Laatst kwamen vrienden bij ons op bezoek. Hun zoontje van twee ging frank en vrij zijn gang en enthousiast rende hij in het met klinkers bestrate deel van onze tuin voortdurend achter zijn bal aan. Hij viel daarbij geregeld. Ik vroeg aan mijn vriend of hij niet bang was, dat zijn zoontje zich erg zou bezeren. ‘Natuurlijk’, zei hij. ‘Maar sneller kan hij nooit leren wat wel en niet kan. En natuurlijk gaat het wel eens mis. Maar hem daarvoor al te veel beschermen, betekent dat ik hem de kans ontneem om spelenderwijs te leren. Hij moet immers leren om te gaan met risico’s . Fouten maken en vallen horen daarbij. Voor mij is opvoeden een continue zoektocht naar de juiste balans tussen controle en loslaten.’
Bedrijfsleven en overheid lijken echter aan controlitis te lijden. Men probeert wanhopig, nog voordat er één stap is gezet, elk risico dat er iets fout zal gaan uit te sluiten. De tolerantie voor risico’s en fouten is tot het nulpunt gedaald. Het is niet alleen een verschijnsel in organisaties, maar heel duidelijk een maatschappelijke trend. Bijna alles wat fout gaat, haalt de media. De Tweede Kamer houdt zich meer bezig met incidenten dan met haar eigenlijke taken.
Eén van de oorzaken hiervan ligt waarschijnlijk in het gestegen welzijn en de toegenomen individualisering in de afgelopen decennia. Vanuit de sociologie is bekend, dat in een welvarende omgeving de risicotolerantie af- en de controlebehoefte toeneemt. Onze maatschappij is zo langzamerhand inderdaad gebaseerd geraakt op wantrouwen. (Zie ook ‘Controle is goed, maar vertrouwen is beter’.) Alles smeren we dicht met geboden en verboden. De kosten hiervan lopen de spuigaten uit. Als er toch nog iets mis gaat, zijn we onverbiddelijk in onze reactie.Elke crisis of elke misser wordt, in een poging de fouten in de toekomst te voorkomen, beantwoord met nog meer regels, procedures en controles.

Erger dan de kwaal

Natuurlijk willen we de belangrijke risico’s zoveel mogelijk beheersen en ernstige fouten voorkomen. Beheersing- en controlemaatregelen zijn daarom essentieel en waardevol. Regels creëren duidelijkheid. En goed bestuur en controle leiden ook tot versterking van het vertrouwen van de belanghebbenden in een organisatie, en daarmee tot vergroting van de waarde van een onderneming.
Dat moet echter niet doorslaan in micromanagement van alleen maar meer regels en procedures. Dan ontstaat een cultuur waarin mensen zich niet veilig voelen initiatief en (normaal) ondernemingsrisico te nemen uit angst afgestraft te worden als er onverhoopt iets mis gaat. Dan raakt een organisatie iedere bewegingsvrijheid kwijt en is er geen ruimte meer voor het lerende vermogen dat we als mens van nature hebben meegekregen. Een cultuur waarin fouten maken het ergste is wat je kan doen, slaat het fundament onder het leer- en groeipotentieel weg.
Initiatief, ondernemerschap en eigen verantwoordelijkheid zullen uit de mensen verdwijnen. Wat resteert is onverschilligheid, is ontzieling, is kramp. Wie durft er dan nog te vertrouwen op zijn of haar persoonlijke beoordeling van wat nodig is? Wie durft er dan nog initiatief te nemen en daarmee wellicht het risico te lopen van de gebaande paden af te wijken? Wie durft er dan nog een fout toe te geven? Het risico ontstaat juist dat ook kleine fouten lang verzwegen worden en stapje voor stapje uitgroeien tot grote en onaangename verrassingen. En dat hadden die regels nou net moeten voorkomen.
Het is een illusie te denken dat alle risico’s en fouten uit te sluiten zijn. De wereld is niet perfect. De meer traditionele maatregelen van besturing en controle lijken er echter wel vanuit te gaan dat het menselijk gedrag volledig beheersbaar is. Ze leiden daarmee tot niets meer dan papieren tijgers van formeel geïmplementeerde controlesystemen en dus tot schijnzekerheid. De vaak grote investeringen in zulke traditionele maatregelen verdampen grotendeels.
Pas sinds kort lijken we ons te realiseren dat meer van zulke harde controlemaatregelen de rol van menselijk gedrag onderschat en daardoor niet altijd effectief is. Zo wijzen bijvoorbeeld de G20, de Europese Unie en onze eigen Commissie Maas op cultuur en irrationeel gedrag als één van de voornaamste oorzaken van de bankencrisis. De kunst is om steeds de juiste balans te vinden tussen controle en vertrouwen. Dat geldt ook voor het bedrijfsleven, waar de balans momenteel lijkt te zijn doorgeslagen naar controle.

Het maken van fouten levert best practices op

Fouten zouden gevierd moeten worden. Een fout is voor een organisatie een uitgelezen kans om te leren. Zo’n kans moet gekoesterd worden. Momenten waarop fouten gemaakt worden zijn waardevolle momenten. Het zijn momenten die bepalend zijn voor het zelfredzaam vermogen en de weerbaarheid van de organisatie op de lange termijn. Een omgeving waarin fouten gemaakt mogen worden leidt tot een cultuur van openheid en transparantie. (Zie ook ‘Zekerheid: zoeken naar balans tussen regels en vertrouwen’.) Tot een cultuur waarin we niet elke fout beantwoorden met openlijke kastijding en stigmatisering. Tot een gezond klimaat dus, waarin het leren van elkaars fouten centraal staat. Fouten mogen maken versterkt het collectieve leer- en prestatievermogen van de organisatie.
Het klinkt fraai. Maar eenvoudig te realiseren is het niet. Een lerende cultuur waarin fouten gemaakt mogen worden, wordt niet gecreëerd door wat je zegt, maar vooral door wat je doet. Het is primair het (voorbeeld)gedrag van de baas waaruit blijkt of er écht fouten gemaakt mogen worden in de organisatie. De baas zal openlijk eigen fouten moeten durven erkennen en deze niet wegpoetsen in ongeloofwaardigheid. (Zie ook ‘Plan bedrijfscontinuïteit MKB: wat, waarom en hoe’.) Het is echter daarnaast veelzeggend hoe de baas écht op fouten van anderen reageert. Dat heeft belangrijke symboolwerking en een enorm uitstralingseffect naar de rest van de organisatie. Nog sterker zou het zijn om daaraan structuur te geven, bijvoorbeeld in de vorm van een wisseltrofee voor de grootste fout – lees het grootste leermoment – van de week.
Stel je eens voor wat dat zal doen voor de cultuur in een organisatie. Opeens is het geoorloofd een foutje te maken en wordt de waardevolle bijdrage van dat leermoment onderkend en zelfs beloond. Dat moet vanzelfsprekend samen gaan met een cultuur waarin we op een volwassen manier omgaan met fouten, van het hoogste toezichtorgaan tot de jongste medewerker. Als mensen oprecht hun best doen, gun ze dan een foutje. Het is heel goed mogelijk een fout te erkennen en bespreekbaar te maken zonder de persoon te kleineren die zo ongelukkig was om de fout te maken. Dat vereist leiderschap, maar is wel een belangrijk recept voor het organisatiebreed ontdekken van de grenzen.

Kernwaarden in plaats van regelzucht

Zullen dan verkeerde intenties, opzettelijke fouten en fraude tot het verleden gaan behoren? Nee, vanzelfsprekend kan ook dit niet alle ‘animal spirits’ onderdrukken. Maar in zo’n cultuur past het ook om elkaar aan te spreken op verantwoordelijkheid en om bij opzettelijke overtredingen van de regels daadkrachtig het voorbeeld te stellen. Dat heeft dezelfde symboolwerking en maakt duidelijk wat de consequenties zijn als men de grenzen overschrijdt. Waar die grenzen liggen, is overigens een grijs gebied waar geen eenduidig antwoord op bestaat. Dat antwoord laat zich vooral leiden door de kernwaarden binnen de organisatie. Die reflecteren waarvoor een organisatie wil staan naar buiten toe . Het zijn tevens de waarden waarin mensen een gezamenlijke ambitie en intentie herkennen. (Zie ook ‘Vervang uw gedragscodes door één ethische code’.) Mits goed verankerd en geïntegreerd, sturen die kernwaarden de cultuur en het gedrag binnen de organisatie.
Er moeten dus heldere keuzes worden gemaakt, die consequent worden ‘geleefd’. Dat vereist toewijding, geduld en investering, maar zal tegelijk resulteren in een vermindering van ‘harde’ maatregelen ten faveure van ‘zachte’ controles die op een natuurlijker wijze verankerd zijn in het menselijk handelen. Dit is ook van belang voor duurzaam succes in de markt, omdat de waarden en het gedrag van de mensen bepalen wat een onderneming naar buiten toe uitstraalt.
Vier de fouten en koester de leermomenten! Wie niet durft of niet bereid is te falen, verzet geen stap en zal dus ook niets leren. De praktijk laat zien dat lerende organisaties duurzaam succesvoller zijn op de markt, een grotere loyaliteit en productiviteit onder werknemers kennen, en ongelukken beter weten te doorstaan. De lerende organisatie waar fouten gemaakt mogen worden en waar het lerende vermogen van de mensen wordt benut, is zo de winnaar van morgen. (Zie ook ‘Normatief denken is dodelijk voor de klantgerichtheid’.)

Bron:
Olof Bik , ‘Controle-obesitas: middel erger dan de kwaal’. In: Het Financieele Dagblad . 28 juni 2010.

Download:         

No related posts.

Niet de techneuten, de auditors of de  beveiligers zijn bepalend voor een succesvolle werking van informatiebeveiliging. Zij zijn slechts voorwaardenscheppend. Het zijn de gebruikers die hiervoor moeten zorgen.  Maar dan moeten ze wel weten, hoe ze dat op eenvoudige wijze kunnen doen.

Databeveiliging is vaak niet nodig

Laten we eerst weer eens teruggaan naar de betekenis van het woord informatiebeveiliging. Informatiebeveiliging draait om de beschikbaarheid, de juistheid en de vertrouwelijkheid van informatie. Vooral dat laatste wordt momenteel gezien als het hete hangijzer. Automatisering helpt ons bij verwerking van informatie. De meeste geautomatiseerde systemen echter verwerken geen informatie, maar slechts data.  En die zijn doorgaans niet echt vertrouwelijk. Pas als we relaties leggen tussen data, kunnen we spreken van  informatie.
Want is het erg als uw privacygevoelige gegevens op straat komen te liggen?  Niet, als niemand weet, dat die gegevens u betreffen. Pas als er verbanden gelegd worden, krijgen data betekenis en worden samenhangende data vertrouwelijke informatie . Pas dan vormen ze een beveiligingsrisico. Vaak  maken techneuten en auditors dit verschil tussen data en informatie niet. Zij redeneren dat je informatie kunt maken uit data en dat data dus beveiligd moeten worden. Dit is een misverstand. Want als je data scheidt van de applicatie waarmee de informatie gegenereerd wordt, heb je een goed aangrijpingspunt voor informatiebeveiliging. Niet alleen binnen de bedrijfsmuren, maar ook in de cloud.
De gebruikers zelf vormen dan het grootste risico. Gemakzuchtig als ze zijn, slaan ze betekenisvolle informatie op als bijvoorbeeld een document of een spreadsheet of ze plakken de informatie in een mail of printen deze uit. In al die gevallen gaat het om opslag of distributie van informatie en zal er dus beveiligd moeten worden. Anders worden er beveiligingslekken gecreëerd. En dan is ook de cloud natuurlijk onveilig.

Is awareness de oplossing?

Bovendien onttrekt de informatie in geprinte of verstuurde vorm zich vaak aan de beveiligingsmiddelen die de organisatie heeft ingezet. Veel documenten worden geprint. Geprinte documenten worden weer gekopieerd. Meestal is niet meer te achterhalen, wie zo’n kopie in handen krijgt, want veel van deze documenten verdwijnen in koffers en worden zonder enig probleem meegenomen naar buiten de poort van de organisatie. Per mail gaat het nog sneller. Immers, als u uw mail, al dan niet met een cc, heeft verstuurd naar anderen, dan wordt die mail sowieso elders opgeslagen. Bovendien kan die ander uw mail doorsturen. Want kennisdeling is tenslotte een core competence van kennisintensieve organisaties.
Maar informatiebeveiligers liggen hier wakker van. Ze hebben tenslotte niet voor niets een bolwerk gemaakt van uw informatiesystemen. En dan gooit de eerste de beste gebruiker, overigens misschien wel met de beste bedoelingen, die goed beschermde informatie zomaar op straat. Is het gek, dat beveiligers hameren op meer awareness bij management en gebruikers? Verboden moeten blijkbaar nog zwaarder aangezet en beter gecontroleerd worden en de sancties moeten worden verzwaard! Anders maken die gebruikers er een zootje van!
Diezelfde gebruikers zijn echter hoogst verbaasd over de stupiditeit van de informatiebeveiligers. (Zie ook ‘Informatiebeveiliging awareness voor management en gebruikers’.) Die collega, klant of leverancier had de informatie nodig.  Als dienstverlener ontleen je toch je bestaansrecht aan het dan ook daadwerkelijk leveren van die informatie? Bovendien, ze  hebben toch een geheimhoudingsverklaring laten tekenen? Wat is er dan mis met die informatiebeveiliging?

Niet slepen met informatie

Het antwoord is simpel: die geheimhoudingsverklaring biedt natuurlijk geen bescherming als niemand de naleving controleert. En controle is niet mogelijk, als beveiligde informatie per mail of als hard copy buiten de bedrijfsmuren wordt gebracht. De ontvanger kan ermee doen wat hij wil, zonder een aanzienlijke pakkans. Dat weet de ontvanger. Het delen van kennis door die kennis te distribueren is een dodelijk lek voor iedere beveiliging. (Zie ook ‘Kunt u weglekken van digitale geheimen voorkomen’.)
Juist hier schieten informatiebeveiligers tekort. Iedereen weet, dat informatiebeveiliging de vijand is van efficiency. En efficiency is in de meeste organisatie toch belangrijker. Kortom, als het nodig is om maatregelen te treffen tegen onveilige kennisdeling, dan moeten aan gebruikers andere, veilige faciliteiten geboden worden om toch efficiënt en gebruiksvriendelijk kennis te kunnen delen. Anders gaan de maatregelen niet werken. Het onderscheid tussen informatie en data is hierbij van belang. Niet de informatie wordt verspreid, maar de toegang tot de informatie. Gebruikers geven collega’s, klanten of leveranciers toegang tot de gevraagde informatie, die dan uiteraard is ingericht voor deze vorm van kennisdeling met de geautoriseerde derde.
Een dergelijke virtuele opslag van informatie is natuurlijk afgeschermd van de andere bedrijfsinformatie. Er kan ook gemonitord worden wie wanneer welke informatie opvraagt en welke bewerkingen hiermee uitgevoerd worden, zodat bij misbruik de pakkans maximaal wordt. Verder kunnen functies als het uitprinten of elders opslaan van de informatie geblokkeerd worden voor gebruikers van deze informatie met minder rechten.

Veel gemaakte fout bij informatiebeveiliging

Helaas bieden veel beveiligers gebruikers dit soort faciliteiten niet, zodat de gebruikers als kenniswerker geen andere keuze hebben dan toch met de informatie te gaan slepen. Dat is tenslotte hun primaire taak, zeker binnen een dienstverlenende organisatie.
Veel beveiligers vinden het bieden van dergelijke facilieiten geen onderdeel van hun taak. Daardoor ontstaat vaak wrijving tussen beveiligers en gebruikers. Het zou zo moeten zijn, dat beveiligers zich bewust  zijn van de impact van hun maatregelen op de efficiency van de organisatie. Als de efficiency door maatregelen vermindert, dan moeten ze meedenken over de oplossing voor dit probleem. Doen ze dit niet, dan zal blijken dat juist de meest loyale medewerkers de beveiligingsmaatregelen gaan omzeilen. En dat zijn nou precies de medewerkers die nodig zijn voor het draagvlak binnen de organisatie. En draagvlak werkt beter dan bangmakerij. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.)

Gecontroleerde toegang dus essentieel

Veel mensen schrikken echter van een dergelijke oplossing. Het zijn tenslotte de aanvallen van buitenaf, die jaren werden aangeduid als de belangrijkste bedreiging voor de informatiebeveiliging. En nu moeten ineens de poorten naar de bedrijfsinformatie wijd open gezet worden, ook voor hackers.
Het gevaar van hackers moet echter niet overdreven worden. Als een hacker slaagt in zijn inbraakpoging, dan ziet hij vooral heel veel data en maar weinig informatie. Daar zit dus niet het gevaar. Het wordt gevaarlijker als een hacker het account van een beheerder kaapt en zich als deze beheerder gaat voordoen. Een beheerder heeft veel rechten en die krijgt een hacker dan ook.
Als gebruikers betekenisvolle informatie gewoon opslaan op een netwerkschijf, dan kan een beheerder en dus ook de hacker zich hier toegang toe verschaffen, zonder dat iemand er weet van heeft. Als deze informatie echter wordt opgeslagen in een aparte ruimte, waar alleen een beperkt aantal geautoriseerde gebruikers mag komen en die bovendien ook nog gemonitord wordt, dan komt de beheerder niet in deze ruimte, en dus de hacker ook niet. Als dit wel gebeurt door inbraak, dan wordt dit gesignaleerd zonder dat de beheerder (of de hacker) zijn sporen kan uitwissen. Sharepoint is voor zo’n oplossing uitstekend bruikbaar. Maar er zijn hiervoor zelfs gratis open source oplossingen beschikbaar.
Als we weten dat 70% van de inbreuken op informatiebeveiliging wordt veroorzaakt door interne medewerkers, dan zal duidelijk zijn dat juist het beschikbaar stellen van een systeem voor gecontroleerde toegang de beveiliging van informatie sterk kan verhogen. Niet alleen tegen externe aanvallen, maar vooral ook tegen interne aanvallen. En die vormen een royale meerderheid.
Bijkomend voordeel is dat ook het nieuwe werken zo veilig wordt ondersteund. (Zie ook ‘Het Nieuwe Werken, vluchten kan niet meer’.) Het is niet meer nodig dat informatie op laptops of als geprinte documenten mee naar huis wordt gesleept. Via internet heeft men gewoon toegang tot de bedrijfsinformatie en de gegevensverwerking waarvoor men geautoriseerd is. Die toegang is goed te beveiligen. Op deze manier zijn incidenten te voorkomen met gestolen laptops, met verloren USB-sticks met de gegevens van duizenden klanten of patiënten of met PC’s bij het huisvuil, waarvan de data niet zijn gewist.

Discipline van gebruikers

Beveiligers hielden in het verleden dit type oplossing vaak tegen, vanuit een soort  koudwatervrees. Gebruikers zijn daardoor ook nooit geconfronteerd met hun verantwoordelijkheid als gegevenseigenaar. In de nieuwe situatie moet dat wel gebeuren. In het verleden regelde de ICT-afdeling de toegangsbeveiliging. Natuurlijk gebeurde dit wel op verzoek van het management. Maar dit tekende vaak ongezien, als een medewerker meer rechten vroeg.
Als de belangrijkste pijler onder de beveiliging wordt gevormd door toegangsbewaking, zullen gegevenseigenaren moeten nadenken over de vertrouwelijkheid van de informatie en over de vraag wie toegang mogen hebben tot de informatie en welke bewerkingen ze mogen uitvoeren. Het is niet meer een manager die bepaalt of zijn medewerker toegang moet hebben tot bepaalde informatie, die dan vervolgens  wordt verleend door de ICT-afdeling. Nu is het de gegevenseigenaar, die dit verzoek kan honoreren.
Kennisdeling is tegenwoordig een must voor alle kennisintensieve en dienstverlenende bedrijven. Dit hoeft echter geen verhoogd risico met zich mee te brengen. Het is de informatie zelf die moet worden beschermd. En de eerste stap hierin is deze informatie niet te verslepen. Dan kunnen de indianenverhalen over onveiligheid bij Cloud Computing ook bij het oud vuil. (Zie ook ‘Cloud Computing is onderdeel van de megatrend van bezit naar gebruik’.) Of blijft u liever investeren in achterhaalde zaken? Ook verplichte normen als ISO 27001 kunnen hiermee afgeschreven worden. Ze zijn nog gebaseerd op uw bedrijfsmuren en dat is niet meer van deze tijd. Kortom, het is  tijd om over te schakelen op de modernere ISO 27002 norm.

Download:         

Gerelateerde artikelen:

1. Oplossingen KPN-Getronics voor Het Nieuwe Werken
2. Heeft u de antwoorden op de vragen van de CIO
3. Informatiebeveiliging: geen verantwoordelijkheid maar aansprakelijkheid

Informatiebeveiliging wordt door veel organisaties gezien als een hoeveelheid opgelegde  bureaucratie vanuit Den Haag, waaraan je maar hebt te voldoen om niet geconfronteerd te worden met torenhoge boetes. Juist die boetes halen de pers en worden als dreigement gebruikt, door Den Haag en ook door allerlei adviseurs, opdat toch vooral maar wordt voldaan aan de wet- en regelgeving. En daar nu zit een groot misverstand.

 Honderd procent veiligheid bestaat niet

Als het gaat om veiligheid, dan weten we dat 100% veiligheid niet kan bestaan. (Zie ook ‘Kosten en baten van beveiliging’.) U kunt wel maatregelen treffen waardoor het moeilijker wordt om inbreuk op de beveiliging te maken, maar daardoor wordt hooguit het aantal beveiligingsincidenten teruggedrongen.
U kunt het vergelijken met de verkeersveiligheid. Door allerlei maatregelen te treffen, neemt het aantal verkeersslachtoffers af, maar het wordt nooit echt veilig in het verkeer. En u krijgt ook nooit een boete voor het in gevaar brengen van de verkeersveiligheid. U kunt een boete krijgen voor te snel rijden, voor een te hoog alcohol promillage in uw bloed of voor fout parkeren, maar als de overheid als best practice de suggestie aanreikt om twee seconden afstand te houden van uw voorligger, dan krijgt u nog geen boete als u zich niet aan die twee seconden houdt. Met informatiebeveiliging is het niet anders.
Er zijn wetten en regels die u moet naleven. De Wet Bescherming Persoonsgegevens (WBP) is één van die wetten. In die wet staat een aantal dingen die u moet doen, maar nog veel meer dingen die u zelf naar eigen inzichten moet regelen.
Zorginstellingen hebben de verplichting om NEN 7510 in te voeren. NEN 7510 is net als ISO 27002 een set van doelstellingen en een aantal best practices die worden aangereikt om die doelstellingen te realiseren. Als u echter andere keuzes maakt op bijvoorbeeld bedrijfseconomische gronden of omdat u een bepaald risico acceptabel vindt, is dat ook goed. Natuurlijk zal een auditor daar wel een opmerking over maken, maar een boete kunt u er niet voor krijgen. En niemand anders dan uzelf kan u dwingen meer maatregelen te nemen.
Laat u dus niet imponeren door verbaal geweld. U stelt uw eigen normen vast, rekening houdend met wat wettelijk is vereist. En daarop kunt u worden gecertificeerd. U bent daarmee in één keer van het gezeur af. (Zie ook ‘Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27002 te certificeren’.)

De WBP nader bekeken

Laten we de Wet Bescherming Persoonsgegevens eens nalopen in de versie die het College Bescherming Persoonsgegevens (CBP), dat verantwoordelijk is voor het toezicht op de naleving van de privacy-wetgeving, heeft gepubliceerd op zijn website. (Zie http://www.cbpweb.nl/HvB_website_1.0/d.htm#wbp.)

“De belangrijkste bepalingen uit de WBP over het rechtmatig omgaan met persoonsgegevens kunnen als volgt worden samengevat:

1.  Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
2. Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn. 
3. Degene over wie gegevens worden verwerkt moet ten minste op de hoogte zijn van de identiteit van de verantwoordelijke en van het doel van de verwerking waarvoor de gegevens zijn bestemd. 
4. De gegevensverwerking moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.”

Rechtmatigheid

In de inleidende zin wordt gesproken over het begrip rechtmatigheid. Rechtmatigheid betekent niet zorgvuldigheid, eerlijkheid of redelijkheid. De definitie luidt:
“Rechtmatigheid is een juridische term, die aangeeft dat een (voorgenomen) handelwijze in overeenstemming is met de geldende regels en besluiten. Het is het tegengestelde van onrechtmatigheid”.
Zo waren de beleggingen van diverse Nederlandse provincies en gemeenten bij IceSave dom en weinig zorgvuldig, maar niet onrechtmatig. De ophef in de pers kreeg dan ook in het geheel geen vervolg. Deze inleidende zin beschrijft dus exact wat in het vorige hoofdstuk is betoogd. Als u niet expliciet een wet of regel overtreedt, dan handelt u rechtmatig. Daar gaat deze privacywet over. Onder punt 1 wordt dit in feite nog eens herhaald, want termen als zorgvuldig en behoorlijk hebben juridisch gezien geen betekenis.

Aanmelding registratie

Wat in deze samenvatting niet genoemd wordt, is de plicht om een persoonsregistratie aan te melden, tenzij hiervoor een vrijstelling kan worden verkregen. De site van CBP biedt een uitgebreid schema waarmee bepaald kan worden of u voor de vrijstelling in aanmerking komt en dat is al snel. Zo is bijvoorbeeld ZBC vrijgesteld van deze meldingsplicht. Wij mogen bij wijze van spreken al uw gegevens verkopen aan terroristen en criminelen, mits wij maar voldoende duidelijk maken dat wij dat doen. Daar kunnen wij dus nooit een boete voor krijgen. Zeer waarschijnlijk heeft u niet ons reglement ‘Disclaimer, gebruiksvoorwaarden en privacy‘ gelezen, waarmee u wel heeft ingestemd toen u zich registreerde op de site. Zou daarin staan dat wij inderdaad uw gegevens aan terroristen en criminelen verkopen, dan hebt u daarmee ingestemd en kunt u ons daardoor geen medeplichtigheid aan misdaad verwijten. Maar maakt u zich geen zorgen, het staat niet in ons reglement en dus mogen we die gegevens ook niet doorspelen.

Doel van de verwerking van persoonsgegevens

Los van de woorden die geen juridische betekenis hebben, staat onder het tweede punt dat u moet aangeven voor welk doel u de gegevens verzamelt en hoe u ze gaat gebruiken. De term gerechtvaardigde doeleinden betekent niets meer dan dat u moet kunnen uitleggen voor welk doel u de gegevens verzamelt. Zelfs onrechtmatige doelen kunnen gerechtvaardigd zijn, want ze kunnen vast wel worden uitgelegd. U bent slechts strafbaar als u niet duidelijk communiceert waarvoor u de gegevens gebruikt of als u gegevens voor niet genoemde doelen gaat gebruiken. De meeste rechtszaken gaat dan ook over het feit of u wel of niet duidelijk genoeg geweest bent.
Daarnaast moet ook duidelijk zijn, wie kunnen beschikken over de gegevens (derde punt).

Beveiliging van de persoonsregistratie

Het laatste punt: ‘De gegevensverwerking moeten op een passende manier worden beveiligd’, is natuurlijk boterzacht. Want wat is passend? Is dat beveiligd met een user-id en password, is dat extra beveiligd met een token of houdt dat volledige encryptie in? Zelfs een stapeling van deze beveiligingsmaatregelen hoeft niet afdoende te zijn. Dat is wel gebleken uit de vele voorvallen van pinpasfraude. 100% beveiliging bestaat immers niet. Het is maar net wat de ‘crimineel’ ervoor over heeft. Als we weten dat op internet identiteitsgegevens inclusief creditcard gegevens voor ca € 4 worden aangeboden, dan is duidelijk dat de identificerende gegevens zonder creditcardgegevens slechts enkele centen waard zijn. Rechtvaardigt dit investeringen van vele duizenden euro’s of meer om deze gegevens te beschermen? Dat lijkt me niet. Niemand is dus verplicht om zijn persoonsgegevens beter te beschermen dan met user-id en password. Tenzij daarvoor aanvullende regels zijn gemaakt, zoals bijvoorbeeld voor de GBA. Dan moet dit wel. Maar besef wel, dat de GBA en de audits hierop eigenlijk niets te maken hebben met informatiebeveiliging of de privacy wetgeving. De GBA is een aparte entiteit met haar eigen wetten.
Dat passende beveiliging niets te maken heeft met echte veiligheid is wel gebleken bij het vastgelegde bankgeheim in o.a. Zwitserland. Ondanks dat dit bankgeheim een wettelijke basis heeft in een aantal landen, worden de banken die onvoldoende maatregelen hebben getroffen om gegevens van klanten te beschermen tegen nieuwsgierige medewerkers, niet aangepakt. Terwijl hierdoor toch mensen voor miljoenen worden gedupeerd en de Duitse regering er zelfs belastingcenten voor over heeft om via heling de gegevens te kopen. Misschien terecht, daar gaat het niet om, maar er blijkt wel weer uit dat privacy slechts een wet is in de hiërarchie van wetten. (Zie ook ‘Privacy kan definitief op de schroothoop’. )

Bescherming bijzondere gegevens

Dan is er natuurlijk nog de registratie van bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging. Hiervoor gelden extra strenge regels en daar heeft u zich aan te houden. Doet u dat niet, dan overtreedt u de wet en riskeert u een boete. Daarom gelden hier een tweetal vuistregels:

1. Sla dergelijke gegevens niet op als dat niet strikt noodzakelijk is en als dit wel nodig is (bijvoorbeeld creditcard gegevens tot de betaling is ontvangen), verwijder deze gegevens dan onmiddellijk als zij niet meer nodig zijn.
2. Als u toch genoodzaakt bent om dergelijke bijzondere gegevens op te slaan, houdt deze dan gescheiden van de overige persoonsgegevens en maak ze alleen toegankelijk via een aparte unieke sleutel via een eigen autorisatiesysteem. En zorg ervoor, dat iedere raadpleging van deze bijzondere gegevens wordt gelogd en dat deze logfile daadwerkelijk wordt gecontroleerd.

Als u op deze manier omgaat met zeer gevoelige gegevens, dan realiseert u een hoge veiligheid tegen lage kosten. Natuurlijk geen 100%, maar dat is nu eenmaal  onmogelijk.

Informatiebeveiliging en privacy moet u scheiden

Informatiebeveiliging is een zaak die iedere organisatie aangaat. Informatiebeveiliging vormt een bedrijfsrisico dat ‘in control’ moet zijn. Risico’s op dit gebied moeten worden onderkend en er moet bepaald worden in hoeverre zulke risico’s afgedekt moeten worden met maatregelen. Vaak is het handig om hiervoor een niet-normatief normenkader te gebruiken zoals ISO 27002. Hierin worden meer dan 1000 best practices aangereikt, die u al dan niet kunt implementeren. (Zie ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’). Maar als u eenmaal gekozen heeft voor een eigen norm, dan dient u die vanzelfsprekend ook na te leven.
Daarnaast heeft u bij informatiebeveiliging als randvoorwaarde te maken met wet- en regelgeving zoals de WBP. Die bevat een aantal harde eisen, waaraan u heeft te voldoen als u geen boete wilt riskeren. Het is echter zaak om dergelijke regelgeving kritisch te lezen. Vaak bevatten dergelijke teksten allerlei intenties, die echter geen harde norm zijn. Deze intenties kunt u gewoon negeren. Op deze manier hebben we ook de WBP tegen het ligt gehouden.
Het is goed om bij informatiebeveiliging niet blind te varen op de adviezen van externe adviseurs. Zij overdrijven vaak de ernst van de situatie. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.) In uw organisatie gaat het om uw normen, en die kiest u zelf. Het is zaak om voor uw organisatie een optimum te zoeken, met misschien een beperkt aantal door wet- en regelgeving opgelegde randvoorwaarden.

Download:         

Gerelateerde artikelen:

1. Privacy, de dinosaurus in ons communicatietijdperk
2. Privacy kan definitief op de schroothoop
3. Privacy en Hoe smaakte de bloemkool vandaag

Al die gedragscodes echter scheppen niet bepaald meer duidelijkheid. Vaak leiden ze ertoe dat niemand nog weet waar hij aan toe is en iedereen dus maar doet wat hemzelf goeddunkt. Natuurlijk vormen uw medewerkers voor uw bedrijf, net als voor de meeste bedrijven, het belangrijkste asset. Daar diezelfde medewerkers echter ook creatief zijn en kunnen improviseren als dat nodig is, zijn zij vaak ook een kwetsbaar punt in uw organisatie. En regeldrift en toezicht van Den Haag en Brussel nemen soms epidemische vormen aan. Mede daardoor is compliance helaas steeds meer het toverwoord waar het management op moet sturen.

Wat is er mis met veel gedragscodes?

Laten we voorop stellen dat de meeste gedragscode met zorg zijn opgesteld en adequaat zijn voor het doel wat ze moeten dienen binnen de discipline waar ze van toepassing zijn. (Zie ook ‘Alleen overheid wettelijk verplicht tot Het Nieuwe Werken’.) Maar daar zit ook de belangrijkste valkuil. Ieder bedrijf kent verschillende beleidsgebieden en disciplines. Managers en medewerkers hebben altijd te maken met meerdere van die beleidsgebieden. Integriteit of informatiebeveiliging is immers niet beperkt tot een paar afdelingen. De naleving wordt echter per aspectgebied beoordeeld. En dat maakt de controle op  de naleving tot een ramp. Een treffend voorbeeld hiervan was deze winter te zien bij de NS.

Monteur helpt reizigers uit de brand

Uit  De Telegraaf van maandag 4 januari 2010

Op maandagochtend 21 december, toen heel Nederland bedolven raakte onder een dik pak sneeuw, er een complete chaos op het spoor heerste en conducteurs en machinisten hun werkplek niet konden bereiken, twijfelde storingsmonteur Kamminga geen moment, toen collega’s hem aanspoorden om de boemelrit van Amsterdam naar Utrecht te rijden. Hij hielp daarmee  honderden mensen uit de brand.

Zijn werkgever Nedtrain bedankte hem echter niet met een bloemetje. In plaats daarvan werd de in Amsterdam gestationeerde Kamminga op Oudejaarsdag geschorst. Dit ondanks het feit dat hij van de verkeersleiding toestemming had gekregen om te vertrekken.

Kamminga: “Toen ik op spoor 7 de bomvolle trein zag die uitpuilde van de mensen, liep ik erheen. Het was kwart over zeven in de ochtend. Die trein had al voor zessen moeten vertrekken, maar het treinpersoneel was er nog steeds niet. Twee collega’s van het landelijk bureau materieel, die als passagiers in de trein zaten, vroegen: “Kun jij ons niet even naar Utrecht brengen?” Er was een noodsituatie, dus Kamminga ging aan de slag.

Tien jaar lang is de in Amsterdam werkzame monteur machinist geweest. Nog steeds moet hij elk jaar een proeve van bekwaamheid afleggen om locomotieven te mogen rijden. Ter plekke vroeg Kamminga toestemming aan de knooppuntcontrole van NS Reizigers om te vertrekken. Die zagen de vertragingen alleen maar oplopen en gaven toestemming. Daarna zette de dienstleider van Prorail de seinen op groen. De eerste stoptrein van Amsterdam naar Utrecht kon vertrekken.
Tien dagen lang was er geen vuiltje aan de lucht. Maar op Oudejaarsdag kwam een controleur van de NS verhaal halen bij Kamminga. Nog geen uur later was de schorsingsbrief getypt. Van het ene op het andere moment werd er alleen nog maar naar de regeltjes gekeken. De brief werd persoonlijk overhandigd en de monteur kon direct zijn biezen pakken. De verklaring besloot met de dreigende tekst dat ‘de weg open staat voor passende maatregelen’.

Als alle regels nauwgezet waren gevolgd had Kamminga nooit een trein met passagiers mogen vervoeren. Ook niet in deze noodsituatie. Het kille verweer  van de NS-woordvoerster: “Kamminga heeft alleen bevoegdheid om lege treinen te rangeren. Zijn goede bedoelingen ten spijt, hij heeft gehandeld tegen de regels. Hij had moeten weten dat hij dit niet mocht doen. Ook niet als reizigers veel langer moeten wachten.” Dat de verkeersleiding toestemming gaf om te vertrekken doet volgens de zegsdame niet ter zake.

Natuurlijk gaat het niet om wat er in dit geval precies is gebeurd. Maar het verhaal haalt wel de Telegraaf, met een fors stuk imagoschade tot gevolg. Blijkbaar was aan diverse functionarissen niet duidelijk, dat veiligheid altijd gaat boven service aan klanten. Klaarblijkelijk is er een gedragscode die gaat over service aan klanten en een gedragscode over wie wat mag in noodsituaties.

Externe partijen boven de wet?

In veel organisaties zijn er gedragscodes die gelden voor interne medewerkers. Vaak is het echter volstrekt onduidelijk of deze regels ook gelden voor externe partijen als toeleveranciers, ketenpartners, inhuurkrachten of stagiaires. Een eigen medewerker kun je op staande voet ontslaan. Maar wie stel je aansprakelijk voor schade aangericht door derden? Heeft de toeleverende organisatie getekend voor de gedragscode? Heeft de externe medewerker getekend voor de gedragscode? Zijn er duidelijke sancties? Is er eigenlijk wel voor iets getekend? Of vertrouwt u misschien een externe partij meer dan uw interne medewerkers?

Waarom dan toch die gedragscodes?

Natuurlijk zijn gedragscodes het afdichtmiddel voor al die situaties waarin de naleving van maatregelen niet controleerbaar is of waarin de maatregelen zelfs ongewenst zijn. (Zie ook ‘Ethische code maakt ISO 27002 waterdicht’.) Vaak zijn ze  niet meer dan een juridische constructie om te voorkomen dat men bij geschillen geen verwijtbare tekortkomingen kan constateren. Maar rechters oordelen tegenwoordig vaak anders. Als een organisatie niet klip en klaar is over wat van medewerkers wordt verwacht, dan is dit verwijtbaar aan de organisatie, zelfs al heeft de medewerker getekend voor gedragscodes.
Vanuit juridisch perspectief is een gedragscode dus onnodig en zinloos. Tijd om toch eens kritisch te kijken naar uw gedragscode. Is deze misschien normatief opgesteld met allerlei verboden en geboden? Dan kunt u er zeker van zijn dat de verwarring groot wordt. (Zie ook ‘Normatief denken is dodelijk voor de klantgerichtheid’.)

Een ethische code in plaats van een gedragscode

Als er iets duidelijk wordt voor het komende decennium, dan is het wel dat organisaties moeten komen tot een bedrijfsbrede strategie met betrekking tot allerlei doelen die de organisatie wil bereiken. Dit alles valt niet meer te vangen in gedragscodes die worden opgesteld vanuit de verschillende disciplines binnen de organisatie.
Wat nodig is, is dat een bedrijf één samenhangende code heeft, die vooral positieve energie geeft en inspirerend werkt. Een code waarvoor het hoogste management graag de zeepkist beklimt. Zowel naar eigen medewerkers als naar ketenpartners, toeleveranciers en vooral ook klanten. Geen normatieve verboden en geboden maar doelstellingen op grond waarvan:

• de arbeidsproductiviteit stijgt;
• kosten worden gereduceerd;
•  de wendbaarheid van de organisatie toeneemt;
• de balans tussen werk en privé voor werknemers verbetert;
• persoonlijke ontwikkeling van medewerkers wordt bevorderd;
• een bijdrage wordt geleverd aan maatschappelijk verantwoord ondernemen;
• de vitaliteit van de medewerkers wordt verhoogd;
• etc.

Geen stapel gedragscodes maar één ethische code, die beschrijft wat u samen met uw medewerkers, toeleveranciers, ketenpartners en inhuurkrachten wilt zijn voor al deze betrokkenen en vooral voor uw klanten. Concreter dan alleen een ‘mission statement’. Een document, dat:

• je graag op je website zet;
• je graag bijvoegt bij je offertes;
• je graag uitlegt aan iedereen die zich daaraan moet houden;
• je positieve energie en inspiratie geeft .

Bovendien sta je dan juridisch sterker, al is dit nog nauwelijks uit te leggen aan juristen.

Download:         

Gerelateerde artikelen:

1. Ethische code maakt ISO 27002 waterdicht
2. Je succes wordt niet meer bepaald door je merk, maar door je identiteit en je authenticiteit
3. Van je geluk wordt 10 procent bepaald door je omgeving en 90 procent door hoe je hiermee omgaat

Inhoudsopgave

1. Bezuinigen op compliance?
2. Spanningsveld tussen vertrouwen en regels
3. Regels en procedures
4. Operational excellence
5. Operational performance en in-control kaarten

1. Bezuinigen op compliance?

1.1 Te veel regels

Wint de roep om meer wet- en regelgeving, nu het stof van de kredietcrisis optrekt, of komt de weg vrij voor een meer op vertrouwen en principes gebaseerde aanpak? Deze vraag  stelt Rens Rozekrans, partner bij KPMG Forensic, in een artikel in het FD van 10 februari 2009. Is bezuinigen op interne controlemaatregelen en complianceprocedures mogelijk, wanneer gekozen wordt voor een aanpak gebaseerd op inzichten uit de gedragseconomie? Meer wetten en meer regels hebben de vertrouwenscrisis immers niet kunnen voorkomen.
Volgens Rozekrans  beseft iedereen dat de regulering van de financiële sector op een andere leest geschoeid moet worden. Verschillende affaires hebben aangetoond dat de op regels gebaseerde benadering – de afgelopen decennia typerend voor de Amerikaanse aanpak- niet effectief is. Rozekrans wijst op de benoeming door Barack Obama van gedragseconoom Cass Sunstein, die talloze boeken schreef over de relatie tussen wetgeving en menselijk gedrag, tot hoofd van The Office of Information and Regulatory Affairs. Sunstein zal hierdoor een stevig stempel kunnen drukken op een nieuwe strategie voor de regulering van kapitaalmarkten. Krijgt hiermee een meer op principes gebaseerde benadering, een aanpak die inzet op een daadwerkelijk verandering van gedrag, meer ruimte?

1.2 Schijnzekerheid

Ook Arco van de Ven, hoogleraar Bestuurlijke Informatievoorziening aan de Universiteit van Tilburg, kritiseert in november 2008 in zijn inaugurele rede een eenzijdige benadering gebaseerd op regels en procedures. Regelgeving kan nooit alle risico’s volledig afdekken, stelt hij. Hij verwijst naar gemeenten die zich op formele regels baseerden bij de besluitvorming over het wegzetten van tegoeden op IJslandse bankrekeningen. Formeel handelden deze gemeentes correct. Zij leefden regels en procedures na. Toch ging het helemaal mis. Als er ondanks de regels voor risicobeperking toch zaken misgaan, leidt dat volgens Van de Ven tot de roep om extra regels voor risicobeheer. Dit geeft echter nog steeds onvoldoende zekerheid. Het vertrouwen herstelt volgens Van de Ven alleen als de naleving van regels gepaard gaat met een goed beoordelingsvermogen van bestuurders en managers. Wanneer de focus op regels ligt en desondanks zaken mis gaan, is sprake van schijnzekerheid die het vertrouwen in organisaties schaadt.

2. Spanningsveld tussen vertrouwen en regels

Ook maatschappelijke ondernemingen, zoals woningcorporaties en bijvoorbeeld instellingen voor jeugdzorg, opereren in het spanningsveld tussen vertrouwen en regels en toezicht. Een spanningsveld met aan de ene kant de vraag vanuit de samenleving om meer regels en toezicht en aan de andere kant de kwaliteit of het vermogen van de maatschappelijke onderneming om zelf toe te zien: gewoon doen wat je zegt en zeggen wat je doet. (Zie ook ‘De maatschappelijke onderneming in zwaar weer’.)
Moderne maatschappelijke ondernemingen wachten niet op het moment dat een crisis, een incident of een ontsporing hen noodzaakt te reageren, zich te verantwoorden of opening van zaken te geven. In plaats van af te wachten en van gebeurtenis tot gebeurtenis te moeten reageren en in plaats van telkens hun systemen voor sturing en beheersing in hun organisatie te moeten aanpassen, hebben zij ervoor gezorgd dat hun control structureel op orde is. Vraag is echter wat dat precies betekent? Gaat het dan niet toch weer vooral over regelgeving, compliance en procedures? Wellicht kun je het zo zeggen: maatschappelijke organisaties willen overzicht en inzicht in de manier waarop zij de sturing en beheersing, de control van de organisatie, hebben ingericht en georganiseerd. Zij willen de adequate en juiste werking ervan kunnen beoordelen en systematisch kunnen werken aan de ontwikkeling en aanpassing ervan. Zo ontstaat een meer permanente basis voor vertrouwen en zekerheid, zowel intern als extern.
We geven hierna enkele tips en adviezen voor het ontwikkelen van een systeem dat dat mogelijk maakt, een systeem dat aandacht heeft voor enerzijds het omgaan met regels en anderzijds het realiseren van op betrokkenheid gebaseerd gewenst gedrag.

3. Regels en procedures

3.1 Voor wie?

Zolang u uw procedures nog op traditionele wijze schrijft, zonder zicht op interne of externe klanten, zolang zal het beschrijven van die procedures blijven behoren tot de categorie van de minst aantrekkelijke zaken om mee bezig te zijn. Moderne manieren van beschrijven die snel resultaat geven en waarbij de focus ligt op het leveren van prestaties voor klanten, en waarbij aandacht is voor de vraag wat mensen hierin kunnen betekenen, zorgen voor plezier, motivatie en betrokkenheid van managers en medewerkers. (Zie ook’Procesmanagement: hoe processen beschrijven?’.)

3.2 Processen of protocollen?

In veel organisaties zijn regelgeving en procedures verstopt in moeilijk leesbare beschrijvingen in tekst. Ze zijn bovendien in stukken geknipt: voor elke werkplek afzonderlijk zijn protocollen geschreven, die zicht geven op wat gedaan moet worden. En dat terwijl de werkplek vandaag de dag steeds meer bezet is door goed opgeleide professionals. Werkgevers verwachten van de moderne medewerker steeds meer creativiteit en pro-activiteit in zijn functioneren. Professionals behoren niet alleen hun eigen werk te kunnen, maar tevens te begrijpen wat hun werk voor anderen betekent. Beter gezegd: zij horen te weten wat hun eigen onvolkomenheden of tekortkomingen betekenen voor het functioneren van de rest van de keten. Hoe deze impact op te sporen, te bespreken en te begrijpen, als de procesketen en de afhankelijkheden niet in beeld zijn? Hoe hiermee verder te komen, als de communicatie in het beschrijven van processen en protocollen geen aandacht krijgt? (Zie ook ‘Communicatie is de motor van de bedrijfsvoering’.)

3.3 Naar operational excellence

Alleen als u als organisatie het hanteren van regels en het beschrijven van processen uitvoert in het licht van de klant en van de voor de klant te verrichten prestaties, zult u overleven. U zult bovendien het dilemma van vertrouwen of regels overwinnen. Werd eerder nog gesproken over impact van tekortkomingen op andere collega’s in de keten, tegenwoordig is van nog meer belang de vraag wat dit voor de klant betekent. De klant verwacht immers operational excellence! Hij verwacht dit voor een prijs waarvoor hij het zelf niet kan doen. De klant verwacht een kwaliteit die beter is dan bij uw collega in de markt. Hij verwacht een leveringsbetrouwbaarheid conform wat hem is toegezegd. Hoe dit te bereiken? De beoogde kwaliteit, prijs en leveringsbetrouwbaarheid zijn alleen te realiseren wanneer uw organisatie verregaand standaardiseert en dus werkt in gestandaardiseerde processen. Zie hier de uitdaging waar elke organisatie voor staat: enerzijds de noodzaak om te standaardiseren, anderzijds de prikkel om proactief en creatief te zijn in de schakels van de procesketen en naar de klant. Waar het daarbij om gaat, is het vinden van balans. Een zaak van managers of van leidinggevenden?

4. Operational excellence

4.1 Geen fouten, maar in één keer goed

Wanneer uw organisatie voortdurend haar (kleine) fouten moet herstellen, om alsnog te voldoen aan wat met de klant is afgesproken, nemen de kosten toe en zal de ingeslepen ondoelmatigheid tot zogenaamde overbelasting of ‘ondercapaciteit’ leiden. Maar is dit werkelijk ondercapaciteit? Meer mensen zijn nodig voor het zelfde werk. Zo zal uw organisatie in negatieve zin groeien: meer taakverdeling en meer procedures voor afstemming en afspraken.
Hier raken we tevens de essentie van onze eerste vraag: naar meer regels en procedures of naar vertrouwen, gebaseerd op gewenst gedrag? Hier nu toegespitst op het vertrouwen van klanten: het vertrouwen in dat gedaan wordt wat gezegd is. Indien leidinggevenden meer nadruk leggen op bedrijfsvoering dan op strategie of verantwoording en een beroep doen op de inbreng, creativiteit en initiatieven van hun teams en afdelingen, gaat de bedrijfsvoering excelleren. Medewerkers, professionals, zij hebben de ideeën, gebaseerd op de praktijk, voor het verbeteren van de bedrijfsvoering en het terugdringen van kosten.

4.2 Control en compliance

Daarom, stimuleer initiatief en creativiteit door uw medewerkers in de bedrijfsvoering meer ruimte te geven in hun manier van werken. Gebruik eenvoudige ‘proces dashboards’ om aan te zetten tot betere prestaties. Laat uw medewerkers zelf de middelen en maatregelen ontwikkelen die fouten en tekortkomingen beperken. Neem die mee en evalueer periodiek de voortgang in de organisatieontwikkeling die nu plaats vindt aan de hand van het dasboard. Maak aan de hand van het dashboard duidelijk aan uw medewerkers hoe hun handelen verband houdt met de risico’s en met de doelstellingen in het proces. Koppel zo het (meetbaar) handelen en gedrag in de uitvoering aan het bereiken van doelstellingen of aan de beleidsuitgangspunten van uw organisatie. Laat uw medewerkers zelf opnieuw de methodieken of werkwijzes ontdekken en uitproberen en maak de effecten ervan zichtbaar in het procesdashboard. Wanneer u zo wat fout gaat en beter kan in het proces, weet te verbinden aan door uw medewerkers ontwikkelde maatregelen, middelen en (controle)handelingen, zijn risicobeheersing, compliance en control geen afzonderlijke aandachtsgebieden meer, maar heeft uw organisatie de aandacht hiervoor compleet geïntegreerd met het wel en wee van de dagelijkse bedrijfsvoering en zijn de medewerkers erbij betrokken. Governance, risicomanagement en compliance (GRC) zijn van de praktijk geworden. (Zie ook ‘Procesbeheersing is ook risicomanagement’.)

4.3 Integraal in plaats van financieel framework

Zorg dat het dashboard van het proces integraal de aspecten van bedrijfsvoering meeneemt, in plaats van uitsluitend te kijken naar de financiële control doelstellingen. Integreer deze aanpak in het werk en zorg dat deze geregeld ter sprake komt in de afdeling of het team. Evalueer de voortgang van dit verbeteren of ontwikkelen periodiek: bijvoorbeeld elke twee maanden of elk kwartaal.

4.4 Operational performance en in-control kaarten

Met softwarematige sjablonen kunnen maatschappelijke ondernemingen het procesdashboard verdiepen en ervoor zorgen dat per proces zogenaamde ‘in-control kaarten’ ontstaan. Zo worden procedures of procesbeschrijvingen tevens de basis voor de ‘in-control kaarten’ van de betrokken medewerkers in het proces. Nu kan de organisatie ook voortdurend (?) gericht en verantwoord ’sleutelen’ aan de operationele en bedrijfsbrede verbetering van ‘control’. Zo staan bijvoorbeeld doelstellingen niet meer los van risico’s en zijn de risico-oorzaken niet alleen ooit eens een keer geinventariseerd, maar maken ze permanent deel uit van de in-control kaart.  In-control kaarten worden elke twee maanden of elk kwartaal weer beoordeeld en bijgewerkt. Operational performance gekoppeld aan in-control overzichten verbinden risicobeheersing op basis van procedures en regels met inzet, betrokkenheid van medewerkers en met de ontwikkeling van het voor vertrouwen gewenste gedrag.

Bron:
Rens Rozekrans, ‘Niet bezuinigen op compliance’. In: Het Financieele Dagblad. 10 februari 2009.

Download:         

Gerelateerde artikelen:

1. MVO is de balans tussen people, planet en profit
2. Vertrouwen is goed, controle is beter, maar wat als de controleur niet deugt
3. Controle is goed, maar vertrouwen is beter

Inhoudsopgave

1. In-control zijn: waar hebben we het over?
2. In-control zijn: wat is nodig?
3. In control statement binnen handbereik

1. In-control zijn: waar hebben we het over?

1.1 Doelstellingen

Maatschappelijke ondernemingen, bijvoorbeeld woningcorporaties en instellingen voor jeugdzorg, opereren in een voor iedereen zichtbaar spanningsveld. (Zie ook ‘De maatschappelijke onderneming in zwaar weer’.) Enerzijds vraagt de samenleving om meer toezicht en anderzijds kan de maatschappelijke onderneming natuurlijk ook zelf toezien. Misschien kunnen we het als volgt samenvatten: “Gewoon doen wat je zegt en zeggen wat je doet.” De maatschappelijke ondernemer snapt heel goed dat hiervoor zijn systemen voor interne sturing en beheersing adequaat dienen te werken.
Vraag is echter: Hoe bewijs ik nu concreet dat mijn organisatie ‘in control’ is? Dat blijkt best lastig. Want waar hebben we het eigenlijk over? Abstract gezegd: over het geheel van sturing, middelen en maatregelen waarmee we onze doelen proberen te bereiken en over het in acht nemen van de risico’s van het maatschappelijk ondernemen. Maar nu concreet: over welke doelen gaat het precies? Gaat het om de meer strategische, de organisatiedoelstellingen? Om de financiële doelstellingen? Of ook om de niet-financiële doelstellingen? Gaat het tevens om de procesdoelstellingen? Maar wacht even. Is er dan een onderscheid te maken tussen procesdoelstellingen en organisatiedoelstellingen? En zijn daar  dan vervolgens ook de procescontroldoelstellingen in begrepen? En wat is dan het verschil tussen procesdoelstellingen en procescontroldoelstellingen? Conclusie is dat een uitspraak over het ‘in-control zijn’ altijd een gespecificeerde uitspraak behoort te zijn: een uitspraak over om welke doelstellingen van welke onderdelen van de organisatie het gaat.

1.2 Risico’s

Anders dan verrast te worden en pas na de verrassing aan de slag te gaan, wil de moderne maatschappelijke ondernemer permanent grip hebben. Verrassingen zijn immers incidenten of gebeurtenissen die niet werden verwacht. Gebeurtenissen die wellicht waren te voorzien, indien vooraf was nagedacht over de onzekerheden die gepaard gaan met het stellen van doelen. Dat brengt ons van de hiervoor genoemde doelstellingen naar de oorzaken van het risico dat de doelstelling niet bereikt zal worden. Een risicoanalyse, uit te voeren op de doelstellingen, levert de mogelijke oorzaken of gebeurtenissen die het bereiken van doelen in de weg kunnen staan. (Zie ook ‘Procesbeheersing is ook risicomanagement’.) Bij bij het doen van een uitspraak over het ‘in-control zijn’ dienen dus ook de risico’s meegenomen te zijn. Naast een overzicht van bijvoorbeeld doelen en een rapportage van de voortgang van die doelen, zal ook inzicht gegeven moeten worden in de werking en naleving van maatregelen.

1.3 Veel spannende vragen

Zijn we er nu? De doelstellingen zijn helder. De risico’s zijn geinventariseerd. Er is sturing op de risico’s. Er wordt periodiek gerapporteerd over de voortgang: over het bereiken van de doelstellingen en over de effectiviteit van de maatregelen. Is dit voldoende om te stellen ‘we zijn in control’? (Zie ook ‘Haalbare doelen, wie verzint ze nog?’.)
Een eenvoudig voorbeeld laat zien dat dit niet zonder meer het geval kan zijn. Immers, wanneer bijvoorbeeld een woningcorporatie zijn doelstelling, bijvoorbeeld om honderd woningen in een bepaald jaar op te leveren, heeft gerealiseerd, is het enkele feit dat dit bereikt is niet voldoende om van ‘in-control zijn’ te kunnen spreken, hoe prachtig het feit van de gerealiseerde doelstelling op zichzelf ook is. Het is reëel om bij de gehaalde doelstelling ook bijvoorbeeld de vraag te stellen of de oorspronkelijk beoogde kwaliteit ook daadwerkelijk is opgeleverd. Of voor dit project de kosten binnen het afgesproken budget zijn gebleven. Of uiteindelijk de beoogde marge ook is gehaald. En nog een andere vraag: hoe is het, gedurende het project, gegaan met de veiligheid tijdens de bouw? Zijn er ongelukken, incidenten of tegenslagen geweest, die de reputatie van de woningcorporatie minder goed hebben gedaan? Vragen, vragen en nog eens vragen. Spannende en specifieke vragen, die steeds concreter de gerapporteerde prestatie ‘afpellen’ en de echte werkelijkheid op tafel leggen. Het voorbeeld maakt duidelijk dat het afgeven van een ‘in control statement’ zonder nadere toelichting weinig zegt. Want als de ondernemingsdoelstellingen ‘in control’ en bereikt zijn, zijn dan bij het afgeven van dit statement ook de overige doelstellingen, de control doelstellingen, bijvoorbeeld op het gebied van kwaliteit, kosten, doorlooptijd, daarbij inbegrepen?
Hoe meer men van de specifieke business af weet, hoe meer spannende en concrete vragen men kan stellen. Dergelijke vragen leiden naar een heel stelsel van noodzakelijke maatregelen en controles in de betreffende bouwprocessen. De vraag die telkens gesteld kan worden is: Wat is nodig of welke controles moeten we uitvoeren opdat het niet verkeerd gaat? Een vraag die eveneens van belang is: Hoe weet ik als leidinggevende dat mijn mensen doen wat is afgesproken? Voeren mijn mensen de afgesproken controles werkelijk altijd uit? En bij twijfel: Hoe schat ik als leidinggevende de mogelijkheid in, dat ondanks de afgesproken controles, het toch mis gaat? En wat doe ik daar dan aan, op het moment dat ik dit zo heb in geschat? Vragen, spannende vragen. Het is tijd om eens na te gaan wat concreet gedaan kan worden.

2. In-control zijn: wat is nodig?

2.1 Een adequaat systeem: inzicht en overzicht

Moderne maatschappelijke ondernemers wachten niet totdat zij moeten reageren op de verrassing of uitdaging van de dag. In plaats van dat zij per gelegenheid de interne systemen voor sturing en beheersing (ISB) in hun organisatie moeten aanpassen, hebben zij gezorgd voor inzicht en overzicht. Inzicht in de wijze waarop sturing en beheersing zijn ingericht en georganiseerd. Overzicht om de juiste werking van de systemen te kunnen beoordelen en systematisch te kunnen werken aan de ontwikkeling en verbetering ervan. Zo leggen zij een meer permanente basis voor vertrouwen en zekerheid, zowel intern als extern. (Zie ook ‘Zekerheid: zoeken naar balans tussen regels en vertrouwen’.)

2.2 Een adequaat systeem: bottom up ontwikkeld

Moderne maatschappelijke ondernemers inventariseren vanuit de werkprocessen de maatregelen en middelen voor het afdekken van risico’s en voor het realiseren van (control) doelstellingen. Ze doen dit samen met de medewerkers in de uitvoering. Die worden erbij betrokken. Alleen zo worden de in de hiërarchie naar boven gerichte verantwoording en rapportage concreet en zinvol: zij hebben betrekking op oorzaken van risico’s die er werkelijk toedoen.

2.3 Onderscheid in controles en controles

Doorgaans worden dagelijkse, maandelijkse en/of jaarlijkse controles uitgevoerd. Uit te voeren controles moeten te verbinden zijn aan de oorzaken van de risico’s die van betekenis zijn in de organisatie of de procesvoering. Hierbij moet onderkend worden dat in de uitvoering steeds al sprake is van controles en dat de overige controles dus altijd ‘additioneel’ zijn. Additioneel en noodzakelijk, omdat nog sprake is van onzekerheid. In een goed raamwerk of ‘control framework’, ondersteund met software, is het vanzelfsprekend dat verbanden kunnen worden gelegd en dat doelen, risico’s, oorzaken en sturing of maatregelen in de juiste samenhang zijn vastgelegd en inzichtelijk zijn.

2.4 Control Framework

Maatschappelijke ondernemers kunnen eveneens gebruik maken van wereldwijde standaarden op het gebied van control. Denk hierbij aan de COSO frameworks en de verbeterde varianten hiervan, software die het Control Framework in geautomatiseerde vorm ondersteunt. Op het gebied van Governance Control en Compliance (GRC) zijn diverse (softwarematige) oplossingen en sjablonen met bijbehorende slimme overzichtsrapportages beschikbaar die het control systeem van de maatschappelijke ondernemer inzichtelijk maken.

2.5 Vermijd dure consultants en accountants

Maatschappelijke ondernemingen hebben vaak de verschillende onderdelen van het totale systeem van sturing en beheersing (ISB) al. Het inzicht in de samenhang echter en een overzicht met als mogelijkheid de juiste werking te beoordelen, zijn lastig zo niet onmogelijk. Laat staan het eenvoudig even uitleggen of aantonen van de opzet en werking aan derden. Om die reden worden telkens weer adviseurs en accountants ingehuurd om, meestal per situatie en voor één aspect van de zaak, nog eens na te gaan hoe het er ook al weer precies voorstaat op een bepaald moment. Het is nooit verkeerd om een deskundige de vraag te stellen het systeem van sturing en beheersing eens door te lichten. Het is ‘waste of money’ indien geregeld en ad hoc vele externe uren betaald moeten worden voor taken die de controller of de kwaliteitsmanager eenvoudig zelf kan uitvoeren. Zeker indien software dit nog eenvoudiger maakt en hergebruik van de gegevens mogelijk maakt. (Zie ‘In control statement (ICS-)project’.)

2.6 Referentiemodellen en standaards

Inmiddels is veel ervaring opgedaan met het softwarematig operationeel maken van control frameworks bij maatschappelijke organisaties op het gebied van wonen, zorg en welzijn. De laatste jaren zijn deze ervaringen en gegevens verzameld in zogenaamde referentiemodellen; in software. In deze modellen en sjablonen zijn de processen, sturingen, maatregelen, controlehandelingen, voorzieningen en risico-oorzaken in onderlinge samenhang expliciet gemaakt. Op grond van deze ervaring krijgen organisaties met behulp van deze GRC-software in korte tijd de ‘control kaarten’ van de maatschappelijke onderneming op tafel. Indien organisaties deze software zelf aanschaffen, kunnen zij de control kaarten eenvoudig zelf onderhouden en actualiseren. Het toewerken naar een ‘in control statement’ is met de control kaarten binnen handbereik gekomen. Bovendien is het werken aan een ‘in control statement’ niet iets ‘van boven’ of ‘voor boven’, maar is elk onderdeel van de organisatie voor zijn deel erbij betrokken.

3. In control statement binnen handbereik

Naast inzicht en overzicht, hebben maatschappelijke ondernemingen met behulp van de hiervoor genoemde control kaarten nu ook de mogelijkheid om gericht en verantwoord te ’sleutelen’ aan de bedrijfsbrede control van hun organisatie. Zo zijn bijvoorbeeld de risicospecificaties niet meer het resultaat van één of twee brainstormsessies, maar zijn ze in relatie tot de doelstellingen gespecificeerd. De verbanden liggen vast en daarmee is ook inzichtelijk wat het effect is van elke wijziging in die vastlegging. De vastlegging helpt de organisatie niet alleen bij het bedenken en invoeren van maatregelen en controles, maar is ook telkens weer de referentie bij het veranderen en verbeteren van de control van de organisatie.
Wanneer met behulp van software de verschillende dimensies van control in samenhang zijn gebracht, kan het restrisico worden geschat. Zo kan bijvoorbeeld op grond van de control kaarten een ‘in control statement’ worden opgesteld voor bijvoorbeeld het verhuurbedrijf van een woningcorporatie.

Download:         

Gerelateerde artikelen:

1. In control statement (ICS-)project
2. De maatschappelijke onderneming in zwaar weer
3. Zo bent u binnen een half jaar een winstgevende ICT-dienstverlener

Inhoudsopgave

1. In control statement (ICS-)projecten
2. ICS projectresultaat: control kaart per gebied
3. ICS-projectaanpak

1. In control statement (ICS-)projecten

Steeds vaker worden de acties binnen organisaties om tot een in control situatie te komen, als (deel)project uitgevoerd. Doel van deze ICS-projecten is dus dat een in control verklaring wordt afgegeven. (Zie ook ‘In-control statement binnen handbereik?’)
‘Wanneer men bedrijfsbreed ‘in control’ wil zijn, is er al gauw sprake van een project met een doorlooptijd van een jaar of enkele jaren. Indien het gaat om een ICS voor een specifiek proces of één bedrijfseenheid is het bereik van dit deelproject te overzien en het projectresultaat op korte termijn te realiseren.

2. ICS projectresultaat: control kaart per gebied

Een organisatie zal altijd in beheersbare stappen aan de slag willen. Procesoffice heeft een aanpak ontwikkeld die dit mogelijk maakt. De aanpak wordt ondersteund met softwarematige sjablonen en modellen, ook wel ‘control kaarten’ genoemd. Per specifiek bedrijfsgebied of bedrijfsproces van een maatschappelijke onderneming, worden de control kaarten ingevuld op basis van referentiemodellen en best practice beschrijvingen.

2.1 Kostenbesparing

Voorafgaand aan het inventariseren en invullen van de werkelijke control voor een bedrijfsgebied kan, indien er aanzienlijke verschillen zijn met de werkelijke situatie van de maatschappelijke onderneming, het model eerst nog worden aangepast. Voor het maken en beheren van (referentie)modellen voor control, blijken op interactie gebaseerde procesmodellen niet alleen handig en effectief, maar ook kostenbesparend.
Procesinteractiemodellen zijn uitstekend geschikt voor het vormgeven van de sturing en beheersing. Zij geven een scherp beeld van het bedrijfsdomein, door de klant-leverancierketen helder weer te geven. De korte, maar aanwezige afstand van deze referentiemodellen tot de implementatie of tot de door de organisatie in detail beschreven werkelijkheid, maken dat deze interactiemodellen ideaal zijn voor het specificeren van de aan control te stellen eisen. De korte afstand is meteen ook de afstand die nodig is om het onderscheid tussen eisen en specificatie van de te implementeren control enerzijds en de werkelijk gerealiseerde control anderzijds, goed te bewaren. Immers, de manier waarop de maatregelen in de praktijk zijn geïmplementeerd verandert nogal eens, terwijl de eisen aan control niet noodzakelijk gewijzigd hoeven te zijn. (Zie ook ‘Communicatie is de motor van de bedrijfsvoering’.)

2.2 Kwaliteitsverhoging

De hiervoor genoemde afstand tussen het ‘in control model’ dat is gebaseerd op de gangbare Control Frameworks en de implementatie, maakt het mogelijk de control modellen van de maatschappelijke onderneming onderling uit te wisselen. Vanzelfsprekend leidt deze uitwisseling naast de al eerder genoemde tijd- en kostenbesparing tot aanzienlijke kwaliteitsverhoging ten opzichte van een situatie waarin men telkens de expertise, kennis en best practice moet inkopen. (Zie ook ‘Tool voor grip op uw proces- en workflowmanagement’.)

2.3 Concreet en praktisch toepasbaar

De specificaties (digitaal, software) van control met behulp van control kaarten per bedrijfsgebied zijn zeer concreet. Bij woningcorporaties kan een uitwisseling bijvoorbeeld gaan over de control van het huurmutatieproces voor het deel ‘vertrekkende huurder’. Bij de jeugdzorginstellingen kan het gaan om de control voor ‘jeugdreclassering’ of ‘gezinsvoogdij’. Bovendien zijn de specificaties zichtbaar in een voor de branche herkenbare en goed leesbare proces- en sturingsopzet.
De medewerkers die betrokken zijn bij het ICS-project blijken met deze modellen in de praktijk heel goed te kunnen communiceren. De specificatie, het control model van het bedrijfsgebied, is dus concreet en daardoor te gebruiken als eisenprogramma voor de specifieke situatie van een organisatie. De directe relatie met de organisatorische context zorgt ervoor, dat de specificaties kunnen worden vertaald naar concrete maatregelen in herkenbare werkeenheden en processen, dit in tegenstelling tot wanneer men abstracte beelden gebruikt. (Zie ook ‘Procesmanagement: hoe processen beschrijven?’.)
De control modellen van de primaire bedrijfsgebieden kunnen alleen uitgewisseld worden binnen één branche van maatschappelijke ondernemers. De control modellen van de meer ondersteunende bedrijfsgebieden, zoals die voor personeel, financiën, facilitaire zaken, logistiek en ICT, kunnen over de grenzen van de branche heen met elkaar gedeeld worden.

3. ICS-projectaanpak

Procesoffice heeft een aanpak ontwikkeld voor het specificeren van de eisen van control. De zogenaamde JAS-(Joined Activity for Specification)aanpak is geschikt voor zowel een projectaanpak waarbij voor één organisatie als een project aanpak waarbij gezamenlijk voor meer organisaties tegelijk een control specificatie wordt opgesteld. De methode wordt toegepast om tot gemeenschappelijk geaccepteerde specificaties of ontwerpen te komen, voor zowel internationaal opererende als landelijk werkende organisaties. Zo kwamen bijvoorbeeld in een periode van een aantal dagen werkmaatschappijen uit de olie-industrie bijeen. Maar ook zijn dergelijke projecten bij maatschappelijke instellingen (jeugdzorg) of bedrijven (energiesector) uitgevoerd om tot een gezamenlijke specificatie of een gezamenlijk ontwerp te komen.

3.1 Samen

Wanneer de JAS-aanpak wordt toegepast voor meer organisaties tegelijk, wordt het project uitgevoerd op een gemeenschappelijke locatie. De collega’s in de branche delen kennis en inzicht en specificeren in korte tijd, veelal in een periode van twee tot drie dagen, de concrete specificaties voor het ‘in control zijn’ van de organisatie op een specifiek bedrijfsgebied. Met deze specificatie kan iedere organisatie vervolgens in stappen de beoogde control implementeren.
Maar zoals al eerder gezegd, kunnen de control kaarten ook toegepast worden in een individueel traject per maatschappelijke onderneming, als deelname aan een branchegericht JAS-project niet mogelijk of gewenst is. Dan worden een aantal afzonderlijke dagen of dagdelen ingepland.

3.2 Van control kaart naar werkelijkheid

Nadat de specificaties van de gewenste control zijn opgesteld kunnen ontbrekende of niet adequaat werkende voorzieningen worden ingevoerd dan wel aangepast: fase 2 van het ICS project. Desgewenst ondersteunt Procesoffice de deelnemers in deze fase, de implementatiefase van het ICS-project. Indien men de vastlegging professioneel wil uitvoeren, kan hierbij de Modulor software gebruikt worden voor het vastleggen van de werkelijke situatie.
Als een organisatie bij de aanvang van het ICS-project al een methodiek en een tool voor het vastleggen van de bestaande situatie gebruikt, kan zij hiermee gewoon doorgaan. De specificaties kunnen immers direct (digitaal) worden overgenomen en doorvertaald naar de eigen situatie en zo kan de werkelijke situatie die is vastgelegd worden vergeleken met de specificatie in de control kaarten.

3.3 Zekerheid en monitoring: naar ‘control van de control’

In de praktijk zal elk ICS-project, groot of klein qua scope, een reeks van uit te voeren acties opleveren voor implementatie. Daarbij gaat het om acties voor het herstellen of verbeteren van de control, zoals gespecificeerd in de eerste fase van het project. Per actie dienen telkens bepaalde betrokkenen uit het werkveld, samen met specialisten op het gebied van control en bijvoorbeeld ICT, hun bijdrage te leveren.
Het grote aantal acties dat moet worden uitgevoerd kan het nodig maken dat de invoering zorgvuldig wordt bewaakt en gevolgd. Na de implementatie zal de control toestand van de organisatie op een meer continue basis in beeld moeten zijn en worden gevolgd en bewaakt. De periodiek aan te brengen verbeteringen en vernieuwing van control, zijn deelprojecten met telkens kleine, maar afzonderlijke stappen. Met de ACTION! (Analyse, Configure, Test, Implement, Operate en Next) aanpak krijgt de organisatie ook de control van de control in eigen hand. (Zie ook ‘Zekerheid: zoeken naar balans tussen regels en vertrouwen’.)

4. In control cockpit; grip op de zaak

Bij elk onderdeel van de control, of het nu gaat om een voorziening in de vorm van een formulier, een checklist, een richtlijn, een rapportage, een controlehandeling, een applicatie onderdeel of bijvoorbeeld een instrument voor het stellen van diagnoses, worden bij de invoering of aanpassing de hiervoor gegeven stappen doorlopen. Omdat de acties kunnen uitwaaieren over een groot aantal betrokkenen van de organisatie, zullen de invoering en mogelijk ook de uitvoering daarna worden ondersteund, zodanig dat op elk moment duidelijk is welke delen van de bedrijfsbrede control van de organisatie nog ontbreken, in onderhoud of in bewerking zijn. Met de in control cockpit krijgt de organisatie werkelijk grip op de zaak.
Wilt u weten wat Procesoffice voor u kan betekenen op weg naar het in control zijn van uw organisatie of onderdelen ervan, neemt u dan contact met ons op via het reactieformulier. Wij informeren u graag.

Download:         

Gerelateerde artikelen:

1. In-control statement binnen handbereik
2. Schriftelijke cursus Project risicomanagement
3. Risman project risico management: de spelers en het spel

Inhoudsopgave

1. Maatschappelijke onderneming in zwaar weer
2. Conrol: sturen en beheersen
3. Gereedschapskist maatschappelijke ondernemimg
4. GRC: Governance, riskmanagement en compliance

1. Maatschappelijke onderneming in zwaar weer

1.1 Het landschap van de maatschappelijke ondernemers

Het landschap van de maatschappelijke ondernemers is momenteel flink in beroering. De medische kwaliteit die ziekenhuizen leveren is onzeker en een punt van zorg. Woningcorporaties fuseren en breiden hun taken uit, soms zelfs tot buiten de grenzen van het gebruikelijk werkterrein. Bij zorginstellingen staat de financiering in de schijnwerpers en heeft marktwerking haar intrede gedaan: het systeem zou moeten veranderen van aanbod- naar vraaggestuurd en de burger zou een budget moeten krijgen waarmee hij zelf professionele dienstverlening inkoopt. Ook in de jeugdhulpverlening en jeugdbescherming krijgt de maatschappelijke ondernemer het soms zwaar voor zijn kiezen: één incident, en het functioneren van de onderneming staat onmiddellijk ter discussie. En wat voor de zorg geldt, geldt in grote lijnen ook voor het onderwijs. Aan het einde van de schooldag gaan scholieren vaak nog naar een instituut voor bijscholing en huiswerkbegeleiding. De private sector bloeit. Maar de onderwijsverrijking op de eigen school komt maar niet van de grond. Wat betreft vervoer ziet iedereen dagelijks het effect van de vastgelopen ontwikkeling van de infrastructuur. De belanghouders van logistiek en transport in Nederland spreken van een economische strop en van maatschappelijke ontwrichting.

1.2 Naar meer vertrouwen en minder regels?

In vele sectoren is het vertrouwen flink geschonden. En vertrouwen is nu juist van onschatbare waarde voor onze maatschappij. Zijn er nieuwe regels nodig om het geschonden imago en vertrouwen te herwinnen? Bevestigt de kredietcrisis niet ontegenzeggelijk waar het vrije spel toe leidt? Kan onverantwoord gedrag worden beteugeld door meer regels en sancties? Kunnen harde maatregelen en controles het vertrouwen weer herstellen? Kunnen regels überhaupt gewenst gedrag van mensen afdwingen? Meer regels betekent meer vast te leggen procedures, meer toezicht en meer controle. Of is voorkomen van ongewenst gedrag niet juist veel meer een zaak van cultuur en ethiek?
Een antwoord op deze vragen is niet gemakkelijk te geven. Maatschappelijke instellingen als ziekenhuizen, woningcorporaties, scholen en universiteiten, zorginstellingen en welzijnsorganisaties, worden meer en meer gezien als ondernemingen die producten leveren. Meer dan de gewone onderneming heeft de maatschappelijke onderneming echter te maken met een uitgebreid en ingewikkeld netwerk van rechthebbende klanten, vertegenwoordigingen, belanghouders en partijen waaraan zij verantwoording verschuldigd is. Zo moet de maatschappelijke ondernemer zich kunnen verantwoorden naar de minister als wetgever en naar andere instanties van toezicht en controle.

1.3 Naar meer toezicht?

Vertrouwen is een groot goed. We houden immers niet van onzekerheden. Wellicht is daarom meer toezicht het antwoord op het toegenomen wantrouwen en op het gevoel van onzekerheid. Want terwijl de overheid decentraliseert en de maatschappelijke ondernemer meer ruimte en bevoegdheid krijgt, is er (nog) geen markt die de zaak in balans houdt. Wel ontstaan allerlei initiatieven ter versterking van de transparantie. Woningcorporaties bijvoorbeeld versterken de mogelijkheden van intern toezicht met behulp van gedragscodes en visitatiemethoden. Daarnaast beoordelen belanghebbenden in de maatschappelijke omgeving het gedrag en de prestatie van de maatschappelijke onderneming. Verder stellen de professionele partners in de keten, veelal ook weer maatschappelijke ondernemingen, hun eisen voor samenwerking. Het horizontaal samenwerken gaat hier gelijk op met horizontaal verantwoorden.
Enerzijds is het terecht dat de samenleving de maatschappelijke prestaties van woningcorporaties, ziekenhuizen en onderwijsinstellingen kan beoordelen. Maar anderzijds moet de maatschappelijke ondernemer de ruimte krijgen om volgens de werkwijze van de private sector de kwaliteit en prestaties van zijn onderneming vorm te geven en dient de overheid naar de achtergrond te treden.

1.4 Kwaliteit en prestatie in verdrukking

Niet alleen is vertrouwen in de leiding, op het niveau van bestuur en directie, van belang, ook moet er vertrouwen in de uitvoering zijn. Soms is de klant dat vertrouwen geheel kwijt. Voorbeelden van ondermaats presteren zijn te zien bij het postbedrijf, in het onderwijs, het openbaar vervoer of in de thuiszorg. Waar is de vakman of professional in wie je nog vertrouwen kunt stellen?
Een uitspraak doen over de verpleger, de docent, de conducteur, de woonconsulent of de thuiszorgmedewerker, kan echter niet zonder in aanmerking te nemen hoe in de afgelopen jaren zijn professionele praktijk, zijn oordeel en gezag is ingekaderd. Steeds minder professionals vinden hun werk nog betekenisvol. Anders dan in de frontlinie van de maatschappij vindt de professional die betekenis in verdere specialisatie en aan de back office zijde van de dienstverlening. Wat is de remedie voor meer kwaliteit en betere prestaties? Mensen meer verantwoordelijkheid geven, investeren in professionalisering en loslaten van controle op controle?

2. Control: sturen en beheersen

2.1 Maatschappelijke vernieuwing

Het voorgaande geeft enig inzicht in de opgave waar de maatschappelijke onderneming voor staat. De complexiteit van de externe en interne omgeving waarin de maatschappelijke ondernemer opereert is een orde groter dan die van de ‘gewone’ ondernemer. En terwijl de bestaande operaties lopen moet de maatschappelijk ondernemer ook nog de gevraagde maatschappelijke vernieuwing richting en inhoud geven.

2.2 Schurende logica’s, frontlijnsturing en tegenbinding

In de Enneüs Heermalezing van 2008 schetste Pieter Winsemius een beeld van de politiek en het veld waarin de maatschappelijke ondernemer opereert, oplossingen bedenkt en implementeert. Met nieuwe begrippen als ’schurende logica’, ‘frontlijnsturing’ en ‘tegenbinding’ zet hij de opgave en de ingewikkelde problematiek van de maatschappelijke ondernemer uiteen.
Het veranderingsproces, door Pieter Winsemius ‘de kunst van bewegen’ genoemd, is ook een proces van organisatie-engineering, van bouwen en van construeren aan de maatschappelijke onderneming, zo dat zij haar taken op een nieuwe manier kan verrichten. In dit proces van vernieuwen, aanpassen en verbouwen kan de controller een belangrijke functie vervullen, als het gaat om de inrichting en de organisatie van de sturing en de beheersing, de ‘control’, van de maatschappelijke organisatie.

2.2 De rol van de controller

Ooit waren controllers boekhouders. De meeste controllers zijn dat al lang niet meer. De verschuiving naar toezicht houden en onafhankelijk oordelen over de financiële positie en over de resultaten van de maatschappelijke onderneming is al lange tijd aan de gang. Controllers zijn mede bakens van vertrouwen en zekerheid voor de belanghouders en de samenleving. Zij zien erop toe dat het management de zaken niet mooier voorstelt dan ze werkelijk zijn. Zij houden de rug recht als zij worden verleid om de cijfers iets op te rekken. De controller is het geweten van de maatschappelijke ondernemer. Uiteraard begint dit ‘geweten’ bij de hoogste leiding en bij de instantie van toezicht voor de maatschappelijke onderneming. De top van de organisatie zal de bakens van vertrouwen, dit geweten van de maatschappelijke onderneming, funderen en in gang zetten. De controller mag immers niet blijven hangen in welk dilemma dan ook, wanneer hij vermoedt dat bepaalde zaken niet in orde zijn.
De functie van controller verandert en breidt zich alsmaar uit. In sommige organisaties kan de controller zijn functie nauwelijks naar behoren uitvoeren. Soms geven controllers, naast hun rol bij begroten, budgetteren en verslaggeving, en naast hun rol als kenner en waarnemer van het toepassen van regelgeving, ook nog leiding aan afdelingen. Vertrouwen en toezicht komen gemakkelijk in onbalans.
De controller heeft dan grote behoefte aan goed gereedschap op het gebied van governance, risicomanagement en control. Wanneer de controller, samen met de afdelingen, de ‘control’ van de maatschappelijke onderneming in beeld kan (laten) brengen, ontstaat er ruimte voor de uitvoering van zijn primaire taken.

2.3 Governance, risicomanagement en compliance, in welke mate?

De ingrijpende veranderingen rond maatschappelijke ondernemingen vragen om meer governance. Het beperkte toezicht op grote afstand, weinig intensief en van lage frequentie, is niet in balans met de complexiteit van de maatschappelijke onderneming. De maatschappelijke ondernemer krijgt onvoldoende tegenwicht. Ook bij horizontale verantwoording zijn de bevoegdheden van externe partijen (cliëntenraad, huurdersorganisatie) beperkt.
In de woningcorporatiesector is een vorm van een niet-vrijblijvende en wel onafhankelijke visitatie ingevoerd. Een visitatierapport geeft inzicht in de prestaties van de maatschappelijke onderneming en moet aantonen of er voldoende zekerheid is of de gewenste prestaties ook in de toekomst gehaald gaan worden. De sector pakt dit zelf op. Het visitatierapport is een instrument dat ondersteuning biedt bij het streven naar effectiviteit (de gewenste prestaties leveren) en doelmatigheid. Het is geen onderdeel van het externe toezicht, maar een versterking van het interne toezicht, een gereedschap van de maatschappelijke ondernemer.

2.4 GRC: een gereedschapskist voor de controller?

Governance, riskmanagement en compliance (GRC) is een nieuwe term voor het groeperen van een aantal mogelijke oplossingen voor vraagstukken en problemen op het gebied van sturing en beheersing van organisaties. Ook voor de maatschappelijke onderneming kunnen bepaalde oplossingen van belang zijn. Immers het vraagstuk van het besturen van een maatschappelijke onderneming in een veld tussen enerzijds overheden en anderzijds de samenleving, inclusief het samenwerken met andere maatschappelijke ondernemingen, is complex.
Daarbij komt dat elke maatschappelijke onderneming dient te opereren in overeenstemming met de voor het veld van de onderneming specifieke wet- en regelgeving. Overheden en samenleving verwachten dat een maatschappelijke onderneming kan aantonen op welke wijze zij rechtmatig en zorgvuldig met haar taak is omgegaan. De onderneming moet inzicht kunnen geven in haar bedrijfsprocessen, werkwijzes en in het ‘in control zijn’ van haar doelstellingen.
Met de nieuwe verzamelterm Governance, Riskmanagement en Control (GRC) kan de controller weinig. Een nieuwe term, een nieuw containerbegrip is niet meer dan een etiket en accentueert op zijn best dat een aantal maatregelen op het gebied van sturing en beheersing aan belang wint.
In onze optiek verwijst de titel ‘GRC’ onmiddellijk naar het meer brede vraagstuk van ‘control’ (sturing en beheersing) van de maatschappelijke, waarin begrepen de wijze waarop de maatschappelijke ondernemer sturing geeft aan afdelingen en bedrijfsprocessen, de relatie met de doelstellingen van de maatschappelijke onderneming, de samenhang met de risico’s die het realiseren van doelstellingen in de weg staan, de wijze (overleg, rapportage, audits) van afleggen van verantwoording over het resultaat van het sturen op doelstellingen, de inhoud van die verantwoording en het treffen en naleven van maatregelen die zijn genomen in relatie tot de mogelijke oorzaken van bepaalde risico’s.

3. Gereedschapskist maatschappelijke onderneming

3.1 Aan de basis: mensen, processen en control

Ook maatschappelijke ondernemingen, opererend in het spanningsveld van toezicht en vertrouwen, zijn voortdurend bezig met het (her)inrichten van de sturing en beheersing van hun organisatie, of anders gezegd, met het opnieuw vorm geven van bepaalde onderdelen van de governance, het risicomanagement en de compliance van hun organisatie. Wanneer de wijze van sturing en beheersing inzichtelijk is, kan de samenleving zich een oordeel vormen over de zekerheid in het leveren van de gewenste output van de maatschappelijke onderneming.

3.2 Mensen: actoren maken de dienst uit

Ook, en vooral in de maatschappelijke onderneming maken de actoren de dienst uit. Vanuit de actoren van de organisatie kan men heel goed een organisatie in kaart brengen. (Zie ook ‘Procesinnovatie dienstverlening: de actoren maken de dienst uit’.) Een organisatie is dan in de eerste plaats een groep actoren (medewerkers, teams, afdelingen, leidinggevenden, externe instanties) die in ketens diensten of producten voortbrengen en hun activiteiten coördineren. Een actor heeft verantwoordelijkheid, is bevoegd en competent. Zo draagt iedere actor bij aan het realiseren (productie) van de doelstellingen van de organisatie.
Het samen met andere actoren werken aan de doelen van de organisatie vereist ook sturing en afstemming (coördinatie). Zo initieert een actor bijvoorbeeld een verzoek om een vergunning. Dit initiatief genereert vervolgens een reeks van activiteiten van andere actoren voor het beoordelen van de bij het verzoek behorende aanvraag. De handelingen voor productie en de handelingen voor coördinatie specificeren samen het bedrijfsproces. Op grond hiervan kan men een maatschappelijke onderneming beschrijven of in kaart brengen.
Ook in de GRC (Governance, Riskmanagement en Compliance)-benadering staat het functioneren en het gedrag van mensen, intern zowel als extern, en daarmee de communicatie centraal. De communicatie over en weer resulteert in afspraken tussen partijen (zie ook ‘Communicatie is de motor van de bedrijfsvoering’), wat wil zeggen dat de er sprake is van actiegerichte communicatie; de communicatie is gericht op effect. Wanneer betrokken partijen actiegericht communiceren, dragen alle partijen in en rond de maatschappelijke onderneming bij aan de levering van de gevraagde dienst, de service of het product.

3.3 Processen: kwaliteit en prestatie

Geen GRC (Governance, Riskmanagement en Compliance)-aanpak, indien de maatschappelijke onderneming zijn proces niet kent. Hoe echter de bedrijfsprocessen te beschrijven? Een snelle en eenvoudige methode, met eerst het accent op de essentie van het bedrijfsproces wordt toegelicht in het artikel ‘Procesmanagement: hoe processen beschrijven?’. De controller van de maatschappelijke onderneming kan vervolgens verder inzoomen op de handelingen van de afzonderlijke actoren (de afdelingen, teams of functionarissen) en samen met de medewerkers in de organisatie aangeven op welke wijze zij de GRC op de werkplek vorm geven. (Zie ook ‘Opzet implementatie procesmanagement en verbetering’.)

3.4 Control: sturing en beheersing van doelen

Bij het begrip ‘control’ denken wij onmiddellijk aan ‘controle’ en ‘beheersen’. Echter, het Engelse begrip ‘control’ staat voor zowel ’sturen’ als ‘beheersen’. ‘Sturen’ staat vooral voor besluiten en het vervullen van de randvoorwaarden teneinde de besluiten naar behoren uit te kunnen voeren. ‘Beheersen’ staat in de eerste plaats voor ‘het op grond van informatie vaststellen in welke mate de doelstellingen zijn gerealiseerd’. Het bepalen van doelstellingen is overigens nog een vraagstuk apart. (Zie ook ‘Procesbeheersing is ook risicomanagement’.) ‘Sturing geven’ en ‘beheersen’ zijn onlosmakelijk met elkaar verbonden. In geen enkele organisatie wil men sturing geven zonder beheersen of beheersen zonder sturing te geven.

4. GRC: governance, riskmanagement en compliance

4.1 Verschillende aandachtsgebieden GRC

Zo velen zich bezig houden met de maatschappelijke onderneming, zo veel instrumenten of gereedschappen zijn er om dit ondernemen te sturen en te beheersen. In de GRC-gereedschapskist zitten verschillende instrumenten die gebruikt kunnen worden bij de governance & control van de maatschappelijke onderneming. Onderstaand volgt een overzicht en ordening van instrumenten met een omschrijving van het doel van ieder gereedschap en de maatschappelijke opgave waarvoor het gereedschap te gebruiken is.

omgevingsanalyse
De maatschappelijke onderneming is verbonden met de externe omgeving. Zij is niet geïsoleerd, staat niet op zich zelf, maar is een onderdeel van een groter geheel. De control, het sturen en beheersen, vindt plaats in een omgeving waarmee rekening gehouden moet worden. De omgeving is te onderscheiden in een interne en externe omgeving. Per maatschappelijk onderneming zijn de onderdelen, die tot de omgeving kunnen worden gerekend, specifiek.

management control (enterprise risk management)
Bij de management control van de maatschappelijke onderneming staan de te bereiken doelstellingen centraal. In of met management control geeft het topmanagement van de organisatie de wijze van sturing en beheersing vorm. De manier waarop de specifieke management control vorm krijgt is afhankelijk van het karakter van de maatschappelijke onderneming. Omdat de doelstellingen niet allemaal even belangrijk zijn, krijgen doelstellingen verschillende prioriteit toegekend. Het realiseren van doelstellingen kan worden bedreigd door onzekere factoren. ‘Enterprise risk management’ analyseert deze risicofactoren en de mogelijke schade van de bedreigingen.

proces control (operational risk management)
In de bedrijfsprocessen van de maatschappelijke onderneming moeten doelstellingen gerealiseerd worden. De doelstellingen worden ook wel prestatie-indicatoren of kwaliteitseisen genoemd. Ook de procesdoelstellingen vragen om prioriteitstelling en er gelden er randvoorwaarden voor het kunnen realiseren van de doelstellingen. Evenals bij management control hebben ook de processen van de maatschappelijke onderneming te maken met bedreigende factoren, factoren die het realiseren van de procesdoelstellingen in de weg staan. Vanuit proces risicoanalyse (operational risk management) kan de ondernemer maatregelen treffen in en controles toevoegen aan bepaalde onderdelen van het proces van de maatschappelijke onderneming.

4.2 Haal de vakman erbij: uw controller

De gereedschappen kunnen eenvoudig begrepen en gebruikt worden door de controller van de maatschappelijke onderneming. Zo ontwikkelt de maatschappelijke ondernemer een eigen visie op GRC en een op de problematiek en prioriteit toegesneden aanpak. Altijd is daarbij het doel om de interne en externe omgeving van de onderneming te beschermen tegen de bedreigingen en te functioneren conform de voor de onderneming geldende wet- en regelgeving. In de dagelijkse praktijk van de maatschappelijke onderneming zal de GRC van een organisatie centraal worden gespecificeerd en bewaakt. Afdelingen en teams zullen verantwoordelijk zijn voor de uitvoering ervan.

4.3 Prioriteiten stellen

De druk om transparant te zijn en aan alle belanghouders te laten zien dat de maatschappelijke ondernemer ‘ in control is’, neemt toe. Echter ook de maatschappelijke ondernemer kan niet alles tegelijk. Toch is het mogelijk om snel de witte plekken in beeld te krijgen en vervolgens de prioriteit in de aanpak te bepalen.

4.4 Is een uniforme aanpak mogelijk?

Belangrijk is te letten op de filosofie en systematiek van de GRC-aanpak en systemen. Die aanpak moet eenduidige en helder zijn, of het nu gaat om de beoogde effecten van de organisatie, de doelstellingen of welke van de vele mogelijke control doelstellingen van de maatschappelijke organisatie dan ook. Want waarom zou de aanpak voor governance, risicomanagement en compliance (GRC) verschillen van die voor financiën, voor kwaliteit, voor veiligheid en milieu?

Download:         

Gerelateerde artikelen:

1. In-control statement binnen handbereik
2. Zekerheid: zoeken naar balans tussen regels en vertrouwen
3. Risico’s brandveiligheid en preventie zwaar overtrokken

1. Bent u het kind van de rekening?
2. De VOC vond het verzekeren al uit
3. Wat wel en wat niet verzekeren
4. Afdekken risico calamiteiten is een keuze 

1. Bent u het kind van de rekening?

De recessie wordt door bestuurders soms dankbaar als excuus omarmd: het is evident, dat het ook nu niet aan bestuurders of management ligt dat de resultaten tegenvallen. Het ligt aan de uitval van klanten, van financiering of aan het faillissement van toeleveranciers. Zelfs bij banken, die toch bevolkt zijn met jongens die ervoor hebben doorgeleerd, vallen de resultaten tegen. Kortom, bestuurders en managers kunnen hun handen in onschuld wassen, hen valt niets te verwijten. Of is dit misschien de managersziekte van deze tijd? (Zie ook ‘Business Continuity steeds meer aandachtspunt voor controllers’.)
Vroeger was zeker niet alles beter, maar wel vooral veel duidelijker. En er werden minder smoezen verzonnen. Als een boer een slechte oogst had, dan klaagde hij wel over het weer, maar hij ging er extra hard tegenaan om te voorkomen dat het volgende jaar weer een slecht jaar zou worden. Aankloppen bij de overheid was geen issue. Die lachte je uit. En terecht. Je was tenslotte ondernemer en daarmee was je zelf verantwoordelijk voor je risicobeheersing, ook bij calamiteiten. Je verzekeren tegen risico’s als extreme weersomstandigheden was onmogelijk en ook niet lucratief, want daarmee zou je de winst van je bedrijf zodanig afromen, dat je rendement negatief zou zijn. En wie anders dan de ondernemer zelf kan het beste inschatten welke risico’s wel en niet acceptabel zijn. De ondernemer kan dat zelf beter en slimmer dan de gemiddelde verzekeraar.
Risico management is voor ondernemers en voor managers core-business. Falend risico management betekent, dat bestuurders gefaald hebben. Want natuurlijk wordt een calamiteit veroorzaakt door iets in de omgeving. Dat was al zo tijdens de zondvloed en de ijstijden in de verre oudheid en dat is nu niet anders. Wijzen naar een falend systeem voor risico management is weglopen voor je verantwoordelijkheid. 

2. De VOC vond het verzekeren al uit

De VOC was destijds in feite de eerste organisatie die gericht was op verzekeren en het afdekken van onbeheersbare risico’s, in dit geval van de deelnemende reders. In die tijd was de kans aanzienlijk, dat een schip met lading zou vergaan met veelal als gevolg dat de reder direct failliet was. De VOC was in feite een organisatie waarin risicospreiding plaats vond. Zo werkten bijvoorbeeld tien reders samen, die allemaal een schip wilden laten bouwen. Die tien schepen bouwden ze gezamenlijk en elke reder werd voor een tiende eigenaar van ieder schip. Als er van die 10 schepen 3 of 4 vergingen tijdens de reis naar Oost Indië, dan brachten de 6 of 7 schepen die wel terugkeerden met een kostbare lading voldoende op, om iedere reder een behoorlijke winst op te leveren.
De VOC-mentaliteit is momenteel echter ver te zoeken. En daarmee wordt niet bedoeld dat we in Nederland niet meer ondernemend genoeg zijn (zoals Balkenende suggereert), maar juist dat we het risico van een calamiteit uit onze bedrijfsvoering geschrapt hebben. Verspilling is voor bestuurders zo’n doodzonde, dat iedere redundantie vaak uit een bedrijf wordt wegbezuinigd. Als een bedrijf meer kwantumkorting krijgt als het zich afhankelijk maakt van één toeleverancier, is dat bedrijfseconomisch tenslotte gunstig. Dat het bedrijf daarmee een probleem heeft, als deze leverancier omvalt, is dan een geaccepteerd risico. De VOC wist juist dat soort risico’s te vermijden. Risico’s die aanzienlijk zijn en die men niet in de hand heeft, moeten worden afgedekt. 

3. Wat wel en wat niet verzekeren

Dus ook tegenwoordig moeten bestuurders zich verzekeren tegen onacceptabele risico’s. Als een bedrijf afbrandt en het pand en de inboedel zijn niet verzekerd, dan is de kans zeer aanzienlijk dat het bedrijf failliet gaat. Daarom moet de directe schade worden verzekerd. De premie hiervoor is best acceptabel, want de kans dat er brand uitbreekt is zeer klein.
De gevolgschade bij een calamiteit is echter een ander verhaal. Als uw bedrijf na een calamiteit stil komt te liggen, dan willen uw klanten nog steeds geleverd krijgen. Als dit niet gebeurd, lopen ze weg. Uw personeel wil nog steeds salaris ontvangen. De kosten die hiermee zijn gemoeid, zijn veelal niet verzekerd. Een verzekeraar rekent hiervoor een zeer hoge premie, omdat hij zulke risico’s niet kan managen.
U als ondernemer kunt dat wel. Maar u kunt na een calamiteit niet rustig achterover in uw stoel gaan zitten tot uw bedrijf opnieuw is opgebouwd en ingericht. Zodra de brand geblust is of de calamiteit voorbij is, moet u slim improviseren, zodat uw klanten geleverd krijgen (en dus blijven) en uw medewerkers productief kunnen worden in de tijd, dat u ze betaalt. Als u op dat moment helemaal moet improviseren, dan zult u hoogstwaarschijnlijk tegen een aantal show-stoppers aanlopen, waardoor dit niet volledig lukt. U zult hiervoor dus als ondernemer uw plannen moeten hebben. Ook dat is onderdeel van het op orde hebben van uw risico management.
Als u hierover heeft nagedacht, dan ligt uw draaiboek klaar om de essentie van uw bedrijfsvoering voort te zetten in geval van brand, overstroming, pandemie of langdurige uitval van elektriciteit. Dan heeft u uw risico-management op orde en weet u bijvoorbeeld ook of u bij een pandemie zonder probleem 30 procent van uw medewerkers kunt missen. (Zie ook ‘Plan bedrijfscontinuïteit bij uitbraak van een grieppandemie’.)
Het gaat om uw bedrijf en u weet het beste welke risico’s u af moet dekken en welke risico’s u beter kunt accepteren. Het risico op lawines hoef u in Nederland niet af te dekken en ook een ijstijd is niet erg waarschijnlijk. Dus een draaiboek daarvoor is overbodig. Voor diverse calamiteiten als brand of overstroming heeft u vast wel een BHV-plan, dat u kan helpen om directe schade te reduceren. (Zie ook ‘Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’). Maar dan rest nog wel de indirecte schade. En daarbij spelen vragen als:

• Wordt binnen een kwartier de inkomende vaste telefoonlijn opgenomen van uw centrale nummer?
• Bevatten uw leveringsvoorwaarden een overmachtclausule?
• Ligt er een draaiboek voor crisiscommunicatie om imagoschade te vermijden?
• Kunnen uw medewerkers ook op een andere locatie werken?

De rek die u vroeger had in uw bedrijf, heeft u waarschijnlijk wegbezuinigd. De kans dat dat terecht is, is groot. Maar dat betekent niet, dat u de risico’s van een calamiteit ook maar moet accepteren. Dat blijft nog steeds uw verantwoordelijkheid. 

4. Afdekken risico calamiteiten is een keuze

In veel bedrijven is dus, zoals gezegd, het risico op gevolgschade toegenomen. Een logische ontwikkeling. Het is immers niet uit te leggen aan aandeelhouders of commissarissen, dat jaar in jaar uit risico’s worden afgedekt van calamiteiten die weer niet zijn voorgekomen. Ook voor de huidige kredietcrisis geldt iets dergelijks. Jarenlang was aan te zien komen, dat de crisis ooit zou ontstaan. Als een financiële instelling niet de risico’s zou hebben genomen, die alle andere financiële instellingen wel namen, dan zou die financiële instelling meer dan een decennium lang een performance hebben laten zien, die onder gemiddeld zou zijn geweest. Ook zoiets is aan bestuurders te verwijten.
Wat nu verwijtbaar is, is dat bestuurders verrast werden door de kredietcrisis. Er lag hiervoor geen draaiboek klaar. Misschien was dit wel een bewuste keuze. Maar het risicomanagement was hoe dan ook niet op orde. Notabene overheden moesten inspringen om veel banken en verzekeraars van de ondergang te redden. Voor de meeste bedrijven geldt echter, dat de overheid niet bijspringt. Zij worden wel degelijk getroffen door gevolgschade. Als bedrijven onvoldoende flexibel zijn, dan overleven zij dit niet.
Helaas hebben wij moeten constateren, dat ook in de meeste bedrijven geen draaiboeken klaarliggen voor calamiteiten. Denkt u eens aan gevolgschade als reputatieschade of aan bedrijfsschade door een pandemie of een energiecrisis. Is het voor u een bewuste keuze dergelijke risico’s te accepteren of is het falend risicomanagement? (Zie ook ‘Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan’.)

Download:         

Gerelateerde artikelen:

1. Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan
2. Business continuity steeds meer aandachtspunt voor controllers
3. Integratie BHV-plan met Business Continuity Plan

1. Risico grieppandemie voor uw bedrijf
2. Besmettingsgevaar verminderen bij pandemie
3. Gevolg voor uw bedrijfscontinuïteit
4. Maatregelen bedrijfscontinuïteit bij pandemie
5. Wegkijken helpt niet 

1. Risico grieppandemie voor uw bedrijf

Een grieppandemie is een wereldwijde uitbraak van griep. In korte tijd worden veel mensen ziek. In vergelijking met een gewone seizoensgriep worden meer mensen ziek en bovendien worden zij ernstiger ziek. Grieppandemieën komen met een zekere regelmaat voor. Wetenschappers en de wereldgezondheidsorganisatie (WHO) menen dat het ook nu slechts een kwestie van tijd is voor er weer een nieuwe grieppandemie ontstaat. Hoelang het nog duurt voordat het gebeurt, is niet te voorspellen.
Het aantal dodelijke slachtoffers dat een grieppandemie in Nederland zal eisen wordt geschat op tienduizend tot honderdduizend. Slachtoffers zullen vooral vallen onder baby’s en bejaarden die een verminderde weerstand hebben. Gezonde werknemers van uw bedrijf behoren dus niet echt tot de risicogroep.
Wel zult u zich moeten realiseren dat het overlijden van familie of bekenden een grote impact kan hebben op het moreel van uw medewerkers. Ook betekent de uitbraak van een pandemie, dat een derde van uw mensen ongeveer 8 dagen lang niet op het werk zal verschijnen, tijdens het hoogtepunt van die pandemie. Hiervoor kunnen een aantal redenen zijn:

• Ze zijn zelf ziek.
• Ze hebben de zorg voor andere mensen die ziek zijn (bijvoorbeeld voor familie- of gezinsleden of mensen uit hun omgeving).
• Ze zorgen voor (gezonde) jonge kinderen die niet naar school of kinderopvang kunnen vanwege de uitval van leerkrachten of vanwege sluiting.
• Ze verzuimen uit angst voor besmetting.

Uitgangspunt voor dit scenario is, dat er geen paniek ontstaat door ongenuanceerde berichtgeving in de media. Want als dat wel het geval is, zullen uw werknemers massaal thuisblijven.
Uw werknemers hebben in principe recht op veilige werkomstandigheden (Arbo-wet). Ook tijdens een pandemie kunt u die voor veel medewerkers best bieden. (Zie ook ‘Grieppandemie: kans of bedreiging voor uw business continuity?‘.) Als u die biedt is het vervolgens aan iedere individuele medewerker om zelf het besmettingsgevaar, samenhangend met aan het werk gaan, voor hem of haar in te schatten. Duidelijke en feitelijke informatie is hierbij van groot belang. Niet pas tijdens de crisis (dan regeert vaak de emotie), maar voorafgaand aan de pandemie. 

2. Besmettingsgevaar verminderen bij pandemie

Een grieppandemie kunt u natuurlijk niet voorkomen. Maar wat u wel kunt doen is ervoor zorgen, dat uw bedrijf de pandemie zo goed mogelijk overleeft. De crux hierbij zit natuurlijk in de uitval van mensen, zowel bij uw eigen bedrijf als bij uw toeleveranciers. Waar u dus voor moet zorgen, is dat uw medewerkers het risico op besmetting acceptabel vinden.
Het griepvirus verspreidt zich vooral via de lucht door hoesten, niezen of praten. Het kan daarbij een afstand tussen twee mensen overbruggen van ongeveer een meter. Ook kan het virus overgedragen worden via de handen, door besmet geraakte oppervlakken aan te raken. Na besmetting duurt het een paar dagen voordat de besmette persoon ziek wordt (de incubatietijd). In die periode kan hij al wel andere mensen besmetten. Mensen verspreiden het griepvirus dus ook al vóór ze zelf ziek worden.
De kern van de risicoreductie voor uw werknemers bestaat daarom uit een drietal vuistregels:

• Uw medewerkers houden minimaal een meter afstand tot elkaar.
• Ze verplaatsen zich niet onnodig.
• Er wordt voor hygiëne en reinheid gezorgd.

U kunt hiertoe een heel pakket aan maatregelen nemen. Daarvoor zijn checklists beschikbaar. Belangrijkste doel hierbij is niet het volledig afdekken van het risico op besmetting. Ziek worden kunnen uw medewerkers tenslotte altijd. Dat kunt u niet voorkomen. Ook onder uw medewerkers of in hun directe omgeving zullen slachtoffers vallen. Dat zal het vertrouwen van uw medewerkers aan het wankelen brengen. Belangrijkste doel is daarom het vertrouwen zo goed moegelijk te herstellen. Want juist onbegrip, weerstand of zelfs paniek leiden tot onbeheersbare en onomkeerbare situaties en tot een acute dreiging van uw bedrijfscontinuïteit. 

3. Gevolg voor uw bedrijfscontinuïteit

Behalve dat u te maken krijgt met verzuim dat direct of indirect wordt veroorzaakt door de pandemie, zullen er ook medewerkers niet of beperkt beschikbaar zijn door uw maatregelen om besmettingsgevaar te voorkomen. Dat moet u niet zien als een probleem. Het wekt juist heel veel vertrouwen bij uw medewerkers, als u het beleid om besmetting te voorkomen actief ondersteunt.
Gaat u bij het bepalen van de impact van het verzuimniet niet uit van allerlei ramingen, die misschien toch niet blijken te kloppen. U moet uitgaan van uw bedrijfskritische processen en hoe lang deze processen maximaal stil mogen liggen. Van essentieel belang is dat u bepaalt met hoeveel mensen u de continuïteit van deze processen in elk geval kunt garanderen en welke middelen van toeleveranciers gegarandeerd aanwezig moeten zijn. Ook uw klanten ondervinden misschien de gevolgen van de grieppandemie. Dat leidt mogelijk tot een andere vraag naar uw producten en diensten. Ook daarmee moet u rekening houden.
Eerste stap is, dat u een classificatie maakt van welke processen bedrijfskritisch zijn. Mogelijk heeft u deze al gemaakt. (Zie ook ‘Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan (BCP)‘.) Vaak worden de volgende klassen gebruikt:

• Het bedrijfsproces of de activiteit moet gecontinueerd worden.
• Het bedrijfsproces mag maximaal 2 weken worden onderbroken.
• Bedrijfsprocessen of activiteiten mogen 9-12 weken stilliggen.
• Bedrijfsprocessen mogen meer dan 12 weken* stilliggen.

Voor de eerste twee categorieën moet een analyse gemaakt worden, op grond waarvan een draaiboek ontwikkeld wordt. De activiteiten uit de derde categorie kunnen gedurende de pandemie stilgelegd worden. Wel zal er gecommuniceerd moeten worden naar de afnemers en zal er een draaiboekje moeten liggen om dit proces na afloop van de pandemie zonder vertraging weer op te starten. De vierde categorie behoeft geen aandacht. U kunt voor deze classificatie de inventarisatie uit uw bedrijfscontinuïteitsplan gebruiken en deze hiertoe aanvullen.
Per bedrijfskritische activiteit moet beken worden wat de minimale bezetting is, voor het geval er een calamiteit uitbreekt:

• Welke en hoeveel competenties zijn nodig.
• Welke en hoeveel interne bedrijfsmiddelen zijn nodig.
• Welke en hoeveel externe bedrijfsmiddelen zijn nodig.
• Welke ondersteunende diensten zijn nodig.

Als de minimale bezetting minder dan 50% van de normale bezetting bedraagt, is er weinig risico op besmetting, mits voldaan kan worden aan de drie reeds genoemde criteria:

• Uw medewerkers houden minimaal een meter afstand tot elkaar.
• Ze verplaatsen zich niet onnodig.
• Er wordt voor hygiëne en reinheid gezorgd.

Als dit niet het geval is, dan zijn aanvullende maatregelen nodig. 

4. Maatregelen bedrijfscontinuïteit bij pandemie

De maatregelen voor bedrijfscontinuïteit betreffen in hoofdzaak een vijftal gebieden:

• personeelsbeleid;
• uitvoering;
• stakeholders;
• financiën;
• communicatie.

We zullen per gebied een aantal voorbeelden geven. Deze zijn eenvoudig uitbreidbaar voor specifieke organisaties. (Zie ook ‘Vooral struisvogels worden het slachtoffer van de vogelgriep’.)

4.1 Personeelsbeleid

Uw medewerkers krijgen op verschillende manieren te maken met de gevolgen van een grieppandemie. Ze kunnen zelf ziek worden, voor zieke naasten zorgen, en/of geconfronteerd worden met familie of vrienden die overlijden aan de gevolgen van griep. Dit beïnvloedt hun vermogen om hun werk goed te blijven doen. In hun werk krijgen ze te maken met de maatregelen die u neemt om uw bedrijfscontinuïteit te garanderen en hun gezondheid te beschermen. Ook hebben ze contact met klanten en leveranciers die weer hun eigen ervaringen met griep hebben. Al met al een onzekere en emotionele tijd. We adviseren u vooraf uw richtlijnen en maatregelen te bespreken met uw personeel. Zo weten uw medewerkers waar ze aan toe zijn en vergroot u draagvlak. Enkele aandachtspunten zijn bijvoorbeeld:

• hoe om te gaan met medewerkers die griepverschijnselen vertonen;
• ziekteverzuimbeleid in geval van een grieppandemie;
• beleid voor bijzonder verlof, wanneer werknemers voor zieken of naasten moeten zorgen in geval van een grieppandemie;
• richtlijnen vaststellen voor terugkeer naar de werkplek van werknemers die zijn genezen van besmetting met een griepvirus;
• sociale zorg voor werknemers die last hebben van de gevolgen van een grieppandemie;
• reizen beperken;
• eventueel personeel evacueren uit ernstig getroffen gebieden.

4.2 Uitvoering

Maatregelen die u moet treffen zijn:

• maatregelen om te voorkómen dat de mensen die verantwoordelijk zijn voor kritische activiteiten ziek worden, zoals:
  • thuiswerken;
  • hygiëne;
  • sociale afstand houden;
  • contact met anderen beperken.
• maatregelen om achtervang te regelen voor de mensen die zorgdragen voor bedrijfskritische activiteiten; zorg dat er mensen opgeleid worden, die die activiteiten tijdens een grieppandemie eventueel kunnen overnemen (een crosstraining programma opzetten); denk daarbij aan:
  • andere werknemers binnen uw bedrijf;
  • vrijwilligers vanuit de organisatie;
  • gepensioneerde werknemers.

4.3 Stakeholders

Uw klanten bereiden zich net als u voor op de gevolgen van een grieppandemie. Dit leidt tot inzicht in welke producten en diensten zij tijdens een grieppandemie van u nodig hebben. Vraag hiernaar bij uw klanten. Maak van te voren concrete afspraken met uw klanten over de minimale hoeveelheid te leveren producten en diensten tijdens een grieppandemie. U kunt bijvoorbeeld uw openingstijden verlengen om klanten tegemoet te komen die buiten de gebruikelijke openingstijden bediend willen worden.
Als u weet wat uw klanten minimaal van u nodig hebben, dan kunt u bepalen welke producten en diensten u tijdens een grieppandemie nodig heeft van uw leveranciers. Bespreek dit met hen en dring er ook bij hen op aan dat zij zich voorbereiden op de gevolgen van een grieppandemie. Maak ook met uw leveranciers van te voren concrete afspraken te maken over de minimale hoeveelheid te leveren producten en diensten tijdens een grieppandemie. U kunt ook nu al bepaalde producten extra inslaan. Maak u niet afhankelijk van bepaalde toeleveranciers.

4.4 Financiën

Financiële problemen kunnen ontstaan wanneer:

• leveranciers gedwongen worden te sluiten wegens personeelsuitval of bevoorradingsproblemen;
• klanten geen aankopen meer doen om zo contact met anderen te mijden;
• klanten onder financiële druk staan en daarom geen betalingen meer kunnen verrichten of bestellingen annuleren;
• zakelijke investeringen afnemen wegens verminderd vertrouwen.

Maak daarom een inschatting van de financiële gevolgen van een grieppandemie met onder andere:

• de impact van de afname of toename van te leveren producten en diensten;
• de kosten bij een personeelsuitval van 10%, 30% en 50%;
• de kosten van maatregelen die u treft ter voorbereiding op een grieppandemie, inclusief:
  • de kosten bij extra bevoorrading;
  • de kosten bij de aanschaf van hygiënische hulpmiddelen voor een grieppandemie;
  • de kosten bij het organiseren van telewerken (bijvoorbeeld laptops, thuis inloggen op werkaccount, aanschaf mobieltjes);
  • de kosten die bij een grieppandemie niet worden gedekt door uw verzekeraar.

Meer ingrijpende maatregelen kunnen zijn:

• De financiële risico’s van een grieppandemie kunt u beperken door het minimaliseren van financiële lange termijn verplichtingen. Hierdoor is uw bedrijf in staat om tijdelijk of permanent te sluiten.
• Als u onvoldoende liquide middelen heeft voor directe financiële verplichtingen tijdens een grieppandemie, zult u maatregelen moeten treffen om de financiële druk op korte termijn te verminderen.

4.5 Communicatie

De gebeurtenissen tijdens een grieppandemie kunnen tot onrust leiden. Uw medewerkers zullen vragen hebben over de grieppandemie en de maatregelen die u heeft getroffen. Nieuws over zieken en doden in binnen en buitenland en de effecten van personeelsuitval op het dagelijks leven zijn allemaal zaken die uw medewerkers ongerust maken. Geruchten en onjuiste informatie versterken gevoelens van onzekerheid en angst. Onzorgvuldige communicatie over de grieppandemie is zeer waarschijnlijk een grotere calamiteit voor uw bedrijfscontinuïteit dan de pandemie zelf. Anticiperen op eventuele angst en vrees, geruchten en onjuiste informatie is van groot belang. Pas uw communicatiestrategie daarop steeds aan. En begin vooral tijdig met de communicatie door:

• uw personeel te informeren over de grieppandemie en de maatregelen van uw bedrijf;
• met uw personeel mogelijke gezondheids en veiligheidsmaatregelen, richtlijnen voor ziekteverlof en bijzonder verlof in geval van een grieppandemie bespreken;
• te zorgen voor een centraal communicatiepunt (website, noodnummer) voor het personeel in geval van een grieppandemie;
• te zorgen voor een centraal communicatiepunt voor klanten en leveranciers om tijdig de stand van zaken binnen uw bedrijf en bij uw klanten en leveranciers te kunnen uitwisselen in geval van een grieppandemie. 

5. Wegkijken helpt niet

Het is verstandig vooraf na te denken over wat u moet doen bij een uitbraak van een pandemie**. Door een uitbraak  zal ook uw organisatie getroffen worden. Enerzijds kunt u waarschijnlijk niet ongestraft uw poorten 12 weken sluiten. Als u niets doet, gaan uw vaste kosten door en lopen uw inkomsten sterk terug. Dit geldt ook voor overheden en instellingen. Zij zullen waarschijnlijk te maken krijgen met claims, als zij niet meer in staat zijn diensten te leveren. Dit is een nauwelijks te verzekeren risico.
Anderzijds hoeft u het niet ingewikkelder te maken dan het is. In het verleden zijn er diverse voorbeelden geweest van bedrijven die bijvoorbeeld bij stakingen maanden konden doordraaien met slecht 20% van het beschikbare personeel. Dat kunt u ook als u de goede keuzes maakt. (Zie ook ‘Keuzes en aanpak voor uw Business Continuity Plan (BCP) of calamiteitenplan‘.)
De kans dat u de goede keuzes maakt, is veel groter als ze nu maakt, nu u nog wat tijd heeft dan wanneer u uw keuzes pas maakt in daadwerkelijke crisistijd. Bovendien is het aantal oplossingsalternatieven dan veel kleiner en waarschijnlijk zijn lossingen ook een stuk duurder.

*


Naar verwachting duurt een griepgolf door een pandemie circa 12 weken.




**


In het artikel 'Draaiboek bedrijfscontinuïteit bij acute grieppandemie' beschrijven we hoe u hiermee kunt omgaan in crisistijd.

Bron:
Diverse publicaties van: Ministerie BZK, Ministerie VWS, VNO-NCW, MKB-Nederland, RIVM, ZBC

Download:         

Gerelateerde artikelen:

1. Draaiboek bedrijfscontinuïteit bij acute grieppandemie
2. Plan bedrijfscontinuïteit MKB: wat, waarom en hoe
3. Grieppandemie: kans of bedreiging voor uw business continuity