Tag: Gedrag

  • Iedereen kende de regel. Maar niemand voelde zich verantwoordelijk

    Iedereen kende de regel. Maar niemand voelde zich verantwoordelijk

    Het gebeurde tijdens een audit die tot dan toe normaal verliep. De auditor keek op, wees naar een maatregel in het dossier en vroeg wie verantwoordelijk was voor de maandelijkse controle van de toegangsrechten. De vraag was eenvoudig. Het antwoord bleef uit.

    Iemand keek naar IT. IT keek naar HR, HR keek naar de proceseigenaar. Het was geen onwil. Geen onkunde. Het was het soort stilte dat ontstaat wanneer iedereen denkt dat iemand anders het wel zal doen.

    De procedure bestond al jaren. Er was beleid. Er was een beschrijving. Er was zelfs ooit een Exceloverzicht met taken geweest. Toch wist niemand wie het eigenaarschap droeg. De controle werd soms uitgevoerd, soms niet. Soms door één persoon, soms door iemand anders. Tot er druk op kwam te staan. Tot er auditvragen kwamen. Tot de kwetsbaarheid zichtbaar werd.

    Het proces klopte op papier. De praktijk klopte niet.

    Regels verdwijnen wanneer niemand ze voelt

    Veel organisaties besteden tijd aan beleid, formats en procedures. Die zijn nodig, want zonder structuur wordt compliance willekeurig. Maar regels zorgen niet voor naleving. Het is gedrag dat bepaalt of een maatregel leeft of wegzakt.

    In eerdere blogs over incidentbeer en interne audits beschreef ik al hoe processen kunnen bestaan zonder dat ze iets betekenen voor het werk. Een procedure kan perfect geschreven zijn en toch compleet ineffectief zijn als niemand zich eigenaar voelt van wat erin staat. Dan ontstaat de situatie waarin iedereen de regel kent, maar niemand hem uitvoert.

    Deze audit liet dat pijnlijk duidelijk zien.

    De laag onder de procedures: soft controls

    Compliance kent twee lagen. De zichtbare laag van beleid, processen en taken. En de onzichtbare laag van houding, overtuigingen en gewoontegedrag. Juist die onderste laag bepaalt of de bovenste werkt.

    Wanneer die laag niet sterk is, zie je dezelfde symptomen telkens terugkomen. Incidenten die niet worden gemeld. Acties die blijven liggen tot vlak voor een audit. Taken waarvan iedereen denkt dat ze wel ergens opgepakt worden. In mijn eerdere blog over privacy werd dat treffend zichtbaar toen een inzageverzoek ineens blootlegde hoe versnipperd verantwoordelijkheden kunnen zijn.

    Soft controls zijn geen theorie. Ze zijn voelbaar in hoe mensen met elkaar werken. Vertrouwen. Voorbeeldgedrag. Aanspreekcultuur. Snappen waarom iets belangrijk is. Het zijn precies die elementen die bepalen of een organisatie grip heeft of alleen hoopt dat alles goed gaat.

    Het gesprek dat alles veranderde

    Na de audit ging het team om tafel. De vraag was niet welke procedure aangepast moest worden, maar waarom niemand zich verantwoordelijk voelde. Toen die vraag eenmaal gesteld was, werd zichtbaar hoe vaak verantwoordelijkheden in de praktijk impliciet blijven.

    Taken belanden bij mensen die toevallig tijd hebben. Documenten worden bijgewerkt door degene die een wijziging ziet. Controles gebeuren wanneer iemand eraan denkt. Het werkt zolang alles goed gaat. Tot er bewijs nodig is. Tot er iets misgaat. Tot een auditor iets vraagt dat niemand kan laten zien.

    In eerdere blogs over de samenhang van risico’s, incidenten en audits heb ik vaker laten zien hoe losse processen zorgen voor losse verantwoordelijkheden. Zonder structuur ontstaan er gaten. Die gaten vullen zich vanzelf, maar zelden door duurzame eigenaarschap.

    Dat gebeurde hier ook. De taak werd gedeeld door drie mensen. En dat voelde hetzelfde als geen een eigenaar hebben.

    Waarom regels niet worden gevolgd, zelfs als ze logisch zijn

    Er zijn drie redenen waarom regels verdwijnen, zelfs als ze nergens discussie oproepen.

    De eerste is onduidelijkheid. Een taak kan bestaan, maar nergens zichtbaar zijn. Niet in iemands werkvoorraad. Niet in de agenda. Niet in een gesprek. Taken die nergens landen, krijgen geen eigenaar. Dat liet de situatie rond leveranciersbeoordelingen in een eerdere blog ook zien: iedereen vulde iets in, maar niemand voelde zich verantwoordelijk voor de uitkomst.

    De tweede is een gebrek aan context. Als iemand niet begrijpt waarom iets belangrijk is, wordt het een verplicht nummer. En verplichte nummers verliezen altijd van urgente werkzaamheden. Zeker als de gevolgen niet direct voelbaar zijn.

    De derde is cultuur. In een omgeving waar fouten snel worden gezien als tekortkomingen, wordt melden onveilig. Dan verschuift gedrag van verantwoordelijkheid nemen naar problemen vermijden. Dat zorgt ervoor dat uitzonderingen nooit besproken worden, terwijl precies daar de risico’s zitten.

    Eigenaarschap ontstaat niet door het toe te wijzen

    Je kunt in een procedure vastleggen wie verantwoordelijk is. Je kunt het zelfs communiceren in een teamoverleg. Maar dat maakt iemand nog geen eigenaar.

    Eigenaarschap ontstaat wanneer iemand weet wat er verwacht wordt, begrijpt waarom dat belangrijk is en wordt ondersteund door een werkwijze die dat gedrag mogelijk maakt. Het begint bij duidelijkheid. Een taak die zichtbaar is. Een moment waarop die taak besproken wordt. Een ritme waarin die verantwoordelijkheid logisch voelt.

    Daarna komt betekenis. Niet omdat een norm het vraagt, maar omdat het risico anders reëel wordt. Pas wanneer mensen zien wat er misgaat zonder de maatregel, krijgt die maatregel gewicht.

    De laatste stap is ondersteuning. Het moet praktisch mogelijk zijn om verantwoordelijk te zijn. Niet door processen ingewikkeld te maken, maar door informatie logisch bij elkaar te brengen. Een overzicht van taken. Een vast ritme van opvolging. Een manier om te zien wat er openstaat en wat er afgerond is. In eerdere blogs over incidentbeheer heb ik laten zien hoe kleine veranderingen daarin grote verschillen kunnen maken.

    De combinatie van duidelijkheid, betekenis en ondersteuning maakt eigenaarschap vanzelfsprekend. Dan is de regel niet iets dat in een document staat, maar iets dat onderdeel is van het werk.

    Gedrag wordt zichtbaar in kleine patronen

    Je hoeft gedrag niet te meten met vragenlijsten. Je ziet het in het ritme van het werk. Worden incidenten gemeld. Worden acties opgevolgd. Worden bevindingen gebruikt om processen aan te passen. Komt dezelfde fout terug. Wordt een signaal opgepakt of genegeerd.

    Het zijn kleine dingen, maar ze laten haarscherp zien hoe sterk de soft controls zijn. Teams met duidelijke eigenaarschap laten een stabiel patroon zien. Teams zonder eigenaarschap werken reactief en worden vaker verrast door risico’s die allang zichtbaar waren.

    Gedrag hoeft niet ingewikkeld te zijn om invloed te hebben. Het zit in dagelijkse keuzes. En die keuzes bepalen uiteindelijk of je echt controle hebt of alleen een map vol procedures.

    Een kleine verandering met grote gevolgen

    In de situatie uit het begin is de controle vandaag nog steeds dezelfde taak. Alleen de manier waarop hij ingebed is anders.

    De taak is zichtbaar. De verantwoordelijke weet wanneer die eraan komt. De leiding ziet wanneer iets uitblijft. De auditor ziet dat het ritme klopt. Niet om te controleren, maar om te begrijpen hoe de organisatie werkt.

    De regel veranderde niet.

    De cultuur wel.

    Iedereen kende de regel nog steeds. Maar nu  voelde iemand zich verantwoordelijk.

    Dat is het verschil tussen compliance op papier en compliance die leeft.

    Verder lezen

  • Ons grootste compliance-risico bleek geen proces, maar gedrag

    Ons grootste compliance-risico bleek geen proces, maar gedrag

    We waren ervan overtuigd dat alles keurig op orde was. De documentatie stond netjes bijgewerkt, het risicoregister was volledig en onze GRC-tool gaf een overzicht dat er geruststellend uitzag. Processen, maatregelen, acties: alles was ingericht. Op papier leek de organisatie strak en betrouwbaar. Tot de dag van de interne audit.

    De auditor keek naar een maatregel, draaide zich naar ons om en stelde de eenvoudigste vraag die je kunt bedenken: “Wie is hier verantwoordelijk voor?”

    Niemand antwoordde.

    De stilte was niet vijandig of ongeïnteresseerd, maar ongemakkelijk en pijnlijk herkenbaar. Iedereen dacht dat iemand anders het zou oppakken. De auditor hoefde verder niets te zeggen. Het echte risico zat niet in een ontbrekend document of een fout in de tool. Het zat in ons gedrag.

    Op dat moment werd duidelijk dat structuur zonder eigenaarschap geen controle oplevert, maar schijnzekerheid.

    De stille aannames die werkprocessen ondermijnen

    In organisaties waar mensen meerdere verantwoordelijkheden dragen, ontstaan onbewust aannames. Wat niet expliciet is toegewezen, wordt stilzwijgend doorgeschoven. Dat werkt zolang er geen echte druk op staat. Tot een audit, incident of klantvraag dat patroon blootlegt.

    Een treffend voorbeeld was het intrekken van toegang bij offboarding. De procedure was zorgvuldig beschreven. De taak verscheen automatisch in de GRC-tool. Maar in de praktijk ging het mis. IT dacht dat HR het signaal zou geven. HR dacht dat teamleads dit zouden melden. Teamleads dachten dat IT monitoring had.

    De taak bestond wel, maar het eigenaarschap niet. Het was een maatregel die “in het proces zat”, maar niet in ons werkritme. In de blog Van risicoanalyse naar actie lieten we eerder zien hoe kritisch het is dat processen niet alleen bestaan, maar ook gedragen worden. Dit voorbeeld bevestigde dat opnieuw

    Hoe de audit een spiegel werd

    De auditor bladerde verder en wees op een actie die al maanden openstond. “Waarom is deze niet opgevolgd?” vroeg hij.

    Het antwoord was niet in een document te vinden. Het zat in onze gewoontes. De auditor testte niets technisch. Hij testte de meest onderschatte laag van compliance: gedrag.

    Het deed denken aan een eerdere blog, Wat er gebeurde toen onze auditor onaangekondigd langskwam, waarin duidelijk werd hoe snel paniek ontstaat wanneer aantoonbaarheid en uitvoering niet één geheel vormen. Nu zaten we opnieuw op dat punt. Niet omdat processen ontbraken, maar omdat ze niet leefden. De audit maakte zichtbaar dat onze aanpak vooral vanuit structuur was georganiseerd, maar weinig vanuit praktijkgedrag.

    Waarom dit patroon zo vaak voorkomt

    Veel organisaties herkennen dit zonder het hardop te zeggen. Zeker wanneer dezelfde mensen klantafspraken, projecten, audits en interne controles combineren. Processen worden dan wel ingericht, maar niet verankerd. Documentatie wordt bijgewerkt omdat het moet. Acties worden aangemaakt omdat het hoort. Maar de vraag wie voelt zich eigenaar? blijft impliciet.

    In een eerdere blog, Van Excel naar overzicht, zo kies je voor GRC-software, lieten we zien dat tooling werkt wanneer gedrag meegroeit. Het auditmoment bewees hoe waar dat is: geen enkele tool kan compenseren voor onduidelijke afspraken of ontbrekend eigenaarschap.

    De omslag naar echt eigenaarschap

    We besloten het anders te doen. Niet door extra lagen structuur toe te voegen, maar door bestaande processen eenvoudiger en persoonlijker te maken.

    We begonnen met één praktische verandering: per maatregel één eigenaar. Niet een afdeling, maar een persoon. Dat maakte opvolging concreet. Iemand wist voortaan: dit hoort bij mij.

    Daarna creëerden we een vast ritme. Korte, maandelijkse check-ins waarin we procesuitvoering bespraken. Geen lange vergaderingen. Geen presentaties. Gewoon de vraag: “Wat loopt goed? Wat loopt stroef?” Dankzij die eenvoud schoof opvolging niet meer van agenda naar agenda, maar kreeg het een vaste plek.

    Ook herschreven we onze procedures. Minder formele taal, meer voorbeelden uit het werk. Dat lijkt klein, maar het had een groot effect. Mensen die begrijpen wat iets oplevert, voeren het sneller uit. In onze blog ISMS in de praktijk: beleid dat wél werkt beschreven we al hoe begrijpelijke taal het verschil maakt tussen naleven en nalezen.

    Tot slot maakten we melden normaal. Soms is een twijfel of een kleine fout waardevoller dan een incidentmelding. Zodra medewerkers dat merkten, ontstond er meer openheid. Problemen kwamen eerder naar boven en verbeteringen volgden vanzelf.

    Deze vier stappen maakten de basis sterker. Niet omdat we meer deden, maar omdat we bewuster deden.

    Hoe dat zichtbaar werd bij de volgende audit

    Een paar maanden later stond dezelfde auditor weer voor de deur. Hij merkte het verschil direct. We konden helder uitleggen wie verantwoordelijk was voor welke maatregelen. We konden onderbouwen waarom iets gedaan was, of juist niet. Bevindingen uit voorgaande audits waren aantoonbaar opgevolgd.

    Niets daarvan voelde geforceerd. Het was simpelweg logisch geworden. Omdat eigenaarschap logisch was geworden.

    Veel organisaties denken dat audits ingewikkeld zijn, maar vaak zijn ze vooral een spiegel. Dat zagen we eerder in de blog Klachten zijn geen fouten, maar wij behandelden ze wel zo, waarin de essentie duidelijk werd: aantoonbaarheid zit niet in formulieren, maar in gedrag.

    Dat herhaalden we nu in de praktijk. De auditor hoefde ons nauwelijks meer te corrigeren. Hij hoefde alleen te constateren dat dingen op hun plek waren gevallen.

    Het echte risico: gedrag zonder richting

    Een organisatie kan alles op orde hebben op papier, maar als niemand iets voelt als “van hem of haar”, ontstaan er blinde vlekken. Die vlekken worden pas zichtbaar wanneer er druk ontstaat. Bij een audit . Een incident. Een klantvraag.

    Gedrag zonder richting is het grootste risico dat vaak als laatste wordt gezien. Terwijl het tegelijk de meest voorspelbare oorzaak is van afwijkingen, vertragingen en gemiste maatregelen.

    In de blog Waarom alles in Excel netjes lijkt, tot je iets moet terugvinden beschreven we hoe gebrek aan structuur leidt tot chaos. Het omgekeerde is net zo waar: structuur zonder gedrag leidt tot schijnzekerheid. De vorm is er, maar de inhoud niet.

    Conclusie

    Compliance komt niet tot leven door systemen of documenten, maar door mensen die hun rol begrijpen en serieus nemen. Structuur is de basis. Gedrag geeft het betekenis. Eigenaarschap maakt het betrouwbaar.

    De organisaties die dat doorhebben, zijn niet per se organisaties met meer middelen. Het zijn organisaties waar verantwoordelijkheden klein en duidelijk zijn, waar opvolging ritme heeft en waar medewerkers signalen durven te geven.

    Daar ontstaat aantoonbaarheid. Daar ontstaat vertrouwen. Daar ontstaat controle zonder kramp.

    En precies daar begint echte compliance.