Only a couple of months before my new book - CLICK HERE to be on the list to receive it first!

More!!
About Contact
Dropdown
About Programs Products Cyber & Leader Blogs Contact

The Money Blog

Lorem ipsum dolor sit amet, metus at rhoncus dapibus, habitasse vitae cubilia odio sed. Mauris pellentesque eget lorem malesuada wisi nec, nullam mus. Mauris vel mauris. Orci fusce ipsum faucibus scelerisque.

Vertrouwen door controle

controle nl vertrouwen Aug 26, 2016

Vertrouwen is goed, controle is beter. Of was het nou anders: controle is goed, vertrouwen is beter. Of zijn er mogelijk meerdere soorten vertrouwen en meerdere soorten controle?

In het vorige stuk (link) betoogde Jacques Eding al dat het niet om de vink-lijstjes gaat, maar over softcontrols. Verantwoordelijkheid lager in de organisatie leggen, zo dicht mogelijk bij de uitvoering en sturen met vertrouwen.

Vertrouwen

Als manager is het belangrijk dat je vertrouwen geeft. Met de term vertrouwen bedoel ik‘geloven dat een ander eerlijk is of dat iets goed zal gaan’. Ofwel, vrij vertaald, de medewerkers doen wat ze moeten doen en dit doen ze met de beste intenties. Het lijkt me logisch dat dit het geval is, anders moeten er misschien een aantal functioneringsgesprekken plaatsvinden.

Als deze basis er is, dan kan een verdere sturing plaatsvinden door middel van softcontrols. Uiteraard liggen deze softcontrols ten grondslag aan dat vertrouwen. Graag licht ik vier (van de acht) belangrijke softcontrols even uit, deze zijn:

  • Helderheid: over de verwachtingen, van manager tot medewerker en omgekeerd.
  • Uitvoerbaarheid: voldoende middelen om de verwachtingen uit te voeren.
  • Aanspreekbaarheid: het ter verantwoording roepen indien het niet verloopt zoals afgesproken.
  • Handhaving: belonen en sanctioneren van het gedrag dat wel/niet aan de norm voldoet.

…. waarbij het natuurlijk belangrijk is te handelen met het vertrouwen in gedachten.

Toch controle?

Wel wil ik hier erg graag het onderscheid maken tussen primaire (inhoudelijke) controles en secundaire controles. De primaire controles kunnen de medewerkers/beheerders tenslotte zelf het beste uitvoeren. Als de beheerders gewezen worden op hun verantwoordelijkheden, en verantwoordelijkheid ook écht bij hen neerlegt zullen zij zelf deze inhoudelijke primaire controles uitvoeren. Omdat zij verantwoordelijk zijn voor de zaken die zij uitvoeren, bijvoorbeeld het beheren van servers. Dus, maak het hun verantwoordelijkheid dat deze servers functioneren zoals is afgesproken. Bijvoorbeeld naar aanleiding van bepaalde beschikbaarheid vanuit een servicelevel agreement of beveiligingsinstellingen zoals in een beleid is overeengekomen. Dan is het voor jou als manager alleen nog zaak om de (soft)controls zo in te zetten, en daarmee direct ook de aansturing, dat de beheerders zelf het dashboard willen hebben en dat ze ervoor zorgen dat alle seinen op groen staan. In het begin vereist dit misschien nog wat hulp en aansturing.

Als manager heb je deze mensen, jouw collega’s, nodig om de doelen die aan jou en je afdeling zijn gesteld te bereiken.

Kortom; uiteindelijk is het van belang dat je communiceert hoe groot het speelveld is waarin ze mogen acteren, maar je wil er wel voor zorgen dat daarbinnen geacteerd wordt. Het is van belang het speelveld te voorzien van duidelijke grenzen, maar binnen deze grenzen alleen op basis van vertrouwen te sturen. Eventuele grensoverschrijdingen zijn onderdeel van de secundaire controle.

Even een verbinding naar privacy en security

De wet- en regelgeving en informatiebeveiligingsraamwerken schrijven vele regels en richtlijnen voor die in controles gevat moeten worden. Voor meerdere punten zal dit in een (privacy/informatiebeveiligings)beleid zijn vastgelegd waarbij maatregelen beschreven staan die ingericht zijn. Voor de inrichting van deze maatregelen en processen wil ik graag weer verwijzen naar wat eerder gezegd is, het JES-principe: “just enough security”.
Een onafhankelijk controleteam zal steekproefsgewijs controles uitvoeren, maar de basis ligt bij het team die het dagelijks beheer hierover voert. Meer hierover in mijn volgende blog over de ‘three lines of defence’.

Hoe ga ik dit inrichten?

  1. Maak duidelijke afspraken over wat je van je medewerkers verwacht en waar de grenzen liggen. Maak hierbij een vertaling van jouw doelstellingen naar zaken/taken die zij kunnen uitvoeren of controleren.
  2. Ga op je handen zitten en laat de nieuwe (controle/communicatie)processen ontstaan
  3. Stuur door middel van softcontrols
  4. Evalueer gezamenlijk de nieuwe processen (transparantie)

Het lijkt zowaar een Plan-Do-Check-Act-cyclus. En dat is het ook.

Categories

All Categories aansluiting agile audit basics beveiligen bewustzijn controle diepgang digid gemeente governance informatiebeveiliging informatieclassificatie it control medewerkers nl normen patching privacy tips verbeteren vertrouwen waarde
THE PROSPERITY NEWSLETTER

Want Helpful Finance Tips Every Week?

Lorem ipsum dolor sit amet, metus at rhoncus dapibus, habitasse vitae cubilia.