Audits
Kwalitatief sterke audits zijn ankerpunten in elk proces richting hogere kwaliteit. Natuurlijk moet de ondergrens worden bewaakt; klanten en belanghebbenden rekenen precies op dat effect. Maar 100% betrouwbaarheid bestaat misschien voor robots en andere geautomatiseerde processen, niet voor mensen en hun zakelijke processen. En juist de mensen, de medewerkers, zijn de vitale factor, zeker ook bij cyber security vraagstukken. Zij worden vooral geholpen met audits die zeggen waar op voortgebouwd kan worden en waarop de koers beter kan worden verlegd.
In audits wordt gewerkt via een benadering die logisch en aanvaardbaar is. Dit vereist een proportionele normstelling die geschikt is voor verschillende situaties, in plaats van een uniforme aanpak. Neem bijvoorbeeld de vergelijking tussen een ziekenhuis en een individuele fysiotherapeut of logopedist; hun normenbehoeften verschillen sterk vanwege de niet-vergelijkbare situaties.
De audits passen zich op deze verschillen aan. Soms is een empirische benadering nodig: iets is er wel of niet. Soms moet er naar het hele systeem worden gekeken en de vraag worden beantwoord naar de ‘volwassenheid’ ervan. Soms gaat het vooral om de vraag of de motivatie er wel is en of iedereen wel weet ‘waarom?’ gebeurt wat er gebeurt.
Anno nu moeten we nog een stap verder gaan in wat nodig is. De ontwikkelingen gaan zo snel dat de oorzaak van een verschijnsel bijna niet meer te achterhalen is. Wat we zien, zijn ‘patronen’ die verschijnen (‘emergent worden) en die moeten gelezen worden. Audits nieuwe stijl kunnen daar mee omgaan.
Dit betekent niet dat de klassieke functie van audits helemaal verdwijnt. Wachtwoorden op de foute manier delen is nog steeds fout en updates vergeten ook. Een stevig risicobesef- en beleid is onder alle omstandigheden hard nodig. Maar op het niveau van de maatregelen moeten bedrijven en hun ondernemers de werkwijze kiezen die het beste bij hen past. Auditors zijn dan degenen die op de kritieke punten hun de spiegel voorhouden en daarmee richting wijzen.
Audits van een dag of meer op locatie maken plaats voor kortere en digitale contacten, maar wel in een grotere frequenties dan voorheen en met meer feedback momenten. Nog steeds zijn audits ankerpunten, maar in plaats van op één dikke ankerketting te vertrouwen, gaan we dynamischer en gerichter te werk.