Afglijden in het bestuur + De illusie van aandacht + Continuïteit van het systeem

Duidelijke governance leidt niet tot het faillissement van organisaties. Niet omdat de controles op dat moment verkeerd zijn. Maar omdat ze blinde vlekken creëren die je niet ziet. De eerste implementatie doet je geloven dat het systeem stabiel is. Certificering doet je geloven dat het risico onder controle is. Continuïteit dwingt je ertoe om driemaal de vraag te stellen: „Wat gebeurt er als de organisatie verandert?“ Groei laat je zien: governance volgt de documentatie niet. Het evolueert – of drijft af – op manieren die je pas opmerkt als de druk het blootlegt.

Kerninzicht

Het beheer dat iedereen installeert, is het beheer dat niemand onderhoudt.

De implementatie lijkt voltooid. De certificering lijkt in orde. De documentatie lijkt toereikend. En daar houden de meeste organisaties het bij.

Eerste controles zorgen voor voorspelbare stabiliteit op het eerste niveau (audit geslaagd, beleid opgesteld, verantwoordelijkheden toegewezen). Daar houdt het op. Continuïteitsdenken dwingt je om je af te vragen wat er gebeurt als rollen veranderen. Wat er gebeurt als het product evolueert. Wat er gebeurt als de risicoblootstelling verschuift. Gevolgen op het derde niveau leggen bloot waar niemand op voorbereid was: verantwoordelijkheden verschuiven, bewijsmateriaal raakt losgekoppeld, escalatie loopt vast. Het systeem verandert sneller dan het bestuur zich kan aanpassen.

Belangrijke begrippen

Continuïteitsdenken

Eerste orde: „We hebben het raamwerk geïmplementeerd.“
Tweede orde: „Wat gebeurt er als de organisatie verandert?“
Derde orde: „En wat gebeurt er dan als ze weer verandert?“

De meeste organisaties houden het bij de implementatie. Volwassen organisaties denken in termen van continuïteit. Want governance faalt niet bij de opzet, maar tijdens de groei. Bij de tweede en derde fase – nieuwe rollen, nieuwe producten, nieuwe afhankelijkheden – blijft de controle standhouden of brokkelt deze stilletjes af.

Gebruiksgemak

Uw organisatie richt zich volledig op de eerste mijlpaal die ze bereikt.
De eerste certificering wordt de maatstaf.
Het slagen voor de eerste audit wordt gezien als bewijs van stabiliteit.
De eerste goedkeuring blijft in de hoofden van mensen als de norm hangen.

Het ontstaan van systemen

Groeiende organisaties leiden tot resultaten die je niet kunt voorspellen op basis van afzonderlijke controles. Voeg nieuwe medewerkers toe en de complexiteit van de verantwoordelijkheidsverdeling neemt toe (wat niet zichtbaar is aan de hand van één functiewijziging). Voeg nieuwe leveranciers toe en het risico op afhankelijkheid neemt toe (wat niet zichtbaar is aan de hand van één goedkeuring). Voeg nieuwe producten toe en de blootstelling aan regelgeving neemt toe (wat niet zichtbaar is aan de hand van één functie).

Toepassingen op het gebied van governance

Voorbeeld 1: Certificering zonder continuïteit

Eerstelijnsdenken:
“We hebben ISO / SOC 2 nodig. Controles invoeren. De audit doorstaan.”
Ze hadden gelijk. De audit is doorstaan. De certificering is behaald. De voor de hand liggende oplossing werkte.

Tweede orde:
Er is wel documentatie aanwezig, maar het tempo van de herbeoordeling is niet vastgelegd. Rollen veranderen. Leveranciers breiden hun activiteiten uit. De reikwijdte van het product verschuift. De controles blijven ongewijzigd terwijl de organisatie zich ontwikkelt.

Derde orde:
Eigendom verschuift. Bewijs raakt achterhaald. Het is onduidelijk hoe de escalatieprocedures verlopen. Wanneer een belangrijke klant of toezichthouder om bewijs vraagt, moet de context onder druk opnieuw worden geschetst.

Ontstaan:
Een groeiende organisatie gedraagt zich niet als een statische checklist voor naleving. Het zorgt voor meer complexiteit dan handmatig beheer aankan. Wat er aanvankelijk stabiel uitzag, blijkt kwetsbaar te zijn. Wat er beheerst uitzag, wordt reactief.

Deel dit bericht

Vladimir Rusnac