Maar is het ook echt effectief?
Ik kom als compliance consultant, externe CISO en auditor bij veel organisaties over de vloer. Grote en kleine. In de zorg, bij overheden, in de IT-sector.
En wat me opvalt: er is geen gebrek aan managementsystemen — integendeel. Er is vaak een prachtig ISMS ingericht, een keurig risicoregister opgesteld en een map vol beleidsdocumenten. Het certificaat hangt aan de muur. De auditor was tevreden.
Maar als ik dan vraag: "Welke risico's houden jullie écht bezig?" — dan wordt het stil. Of ik krijg het risicoregister voorgelezen. Letterlijk.
Dan stel ik mezelf de vraag: dit systeem is certificeerbaar, maar is het ook écht effectief?
Het verschil tussen een certificaat en een effectief systeem
Laat ik vooropstellen: certificering is waardevol. Het dwingt organisaties om na te denken over structuur, verantwoordelijkheden en processen. Maar een certificaat zegt iets over de opzet van je systeem — niet over de werking ervan.
In mijn werk zie ik ruwweg drie categorieën:
1. Het papieren systeem
Alles staat keurig op papier. Beleid, procedures, risicoanalyses — het is er allemaal. Maar het leeft niet. Medewerkers kennen de documenten niet. Managers sturen niet op de uitkomsten. Het systeem bestaat *voor* de auditor, niet *voor* de organisatie.
2. Het checkbox-systeem
Een stap verder. Hier worden maatregelen wel uitgevoerd, maar vooral omdat het moet. De risicoanalyse is een invuloefening. De interne audit een formaliteit. Er wordt afgevinkt, niet nagedacht. Het systeem draait, maar niemand kijkt of het ook ergens toe leidt.
3. Het levende systeem
Hier wordt het interessant. In deze organisaties is het managementsysteem geen doel op zich, maar een middel. Risico's worden besproken in MT-vergaderingen — niet als agendapunt om af te vinken, maar omdat het de organisatie daadwerkelijk helpt om betere beslissingen te nemen. Incidenten leiden tot echte verbeteringen, niet tot het updaten van een logboek.
Wat maakt het verschil?
Na jaren van auditen en adviseren zie ik een aantal patronen bij organisaties die het wél goed doen:
1. Eigenaarschap zit op de juiste plek
Het managementsysteem is niet "van de CISO" of "van de kwaliteitsmanager". Het is van de organisatie. Het MT voelt zich eigenaar van de risico's en stuurt actief op maatregelen. Niet omdat het moet van de norm, maar omdat ze begrijpen dat het hun organisatie beschermt.
Bij organisaties waar het niet werkt, is het systeem vaak gedelegeerd naar één persoon die alles in zijn eentje draaiende houdt. Als die persoon weggaat, valt het kaartenhuis om.
2. Risicomanagement is een gesprek, geen spreadsheet
De beste risicoanalyses die ik heb gezien, waren geen complexe Excel-sheets met kansximpact-matrices. Het waren gesprekken. Met de juiste mensen aan tafel. Waarin eerlijk werd gesproken over wat er mis kon gaan en wat dat zou betekenen.
Een risicoanalyse die door één persoon achter een bureau is ingevuld, mist per definitie het perspectief van de mensen die dagelijks met de risico's te maken hebben.
3. Er wordt geleerd van incidenten — écht geleerd
Elke organisatie heeft incidenten. Het verschil zit in wat je ermee doet. Bij effectieve systemen zie ik dat incidenten leiden tot fundamentele vragen: *Waarom is dit gebeurd? Wat zegt dit over onze aannames? Moeten we ons risicoprofiel bijstellen?*
Bij ineffectieve systemen wordt het incident geregistreerd, een corrigerende maatregel genoteerd, en gaat iedereen weer over tot de orde van de dag. Tot het volgende incident.
4. De interne audit is een spiegel, geen stempel
De interne audit is misschien wel het meest ondergewaardeerde instrument in een managementsysteem. Als het goed wordt gedaan, houdt het de organisatie een spiegel voor. Het laat zien waar de kloof zit tussen wat je zegt te doen en wat je daadwerkelijk doet.
Maar te vaak is de interne audit een ritueel. Dezelfde vragen, dezelfde antwoorden, dezelfde conclusie: *"Het systeem functioneert naar behoren."* Terwijl iedereen weet dat er verbeterpunten zijn.
5. Het systeem past zich aan
De wereld verandert. Dreigingen veranderen. Regelgeving verandert. Een effectief managementsysteem beweegt mee. Niet reactief — *"oh, er is een nieuwe wet, laten we snel iets regelen"* — maar proactief. Door regelmatig te evalueren of het systeem nog aansluit bij de werkelijke risico's van de organisatie.
De managementreview is hier cruciaal. Niet als jaarlijks verplicht nummer, maar als moment waarop het MT kritisch kijkt: *Doet ons systeem wat het moet doen? Beschermt het ons? Of houden we onszelf voor de gek?*
Waarom dit ertoe doet
Ik schrijf dit niet om organisaties de les te lezen. Ik schrijf dit omdat ik zie dat veel organisaties enorm veel tijd en geld investeren in compliance — en er vervolgens te weinig waarde uit halen.
Een managementsysteem dat alleen bestaat om het certificaat te behouden, is een gemiste kans. Het kost tijd, het kost geld, en het levert frustatie op bij medewerkers die het gevoel hebben dat ze bezig zijn met papierwerk dat nergens toe leidt.
Maar een managementsysteem dat écht werkt — dat is een strategisch instrument. Het helpt je om risico's te zien die je anders had gemist. Het helpt je om betere beslissingen te nemen. Het geeft je het vertrouwen dat je organisatie voorbereid is op wat komen gaat.
Mijn uitdaging aan jou
Als je dit leest en je herkent je eigen organisatie in categorie 1 of 2: dat is geen schande. De meeste organisaties beginnen daar. De vraag is of je bereid bent om de stap te zetten naar een systeem dat écht werkt.
Begin klein. Stel jezelf drie vragen:
Als je op alle drie "ja" kunt antwoorden, zit je goed. Zo niet — dan is dat het startpunt van een waardevol gesprek.
---
*Stephan Brinkhuis is compliance consultant, externe CISO en externe auditor. Hij helpt organisaties om managementsystemen te bouwen die niet alleen certificeerbaar zijn, maar ook daadwerkelijk bijdragen aan risicomitigatie.*
