betekent dat beslissingen herkenbaar blijven.

    Waarom is een risico zo beoordeeld?
    Wie besloot dat een maatregel voldoende was?
    Wanneer is bewust gekozen om iets niet te doen?

    Wanneer die vragen later nog beantwoord kunnen worden, ontstaat rust. Niet alleen voor auditors, maar ook binnen de organisatie zelf.

    Discussies worden korter. Overdrachten eenvoudiger. Prioriteiten duidelijker.

    De audit verandert daarmee van een zoektocht naar bewijs in een gesprek over hoe het werk georganiseerd is.

    Reflectie

    Een audit gaat zelden over het vinden van fouten. Het gaat over begrijpen hoe een organisatie werkt.

    Wanneer keuzes zichtbaar blijven, ontstaat vertrouwen. Niet omdat alles perfect is vastgelegd, maar omdat de logica achter beslissingen herkenbaar blijft.

    Daarmee verandert ook de rol van een audit. Het wordt een moment waarop duidelijk wordt of structuur en praktijk nog met elkaar verbonden zijn.

    En precies daar wordt zichtbaar wat auditors feitelijk testen, ook als ze het niet zo noemen.

    Verder lezen