Tag: Processen

  • Wanneer ‘zo doen we dat hier’ niet meer werkt

    Wanneer ‘zo doen we dat hier’ niet meer werkt

    Het begint vaak met een kleine afwijking.

    Iemand neemt tijdelijk een taak over en volgt de werkwijze zoals die “altijd ging”. Het resultaat wijkt net af van wat verwacht werd. In het overleg dat volgt, blijkt dat twee mensen dezelfde afspraak anders interpreteren.

    Beiden handelen logisch.
    Beiden zijn overtuigd dat ze het goed doen.

    En toch ontstaat discussie over wat hier nu eigenlijk de bedoeling was.

    Wanneer vanzelfsprekendheid begint te schuiven

    In het begin werkt impliciete afstemming verrassend goed. Mensen kennen elkaar, begrijpen de context en corrigeren elkaar waar nodig. Veel hoeft niet te worden uitgesproken, omdat het gedeeld wordt.

    “Zo doen we dat hier” is dan voldoende.

    Maar naarmate een organisatie groeit, verandert dat ongemerkt. Nieuwe collega’s missen de historie. Rollen verschuiven. Beslissingen worden minder vaak in dezelfde samenstelling genomen.

    Wat eerst vanzelf ging, moet ineens worden uitgelegd.

    Niet omdat er iets veranderd is in de afspraak, maar omdat de vanzelfsprekendheid eronder verdwijnt.

    De kracht en beperking van impliciete afspraken

    Impliciete afspraken werken snel omdat ze leunen op gedeelde ervaring. Ze zijn zelden expliciet geformuleerd, maar worden toch herkend en gevolgd.

    Juist daarin zit de beperking.

    Wat niet expliciet is gemaakt, blijft afhankelijk van interpretatie. De ene persoon ziet een uitzondering als logisch binnen de context, terwijl een ander het beschouwt als afwijking. Voor de één is iets afgerond zodra het praktisch werkt, voor de ander pas wanneer het formeel is bevestigd.

    Zolang die verschillen binnen een gedeelde context blijven, vallen ze niet op. Zodra die context uiteenloopt, worden ze zichtbaar.

    Niet als grote fouten, maar als kleine verschillen die zich opstapelen.

    Wanneer uitleg het werk begint te vertragen

    Het kantelpunt zit niet in incidenten, maar in herhaling.

    Dezelfde vragen komen terug. Antwoorden verschillen subtiel. Beslissingen moeten opnieuw worden toegelicht, vaak door dezelfde mensen.

    Dat lijkt onschuldig, maar heeft een effect. Besluitvorming vertraagt. Overdrachten kosten meer tijd. Discussies gaan minder over de inhoud en meer over wat er precies bedoeld werd.

    De oorzaak ligt zelden in onduidelijkheid op het moment zelf. Die ontstaat pas later, wanneer de oorspronkelijke afweging niet meer beschikbaar is.

    Wat overblijft is de uitkomst, zonder het verhaal erachter.

    Waarom meer uitleg of documentatie niet volstaat

    De eerste reactie is vaak om het beter uit te leggen. Nog een keer toelichten wat bedoeld werd. Soms wordt dat vastgelegd, zodat het later terug te lezen is.

    Dat helpt tijdelijk, maar blijft afhankelijk van context. Wat vandaag logisch is, moet morgen opnieuw worden geduid.

    Een andere reactie is om meer vast te leggen. Procedures uitbreiden, werkinstructies toevoegen, uitzonderingen documenteren.

    Zonder duidelijk kader leidt dat vooral tot meer informatie. Niet tot meer eenduidigheid. Mensen blijven interpreteren wat ze lezen, ieder vanuit hun eigen perspectief.

    Het probleem wordt daarmee niet opgelost, maar verplaatst.

    Structuur als manier om keuzes vast te houden

    De omslag zit niet in méér vastleggen, maar in het expliciet maken van keuzes op de momenten dat ze ontstaan.

    Niet alles hoeft te worden beschreven. Juist de afwegingen die richting geven, bepalen of iets later nog begrijpelijk is.

    Waarom is hier voor deze werkwijze gekozen?
    Wanneer geldt dit als afgerond?
    In welke situaties wijken we bewust af?

    Wanneer die vragen expliciet beantwoord zijn, ontstaat houvast. Niet omdat alles vastligt, maar omdat de logica achter keuzes zichtbaar blijft.

    Structuur betekent in dat opzicht minder afhankelijkheid van aannames.

    Uitlegbaarheid als basis voor consistentie

    Wanneer keuzes herleidbaar blijven, verandert de dynamiek.

    Overdrachten worden eenvoudiger, omdat niet alles opnieuw hoeft te worden uitgelegd. Discussies worden concreter, omdat duidelijk is waar verschillen vandaan komen. Nieuwe collega’s kunnen sneller aansluiten zonder afhankelijk te zijn van informele kennis.

    Het werk wordt niet zwaarder, maar voorspelbaarder.

    Niet omdat alles is vastgelegd, maar omdat duidelijk is hoe keuzes tot stand komen.

    Tooling als gevolg, niet als vertrekpunt

    Op het moment dat keuzes herleidbaar moeten blijven, ontstaat vanzelf de behoefte om ze consistent vast te houden. Niet om meer te registreren, maar om te voorkomen dat betekenis vervaagt.

    Tooling ondersteunt dat proces, mits duidelijk is wat er vastgehouden moet worden.

    Zonder dat fundament ontstaat er vooral een nieuwe plek waar dezelfde interpretatieverschillen terugkomen.

    Reflectie

    “Zo doen we dat hier” is geen afspraak. Het is een samenvatting van gedeelde ervaring.

    Dat werkt zolang die ervaring gedeeld blijft.

    Als je merkt dat uitleg vaker nodig is, dat antwoorden uiteen beginnen te lopen en dat beslissingen afhankelijk worden van wie erbij was, dan is er iets veranderd.

    Niet in de afspraak zelf, maar in de context waarin die moet functioneren.

    En juist daar wordt zichtbaar dat impliciete afspraken hun grens hebben bereikt.

    Verder lezen

  • Waarom procesanalyse cruciaal is als je beslissingen wilt kunnen uitleggen

    Waarom procesanalyse cruciaal is als je beslissingen wilt kunnen uitleggen

    In veel organisaties worden dagelijks beslissingen genomen die directe invloed hebben op compliance, risico’s en betrouwbaarheid. Soms zijn die beslissingen expliciet en zorgvuldig onderbouwd. Soms ontstaan ze gaandeweg, onder druk van tijd, prioriteiten of ervaring.

    Op het moment zelf voelt dat logisch. Er is context, er is kennis en er is vertrouwen dat dit de juiste keuze is. Het probleem ontstaat zelden bij het besluit zelf, maar bij de vraag die later volgt: waarom is dit zo gedaan?

    Juist op dat moment wordt zichtbaar of een organisatie grip heeft. Niet omdat een besluit per definitie goed of fout was, maar omdat het wel of niet uitlegbaar is. En precies daar raakt procesanalyse aan compliance.

    Compliance draait om uitlegbaarheid, niet om perfectie

    Compliance wordt vaak geassocieerd met voldoen aan eisen. In de praktijk gaat het vooral om samenhang en consistentie. Kun je laten zien hoe keuzes tot stand komen en kun je dat verhaal ook later nog reconstrueren?

    Auditors, klanten en toezichthouders vragen zelden naar perfecte processen. Ze willen begrijpen hoe besluiten zijn genomen, welke afwegingen zijn gemaakt en waarom die op dat moment verdedigbaar waren.

    Zonder inzicht in processen blijft die uitleg fragmentarisch. Dan bestaan er wel besluiten, maar ontbreekt het gezamenlijke referentiekader waarin die besluiten betekenis krijgen.

    Wat procesanalyse hier wél betekent

    Procesanalyse roept vaak beelden op van optimalisatie, herontwerp en efficiëntie. Dat is begrijpelijk, maar niet waar het in deze context om draait.

    Voor compliance is procesanalyse in essentie een manier om besluitvorming zichtbaar te maken. Het gaat om het begrijpen van de momenten waarop iets verandert van signaal naar risico, van bevinding naar actie of van afwijking naar acceptatie.

    Daarvoor hoeft een proces niet volledig te worden uitgeschreven. Het gaat om de kernvragen:

    • waar ontstaat een beslissing,
    • wie is daarbij betrokken,
    • en welke informatie weegt op dat moment mee?

    Zolang die vragen impliciet blijven, blijft compliance kwetsbaar.

    Waarom impliciete besluitvorming een risico vormt

    In veel organisaties functioneert besluitvorming op basis van ervaring en onderling begrip. Mensen weten hoe het werkt en voelen aan wanneer iets aandacht nodig heeft. Dat is efficiënt en vaak effectief.

    Die aanpak wordt kwetsbaar zodra de context verandert. Wanneer verantwoordelijkheden verschuiven, wanneer iemand afwezig is of wanneer een externe partij meekijkt, blijkt hoe afhankelijk besluitvorming was van impliciete kennis.

    Zonder procesanalyse blijft het antwoord dan steken in algemene bewoordingen. Het besluit was logisch, maar het pad ernaartoe is niet meer helder. Daarmee verdwijnt de uitlegbaarheid die juist zo belangrijk is voor governance en compliance.

    Procesanalyse als fundament onder audits

    Interne audits zijn bedoeld om inzicht te geven en richting te bepalen. Dat lukt alleen wanneer duidelijk is waar beslissingen worden genomen en waarom.

    Zonder procesinzicht verschuift een audit al snel naar het controleren van documenten en formuleringen. Met procesanalyse verandert het gesprek. De focus ligt dan op besluitmomenten, verantwoordelijkheden en samenhang tussen activiteiten.

    Dat maakt audits minder defensief en inhoudelijk sterker. Niet omdat er minder bevindingen zijn, maar omdat bevindingen beter te plaatsen zijn in de dagelijkse praktijk.

    De relatie tussen procesanalyse en risicoanalyse

    Risico’s ontstaan zelden plotseling. Ze bouwen zich op in de ruimte tussen verantwoordelijkheden, aannames en onduidelijke besluitmomenten.

    Procesanalyse helpt om die ruimte zichtbaar te maken. Niet door risico’s te benoemen, maar door te laten zien waar keuzes worden gemaakt zonder expliciete afweging. Juist daar ontstaan herhaalbare patronen die later als risico worden herkend.

    Een risicoanalyse zonder procesinzicht blijft abstract. Je weet dat er risico’s zijn, maar niet waarom ze blijven terugkomen of waarom maatregelen onvoldoende effect hebben.

    Waarom tooling en AI procesanalyse niet vervangen

    Steeds meer organisaties zetten tooling en automatisering in om compliance te ondersteunen. Systemen helpen bij registratie, opvolging en rapportage. AI kan patronen herkennen en prioriteiten voorstellen.

    Die ondersteuning werkt alleen goed wanneer de onderliggende processen helder zijn. Zonder procesanalyse leggen systemen vooral vast wat er uitkomt, niet hoe het ontstaat. AI versterkt dat effect door aannames te versnellen die nooit expliciet zijn gemaakt.

    Procesanalyse vormt daarom geen alternatief voor tooling, maar de noodzakelijke onderlaag. Het zorgt ervoor dat systemen aansluiten bij de manier waarop beslissingen daadwerkelijk tot stand komen.

    Procesanalyse zonder extra bureaucratie

    Een veelgehoorde zorg is dat procesanalyse leidt tot extra administratie. Dat hoeft niet het geval te zijn.

    In de praktijk is een beknopt en herkenbaar overzicht vaak voldoende. Zolang duidelijk is waar besluiten worden genomen en wie daarbij verantwoordelijk is, ontstaat overzicht zonder extra ballast.

    Het doel is niet volledigheid, maar herkenning. Mensen moeten zichzelf en hun werk terugzien in het proces. Zodra dat lukt, worden discussies concreter en keuzes beter verdedigbaar.

    Van impliciet handelen naar herhaalbare keuzes

    Het echte voordeel van procesanalyse zit in herhaalbaarheid. Wanneer duidelijk is hoe besluiten tot stand komen, wordt het makkelijker om ze consistent te nemen, ook onder druk of bij verandering.

    Dat is de kern van volwassen compliance. Niet het vermijden van fouten, maar het vermogen om keuzes uit te leggen, te herhalen en waar nodig bij te stellen.

    Organisaties die dit goed doen, hoeven minder te repareren achteraf. Niet omdat alles goed gaat, maar omdat zichtbaar is waar aandacht nodig is en waarom.

    Procesanalyse als stille kracht in governance

    Procesanalyse is geen spectaculair onderwerp. Het levert geen snelle winst op en geen zichtbare quick fixes. Wat het wel oplevert, is stabiliteit.

    Het vormt de onderlaag onder audits, risicoanalyse, tooling en automatisering. Zonder die onderlaag blijven deze instrumenten los van elkaar functioneren. Met die onderlaag ontstaat samenhang.

    En juist die samenhang maakt het verschil tussen compliance als verplichting en compliance als onderdeel van betrouwbaar ondernemen.

    Tot slot

    Compliance vraagt niet om perfecte processen, maar om begrijpelijke keuzes. Procesanalyse helpt om die keuzes zichtbaar te maken, zonder het werk zwaarder te maken dan nodig.

    Niet door alles vast te leggen, maar door de juiste momenten expliciet te maken. Daar waar beslissingen ontstaan. Daar waar verantwoordelijkheid ligt. Daar waar uitlegbaarheid telt.

    Wie daar grip op heeft, heeft ook grip op compliance.

    Verder lezen

  • Ons grootste compliance-risico bleek geen proces, maar gedrag

    Ons grootste compliance-risico bleek geen proces, maar gedrag

    We waren ervan overtuigd dat alles keurig op orde was. De documentatie stond netjes bijgewerkt, het risicoregister was volledig en onze GRC-tool gaf een overzicht dat er geruststellend uitzag. Processen, maatregelen, acties: alles was ingericht. Op papier leek de organisatie strak en betrouwbaar. Tot de dag van de interne audit.

    De auditor keek naar een maatregel, draaide zich naar ons om en stelde de eenvoudigste vraag die je kunt bedenken: “Wie is hier verantwoordelijk voor?”

    Niemand antwoordde.

    De stilte was niet vijandig of ongeïnteresseerd, maar ongemakkelijk en pijnlijk herkenbaar. Iedereen dacht dat iemand anders het zou oppakken. De auditor hoefde verder niets te zeggen. Het echte risico zat niet in een ontbrekend document of een fout in de tool. Het zat in ons gedrag.

    Op dat moment werd duidelijk dat structuur zonder eigenaarschap geen controle oplevert, maar schijnzekerheid.

    De stille aannames die werkprocessen ondermijnen

    In organisaties waar mensen meerdere verantwoordelijkheden dragen, ontstaan onbewust aannames. Wat niet expliciet is toegewezen, wordt stilzwijgend doorgeschoven. Dat werkt zolang er geen echte druk op staat. Tot een audit, incident of klantvraag dat patroon blootlegt.

    Een treffend voorbeeld was het intrekken van toegang bij offboarding. De procedure was zorgvuldig beschreven. De taak verscheen automatisch in de GRC-tool. Maar in de praktijk ging het mis. IT dacht dat HR het signaal zou geven. HR dacht dat teamleads dit zouden melden. Teamleads dachten dat IT monitoring had.

    De taak bestond wel, maar het eigenaarschap niet. Het was een maatregel die “in het proces zat”, maar niet in ons werkritme. In de blog Van risicoanalyse naar actie lieten we eerder zien hoe kritisch het is dat processen niet alleen bestaan, maar ook gedragen worden. Dit voorbeeld bevestigde dat opnieuw

    Hoe de audit een spiegel werd

    De auditor bladerde verder en wees op een actie die al maanden openstond. “Waarom is deze niet opgevolgd?” vroeg hij.

    Het antwoord was niet in een document te vinden. Het zat in onze gewoontes. De auditor testte niets technisch. Hij testte de meest onderschatte laag van compliance: gedrag.

    Het deed denken aan een eerdere blog, Wat er gebeurde toen onze auditor onaangekondigd langskwam, waarin duidelijk werd hoe snel paniek ontstaat wanneer aantoonbaarheid en uitvoering niet één geheel vormen. Nu zaten we opnieuw op dat punt. Niet omdat processen ontbraken, maar omdat ze niet leefden. De audit maakte zichtbaar dat onze aanpak vooral vanuit structuur was georganiseerd, maar weinig vanuit praktijkgedrag.

    Waarom dit patroon zo vaak voorkomt

    Veel organisaties herkennen dit zonder het hardop te zeggen. Zeker wanneer dezelfde mensen klantafspraken, projecten, audits en interne controles combineren. Processen worden dan wel ingericht, maar niet verankerd. Documentatie wordt bijgewerkt omdat het moet. Acties worden aangemaakt omdat het hoort. Maar de vraag wie voelt zich eigenaar? blijft impliciet.

    In een eerdere blog, Van Excel naar overzicht, zo kies je voor GRC-software, lieten we zien dat tooling werkt wanneer gedrag meegroeit. Het auditmoment bewees hoe waar dat is: geen enkele tool kan compenseren voor onduidelijke afspraken of ontbrekend eigenaarschap.

    De omslag naar echt eigenaarschap

    We besloten het anders te doen. Niet door extra lagen structuur toe te voegen, maar door bestaande processen eenvoudiger en persoonlijker te maken.

    We begonnen met één praktische verandering: per maatregel één eigenaar. Niet een afdeling, maar een persoon. Dat maakte opvolging concreet. Iemand wist voortaan: dit hoort bij mij.

    Daarna creëerden we een vast ritme. Korte, maandelijkse check-ins waarin we procesuitvoering bespraken. Geen lange vergaderingen. Geen presentaties. Gewoon de vraag: “Wat loopt goed? Wat loopt stroef?” Dankzij die eenvoud schoof opvolging niet meer van agenda naar agenda, maar kreeg het een vaste plek.

    Ook herschreven we onze procedures. Minder formele taal, meer voorbeelden uit het werk. Dat lijkt klein, maar het had een groot effect. Mensen die begrijpen wat iets oplevert, voeren het sneller uit. In onze blog ISMS in de praktijk: beleid dat wél werkt beschreven we al hoe begrijpelijke taal het verschil maakt tussen naleven en nalezen.

    Tot slot maakten we melden normaal. Soms is een twijfel of een kleine fout waardevoller dan een incidentmelding. Zodra medewerkers dat merkten, ontstond er meer openheid. Problemen kwamen eerder naar boven en verbeteringen volgden vanzelf.

    Deze vier stappen maakten de basis sterker. Niet omdat we meer deden, maar omdat we bewuster deden.

    Hoe dat zichtbaar werd bij de volgende audit

    Een paar maanden later stond dezelfde auditor weer voor de deur. Hij merkte het verschil direct. We konden helder uitleggen wie verantwoordelijk was voor welke maatregelen. We konden onderbouwen waarom iets gedaan was, of juist niet. Bevindingen uit voorgaande audits waren aantoonbaar opgevolgd.

    Niets daarvan voelde geforceerd. Het was simpelweg logisch geworden. Omdat eigenaarschap logisch was geworden.

    Veel organisaties denken dat audits ingewikkeld zijn, maar vaak zijn ze vooral een spiegel. Dat zagen we eerder in de blog Klachten zijn geen fouten, maar wij behandelden ze wel zo, waarin de essentie duidelijk werd: aantoonbaarheid zit niet in formulieren, maar in gedrag.

    Dat herhaalden we nu in de praktijk. De auditor hoefde ons nauwelijks meer te corrigeren. Hij hoefde alleen te constateren dat dingen op hun plek waren gevallen.

    Het echte risico: gedrag zonder richting

    Een organisatie kan alles op orde hebben op papier, maar als niemand iets voelt als “van hem of haar”, ontstaan er blinde vlekken. Die vlekken worden pas zichtbaar wanneer er druk ontstaat. Bij een audit . Een incident. Een klantvraag.

    Gedrag zonder richting is het grootste risico dat vaak als laatste wordt gezien. Terwijl het tegelijk de meest voorspelbare oorzaak is van afwijkingen, vertragingen en gemiste maatregelen.

    In de blog Waarom alles in Excel netjes lijkt, tot je iets moet terugvinden beschreven we hoe gebrek aan structuur leidt tot chaos. Het omgekeerde is net zo waar: structuur zonder gedrag leidt tot schijnzekerheid. De vorm is er, maar de inhoud niet.

    Conclusie

    Compliance komt niet tot leven door systemen of documenten, maar door mensen die hun rol begrijpen en serieus nemen. Structuur is de basis. Gedrag geeft het betekenis. Eigenaarschap maakt het betrouwbaar.

    De organisaties die dat doorhebben, zijn niet per se organisaties met meer middelen. Het zijn organisaties waar verantwoordelijkheden klein en duidelijk zijn, waar opvolging ritme heeft en waar medewerkers signalen durven te geven.

    Daar ontstaat aantoonbaarheid. Daar ontstaat vertrouwen. Daar ontstaat controle zonder kramp.

    En precies daar begint echte compliance.