Laatste nieuws
 
 
  Achtergrondartikelen  


Rob de Leur, auditor en riskmanagement specialist:

Het gat tussen ISO-certificering en
bedrijfsvoering moet worden gedicht


‘Doe je de (externe) audit nu omdat het verplicht is, of omdat je daadwerkelijk vindt dat je bedrijfsvoering er voordeel bij heeft of zou moeten hebben? De vraag stellen is hem beantwoorden: in de meeste gevallen vindt een audit alleen maar plaats omdat het verplicht is. Het hangt veelal aan certificeringen en als je die wilt behouden, moet je laten auditen.’ Rob de Leur (directeur Orbedo) loopt al heel wat jaartjes mee als adviseur risk management en management support alsook (externe) auditor en ziet dat er nog veel winst valt te halen. ‘Het wordt teveel gezien als een verplicht nummer.

Van de redactie

Laten we elkaar nu niets wijs maken: er valt nog heel wat winst te boeken als het gaat om bewustwording van het belang van een goed en effectief managementsysteem. Dát is namelijk waar een ISOcertificering eigenlijk voor staat. Dat is de intentie: dat je het voor elkaar hebt en echt (aantoonbaar) gebruik maakt van een effectief managementsysteem. Alleen op die manier draagt een ISO-certificaat bij aan een goede bedrijfsvoering. Als je ook op met die instelling laat toetsen of je het daadwerkelijk voor elkaar hebt en je bent bereid om de onderste steen boven te krijgen, dan krijg je het juiste resultaat. Dat betekent dus dat het niet op twee momenten per jaar ‘even moet gebeuren’, maar dat je op elk moment kunt aantonen dat processen uitgevoerd op de manier zoals je hebt beschreven en bedacht en dat ook zo hebt vastgelegd, toetsbaar voor anderen. Je weet op elk moment precies wat er gaand eis. Dan ben je in control.’

Naïef
De Leur kan zich nog steeds verbazen over de soms naïeve manier waarop bedrijven omgaan met het fenomeen
certificering en de manier waarop ze die laten controleren door een externe (maar ook interne) auditor. ‘Nu zou een auditor er zelf ook aan kunnen bijdragen om wat serieuzer om te gaan met die toetsing. Het is geen kwestie
van afvinken of volgens de theorie is voldaan aan alle vragen en eisen die worden gesteld. Wat gebeurt er in de
praktijk? Hoe gaan mensen met informatie om? Hoe werken ze bepaalde processen in de praktijk af en neem geen genoegen met het antwoord dat de geven als je het ze vraagt, maar controleer het op de werkvloer. Het moet voor jou als auditor niets uitmaken wat de uitkomst is van de audit: als het goed is, is het goed. Is dat niet het geval, dan is niemand erbij gebaat door aan te geven dat het wel zo is.’

Controle is maar lastig
Die praktijk is volgens De Leur in veel gevallen te reactief: er gebeurt pas wat als zich een calamiteit of – minder
ernstig – een incident heeft voorgedaan. ‘Maar het is toch in het belang van het bedrijf en de mensen die er werken dat je proactief bezig bent met een effectieve bedrijfsvoering? Die visie zie ik echter nog niet zo vaak. Natuurlijk, ze zijn er. Organisaties die per se in control willen zijn. Die er in investeren en er op controleren. Het is echter heel vreemd dat een groot deel van de bedrijven wel investeert in bijvoorbeeld allerlei certificeringen, maar dat ze de controle eigenlijk maar lastig vinden… Terwijl juist die controle erop de waarde van het certificaat
bepaalt. Losse onderdelen kloppen misschien wel, maar klopt het ook als geheel? De druk op de auditor zou wat mij betreft wel wat mogen worden opgevoerd: het moet als geheel kloppen, zowel in theorie (aantoonbaar voor derden) als in de praktijk (je kunt het direct op de werkvloer zien). De klant moet de gegeven garanties kunnen baseren op juistheid, effectiviteit en betrouwbaarheid.’

Visie management ontbreekt vaak
Het management zou daarin best wat sturender mogen optreden, vindt De Leur. ‘De visie van het management bepaalt in hoge mate hoe serieus dit soort zaken worden genomen. Voor bepaalde certificaten moet je bijvoorbeeld een auditplan maken voor een periode van drie jaar. Dat lijkt mooi, maar wat heb je daaraan? Welk bedrijf blijft hetzelfde in die drie jaar? De manier waarop je producten en diensten genereert en verkoopt verandert toch? De wereld om je heen verandert toch? Met andere woorden: je bedrijfsvoering verandert toch? Hoe kun je dan al drie jaar van te voren vaststellen wanneer en hoe je gaat worden geaudit? Hoe en wat je toetst is toch afhankelijk van de ontwikkeling van de business? De grootste uitdaging ligt er daarom in te zorgen voor die beleving, op alle niveaus in de organisatie. De audit moet aansluiten op de praktijk en niet op de theorie.’



Om dit statement wat concreter te maken, geeft De Leur het volgende voorbeeld: ‘Als je moet bepalen welke audits er in een jaar gedaan moeten worden, pak dan eens het businessplan met daarin de doelstellingen van het bedrijf. Maak een simpele matrix waarin je enerzijds de doelstellingen opsomt en anderzijds de processen van de organisatie. Op het snijvlak van beide kun je aangeven in welke mate een proces bijdraagt aan het bereiken van de doelstellingen. Die processen die in potentie een belangrijke bijdrage leveren aan een doelstellingen zul je in hoge mate willen beheersen. Dat kun je met een goed uitgevoerde interne audit realiseren. Op deze wijze zit er een gedachte, een visie achter de interne audit en is de output ook daadwerkelijk van toegevoegde waarde. Het moet geen ‘automatisch afvinklijstje’ worden.’

Audit is een managementtool
Voor interne audits geldt dus hetzelfde als voor externe audits, vindt De leur. ‘Als nu zes jaar lang dezelfde man
langskomt en ongeveer dezelfde vragen stelt, denk je dan echt dat de antwoorden veranderen? Of dat mensen
worden geprikkeld verder te vragen en na te denken of alles nog wel zo logisch is als het leek? Een audit kost tijd, geld en energie, maar het is eigenlijk een serieuze managementtool. Je hebt iets in handen om de organisatie mee aan te sturen, om processen mee te beheersen. Als bijvoorbeeld een risicoanalyse een onderdeel is van de norm, wat betekent dat dan voor jouw organisatie? Hoe ga je daarmee om? Wat moeten mensen ervoor doen en laten?’

‘Je mag ook kiezen hoe vaak je op jaarbasis zo’n interne audit uitvoert. Zijn er weinig echte bedrijfsontwikkelingen in het eerste halfjaar, maar staan er in het tweede halfjaar belangrijke implementaties gepland over veranderingen, maak daar effectief gebruik van. Gebruik de auditcapaciteit dan in die tweede helft en gebruik de interne audit om implementaties te evalueren, of om vast te stellen of de organisatie klaar is voor zo’n implementatie. Hoe dichter het resultaat van een interne audit aansluit bij de actuele bedrijfsontwikkelingen,
des te groter is de kans dat het management deze output daadwerkelijk kan gebruiken.’

De Leur vervolgt: ‘In veel gevallen beseft het management amper wat ze nu eigenlijk in huis hebben gehaald met
een specifieke certificering. Dat lijkt me toch een eerste vereiste: dat je zelf begrijpt waarom je iets doet. Informatiemanagement, waar het hier in veel gevallen over gaat, is een essentieel onderdeel van de bedrijfsvoering. Je doet toch niet zomaar wat? Datzelfde geldt voor de medewerkers in de uitvoering: zet moeilijke technische termen om in een voor hun begrijpelijke taal, zodat ze weten waar ze op moeten letten.’

ISO staat niet naast de bedrijfsvoering
‘Eigenlijk is werken met normen niet veel anders dan een set heldere werkinstructies afleveren waar iedereen zich in kan vinden en die ook werkbaar zijn. Zolang maar duidelijk is wie wat mag, waar welke verantwoordelijkheden zijn belegd etc. In de praktijk blijkt echter dat dat allemaal helemaal niet zo duidelijk is. Het is vaak niet expliciet beschreven, waardoor zaken ergens tussen de wal en het schip belanden. Waarom doe je bepaalde zaken, hoe doe je dat en waarom doe je andere dingen niet? Dat is de kern. Het gaat daarbij uiteindelijk om het resultaat. Het is zo verleidelijk om maar mee te huilen met de wolven in het bos en allerlei hippe termen te gebruiken, terwijl eigenlijk de meesten geen idee hebben wat het nu écht betekent. Er zijn talloze normen en certificeringen, het gaat erom de voor jou relevante in de context van jouw organisatie en de maatschappelijke ontwikkelingen effectief toe te passen in de praktijk. ISO staat niet naast, maar midden in de bedrijfsvoering. Zorg daar dan ook voor.’
De controle op de ISO moet daarom volgens De Leur ook een ‘normaal en vast onderdeel’ zijn van die bedrijfsvoering. ‘Het gaat erom hoe je zaken hebt geregeld. Ik heb het meegemaakt dat gewoon een gevalletje copy & paste voor me werd neergelegd. Alleen een andere datum erop. Toen ik ze vroeg of er dan niets in het bedrijf was veranderd. bleef het even stil. “Ja maar jullie willen toch die rapportages zo hebben?” werd er vervolgens gezegd. Alsof wij even langs komen voor het aftekenen van een audit. Zo werkt het echt niet. Het gaat niet om wat wij als auditor willen, het gaat om wat jij wilt met je bedrijf. Heb je dat inzicht niet, gaat iedereen er blind vanuit dat “we voldoen aan de norm omdat het systeem gecertificeerd is, dus wat is nu het probleem?” Dan wordt de norm echt gebruikt als indekmiddel en dat is een slechte zaak, want intussen kan er veel misgaan.’

Calibratie auditors
Een ander belangrijk onderdeel voor een goede audit is volgens De Leur de ‘calibratie’ van auditors. ‘En dat is best lastig, want er is een ernstig tekort aan goed opgeleide en ervaren auditors. Alles staat of valt met consistente en consequente toepassing van implementatie en toetsing. Als daarin verschillen zitten krijg je chaos: de ene auditor vindt dat het wel voldoet en de ander vindt dat net niet. Daar schiet je niets mee op. Eenduidigheid, deskundigheid en betrouwbaarheid van de mensen die toetsen is cruciaal voor een succesvolle toepassing van audits, certificering en normering.’
Een ander probleem is volgens De leur dat interne auditoren te weinig tijd nemen of krijgen om een goede voorbereiding te doen. ‘Het verdient zich terug wanneer een auditor zich vooraf verdiept in de stukken en de onderwerpen bepaalt die echt relevant zijn voor de audit. Deze vooraf geïnvesteerde tijd biedt veel voordeel tijdens de audit zelf en is tevens in hoge mate bepalend voor de bruikbaarheid van de output. Zeker omdat interne auditors over het algemeen een paar keer per jaar deze rol spelen, is het van groot belang om dit goed voor te bereiden, bij voorkeur in teams. Dan kan de een bijvoorbeeld de vragen stellen en de andere ondertussen aantekeningen maken. Klinkt heel simpel, maar ik zie in de praktijk dat het op die manier veel beter werkt.’

Gat tussen ISO-certificering en bedrijfsvoering
Het komt er volgens De Leur op neer dat er sprake is van een serieus gat tussen ISO-certificering met alles wat
daarbij komt kijken en de bedrijfsvoering in de praktijk. ‘Dat gat moet worden gedicht willen we daadwerkelijk rendement halen uit management systemen en certificering van organisaties. De effectieve bedrijfsvoering zelf moet de stip op de horizon zijn, een certificaat is slechts een ondersteuning in de weg daar naartoe. De klant moet echter ook leren dat alles een prijs heeft. Als je bepaalde garanties wilt hebben, moet je bereid zijn daarvoor wat meer te betalen. Wil je dat niet, dan kan zo’n certificaat je dus eigenlijk niets schelen. Dan gaat het
alleen maar om de prijs.’
‘Stel jezelf als onderneming dus de vraag: beschik ik over een effectief managementsysteem en waarop baseer ik
dat dan? Moet je daarop het antwoord schuldig blijven, dan kan het best zijn dat die effectiviteit van het managementsysteem behoorlijk tegenvalt…
En bij iedere andere investering maak je toch ook de afweging “waarom steek ik hier mijn geld in”. Nou dan.’

Beeld: Orbedo, Danta Creatieve Communicatie


Kijk hier voor het hele magazine EIM in Business, thema Access & Control

Plaats op:
Datum: 11 oktober 2017
Bron: DocumentWereld / magazine Eim in Business
Gerelateerde artikelen  
25-10-2017 Achtergrondartikelen Verplaats je in de gedachten van een cybercrimineel, wordt zelf ethisch hacker! …
17-10-2017 Achtergrondartikelen Privacy Impact Assessment brengt meer licht in de dataduisternis
29-11-2017 Achtergrondartikelen Impress neemt bescherming van gevoelige (klant) informatie uiterst serieus
21-09-2017 Achtergrondartikelen Nieuwe wet- en regelgeving hét moment om databerg aan te pakken
04-10-2017 Achtergrondartikelen Gedragsverandering grootste probleem bij informatiebeveiliging
 
 

- partners -

 
 
 
 
 
� 2005 - 2017 Vakwereld. All rights reserved Pagina geladen in 0,31 seconden.