De vraag kwam rond kwart over 9. Tien minuten in de MT-vergadering legde de CFO zijn pen neer.
“Kun je ons de compliance-KPI’s laten zien? Niet het verslag van vorig jaar, maar hoe staan we er dit kwartaal voor?”
Niemand klikte iets open. Iemand mompelde “interne audit”. Iemand anders “Excel”. We hadden dossiers, procedures en netjes geordende mappen, maar niets dat vandaag aantoonde dat het werkt.
De vraag die pijn doet
Het is de stilte die blijft hangen wanneer je beseft dat je vooral voor de audit hebt gewerkt, en niet voor het bedrijf. Bestuur wil geen map, bestuur wil metrieken die de werkelijkheid vangen: ritme, eigenaarschap en voortgang.
Wat er écht ontbrak: aantoonbaarheid
Compliance voelt veilig zolang de map gevuld is. Maar aantoonbaarheid betekent dat je op elk moment kunt laten zien wat er gebeurt: wat is de status, wat is er veranderd, en wie is de eigenaar? Zonder dat spoor blijft compliance een verhaal dat je jezelf vertelt.
Drie metrieken die het verschil maken
1) KRI: tijdigheid van risicoreviews
Het percentage top-risico’s dat in de afgelopen 90 dagen echt is herzien. Dit zegt iets over de actualiteit en alertheid.
2) KPI: opvolging van auditbevindingen
De doorlooptijd van openstaande bevindingen ten opzichte van je streeftermijn. Hier zie je of leren ook echt leiden is.
KPI: maatregel-effectiviteit
Maatregelen met een eigenaar, bewijs van uitvoering en een eerstvolgende checkdatum. Geen vinkje, maar een ritme.
Van checklist naar ritme
Governance begint niet bij formulieren, maar bij cadans: maandelijks je top-risico’s nalopen, elk kwartaal auditacties afronden en bewijzen vastleggen, elke week zicht op je rode punten. Niet groots, wél consequent.
Waarom dit in het MKB vaak speelt
We werken hard; brandjes zat. Compliance krijgt “even late”. Tot de vraag komt. Van een klant, een auditor of de directie. En het nu moet. Wat ontbreekt is niet goede wil, maar een systeem dat het ritme bewaakt en eigenaarschap zichtbaar maakt.
Hoe wij het vandaag geregeld hebben
Wij bouwen CompliTrack met precies dát uitgangspunt: lichtgewicht governance. Zo min mogelijk schermen, precies genoeg structuur. Elk top-risico heeft 1-3 gekoppelde maatregelen, een eigenaar en een checkdatum. Bevindingen worden taken. Bewijs hoort bij de taak, niet in een losse mail. Het gevolg is geen mooie map, maar een spoor. En dat is wat telt als de directie vraagt: “Kun je het laten zien?”
Verder lezen
- Het beleid klopte. De audit faalde. Waarom gedrag de doorslag geeft in compliance – 26 juni 2025
Over de gedragsdynamiek die auditstress veroorzaakt. Nuttige achtergrond bij dit verhaal. - Van chaos naar controle: zo verbind je risico’s, incidenten en audits in één werkproces – 31 juli 2025
Voor wie na dit verhaal de werkstroom wil verdiepen: proceskoppelingen die elkaar versterken. - Alles was op papier geregeld. Tot SOC 2 om bewijs vroeg. – 16 juni 2025
Confronterend inkijkje in traceerbaarheid: papier != aantoonbaarheid.
Donderdag: wat komt eraan
Op donderdag 4 september 2025 delen we de praktische route: GRC-software in 90 dagen: realistisch implementatieplan voor kleine teams.
Geen tool-verheerlijking; een haalbare cadans waarmee je van drie metrieken naar blijvende grip groeit.
Geef een reactie