Tag: ISO

  • Wanneer een auditor vertrouwen krijgt zonder checklist

    Wanneer een auditor vertrouwen krijgt zonder checklist

    Tijdens een audit komt vaak een vraag die op het eerste gezicht eenvoudig lijkt.

    “Hoe bepalen jullie eigenlijk welke risico’s prioriteit krijgen?”

    Er volgt een korte stilte. Niet omdat niemand het antwoord weet, maar omdat het lastig is om precies uit te leggen. Iedereen heeft er wel een beeld bij. De risicoanalyse wordt regelmatig besproken. Acties worden opgepakt. In de praktijk voelt het alsof er grip is.

    Maar zodra het gesprek concreet wordt, blijkt hoe veel van dat proces impliciet is.

    De ene collega kijkt vooral naar impact. Een ander let op waarschijnlijkheid. Soms speelt ervaring mee: “dit ging eerder bijna mis”. In andere gevallen weegt de druk van een klant of audit zwaarder. Het zijn allemaal begrijpelijke afwegingen, alleen staan ze nergens echt vast.

    Voor een auditor is dat een interessant moment.

    Niet omdat er per se iets fout gaat, maar omdat hier zichtbaar wordt hoe beslissingen werkelijk tot stand komen.

    Waarom dit probleem ontstaat

    In veel organisaties groeit risicobeheer geleidelijk. Er komt een overzicht van risico’s, een lijst met maatregelen en een paar afspraken over evaluatiemomenten. Dat werkt vaak prima zolang dezelfde mensen betrokken blijven.

    De context zit in gesprekken en ervaring. Iedereen weet ongeveer waarom iets als belangrijk wordt gezien. Daardoor voelt het systeem logisch, ook al is het niet volledig expliciet.

    Het probleem ontstaat pas wanneer iemand van buitenaf probeert te begrijpen hoe het werkt.

    Dan blijken keuzes moeilijk te reconstrueren. Niet omdat ze willekeurig zijn gemaakt, maar omdat het denkproces erachter nooit echt zichtbaar is geworden.

    In de blog Wat auditors feitelijk testen, ook als ze het niet zo noemen beschrijven we hoe auditors vaak minder kijken naar documenten en meer naar de vraag of een organisatie haar keuzes kan uitleggen en consistent kan onderbouwen.

    Waarom meer documentatie het probleem niet oplost

    Wanneer dit zichtbaar wordt, ontstaat vaak dezelfde reflex: meer vastleggen.

    Meer toelichting bij risico’s. Extra velden in het overzicht. Misschien een uitgebreidere risicomatrix. Dat geeft tijdelijk rust, maar verandert weinig aan het onderliggende probleem.

    Meer informatie betekent namelijk niet automatisch meer begrijpelijkheid.

    Wanneer het onderliggende besluitproces onduidelijk blijft, ontstaat er vooral meer documentatie rondom dezelfde vragen. Waarom staat dit risico hier? Waarom kreeg dit prioriteit? Waarom werd deze maatregel voldoende geacht?

    Daar komt nog iets bij. Mensen kunnen verschillende betekenissen geven aan dezelfde termen. Wat voor de één een risico is, ziet een ander pas als probleem wanneer de impact concreet wordt. In Waarom compliance software pas werkt als iedereen hetzelfde bedoelt wordt beschreven hoe zulke interpretatieverschillen ontstaan en waarom ze vaak pas zichtbaar worden wanneer iemand van buitenaf meekijkt.

    Wat auditors eigenlijk proberen te begrijpen

    Auditors kijken zelden alleen naar het bestaan van documenten of procedures. Ze proberen vooral te begrijpen hoe keuzes tot stand komen.

    Komen vergelijkbare situaties tot vergelijkbare beslissingen?
    Begrijpen mensen waarom een maatregel is gekozen?|
    Is duidelijk wie verantwoordelijk is wanneer omstandigheden veranderen?

    Wanneer die samenhang zichtbaar is, ontstaat vertrouwen. Zelfs wanneer niet elk detail perfect is vastgelegd.

    Het omgekeerde gebeurt ook. Een organisatie kan een uitgebreid risico-overzicht hebben, maar toch onzeker overkomen wanneer niemand precies kan uitleggen hoe prioriteiten ontstaan.

    Structuur als hulpmiddel voor uitlegbaarheid

    Daarom draait risicobeheer uiteindelijk minder om het aantal risico’s in een overzicht en meer om het moment waarop keuzes worden gemaakt.

    Wanneer wordt iets echt een risico?
    Wie bepaalt dat?
    Welke informatie speelt daarbij een rol?

    Zodra die momenten herkenbaar zijn, verandert de dynamiek. Beslissingen worden niet alleen genomen, maar ook herleidbaar. Niet omdat alles uitgebreid wordt gedocumenteerd, maar omdat de logica zichtbaar blijft.

    Dat raakt aan een breder vraagstuk: hoe beslissingen inzichtelijk blijven. In Waarom procesanalyse cruciaal is als je beslissingen wilt kunnen uitleggen wordt beschreven waarom juist die besluitmomenten belangrijk zijn voor governance en compliance.

    Structuur helpt hier als geheugen. Niet om elk detail vast te leggen, maar om betekenis vast te houden. Wanneer duidelijk is waarom een risico prioriteit krijgt en wie daarover beslist, verdwijnen veel interpretatieverschillen vanzelf.

    Discussies worden concreter. Evaluaties minder defensief.

    Wanneer vertrouwen ontstaat zonder checklist

    Opvallend genoeg reageren auditors vaak positief op zo’n situatie.

    Niet omdat ze een perfecte methode zien, maar omdat ze een organisatie zien die begrijpt hoe haar eigen keuzes tot stand komen. Waar beslissingen niet toevallig lijken, maar voortkomen uit een herkenbare manier van werken.

    Op dat moment wordt de checklist minder bepalend.

    De auditor hoeft minder te zoeken naar losse aanwijzingen dat het systeem werkt. De consistentie in het verhaal geeft al veel informatie.

    Reflectie

    Veel organisaties proberen vertrouwen te creëren door meer vast te leggen. Meer documenten, meer detail, meer bewijs.

    In werkelijkheid ontstaat vertrouwen vaak ergens anders.

    Bij het moment waarop iemand eenvoudig kan uitleggen waarom een risico belangrijk werd, waarom een maatregel gekozen is en wie daarvoor verantwoordelijkheid draagt.

    Niet omdat alles perfect is georganiseerd, maar omdat de logica achter beslissingen herkenbaar blijft.

    En juist daar begint de rust die auditors vaak zoeken. Niet in de checklist, maar in het verhaal dat erachter klopt.

    Verder lezen

  • Consistentie als stille auditindicator

    Consistentie als stille auditindicator

    Tijdens een auditgesprek komt vaak een ogenschijnlijk eenvoudige vraag op tafel.

    Een auditor wijst naar een risico in een overzicht en vraagt:
    “Waarom hebben jullie dit risico als acceptabel beoordeeld?”

    Het is geen strikvraag. Toch ontstaat er vaak een korte stilte. Niet omdat de beslissing verkeerd was, maar omdat niemand precies meer kan reconstrueren hoe die keuze destijds tot stand kwam.

    Iemand weet nog dat het in een overleg is besproken.
    Een ander herinnert zich dat er al een maatregel bestond.
    Misschien is er ergens een notitie of mail die de afweging bevat.

    De beslissing zelf was logisch. Maar het verhaal erachter blijkt lastiger terug te vinden.

    Waarom dit zo vaak gebeurt

    In veel organisaties worden beslissingen pragmatisch genomen. Er is context, ervaring en onderling begrip. Daardoor voelt het zelden nodig om uitgebreid vast te leggen waarom een keuze precies zo is gemaakt.

    Dat werkt zolang dezelfde mensen betrokken blijven en dezelfde context delen.

    De uitdaging ontstaat wanneer iemand van buiten meekijkt. Een auditor bijvoorbeeld, of een nieuwe collega. Dan blijkt dat veel beslissingen logisch waren op het moment zelf, maar moeilijker uit te leggen zijn zodra de oorspronkelijke context ontbreekt.

    Dat betekent niet dat de beslissing verkeerd was. Het betekent dat het denkproces erachter niet is vastgehouden.

    Wat auditors feitelijk proberen te begrijpen

    Auditors zoeken meestal niet naar perfecte documentatie of volledig uitgewerkte dossiers. In de praktijk proberen ze iets anders vast te stellen: of een organisatie consistent handelt.

    In gesprekken letten auditors bijvoorbeeld op vragen als:

    • worden vergelijkbare risico’s op een vergelijkbare manier beoordeeld
    • sluiten maatregelen logisch aan op de manier waarop risico’s worden beschreven
    • kunnen medewerkers uitleggen waarom een keuze is gemaakt

    Het gaat dus minder om losse antwoorden en meer om samenhang. Wanneer keuzes herkenbaar zijn en elkaar logisch opvolgen, ontstaat vertrouwen. Wanneer elke beslissing op zichzelf staat, wordt dat lastiger.

    Consistentie fungeert daardoor als een stille auditindicator. Niet omdat het expliciet wordt getest, maar omdat het zichtbaar wordt in vrijwel elk gesprek.

    Waarom gangbare oplossingen vaak tekortschieten

    Wanneer organisaties merken dat uitleg moeilijk wordt, ontstaat vaak een reflex om méér vast te leggen.

    Meer toelichting bij risico’s.
    Meer detail in registraties.
    Meer documenten om beslissingen te onderbouwen.

    Dat lijkt logisch, maar helpt vaak minder dan verwacht.

    Meer informatie maakt een besluit niet automatisch begrijpelijker. Zonder duidelijke structuur ontstaat juist meer ruimte voor interpretatie. Verschillende mensen leggen dezelfde situatie anders vast, waardoor het beeld minder consistent wordt.

    Het probleem is zelden een gebrek aan informatie. Het zit in het ontbreken van een herkenbaar kader waarbinnen beslissingen worden genomen.

    Structuur als drager van consistentie

    Consistentie ontstaat niet doordat organisaties altijd hetzelfde doen. Situaties verschillen en keuzes veranderen.

    Wat wel helpt, is structuur in de manier waarop keuzes worden vastgelegd en besproken.

    Wanneer duidelijk is hoe risico’s worden beoordeeld, wie verantwoordelijk is voor de afweging en hoe maatregelen worden gekoppeld aan die afweging, ontstaat vanzelf meer samenhang. Niet omdat alles strak wordt voorgeschreven, maar omdat het denkproces herkenbaar blijft.

    Die herkenbaarheid maakt het later eenvoudiger om keuzes toe te lichten. Niet alleen voor auditors, maar ook intern. Discussies worden concreter en beslissingen beter te herleiden.

    In eerdere blogs kwam dit mechanisme al terug. Zo beschrijven we in “Waarom procesanalyse cruciaal is als je beslissingen wilt kunnen uitleggen” hoe besluitvorming zichtbaar maken een voorwaarde is voor uitlegbaarheid. Ook “Waarom compliance software pas werkt als iedereen hetzelfde bedoelt” laat zien dat consistentie vooral ontstaat wanneer organisaties gedeelde betekenis vastleggen.

    Consistentie als signaal van volwassenheid

    In audits valt vaak op dat vertrouwen niet ontstaat door één perfect document of één goed antwoord. Het ontstaat doordat verschillende onderdelen van een organisatie hetzelfde verhaal vertellen.

    Een risico-overzicht dat aansluit op maatregelen.
    Beslissingen die passen bij eerdere keuzes.
    Medewerkers die vergelijkbare situaties op een vergelijkbare manier uitleggen.

    Wanneer die samenhang zichtbaar is, hoeft een auditor zelden lang door te vragen. Niet omdat alles foutloos is, maar omdat duidelijk wordt hoe de organisatie denkt en handelt.

    Dat maakt consistentie tot een stille indicator van volwassenheid.

    Reflectie

    Veel organisaties gaan ervan uit dat audits vooral draaien om controle van documenten of naleving van regels. In werkelijkheid proberen auditors vooral te begrijpen hoe een organisatie keuzes maakt.

    Consistentie speelt daarin een grotere rol dan vaak wordt gedacht.

    Niet omdat elke beslissing identiek moet zijn, maar omdat vergelijkbare situaties een herkenbare aanpak hebben. Wanneer die lijn zichtbaar blijft, wordt uitleg nauwelijks nog een probleem.

    Wie dit mechanisme beter wil begrijpen, kan ook kijken naar “Wat auditors feitelijk testen, ook als ze het niet zo noemen”, waarin uitgebreider wordt uitgelegd hoe auditors in de praktijk naar organisaties kijken.

    Verder lezen

  • Wat auditors feitelijk testen, ook als ze het niet zo noemen

    Wat auditors feitelijk testen, ook als ze het niet zo noemen

    Een audit begint zelden met spanning.

    Meestal begint het vrij praktisch.

    Een auditor stelt een paar vragen.
    Hoe registreren jullie incidenten?
    Wie beslist wanneer een risico acceptabel is?
    Hoe worden verbeterpunten opgevolgd?

    De eerste antwoorden zijn vaak duidelijk. Er is een document, een overzicht of een procedure. Alles lijkt logisch.

    Maar dan komt vaak een tweede vraag.

    “Kun je laten zien hoe dat in de praktijk werkt?”

    Op dat moment verandert het gesprek. Niet omdat er iets mis is, maar omdat zichtbaar wordt hoe het dagelijks werk zich verhoudt tot wat er is vastgelegd. Wat eerst vanzelfsprekend leek, moet ineens worden uitgelegd.

    Daar begint de echte audit.

    De herkenbare spanning rond audits

    Voor veel organisaties voelt een audit als controle. Alsof iemand komt toetsen of alles klopt. Daardoor verschuift de aandacht snel naar bewijs: documenten, registraties en rapportages.

    Dat is begrijpelijk. Wanneer een auditor vraagt naar risico’s of incidenten, wil je laten zien dat het onderwerp serieus wordt genomen.

    Toch blijkt in de praktijk dat auditors zelden alleen geïnteresseerd zijn in documenten. Ze proberen iets anders te begrijpen: hoe beslissingen tot stand komen.

    Niet of er een lijst met risico’s bestaat, maar hoe die lijst wordt gebruikt.
    Niet of incidenten worden geregistreerd, maar wat er daarna gebeurt.

    In veel organisaties zit precies daar de spanning.

    Waarom dit probleem ontstaat

    In veel organisaties zijn processen grotendeels impliciet georganiseerd. Mensen weten hoe het werk loopt. Rollen zijn duidelijk omdat teams klein zijn en iedereen elkaar kent. Beslissingen ontstaan in gesprekken en worden snel opgepakt.

    Dat werkt vaak prima.

    Totdat iemand van buiten meekijkt.

    Een auditor kijkt namelijk zonder de context van het dagelijks werk. Wat voor het team logisch voelt, moet ineens worden toegelicht. Waarom een risico prioriteit kreeg. Waarom een maatregel voldoende werd gevonden. Waarom een incident geen vervolg kreeg.

    Op dat moment wordt zichtbaar hoeveel kennis nooit expliciet hoefde te worden gemaakt.

    Niet omdat het werk onzorgvuldig is gedaan, maar omdat de logica altijd vanzelfsprekend was.

    De reflex van meer documentatie

    Wanneer organisaties zich voorbereiden op audits, ontstaat vaak dezelfde reflex: meer vastleggen.

    Er worden extra procedures geschreven. Overzichten uitgebreid. Registraties gedetailleerder gemaakt. Het idee is eenvoudig: als auditors bewijs vragen, moet dat bewijs ergens staan.

    Maar meer documentatie betekent niet automatisch meer duidelijkheid.

    Wanneer documenten losstaan van de praktijk waarin beslissingen worden genomen, blijven ze vooral bestaan voor het moment waarop iemand ernaar vraagt. In het dagelijks werk spelen ze een veel kleinere rol.

    Auditors merken dat snel. Ze stellen dan vragen die niet over het document zelf gaan, maar over wat erachter zit.

    Wie beslist wanneer een risico wordt geaccepteerd?
    Wie bepaalt of een incident wordt opgevolgd?
    Wanneer is een maatregel werkelijk afgerond?

    Het zijn vragen over keuzes, niet over documenten.

    Wat auditors proberen te begrijpen

    In de praktijk proberen auditors vooral te beoordelen of een organisatie haar eigen werkwijze begrijpt.

    Dat wordt zichtbaar in drie signalen.

    Consistentie.
    Vergelijkbare situaties worden op vergelijkbare manier behandeld.

    Herleidbaarheid.
    Beslissingen zijn later nog te reconstrueren.

    Eigenaarschap.
    Het is duidelijk wie verantwoordelijk is voor opvolging.

    Wanneer deze drie elementen aanwezig zijn, ontstaat vertrouwen. Zelfs wanneer processen nog niet perfect zijn uitgewerkt.

    Het verschil tussen vastleggen en begrijpen

    Veel organisaties proberen audits te doorstaan door zo volledig mogelijk te zijn. Alles moet ergens staan.

    Maar volledigheid is zelden het probleem.

    Het echte probleem ontstaat wanneer iets wel geregistreerd is, maar niet meer te begrijpen.

    Een risico staat in een overzicht, maar niemand weet waarom het zo is beoordeeld.
    Een maatregel staat als afgerond, maar het effect is nooit besproken.
    Een incident is geregistreerd, maar de afweging erachter ontbreekt.

    Voor een auditor voelt dat instabiel. Niet omdat het per se fout is, maar omdat de logica achter de keuzes niet meer zichtbaar is.

    Daarom weegt uitleg vaak zwaarder dan volledigheid.

    Structuur als hulpmiddel

    Structuur betekent hier niet meer regels of extra administratie. Het betekent dat beslissingen herkenbaar blijven.

    Waarom is een risico zo beoordeeld?
    Wie besloot dat een maatregel voldoende was?
    Wanneer is bewust gekozen om iets niet te doen?

    Wanneer die vragen later nog beantwoord kunnen worden, ontstaat rust. Niet alleen voor auditors, maar ook binnen de organisatie zelf.

    Discussies worden korter. Overdrachten eenvoudiger. Prioriteiten duidelijker.

    De audit verandert daarmee van een zoektocht naar bewijs in een gesprek over hoe het werk georganiseerd is.

    Reflectie

    Een audit gaat zelden over het vinden van fouten. Het gaat over begrijpen hoe een organisatie werkt.

    Wanneer keuzes zichtbaar blijven, ontstaat vertrouwen. Niet omdat alles perfect is vastgelegd, maar omdat de logica achter beslissingen herkenbaar blijft.

    Daarmee verandert ook de rol van een audit. Het wordt een moment waarop duidelijk wordt of structuur en praktijk nog met elkaar verbonden zijn.

    En precies daar wordt zichtbaar wat auditors feitelijk testen, ook als ze het niet zo noemen.

    Verder lezen