Centric connect.engage.succeed

Vertrouwen bij outsourcing: gaan we af op de feiten of op ons gevoel?

Geschreven door Pieter Overbeeke - 12 oktober 2016

Pieter Overbeeke
In mijn vorige blog schreef ik dat een robuust risicomanagement en intern beheersraamwerk bijdragen aan de kwaliteit van onze dienstverlening en de perceptie hiervan bij de klant. De standaarden ISAE 3402 en ISO 27001 hebben een objectiverende werking, omdat deze internationaal worden geaccepteerd. Maar is dat nu echt wel zo?

Interne beheersing gaat, ook bij outsourcing, vooral over de vraag in hoeverre de medewerkers de doelen van de organisatie nastreven en de maatregelen die nodig zijn om het gedrag van deze medewerkers in de goede richting te laten werken. Dan is het belangrijk om te onderkennen welke risico’s relevant zijn, welke risico’s de organisatie wil accepteren en welke risico’s de organisatie wil afdekken omdat ze afleiden van de gestelde doelen. Zijn deze maatregelen effectief als het gedrag van de medewerker een andere richting uit gaat dan het beoogde effect van de maatregel?

Door rood

Vergelijk het met een situatie waarin je tegen iemand zegt dat je bij een zebrapad niet door rood licht mag lopen. Waarom? Omdat je het risico loopt dat je wordt overreden door een voertuig. En toch accepteert de één het risico en negeert de maatregel en zal de ander er misschien voor kiezen om voor het rode licht te wachten. Het feit is dat je niet door rood mag lopen, het gevoel zegt misschien wel dat het risico om overreden te worden niet zo’n vaart zal lopen. Dus negeren we de maatregelen. Is die persoon dan fout bezig? Of waren er omstandigheden die de persoon dwongen om de maatregelen te negeren? Ik zag laatst op Youtube een filmpje waarbij een vrouw voor het zebrapad stond te wachten terwijl vlakbij een vrachtwagen in de slip raakte. Zij stak over, moest rennen voor haar leven en rende door rood. Daarbij negeerde zij bewust het verkeerslicht. Zij reageerde intuïtief en op gevoel.

Risicovol

Deze situaties, waarbij een medewerker moet reageren op risicovolle activiteiten, rekening houdend met de van toepassing zijnde beheersmaatregelen, komen ook voor in organisaties. Dit zijn de maatregelen die in een intern beheersraamwerk worden vastgelegd. Externe auditors beoordelen zo’n raamwerk aan de hand van bijvoorbeeld de standaarden ISAE 3402 of ISO 27001.

De vraag rijst of de standaarden als ISAE 3402 en ISO 27001 volstaan om een leverancier te vertrouwen. Of komt het toch neer op ons ‘onderbuikgevoel’?

Gevoel krijgen

Mijn advies is: vaar niet blind op een ISAE 3402-rapport of een ISO 27001-certificaat, dit zijn alleen maar feitelijkheden. Ga ook kijken bij je leverancier waaraan je belangrijke processen hebt uitbesteed, om een gevoel te krijgen hoe de processen worden uitgevoerd en hoe men omgaat met de relevante risico’s.

Op de vraag: “Zijn er normen die ons helpen om dit gevoel verder te objectiveren?” zal ik in mijn volgende blog verder ingaan.

Pieter Overbeeke is expert Interne audit & Assurance.  Als manager compliance, audit & security houdt Pieter zich bezig met de eisen die gesteld worden aan processen en interne beheersing vanuit de aandachtsgebieden interne audit, compliance en information security.

     
Schrijf een reactie
  • Captcha image
  • Verzenden