Vertrouwen door controle

Vertrouwen is goed, controle is beter. Of was het nou anders: controle is goed, vertrouwen is beter. Of zijn er mogelijk meerdere soorten vertrouwen en meerdere soorten controle?

Eerder betoogde Jacques Eding in zijn blog al dat het niet om de vink-lijstjes gaat, maar over softcontrols. Verantwoordelijkheid lager in de organisatie leggen, zo dicht mogelijk bij de uitvoering en sturen met vertrouwen.

Vertrouwen

Als manager is het belangrijk dat je vertrouwen geeft. Met de term vertrouwen bedoel ik ‘geloven dat een ander eerlijk is of dat iets goed zal gaan’. Ofwel, vrij vertaald, de medewerkers doen wat ze moeten doen en dit doen ze met de beste intenties. Het lijkt me logisch dat dit het geval is, anders moeten er misschien een aantal functioneringsgesprekken plaatsvinden.

Als deze basis er is, dan kan een verdere sturing plaatsvinden door middel van softcontrols. Uiteraard liggen deze softcontrols ten grondslag aan dat vertrouwen. Graag licht ik vier (van de acht) belangrijke softcontrols even uit, deze zijn:

  • Helderheid: over de verwachtingen, van manager tot medewerker en omgekeerd.
  • Uitvoerbaarheid: voldoende middelen om de verwachtingen uit te voeren.
  • Aanspreekbaarheid: het ter verantwoording roepen indien het niet verloopt zoals afgesproken.
  • Handhaving: belonen en sanctioneren van het gedrag dat wel/niet aan de norm voldoet.

…. waarbij het natuurlijk belangrijk is te handelen met het vertrouwen in gedachten.

Toch controle?

Wel wil ik hier erg graag het onderscheid maken tussen primaire (inhoudelijke) controles en secundaire controles:

  • De primaire controles kunnen de medewerkers/beheerders tenslotte zelf het beste uitvoeren. Als de beheerders gewezen worden op hun verantwoordelijkheden, en verantwoordelijkheid ook écht bij hen neerlegt zullen zij zelf deze inhoudelijke primaire controles uitvoeren. Omdat zij verantwoordelijk zijn voor de zaken die zij uitvoeren, bijvoorbeeld het beheren van servers. Dus, maak het hun verantwoordelijkheid dat deze servers functioneren zoals is afgesproken. Bijvoorbeeld naar aanleiding van bepaalde beschikbaarheid vanuit een servicelevel agreement of beveiligingsinstellingen zoals in een beleid is overeengekomen.
  • Voor de secundaire controls moet gedacht worden aan het type controle waarmee je als manager inzichtelijk krijgt of het vertrouwen, dat je geeft aan je medewerkers, niet geschonden wordt. Deze secundaire controle voer je zelf uit waarbij er dus geen negatieve resultaten mogen ontstaan. Er is immers afgesproken dat deze specifieke commando's, actie's of processen niet zijn toegestaan.

Dan is het voor jou als manager alleen nog zaak om de (soft)controls zo in te zetten, en daarmee direct ook de aansturing, dat de beheerders zelf het dashboard willen hebben en dat ze ervoor zorgen dat alle seinen op groen staan. In het begin vereist dit misschien nog wat hulp en aansturing.

Als manager heb je deze mensen, jouw collega’s, nodig om de doelen die aan jou en je afdeling zijn gesteld te bereiken.

Kortom; uiteindelijk is het van belang dat je communiceert hoe groot het speelveld is waarin ze mogen acteren, maar je wil er wel voor zorgen dat daarbinnen geacteerd wordt. Het is van belang het speelveld te voorzien van duidelijke grenzen, maar binnen deze grenzen alleen op basis van vertrouwen te sturen. Eventuele grensoverschrijdingen zijn onderdeel van de secundaire controle.

Even een verbinding naar privacy en security

De wet- en regelgeving en informatiebeveiligingsraamwerken schrijven vele regels en richtlijnen voor die in controles gevat moeten worden. Voor meerdere punten zal dit in een (privacy/informatiebeveiligings)beleid zijn vastgelegd waarbij maatregelen beschreven staan die ingericht zijn. Voor de inrichting van deze maatregelen en processen wil ik graag weer verwijzen naar het JES-principe: “just enough security”.Een onafhankelijk controleteam zal steekproefsgewijs controles uitvoeren, maar de basis ligt bij het team die het dagelijks beheer hierover voert. Meer hierover in mijn volgende blog over de ‘three lines of defence’.

Hoe ga ik dit inrichten?

  1. Maak duidelijke afspraken over wat je van je medewerkers verwacht en waar de grenzen liggen. Maak hierbij een vertaling van jouw doelstellingen naar zaken/taken die zij kunnen uitvoeren of controleren.
  2. Ga op je handen zitten en laat de nieuwe (controle/communicatie)processen ontstaan
  3. Stuur door middel van softcontrols
  4. Evalueer gezamenlijk de nieuwe processen (transparantie)

Het lijkt zowaar een Plan-Do-Check-Act-cyclus. En dat is het ook.

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Nieuwe spelregels voor DigiD-aansluitingen

    Hebben we eindelijk de boel op orde, veranderen ze de norm weer! Met nieuwe normen is het altijd weer uitzoeken wat er hetzelfde is gebleven, wat er veranderd is en wat je als organisatie nu moet gaan aanpassen.

    Lees verder
  • Verbeter de informatiebeveiliging

    Mijn ervaringen bij een middelgrote gemeente

    Lees verder
  • Geld verliezen of risico’s beheersen - de three lines of defence

    Het ‘3 lines of defence’-model (3LoD) is een standaard controle model dat veel gebruikt binnen de risicomanagement- en accountancy-wereld, maar vindt steeds meer toepassing binnen bedrijven.

    Lees verder
  • Oh nee, de auditor komt langs!

    Het zoemt als een mantra door de organisatie...de auditor komt langs, de auditor komt langs. Zorg dat alles op orde is. Laten we die ordner nog even bijwerken, is het datacenter netjes, laten we de rondslingerende papieren nog opruimen, etc.

    Lees verder
  • ​Help de auditor komt langs! (deel 2)

    Een audit wordt van tevoren vaak eng en vaag gevonden. Auditor Mark Tissink vertelt daarom wat je kan verwachten en hoe hij te werk gaat.

    Lees verder
  • Security awareness - Briefjes bij de koffieautomaat?

    Van elke medewerker wordt verwacht dat zij een bepaalde mate van security awareness hebben. Of in goed Nederlands, beveiligingsbewustzijn. Dat deze medewerker bewust is van de acties die zij dagelijks uitvoeren en wat voor een gevolgen dit kan hebben ten aanzien van de informatiebeveiliging.

    Lees verder
  • Patching: Theoretisch niet moeilijk

    Hét proces voor het op orde houden van de updates op al je machines. In elke norm voor informatie-beveiliging (ISO27001, BIR, BIG, NEN7510) komt patching terug en ook bij de DigiD-audit wordt de patching gecontroleerd. Hoe kan je in jouw organisatie ook dit proces voldoende op orde krijgen?

    Lees verder